Условия и правила за фактуриране на Mollie

Тези условия на услугата („Условия на услугата за фактуриране“) представляват правно споразумение между Вас и организацията или образуванието, което представлявате (наричано по-нататък „Организация“, „Вие“ или „Ваш/а/о/и“), и Mollie B.V. и неговите лицензодатели (наричани по-нататък „Mollie“, „ние“ или „наш/а/о/и“), което урежда използването на Услугата за фактуриране.

Условията на услугата за фактуриране определят правилата и условията, при които ще ви бъде разрешено да използвате Услугата за фактуриране. Споразумението с потребителя, което се прилага за Вас в неговата цялост, остава в сила и се допълва от настоящите Условия на услугата за фактуриране. Когато Споразумението с потребителя противоречи на настоящите Условия на услугата за фактуриране, тези Условия на услугата за фактуриране имат предимство, но само по отношение на Услугата за фактуриране и нейната употреба.

Следните дефиниции се прилагат в допълнение към дефинициите, включени в Споразумението с потребителя или всяко друго споразумение между Mollie и Организацията:

С използването на Услугата за фактуриране Вие се съгласявате  със следните условия:

1. Описание на услугата

1.1 Услугата за фактуриране на Mollie е цифрово решение за фактуриране, създадено да помогне на платформи или търговци ефективно да създават, персонализират, изпращат и управляват фактури чрез таблото за управление на Mollie или чрез Invoice API, като позволява бързо създаване на фактури, прилагане на ДДС, автоматизирани напомняния за плащане и проследяване, както и множество опции за плащане за клиенти („Услуга за фактуриране“).

2. Ценообразуване

2.1 Услугата за фактуриране се ценообразува в съответствие с www.mollie.com/pricing или по друг начин, договорен писмено между страните. 

3. Лична информация и обработка на данни 

3.1 С използването на Услугата за фактуриране от Вас може да се изисква да предоставите лична информация на Вашите клиенти и потребители на Mollie, и Mollie може да обработва тази лична информация, за да си осигури функционирането на Услугата за фактуриране. Вие давате на Mollie разрешение и съгласие да използва Вашата лична информация или тази на Вашите клиенти и/или да предоставя лична информация за Вас или Вашите клиенти на трети страни, доколкото това е необходимо за активирането или предоставянето на Услугата за фактуриране. Вие се считате за „администратор“ на всяка лична информация, използвана за генериране на фактури, а ние ще обработваме личната информация като „обработващ лични данни“ в съответствие с Приложение 1 (СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ ЗА УСЛУГАТА ЗА ФАКТУРИРАНЕ НА MOLLIE) и Декларацията за поверителност на Mollie, достъпна на www.mollie.com/legal/privacy.

3.2 Независимо от каквото и да било противно, при използване на Услугата за фактуриране Вие гарантирате, че спазвате и ще продължите да спазвате всички изисквания за защита на данните, включително, без ограничение, Общия регламент относно защитата на данните („ОРЗД“/„GDPR“) или всеки еквивалентен регламент или закон за защита на данните, приложим към Вашата стопанска дейност.

4. Вашите задължения и отговорности

4.1 Нямате право да използвате Услугата за фактуриране или да позволявате тя да се използва по какъвто и да е незаконен или неправомерен начин.

4.2 Вие трябва да спазвате настоящите и бъдещите закони и разпоредби по отношение на изискванията за фактури и/или данъци. Отговорността за осигуряване на точността и коректността на дадена фактура, включително приложените ставки на ДДС, се носи изцяло от Вас. Ако приложимата ставка на ДДС на Вашата фактура не се поддържа от Услугата за фактуриране (например поради промени в приложимите ставки на ДДС в дадена държава), Вие трябва да ни уведомите писмено без неоправдано забавяне и ние ще оценим и, ако е необходимо, ще коригираме възможностите за конфигуриране на Услугата за фактуриране, за да поддържаме новата ставка на ДДС.

4.3 Вие носите отговорност за вземането на подходящи предпазни мерки (редовно и в съответствие с предвидените рискове) за защита на данните и съдържанието, въведени, качени и съхранявани в хода на използването на Услугата за фактуриране, както и за създаването на ваши собствени резервни копия, за да се гарантира възстановяването на данните и информацията в случай на загуба. Вие трябва, доколкото е възможно, да предотвратите неоторизиран достъп на трети страни до Услугата за фактуриране.

