Dodatak za zaštitu podataka
Last material update: 22 April 2024
1. Uvod
1.1. Ovaj Dodatak o zaštiti podataka („DZP“) čini dio i podliježe uvjetima ugovora: (a) koji je sklopljen između subjekta grupe Teya („Teya“) i trgovca („Trgovac“); i (b) koji se upućuje na ovaj DZP („Ugovor“).
1.2. U ovom se DZP-u uređuje obrada osobnih podataka ugovornih strana u vezi s Ugovorom. To uključuje obradu osobnih podataka ugovornih strana koji se odnose na vlasnike kartica, na transakciju ili koji se na drugi način odnose na osoblje svake od ugovornih strana, prikupljenih ili podijeljenih u vezi s Ugovorom.
2. Definicije i tumačenje
2.1. Pojmovi pisani velikim slovima upotrijebljeni u ovom DZP-u imat će značenje koje im je dano u Ugovoru, osim ako nije izričito navedeno drugačije. Pravila tumačenja navedena u Ugovoru primjenjivat će se na ovaj DZP.
2.2. Ako je bilo koja odredba ovog DZP-a u sukobu s drugim uvjetima Ugovora, ovaj će DZP imati prednost. Ako je bilo koja odredba ovog DZP-a u sukobu s bilo kojim primjenjivim standardima kartične sheme ili prijavnim obrascem trgovca, prevladat će standardi kartične sheme ili prijavni obrazac trgovca.
2.3. U ovom DZP-u sljedeći izrazi imaju sljedeća značenja:
2.3.1. „Zakonodavstvo o zaštiti podataka“ podrazumijeva bilo koji zakon, statut, deklaraciju, dekret, direktivu, zakonski akt, naredbu, pravilnik, uredbu, pravilo ili drugo obvezujuće ograničenje (s konsolidiranim ili povremeno ponovno donesenim izmjenama i dopunama) koje se odnosi na zaštitu pojedinaca u vezi s obradom osobnih podataka kojoj ugovorna strana podliježe, uključujući Pravilnik o zaštiti privatnosti i elektroničkim komunikacijama iz 2003. (izmijenjen i dopunjen SI 2011 br. 6), Zakon o zaštiti podataka Ujedinjene Kraljevine iz 2018., EU GDPR i UK GDPR;
2.3.2 „Voditelj obrade“, „Ispitanik“, „Osobni podaci“, „Povreda osobnih podataka“, „Izvršitelj obrade“, „Obrada“ i „Nadzorno tijelo“ imaju značenja navedena u Zakonu o zaštiti podataka (a „Obrada” i „Obrađeno” tumačit će se u skladu s tim);
2.3.3 „Zahtjev ispitanika“ podrazumijeva stvarni ili navodni zahtjev, obavijest ili pritužbu ispitanika (ili u njegovo ime) koji ostvaruje svoja prava prema Zakonu o zaštiti podataka;
2.3.4 „EU GDPR” podrazumijeva Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL L 119/1, 4.5.2016.;
2.3.5. „ICO“ podrazumijeva Ured povjerenika za informiranje Ujedinjene Kraljevine ili bilo koje tijelo koje ga nasljeduje;
2.3.6. „Značajan utjecaj“ podrazumijeva značajno štetan učinak na: (a) ugled ugovorne strane ili bilo kojeg člana njezine grupe, prema potrebi; ili (b) odnos ugovorne strane s ispitanikom; što bi u svakom slučaju moglo razumno rezultirati: (i) prijetnjom ili stvarnom radnjom (bilo formalnom ili neformalnom) bilo kojeg nadzornog tijela ili ICO-a zbog kršenja zakona o zaštiti podataka; ili (ii) potencijalnim ili stvarnim zahtjevom ispitanika ili treće strane (bilo zbog kršenja ugovora, nemara ili bilo kojeg drugog delikta, prema zakonu ili na drugi način);
2.3.7 „Prepiska nadzornog tijela“ podrazumijeva bilo koju prepisku ili komunikaciju (bilo pisanu ili usmenu) između Nadzornog tijela ili ICO-a u vezi s obradom osobnih podataka povezanu s Ugovorom;
2.3.8 „Sigurnosni zahtjevi“ podrazumijevaju zahtjeve koji se odnose na sigurnost osobnih podataka, kako je navedeno u Zakonu o zaštiti podataka, uključujući naročito mjere navedene u članku 32. stavku 1. EU GDPR-a i UK GDPR-a (kako je primjenjivo) (uzimajući u obzir pitanja opisana u članku 32. stavku 2. EU GDPR-a i UK GDPR-a (kako je primjenjivo)); i
2.3.9 „UK GDPR“ podrazumijeva EU GDPR s izmjenama i dopunama u skladu s Uredbama o zaštiti podataka, privatnosti i elektroničkim komunikacijama (izmjene i dopune itd.) (Izlazak iz EU-a) iz 2019. (kako je izmijenjeno SI 2020 br. 1586) i uključeno u zakon Ujedinjene Kraljevine prema Zakonu Ujedinjene Kraljevine o (povlačenju) iz Europske unije iz 2018.
