Accordo sulla protezione dei dati

Effettivo a partire da aprile 2020

Ultimo aggiornamento: 15.11.2021

Tra:

Utenti/abbonati ai servizi di Fatturazione e Contabilità di SumUp (di seguito "il Cliente" o "Titolare del trattamento") e

SumUp Payments Limited, 32-34 Great Marlborough Street, Londra, Inghilterra, W1F 7JB, UK (di seguito "SumUp" o "Responsabile del trattamento")) 

ciascuna “parte"; insieme “le parti", 

HANNO ACCETTATO i termini del presente Accordo sulla protezione dei dati (di seguito "DPA" o "Accordo") sulla protezione dei Dati personali in relazione al trattamento dei Dati personali quando il Cliente agisce in qualità di Titolare del trattamento e SumUp agisce in qualità di Responsabile del trattamento, per adempiere agli obblighi di servizio descritti nei Termini e Condizioni di Fatturazione e Contabilità di SumUp stabiliti nell'Accordo sui servizi (dettagliati di seguito). Nell'ambito dell'adempimento di tali obblighi di servizio, e in conformità con i termini del presente contratto, SumUp tratterà determinati Dati personali per conto del Titolare del trattamento. Ciascuna parte conviene e garantisce che i termini del presente contratto saranno pienamente applicabili anche agli Affiliati che potrebbero essere coinvolti nelle operazioni di trattamento dei Dati personali per il progetto definito nei Termini e condizioni di Fatturazione e Contabilità di SumUp, nell'Accordo sui servizi. SumUp garantirà che tutti i sub-responsabili operino entro gli stessi termini del presente Accordo durante il trattamento dei Dati personali del Cliente. 

Introduzione e definizioni

I Dati personali sono definiti come qualsiasi informazione relativa a un interessato che permette di identificarlo, direttamente o indirettamente, in particolare facendo riferimento a un dato identificativo come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica o giuridica (se del caso).

Tutte le altre definizioni di cui al presente documento, compresi i termini Titolare del trattamento e Responsabile del trattamento dei dati, sono determinate dalla legislazione vigente in materia di protezione dei dati.

I Dati personali sensibili non sono considerati da trattare nell'ambito del Servizio dell'Applicazione offerto dal Responsabile del trattamento ( Fatturazione e Contabilità di SumUp) e pertanto sono esclusi dai termini del presente Contratto.

Iscrivendosi al programma Fatturazione e Contabilità di SumUp e accettando i Termini e condizioni, compresa l'Informativa sulla privacy e il presente DPA, le parti accettano che il presente Accordo disciplina il rapporto tra il Titolare del trattamento e il Responsabile del trattamento, determinando il trattamento dei dati personali da parte di SumUp dei dati del Cliente. Il presente Accordo ha la precedenza a meno che non sia stato sostituito da un altro DPA firmato che comunica la sua precedenza sul presente Accordo.

Lo scopo del trattamento dei Dati Personali da parte di SumUp per il Cliente è garantire il pieno utilizzo del Servizio da parte del Cliente e consentire l'adempimento del presente Accordo. SumUp garantisce che la sicurezza dei Dati personali sia sempre sufficiente.

Entrambe le parti confermano la loro Autorità per firmare il Contratto in tal modo.

Responsabilità del Responsabile del trattamento

Il Responsabile del trattamento deve trattare tutti i dati personali per conto del Titolare del trattamento e seguendo le relative istruzioni. Aderendo al presente Accordo, SumUp (e qualsiasi sub-responsabile del trattamento che abbia un accordo legale per i servizi con il Responsabile del trattamento) viene incaricato di trattare i Dati personali del Cliente:

  1. In conformità a tutte le leggi nazionali ed europee

  2. Per adempiere ai suoi obblighi ai sensi dei Termini e condizioni per la Fatturazione e Contabilità di SumUp

  3. come ulteriormente istruito dal Titolare del trattamento

  4. come descritto nel presente Contratto

Nell'ambito della fornitura dell'Applicazione, il Responsabile del trattamento è tenuto a fornire al Cliente sempre soluzioni adeguate per accompagnare il continuo sviluppo della sua attività utilizzando il servizio. Il Responsabile del trattamento tiene traccia del modo in cui il Cliente utilizza l'Applicazione per offrire sempre i migliori suggerimenti, fornire i servizi pertinenti e impegnarsi ad inviare comunicazioni più precise per puntare a una continua facilità d'uso e soddisfazione. Per quanto il trattamento dei dati personali dall'Applicazione faccia parte di questo, questi vengono trattati solo in conformità con il presente DPA e la legge applicabile e sono condivisi solo se necessario per fornire una migliore esperienza al Cliente.

Tenendo conto della tecnologia disponibile e del costo di implementazione, nonché dell'ambito, del contesto e dello scopo del Trattamento, il Responsabile del trattamento deve adottare tutte le misure ragionevoli, incluse le misure tecniche e organizzative, per garantire un livello di sicurezza sufficiente in relazione al rischio e alla categoria dei Dati personali da proteggere. Il Responsabile del trattamento dovrà assistere il Titolare del trattamento con idonee misure tecniche e organizzative secondo necessità e, in considerazione della natura del trattamento e della categoria di informazioni a sua disposizione, farà in modo di garantire il rispetto degli obblighi del Titolare del trattamento ai sensi delle leggi in materia di protezione dei dati personali.