4.4 Нямате право (освен ако изрично не е договорено друго писмено):

• да предоставяте Услугата за фактуриране под каквато и да е форма на трети страни, различни от Вашите служители, агенти, изпълнители и други свързани потребители; или

• да възпроизвеждате, променяте или извършвате обратно инженерство на части от Услугата за фактуриране, да я разглобявате, декомпилирате или превеждате.

4.5 Запознали сте се и се съгласявате с Вашите задължения, изложени в Приложение 1.

5. Лиценз и интелектуална собственост 

5.1 Предоставя Ви се неизключително, непрехвърляемо, неподлежащо на сублицензиране, световно, отменяемо и временно право да използвате Услугата за фактуриране. Услугата за фактуриране ще Ви бъде предоставена единствено на неизключителна основа. Mollie не е длъжна да предоставя други услуги освен Услугата за фактуриране. Не се предоставят допълнителни права за ползване по отношение на Услугата за фактуриране.

5.2 Вие носите изцяло отговорност за управлението на потребителските права и трябва да гарантирате, че всички потребители спазват ограниченията, съдържащи се в Споразумението с потребителя на Mollie и настоящите Общи условия, когато използват Услугата за фактуриране.

5.3 Всички права върху интелектуална собственост и права на ползване (различни от предоставения по-долу лиценз) във връзка с Услугата за фактуриране, включително изходния код, базите данни, функционалността, софтуера, дизайна на уебсайтове, аудио, видео, текст, снимки и графики („Права върху ИС“), остават изцяло собственост на Mollie.

5.4 Доколкото Ви се предоставят комплекти за разработване на софтуер („SDK“), включително всякакви техни актуализации или техническа поддръжка, се прилагат следните специални разпоредби за SDK:

• Предоставя Ви се неизключителен, непрехвърляем, отменяем, безплатен лиценз (i) да инсталирате и използвате SDK само под формата на обектен код за разработване на програми, състоящи се от компилиран код, генериран с помощта на SDK, или каквато и да е част от него, предназначен да функционира с Продукта; (ii) да правите ограничен брой копия на документацията на SDK, които да се използват от Вашите служители или консултанти само за целите на разработването, а не за общи бизнес цели или за разпространение; и (iii) да разпространявате SDK само под формата на обектен код като компонент на Продукта;

• Mollie има право, но не е длъжна, да предоставя каквато и да е техническа или друга поддръжка за SDK;

• комплектите SDK включват код, който извършва автоматични уведомления за грешки, изпращани от Вас, и Вие се съгласявате, че Mollie има безсрочно, неотменимо, неограничено право да използва такава информация за своите бизнес цели, включително, без ограничение, за поддръжка на продукти и разработване;

• ако използвате SDK за стартиране на приложения, разработени от вас или от трета страна, или за достъп до данни, съдържание или ресурси, предоставени от трета страна, Вие се съгласявате, че Mollie не носи отговорност за тези приложения, данни, съдържание или ресурси;

• лицензите за SDK се предоставят във вида, в който са („as is“). Вие поемате риска за тяхната употреба; Mollie отхвърля всякакви гаранции (законови, изрични или подразбиращи се) и не предоставя никакви гаранции по отношение на Вашата употреба на SDK.

  
  

6. Отговорност и обезщетение

6.1 Mollie не носи отговорност за грешки, действия, пропуски или несъответствия, произтичащи от Вашите данни, настройки или използване на Услугата за фактуриране. Вие сте единствено и в крайна сметка отговорни за гарантирането, че всички данни, използвани за създаване или издаване на фактури, включително приложените ставки на ДДС, съответстват на приложимите (данъчни) закони в съответната държава на използване. Mollie няма задължение да проверява точността, пълнотата или коректността на каквито и да било данни или (ДДС) настройки, конфигурирани, предоставени или използвани от Вас чрез Услугата за фактуриране. Вие трябва да обезщетите и предпазвате Mollie от всякакви искове на трети страни, отговорности, вреди, загуби, разходи и разноски (включително разумни адвокатски хонорари), произтичащи от или свързани с Вашето използване на Услугата за фактуриране, включително конфигурацията на ДДС. 

6.2 За избягване на съмнение, доколкото Mollie носи отговорност за каквито и да било вреди, нашата отговорност се ограничава в съответствие със Споразумението с потребителя.

Приложение 1: СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ

Това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ (наричано по-долу „DPA“), включително приложенията към него, описва задълженията на Страните, включително съгласно приложимите закони за защита на данните, по отношение на обработката на лични данни (дефинирани по-долу). DPA е включено в Споразумението с потребителя.