3. Uloge ugovornih strana
3.1. Ugovorne strane predviđaju da će, u pogledu obrade osobnih podataka u vezi s Ugovorom, svaka strana djelovati kao neovisni voditelj obrade osobnih podataka.
3.2. Nijedna ugovorna strana ne predviđa da će djelovati kao zajednički voditelji obrade osobnih podataka, niti bilo koja strana imenuje drugu da djeluje kao njezin izvršitelj obrade u svrhu obrade koja se provodi u vezi s Ugovorom.
4. Zaštita podataka
4.1. U pogledu obrade osobnih podataka u vezi s Ugovorom, svaka će ugovorna strana:
4.1.1. pridržavati se svojih odgovarajućih obveza prema Zakonu o zaštiti podataka;
4.1.2. izdavati vlastite obavijesti o poštenoj obradi kako bi bila transparentna u pogledu obrade osobnih podataka;
4.1.3. provoditi i održavati odgovarajuće tehničke i organizacijske mjere dovoljne za usklađivanje sa sigurnosnim zahtjevima;
4.1.4. poduzeti razumne korake kako bi osigurala pouzdanost svog osoblja koje će imati pristup osobnim podacima i osigurati da je svaki član osoblja s pristupom osobnim podacima preuzeo odgovarajuće ugovorno obvezujuće obveze povjerljivosti;
4.1.5. surađivati s drugom ugovornom stranom kako bi pomogla drugoj strani u njezinim obvezama izvješćivanja u slučaju kršenja zakonodavstva o zaštiti podataka u vezi s Ugovorom;
4.1.6. obavijestiti drugu ugovornu stranu o bilo kakvoj povredi osobnih podataka do koje je moglo doći u vezi s Ugovorom bez nepotrebnog odgađanja nakon što za istu sazna; i
4.1.7. obavijestiti drugu stranu odmah nakon primitka bilo kakvog zahtjeva ispitanika ili prepiske nadzornog tijela za koje ta strana vjeruje da će, djelujući razumno, vjerojatno imati značajan utjecaj na drugu stranu.
1. Introduction
1.1 This Data Protection Addendum (this “DPA”) forms part of and is subject to the terms of the agreement which: (a) is entered into between a Teya group entity (“Teya”) and a merchant (the “Merchant”); and (b) refers to this DPA (the “Agreement”).
1.2 This DPA governs the parties’ Processing of Personal Data in connection with the Agreement. This includes the parties’ Processing of Personal Data relating to cardholders, to a transaction or otherwise relating to the personnel of each of the parties collected or shared in connection with the Agreement.
2. Definitions and Interpretation
2.1The capitalised terms used in this DPA shall, unless expressly stated otherwise, have the meaning given to them in the Agreement. The rules of interpretation set out in the Agreement will apply to this DPA.