Il Responsabile del trattamento dovrà notificare al Titolare del trattamento senza indebito ritardo se viene a conoscenza di una violazione della sicurezza.

Inoltre, il Responsabile del trattamento dovrà, per quanto possibile e legalmente, informare il Titolare del trattamento se è presente una richiesta di informazioni sui dati in possesso (Richiesta di accesso ai dati) da parte di qualsiasi organismo a cui deve fornirli. Il Responsabile del trattamento risponderà a tali richieste una volta autorizzato a farlo dal Titolare del trattamento. Inoltre, il Responsabile del trattamento non divulgherà le informazioni relative al presente Contratto a meno che non sia obbligato per legge a farlo, ad esempio per ordine di tribunale.

Se il Titolare richiede informazioni o assistenza in merito alla sicurezza dei dati, e documentazione o informazioni su come il Responsabile del trattamento tratta i Dati personali in generale, può richiedere queste informazioni al Responsabile del trattamento. Il Responsabile del trattamento assisterà in misura ragionevole il Titolare del trattamento nel rispetto degli obblighi ai sensi degli articoli da 32 a 36 del GDPR.

Il Responsabile del trattamento, i suoi dipendenti e le sue affiliate, garantiranno la riservatezza in relazione ai Dati personali trattati ai sensi del Contratto. La presente disposizione continua ad applicarsi dopo la risoluzione del Contratto, indipendentemente dalla causa della risoluzione.

Responsabilità del Titolare del trattamento

Il Titolare conferma, sottoscrivendo o accettando il presente Accordo, che, utilizzando l'Applicazione, sarà in grado di trattare liberamente i propri dati una volta in linea con tutti i requisiti legali in materia di protezione dei dati. 

Il Titolare del trattamento può revocare in qualsiasi momento l'accettazione del presente DPA, ma in questo modo il Responsabile del trattamento non sarà più in grado di fornire il Servizio.

Il Cliente ha una base giuridica per il trattamento dei Dati Personali con il Responsabile del trattamento (inclusi eventuali sub-responsabili del trattamento) con l'uso dei servizi di SumUp.

Il Titolare del trattamento è sempre responsabile dell'accuratezza, dell'integrità, del contenuto e dell'affidabilità dei Dati Personali trattati dal Responsabile del trattamento. Hanno soddisfatto tutti i requisiti obbligatori in relazione alla notifica o all'ottenimento dell'autorizzazione delle autorità pubbliche pertinenti in merito al trattamento dei Dati personali. Hanno inoltre adempiuto ai loro obblighi di divulgazione nei confronti delle autorità competenti in merito al trattamento dei dati personali in conformità con qualsiasi normativa in materia di protezione dei dati personali.

Il Titolare del trattamento deve avere un elenco accurato delle categorie di Dati personali che tratta, in particolare se queste differiscono dalle categorie elencate dal Responsabile del trattamento nell'Appendice A.

Accordo sul trasferimento dei dati e sull'uso dei subappaltatori

Al fine di fornire il servizio al Titolare del trattamento, il Responsabile del trattamento può avvalersi di sub-responsabili (o "subappaltatori"). Questi subappaltatori possono essere fornitori terzi ubicati sia all'interno che all'esterno del Regno Unito e del SEE. Il responsabile del trattamento dei dati garantisce che tutti i subappaltatori soddisfino gli obblighi e i requisiti previsti dal presente contratto, in particolare che il loro livello di protezione dei dati soddisfi lo standard richiesto dalle leggi in materia di protezione dei dati. Se una giurisdizione non rientra nel Regno Unito o nell'UE/SEE e non è coperta dalle norme sull'adeguatezza, viene stipulato un accordo specifico tra SumUp e tale subappaltatore per garantire che conserverà tutti i Dati Personali adempiendo ai requisiti previsti dalle attuali leggi in materia di protezione dei dati.

Il presente Accordo costituisce il previo consenso specifico ed esplicito dei Titolari del trattamento all'utilizzo da parte del Responsabile del trattamento di subappaltatori con possibile sede al di fuori del Regno Unito e dell'UE/SEE o dei territori coperti da una regolamento di adeguatezza.

Il Titolare del trattamento può revocare in qualsiasi momento tale consenso, ma così facendo risolverà il Contratto attuale e il Responsabile del trattamento non potrà più fornire il Servizio.

Se un subappaltatore ha sede o archivia i Dati personali al di fuori del Regno Unito e dell'UE/SEE o dei territori coperti dai regolamenti sull'adeguatezza, il Responsabile del trattamento ha la responsabilità di garantire una base soddisfacente per il trasferimento dei Dati personali in un paese terzo per conto del Titolare del trattamento e di garantire protezioni adeguate per il trasferimento.