Това DPA е сключено между Организацията (наричана по-долу „Администратор“)

и 

Mollie B.V., дружество с ограничена отговорност (besloten vennootschap) с регистрирано седалище в Амстердам, на адрес Keizersgracht 126, 1015 CW Amsterdam, Нидерландия и регистрирано в нидерландската Търговска камара под номер 30204462 (наричано по-долу „Mollie“ или „Обработващ лични данни“)

и 

Mollie UK Ltd., дружество с ограничена отговорност с регистрирано седалище в Лондон, 7 Pancras Square, London N1C 4AG, Обединеното кралство и регистрирано в Companies House под номер 14013554 (наричано по-долу „Mollie“ или „Обработващ лични данни“),

всяка поотделно „Страна“ и съвместно „Страни“. 

Дефиниции 

В това DPA следните термини имат изложеното по-долу значение. Термините с главни букви, използвани, но недефинирани тук, имат значението, изложено в Споразумението.

Споразумение
споразумението между Администратора и Обработващия лични данни за предоставяне на услуги („Споразумение с потребителя“).

Задължителни фирмени правила
политики за защита на личните данни, които се спазват от администратор или обработващ лични данни, установен на територията на държава членка, за предаване или поредица от предавани лични данни на администратор или обработващ лични данни в една или повече трети страни в рамките на група предприятия или група дружества, ангажирани в съвместна стопанска дейност.

Администратор
физическото или юридическото лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

Клиент
Клиенти на Организацията, които желаят да заплатят за продукти и/или услуги, предоставени от Организацията чрез Модула за плащане на Mollie.

Нарушение на сигурността на данните
нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. 

Споразумение за обработка на данни
това споразумение, включително всички прикачени файлове.

Надзорен орган
независим държавен орган, отговорен за надзора върху спазването на приложимите закони, свързани с обработването на лични данни. В Нидерландия това е Autoriteit Persoonsgegevens.

Оценка на въздействието върху защитата на данните
оценка на въздействието на предвидените операции по обработване върху защитата на личните данни. 

Закони за защита на данните
цялото приложимо законодателство, свързано със защитата на данните и поверителността, включително, без ограничение, Общия регламент на ЕС относно защитата на данните (GDPR), всички местни закони и разпоредби, които изменят или заменят някое от тях, заедно с всички национални закони за прилагане в която и да е държава членка на Европейското икономическо пространство (ЕИП), доколкото са приложими, във всяка друга държава, действащи в съответния момент. 

Субект на данни
физическото лице, за което се отнасят личните данни (напр. Клиенти).

GDPR (ОРЗД)
Общият регламент относно защитата на данните (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни. 

Лични данни
всяка информация, свързана с идентифицирано или идентифицируемо физическо лице; идентифицируемо физическо лице е лице, което може да бъде идентифицирано, пряко или косвено, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице. 

Обработване
всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни, чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване. Този списък не е изчерпателен. Термините „обработвам“, „обработва“ и „обработен“ ще се тълкуват по същия начин. 

Обработващ лични данни
физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва (лични) данни от името на Администратора.

Организация
организацията, която използва Модула за плащане на Mollie за цели, включително, но не само, продажба на продукти и/или услуги на Клиенти.

Стандартни договорни клаузи
Стандартните договорни клаузи на Европейската комисия за обработващи лични данни (2010/87/ЕС) или Решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021 г. относно стандартните договорни клаузи за предаването на лични данни на трети държави съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (C/2021/3972).

Под-обработващ лични данни
всяко трето лице, образувание или компания, ангажирана от Обработващия за обработка на лични данни при предоставянето на услугите по Споразумението. 

РАЗДЕЛ А ЦЕЛ 

Член А.1 Обхват

Обработващият се е съгласил да предоставя услуги на Администратора в съответствие с условията на Споразумението с потребителя. При предоставянето на услуги Обработващият ще обработва лични данни от името на Администратора, както е посочено в това DPA. Обработващият, в качеството си на финансова институция, също обработва лични данни, действайки като администратор на данни. 