2.2 Should any provision of this DPA conflict with the other terms of the Agreement, this DPA shall prevail. Should any provision of this DPA conflict with any applicable Card Scheme Standards or Merchant Application Form, the Card Scheme Standards or Merchant Application Form shall prevail.
2.3 In this DPA, the following terms shall have the following meanings:
2.3.1 “Data Protection Legislation” means any law, statute, declaration, decree, directive, legislative enactment, order, ordinance, regulation, rule or other binding restriction (as amended, consolidated or re-enacted from time to time) which relates to the protection of individuals with regards to the processing of personal data to which a party is subject, including the Privacy and Electronic Communications Regulations 2003 (as amended by SI 2011 no. 6), the UK Data Protection Act 2018, the EU GDPR and the UK GDPR;
2.3.2 “Controller”, “Data Subject”, “Personal Data”, “Personal Data Breach”, “Processor”, “Processing” and “Supervisory Authority” shall have the meanings set out in the Data Protection Legislation (and “Process” and “Processed” shall be construed accordingly);
2.3.3 “Data Subject Request” means an actual or purported request or notice or complaint from (or on behalf of) a Data Subject exercising his rights under the Data Protection Legislation;
2.3.4 “EU GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119/1, 4.5.2016;
2.3.5 “ICO” means the UK Information Commissioner’s Office or any successor body which replaces it;
2.3.6 “Material Impact” means a materially detrimental effect on: (a) the reputation of a party or any members of its group, as appropriate; or (b) a party's relationship with the Data Subject; which, in each case could reasonably result in: (i) threatened or actual enforcement action (whether formal or informal) by any Supervisory Authority or the ICO for an infringement of the Data Protection Legislation; or (ii) a prospective or actual claim by a Data Subject or third party (whether for breach of contract, negligence or any other tort, under statute or otherwise);
2.3.7 “Supervisory Authority Correspondence” means any correspondence or communication (whether written or verbal) from a Supervisory Authority or the ICO in relation to the Processing of Personal Data in connection with the Agreement;
2.3.8 “Security Requirements” means the requirements regarding the security of the Personal Data, as set out in the Data Protection Legislation including, in particular, the measures set out in Article 32(1) of the EU GDPR and UK GDPR (as applicable) (taking due account of the matters described in Article 32(2) of the EU GDPR and UK GDPR (as applicable)); and
2.3.9 “UK GDPR” means the EU GDPR as amended in accordance with the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (as amended by SI 2020 no. 1586) and incorporated into UK law under the UK European Union (Withdrawal) Act 2018.
3. Roles of the parties
3.1The parties anticipate that, in respect of the Processing of Personal Data in connection with the Agreement, each party will act as an independent Controller of the Personal Data.
3.2 Neither party anticipates that they shall act as joint Controllers of the Personal Data, nor does either party appoint the other to act as its Processor for the purpose of Processing carried out in connection with the Agreement.
4. Data Protection
4.1In respect of its Processing of Personal Data in connection with the Agreement, each party shall:
4.1.1 comply with its respective obligations under the Data Protection Legislation;
4.1.2 issue its own fair processing notices in order to be transparent with regard to its Processing of Personal Data;
4.1.3 implement and maintain appropriate technical and organisational measures sufficient to comply with the Security Requirements;
4.1.4 take reasonable steps to ensure the reliability of any of its personnel who shall have access to the Personal Data and ensure that each member of personnel with access to the Personal Data has entered into appropriate contractually-binding confidentiality undertakings;
4.1.5 cooperate with the other party to assist the other party in its reporting obligations in the event of a breach of the Data Protection Legislation in connection with the Agreement;
4.1.6 notify the other party of any Personal Data Breach which may have occurred in connection with the Agreement without undue delay upon becoming aware of the same; and
4.1.7 notify the other party promptly following its receipt of any Data Subject Request or Supervisory Authority Correspondence which that party believes, acting reasonably, is likely to have a Material Impact on the other party.