Il Titolare del trattamento deve essere informato prima che il responsabile del trattamento sostituisca i suoi subappaltatori. Il Titolare del trattamento può quindi opporsi a un nuovo sub-responsabile che tratta i suoi Dati personali per conto del Responsabile del trattamento, ma solo se il sub-responsabile non tratta i dati in conformità con la normativa in materia di protezione dei dati. Il Responsabile del trattamento può dimostrare la conformità fornendo al Titolare del trattamento l'accesso alla valutazione della protezione dei dati condotta dal Responsabile del trattamento.

Se il Titolare del trattamento dei dati continua a opporsi all'uso del subappaltatore, potrà interrompere l'abbonamento al Servizio, senza il normale periodo di preavviso richiesto, assicurandosi che i suoi Dati personali non siano trattati dal subappaltatore da lui rifiutato.

Durata del Contratto

L'accordo rimane valido fino a quando il Responsabile del trattamento tratta i Dati Personali con l'uso dell'Applicazione del Servizio da parte del Titolare del Trattamento e a meno che non sia sostituito da un altro DPA firmato che comunichi la sua precedenza sul presente Accordo.

Risoluzione del Contratto

Qualora il Titolare del trattamento decidesse di interrompere l'utilizzo del Servizio, indipendentemente dal fatto che il Servizio sia tramite abbonamento o meno, il Titolare del trattamento dei dati potrà anche eliminare tutti i dati del proprio account. All'esecuzione della procedura di cancellazione dei dati avviata dal Titolare del trattamento, il Responsabile del trattamento cancella tutti i Dati Personali, ad eccezione di quelli che è tenuto a conservare ai sensi di eventuali requisiti legali applicabili, e in tal caso saranno conservati in conformità con le garanzie tecniche e organizzative di SumUp.

Il Titolare del trattamento ha la piena capacità di recuperare tutti i suoi Dati personali all'interno dell'Applicazione di Servizio. Se il Titolare del trattamento dei dati richiede l'assistenza per il recupero dei dati, i costi associati dovranno essere determinati nell'accordo tra le Parti e si baseranno sulla complessità del processo richiesto e sul tempo necessario per soddisfarlo nel formato scelto.

Modifiche all'Accordo

Le modifiche all'Accordo possono essere apportate dal Responsabile del trattamento dei dati in un allegato separato all'Accordo o in un altro modo visibile per il Titolare del trattamento dei dati e comunicate al Titolare del trattamento. Qualora una delle disposizioni del Contratto fosse ritenuta non valida, ciò non pregiudica le restanti disposizioni. Le parti sostituiranno le disposizioni non valide con una disposizione legale che rifletta lo scopo della disposizione non valida.

Verifiche

Il Titolare del trattamento ha il diritto di avviare una volta all'anno una revisione degli obblighi del Responsabile del trattamento ai sensi del Contratto. Se il Titolare del trattamento è tenuto a farlo ai sensi della normativa vigente, le verifiche possono essere ripetute una volta all'anno. Le parti decidono insieme se una terza parte dovrebbe condurre la verifica. Tuttavia, il Titolare del trattamento può consentire al Responsabile del trattamento di verificare la sicurezza di una terza parte neutrale scelta dal Responsabile del trattamento, se si tratta di un ambiente di trattamento in cui vengono trattati più dati del titolare del trattamento.

Se l'ambito proposto della verifica segue un rapporto di certificazione ISAE, ISO o analoghi condotto da un revisore qualificato di terze parti negli ultimi dodici mesi, e il Titolare del trattamento conferma che non sono state apportate modifiche sostanziali alle misure in corso di revisione, questo soddisferà tutte le richieste ricevute entro tale periodo di tempo. Le verifiche non possono interferire irragionevolmente con l'attività aziendale e abituale del Responsabile del trattamento. Il Titolare del trattamento è responsabile di tutti i costi associati alla richiesta di revisione della verifica.

Responsabilità e giurisdizioni

La responsabilità per le azioni derivanti dalla violazione delle disposizioni del presente Accordo è regolata dalle disposizioni in materia di responsabilità e risarcimento descritte nei Termini e condizioni di Fatturazione e Contabilità di SumUp. Ciò vale anche per qualsiasi violazione da parte dei sub-responsabili del Responsabile del trattamento. Il presente Accordo è regolato e interpretato in conformità con le leggi di Inghilterra e Galles e le Corti di Inghilterra e Galles avranno giurisdizione esclusiva per determinare qualsiasi controversia relativa allo stesso.

Appendice A - Categorie di informazioni personali e categorie di trattamento comuni

1. Categorie di informazioni personali (l'elenco non è esaustivo)

  • Nome

  • Indirizzo

  • Numero di telefono

  • Indirizzo email

  • Indirizzo

  • Eventuali numeri di conto e/o coordinate bancarie

2. Categorie di trattamento comuni (l'elenco non è esaustivo)

  • Dipendenti del Titolare del trattamento

  • I contatti del Titolare del trattamento (telefono/email/indirizzi/ecc) I clienti del Titolare del trattamento Le informazioni bancarie del Titolare del trattamento

  • I dipendenti dei loro clienti

  • I contatti dei loro clienti (telefono/email/indirizzi/ecc) I clienti dei loro clienti

  • Informazioni bancarie dei clienti dei loro clienti