Страните признават и се съгласяват, че доколкото Mollie обработва лични данни, участващи в платежни транзакции, за: i) изпълнение на Споразумението с потребителя с Администратора; ii) наблюдение, предотвратяване и откриване на измамни платежни транзакции; iii) спазване на законови или регулаторни задължения, приложими към обработката и съхранението на платежни данни, на които Mollie е предмет, включително приложимо проучване за борба с изпирането на пари и спазване на задълженията „опознай своя клиент“ (know-your-customer); и iv) подобряване на продуктите и услугите на Mollie, Mollie действа като администратор на данни и има изключителното право да урежда целите и средствата за обработване на личните данни, които получава от или чрез (предоставяне на услуги на) Администратора.

Дейностите по обработване, личните данни и категориите субекти на данни, за които Обработващият обработва лични данни от името на Администратора, са посочени в Приложение А. 

РАЗДЕЛ Б ЗАДЪЛЖЕНИЯ 

Член Б.1 Задължения на Администратора 

Администраторът носи отговорност за личните данни, които Обработващият ще обработва, и гарантира спазването на всички закони за защита на данните, включително изискванията, отнасящи се до предаването на личните данни съгласно това DPA и Споразумението с потребителя. Администраторът гарантира, че има право да обработва личните данни и притежава правото да назначава Обработващ, който да обработва данните от името на Администратора.

Администраторът се съгласява, че без ограничаване на задълженията на Обработващия по това DPA, Администраторът носи изцяло отговорност за използването на услугите от негова страна, включително (а) за подходящото използване на услугите с цел осигуряване на ниво на сигурност, съответстващо на риска по отношение на личните данни; (б) за сигурността на идентификационните данни за автентификация на акаунта, системите и устройствата, които Администраторът използва за достъп до услугите; (в) за сигурността на системите и устройствата на Администратора, които той използва с услугите; и (г) поддържането на собствени резервни копия на личните данни.

Член Б.2 Задължения на Обработващия 

Обработващият се задължава да: 

1. обработва личните данни само в съответствие с документираните инструкции от Администратора и да предприема необходимите стъпки, за да гарантира, че всяко физическо лице, действащо под негово ръководство, което има достъп до личните данни, не обработва личните данни, освен по инструкции от Администратора;

2. незабавно да информира Администратора, ако някоя от инструкциите относно обработването на лични данни, предоставени на Обработващия от Администратора, нарушава приложимите Закони за защита на данните или разпоредбите, изложени в това DPA;

3. прилага подходящи технически и организационни процедури за защита на личните данни, като взема предвид съвременното ниво на развитие, разходите за изпълнение и естеството, обхвата, контекста и целите на обработването, както и риска с различна вероятност и тежест за правата и свободите на физическите лица; и

4. без неоправдано забавяне да информира Администратора, ако получи жалба или искане, свързани със задълженията на която и да е от страните по Законите за защита на данните, приложими към това DPA, включително иск за обезщетение от субект на данни или известие, разследване или друго действие от надзорен орган, и да предостави на Администратора пълни подробности за такова разследване, жалба или искане, освен ако това не е разрешено от закона или по искане на надзорния орган.
   
   

РАЗДЕЛ В ПРЕДАВАНЕ НА ДАННИ И ПОД-ОБРАБОТВАЩИ

Член В.1 Предаване на лични данни 

Когато лични данни, свързани със субект на данни от ЕС, се предават извън ЕИП, те се обработват от образувание: (i) намиращо се в трета държава или територия, призната от Комисията на ЕС като осигуряваща адекватно ниво на защита; или (ii) което е предмет на Стандартните договорни клаузи на ЕС и/или Международното споразумение за предаване на данни на Обединеното кралство или Допълнението към SCC на Обединеното кралство; или (iii) което разполага с други законово признати подходящи предпазни мерки, като например Задължителните фирмени правила, които гарантират същото ниво на защита и предпазни мерки като това DPA. 

Член В.2 Под-обработващи лични данни 

С настоящото Администраторът се съгласява с използването от страна на Обработващия на под-обработващи, посочени в Приложение Б. Този списък може да бъде актуализиран от Обработващия периодично в съответствие с това DPA.

Преди да ангажира нов под-обработващ за услугите, изброени в Приложение А, Обработващият уведомява Администратора, използващ посочената услуга, и предоставя на Администратора най-малко десет (10) календарни дни за възражение, освен в случаите, когато Обработващият основателно вярва, че ангажирането на нов под-обработващ по ускорена процедура е необходимо за защита на поверителността, целостта или наличността на личните данни или за избягване на сериозно прекъсване на предоставяните услуги. В този случай Обработващият ще изпрати такова известие във възможно най-кратък срок. Ако в рамките на пет (5) календарни дни след такова известие Администраторът уведоми писмено Обработващия, че възразява срещу назначаването от страна на Обработващия на нов под-обработващ въз основа на разумни съображения, свързани със защитата на данните, страните ще обсъдят добросъвестно тези съображения и дали те могат да бъдат разрешени. Възражения срещу нови под-обработващи се изпращат на privacy@mollie.com. 

Администраторът потвърждава, че под-обработващите са от съществено значение за предоставянето на услугите и че възражението срещу използването на под-обработващ може да попречи на Обработващия да предлага услугите на Администратора. Ако страните не успеят да постигнат взаимно съгласие за разрешаване на тези въпроси, Администраторът, като единствено и изключително средство за защита, може да прекрати DPA за удобство.

Всички под-обработващи, които обработват лични данни при предоставянето на услуги на Администратора, трябва да спазват задълженията, изложени в това DPA. Преди разкриването на лични данни на който и да е под-обработващ, Обработващият трябва да извърши подходяща комплексна проверка (due diligence), за да гарантира, че под-обработващият е способен да осигури нивото на защита за Администратора 

на лични данни, изисквано от настоящото DPA, и да сключи споразумение с този под-обработващ, съгласно което под-обработващият се съгласява да спазва задължения, еквивалентни на изложените в това DPA. 

РАЗДЕЛ Г СИГУРНОСТ 

Член Г.1 Мерки за сигурност

Обработващият прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска, включително, inter alia, според случая:

1. псевдонимизация и криптиране на личните данни; 

2. способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване; 

3. способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент; и 

4. процес за редовно тестване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед гарантиране на сигурността на обработването. При оценката на подходящото 

ниво на сигурност се вземат предвид по-специално рисковете, които произтичат от обработването, по-специално от случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

Член Г.2 Уведомяване за нарушение на сигурността на данните

Обработващият уведомява Администратора без неоправдано забавяне след разкриването на всяко случайно или неправомерно унищожаване, загуба, промяна или неразрешено разкриване или достъп до лични данни, доколкото Нарушението на сигурността на данните е свързано само с обработването на лични данни от Обработващия в качеството му на обработващ данни. Ако и когато Нарушението на сигурността на данните засяга лични данни, за които Обработващият се счита за Администратор, както е описано в Декларацията за поверителност на Обработващия, Обработващият си запазва правото да третира Нарушението на сигурността на данните като администратор. 

Забавянето на изпращането на известие за нарушение на сигурността на данните по искане на правоприлагащите органи и/или с оглед на легитимните нужди на Обработващия да разследва или отстрани проблема, преди да предостави известие, не представлява неоправдано забавяне. Тези известия ще описват, доколкото е възможно, подробности за нарушението на сигурността на данните, включително мерките, предприети за смекчаване на потенциалните рискове. Без да се засягат задълженията на Обработващия съгласно този раздел Г.1, Администраторът носи изцяло отговорност за спазването на законите за уведомяване за нарушения на сигурността на данните, приложими към Администратора, и за изпълнението на всякакви задължения за уведомяване на трети страни, свързани с нарушения на сигурността на данните. Уведомяването или отговорът на Обработващия на нарушение на сигурността на данните съгласно този Раздел Г.1 не се тълкува като признаване от страна на Обработващия на каквато и да е вина или отговорност по отношение на нарушението.

Всички разходи, направени за разрешаване на нарушението на сигурността на данните и за прилагане на мерки, необходими за предотвратяване на такова нарушение в бъдеще, се поемат от Страната, която е направила разходите. 

РАЗДЕЛ Д ОДИТ

Член Д.1 Право на одит 

Администраторът има право да изисква, след разумно предизвестие, одитни доклади от Обработващия, отнасящи се до обработването на лични данни в обхвата на услугите, предоставяни по това DPA.

Одитните доклади, както се посочва в тази клауза, включват, но не се ограничават до доклади, свързани с мерките за сигурност, поверителност и защита на данните, прилагани от Обработващия във връзка с обработването на лични данни. Тези доклади могат да обхващат и спазването на приложимите закони за защита на данните.

Исканията за одитни доклади се правят в писмена форма и се изпращат на privacy@mollie.com, като се посочват обхватът и целта на искането. Обработващият потвърждава получаването на такива искания своевременно.

Получаването на одитни доклади е предмет на професионално задължение за поверителност. Администраторът може да използва одитните доклади само за целите на изпълнение на регулаторните изисквания за одит на Администратора и за потвърждаване, че обработването на лични данни от страна на Обработващия съответства на това DPA. Одитните доклади не се споделят с външни лица.

РАЗДЕЛ Е ОЦЕНКИ НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ И ПРЕДВАРИТЕЛНИ КОНСУЛТАЦИИ

Член Е.1 Съдействие

Обработващият съдейства на Администратора при извършването на оценка на въздействието на обработването на личните данни (член 35 от ОРЗД) и при всякакви консултации с надзорен орган (член 36 от ОРЗД), ако и доколкото се изисква извършването на оценка или консултация съгласно законите за защита на данните и когато на Обработващия е разрешено и/или се изисква да сътрудничи.

РАЗДЕЛ Ж ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Член Ж.1 Съдействие

Ако Обработващият получи искане от субект на данни във връзка с лични данни на Администратора, Обработващият ще посъветва субекта на данните да изпрати искането си до Администратора и/или ще препрати искането до Администратора, а Администраторът ще носи отговорност за отговора на всяко такова искане.

По искане на Администратора и за негова сметка, Обработващият ще предостави на Администратора такова съдействие, каквото той разумно може да изисква, за да изпълни задълженията си по законите за защита на данните за отговор на искания от субекти на данни за упражняване на техните права по законите за защита на данните (напр. права на достъп до данни, коригиране, изтриване, ограничаване, преносимост и възражение) в случаите, когато Администраторът не може разумно да изпълни такива искания независимо чрез достъпа си до продуктите и услугите на Обработващия.

РАЗДЕЛ З РАЗНИ 

Член З.1 Поверителност 

Обработващият пази в тайна всички лични данни и гарантира, че всички служители, агенти, служители и изпълнители, които имат достъп до или участват в обработването на лични данни, са запознати с поверителния характер на личните данни и са договорно обвързани да пазят поверителността на личните данни, както и са информирани и спазват задълженията по настоящото DPA.

Член З.2 Отговорност

Всяка отговорност, произтичаща от това DPA, се урежда от съответните разпоредби на Споразумението с потребителя, включително ограниченията на отговорността. 

Независимо от разпоредбите на Споразумението с потребителя, всяка страна носи отговорност пред другата страна само за вреди, които е причинила на другата страна в резултат на нарушение на това DPA. Тези вреди трябва да бъдат ясно доказани. Обработващият носи отговорност само за вреди, причинени от обработването, когато не е спазил задълженията по законите за защита на данните, специално насочени към обработващите лични данни, или когато е действал извън или в противоречие със законовите инструкции на Администратора, описани в това DPA. В този контекст Обработващият носи отговорност само ако Администраторът докаже, че Обработващият е отговорен за събитието, причинило вредата.

Администраторът носи единствено отговорност пред субекта на данните, а субектът на данните има право да получи обезщетение за всякакви материални или нематериални вреди, които Администраторът или Обработващият (или неговият под-обработващ(и)) причини на субекта на данните чрез нарушаване на това DPA.

Член З.3 Срок и прекратяване 

Срокът на това DPA съвпада с влизането в сила на Споразумението с потребителя и/или използването на конкретния продукт или услуга, както е включен в Приложение А.

Това DPA се прекратява автоматично заедно с прекратяването на Споразумението с потребителя и/или използването на конкретния продукт или услуга, включени в Приложение А, в зависимост от това кое от двете бъде прекратено първо.

При прекратяване на това DPA Обработващият, по искане на Администратора, връща личните данни на Администратора или на Обработващ, посочен от Администратора, или изтрива личните данни, освен ако от Обработващия не се изисква да запази копие в съответствие със законите на Европейския съюз или на държава членка на Европейския съюз.

РАЗДЕЛ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ 

Член И.1 Цялостно споразумение 

Това DPA представлява част от Споразумението с потребителя. Всички права и задължения, произтичащи от Споразумението с потребителя, са приложими и към това DPA. Приложение А представлява неразделна част от това DPA.

Член И.2 Изменение само със споразумение 

Никакви промени в това DPA не са валидни, освен ако не са направени в писмена форма и са подписани от упълномощени представители на всяка страна. 

Член И.3 Частична недействителност 

Всяка от разпоредбите в това DPA е отделна и денима, и ако някоя разпоредба или част от разпоредба бъде обявена за неприложима, незаконна или невалидна изцяло или частично от съд, регулаторен орган или друг компетентен орган, тя в тази степен се счита, че не е част от това DPA, а приложимостта, законността и валидността на останалата част от това DPA не се засягат. Страните се съгласяват да се опитат да заменят всяка невалидна или неприложима разпоредба с валидна или приложима разпоредба, която постига във възможно най-голяма степен същия ефект, какъвто би бил

постигнат от невалидната или неприложимата разпоредба. С изключение на измененията, въведени с това DPA, Споразумението с потребителя остава непроменено и в пълна сила и действие.

Член И.4 Право на прехвърляне 

Страните могат да прехвърлят това DPA само в съответствие със Споразумението с потребителя (клауза 8.9). 

Член И.5 Приложимо право 

Това DPA се урежда и тълкува в съответствие със законите на Нидерландия. Всяка страна се съгласява с изключителната юрисдикция на съдилищата в Амстердам за разрешаване на всякакви спорове, произтичащи от това DPA. Ако съд или административен орган от компетентна юрисдикция установи, че някоя разпоредба на това DPA е невалидна, неприложима или незаконна, останалите разпоредби на настоящото DPA остават в пълна сила и действие. 

ПРИЛОЖЕНИЕ А – СПЕЦИФИКАЦИЯ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ 

1. ЦЕЛ НА ОБРАБОТВАНЕТО

Обработването на лични данни е пряко свързано с предоставянето на услугите по Споразумението с потребителя.

Целите на обработването са:

• Спорове (Disputes)

  • Улесняване на управлението и разрешаването на спорове между Администратора и неговите Клиенти чрез продуктите и услугите на Mollie.

  • Предоставяне на Администратора на необходимите инструменти и информация за отговор на искове по спорове, като например възстановяване на средства (chargebacks) или запитвания за плащания.

• Фактуриране (Invoicing)

  •  Улесняване на изпращането на фактури до Клиентите на Администратора чрез продуктите и услугите на Mollie 

2. КАТЕГОРИИ СУБЕКТИ НА ДАННИ 

Обработващият обработва лични данни на следните категории субекти на данни за Администратора:

• Клиенти на Администратора: Платците (потребители или бизнес клиенти), които инициират плащане, запитване или спор.

Спорове (Disputes)

• Получатели - трети страни: Лица, идентифицирани в документите за доставка или доказателствата за транзакцията, които може да не са платецът (напр. лице, получаващо подарък на адрес за доставка).

• Упълномощени представители / персонал на Администратора: Персонал на търговеца, чиито имена, контакти или подписи могат да се появят в доказателствата по спора, комуникационните дневници или билетите за поддръжка.

• Доставчици на услуги - трети страни: Лица, чиито данни могат да се съдържат в доказателствата, предоставени от под-обработващи или партньори (напр. имена на шофьори за доставка в подпис за доказателство за доставка).

Фактуриране (Invoicing)

• Данни за фактурата (както са включени от Администратора)

3. ВИДОВЕ ЛИЧНИ ДАННИ 

Обработващият обработва следните видове лични данни за Администратора:

• Данни за самоличност и контакт: Цяло име, имейл адрес, телефонен номер и адрес за фактуриране на Платеца.

• Метаданни за транзакцията: Идентификационен номер на транзакцията (ID), номер на поръчката, сума, валута, дата/час и конкретния използван метод на плащане (напр. Credit Card, Klarna, iDEAL).

• Данни за изпълнение и логистика: 

  • Подробности за доставката: Адрес за доставка (улица, номер, пощенски код, град, държава).

  • Информация за проследяване: Име на превозвача, номера за проследяване и дневници за транзитно преминаване/доставка в реално време.

  • Доказателство за доставка: Цифрови подписи, времеви клейма за доставка и фотографски доказателства за доставка (напр. пакет пред вратата).

• Доказателства за спорове (неструктурирани данни): 

  • Качени файлове: Всички лични данни, съдържащи се в документи, ръчно качени от Администратора (напр. PDF фактури, дневници на чатове за поддръжка на клиенти, екранни снимки от WhatsApp или кореспонденция по имейл).

• Технически идентификатори: IP адреси, цифрови отпечатъци на устройства (device fingerprints) и метаданни на браузъра, събрани по време на транзакцията (използвани за проверка на местоположението и самоличността на клиента с цел борба с измамите).

Категориите лични данни, изброени по-горе, отразяват планирания обхват на обработване по това Споразумение. Когато лични данни извън тези категории бъдат споделени случайно или са вградени в неструктурирани данни или качени документи, Обработващият обработва тези данни с подходяща грижа и прилага подходящи технически и организационни мерки.

4. МЕРКИ ЗА СИГУРНОСТ 

Контекст 

Като финансова институция, контролът на сигурността и оперативните процедури, които Mollie създаде за нашите приложения, системи и ИТ процеси, подлежат на преглед от Нидерландската централна банка (DNB), която от своя страна използва насоки от Европейския банков орган (EBA) за технически стандарти, които притежателите на лицензи трябва да спазват. 

Освен това, тъй като Mollie действа (също) и като администратор на лични данни, дейността на Mollie се регулира и от друго законодателство, определящо стандарти за сигурност и защита на данните, налагано от допълнителни органи – по-специално ОРЗД (GDPR) и неговия регулатор в Нидерландия (Autoriteit Persoonsgegevens). 

Освен това, системите, обработващи данни за карти, по-специално са системи, съвместими с ниво 1 на PCI DSS, което означава, че това конкретно приложение и процедурите за неговото разработване и поддръжка подлежат на мерките за защита на данните, очертани от Съвета за PCI, съответствието с които се оценява годишно за Mollie от външна страна. 

Общи мерки

Всички приложения, системи и свързани с тях процедури са предмет на Политиката за сигурност на информацията на Mollie. Акцентите от тази и други политики, които са от значение за обхвата на предоставяните услуги, са:

• Проучване на служителите (Screening)

• Програма за обучение по сигурност на разработчиците

• Програма за повишаване на осведомеността относно сигурността

• Разделение на задълженията (Segregation of duties)

• Управление на промените (Change management)

• Управление на уязвимостите

• Управление на инциденти

• Управление на възстановяването и архивирането

• Прилагане на строг контрол на достъпа (IAM и IGA)

• Прегледи на оторизацията на потребителите

• Стандарти за класификация на системите

• Стандарти за класификация на данните и политика за данните

• Стандарти за сигурно конфигуриране, базирани на най-добрите практики в индустрията, прилагане на политики (hardening)

• Разделяне на физическата и логическата мрежова среда

• Стандарти за сигурно криптиране

• Управление на криптографски ключове

• Криптиране (при пренос, при съхранение за среди със споделена инфраструктура, като например облачни среди)

• Управление на риска от трети страни

• Мониторинг на наличността и грешките

• Цикъл на сигурно разработване (Secure development life cycle)

  • Моделиране на заплахи за съществени промени и нови функции

  • Управление на зависимостите и сканиране за известни уязвимости

  • Статичен анализ на сигурността на кода

  • Вътрешно и външно сканиране за уязвимости

• Координирано разкриване на уязвимости (CVD) и програма за търсене на грешки срещу заплащане (bug bounty)

• Програма за информираност относно заплахите (напр. участие в нидерландския PI-ISAC, център за споделяне и анализ на информация за платежните институции, мониторинг на dark web)

• Сътрудничество с доставчици на управлявани услуги за сигурност (MSSP) за операции по сигурността, анализи и разследвания

• Управление на информацията за сигурността и събитията (SIEM)

• Сигурност на крайните устройства на персонала

• Сигурност на имейл комуникацията

Платформата на Mollie

В допълнение към общите мерки за сигурност, очертани по-горе, приложението на Платформата на Mollie е обхванато от следните мерки за сигурност – било като резултат от прилагането на нашите общи политики за сигурност или като смекчаваща мярка за справяне с риск, установен при оценката на риска за конкретното приложение:

• Двуфакторен контрол на достъпа

• Тестове за проникване от трети страни (Penetration tests)

• Управление на събития, свързани с инциденти в сигурността

• Защита срещу DDoS атаки

• Реагиране при инциденти, свързани със сигурността

• Мониторинг на наличността

• Сигурно съхранение на идентификационни данни

• Резервирана инфраструктура (Redundant infrastructure)

• Преминаване към резервни системи при срив (Disaster recovery failover)

• Ограничаване на скоростта на заявките (Rate limiting) и заключване

• Строги правила за сигурност на съдържанието (Content-Security-Policy)

• Капча (Captcha)

• Защитна стена за уеб приложения (Web application firewall)
  
  

ПРИЛОЖЕНИЕ Б – ПРЕГЛЕД НА ПОД-ОБРАБОТВАЩИТЕ ЛИЧНИ ДАННИ

Приложимо за потребителите на продукта Disputes (Спорове)

Приложимо за потребителите на продукта Invoicing (Фактуриране)