Условия и правила за фактуриране на Mollie

Тези условия за услуги (“Условия за фактуриране”) представляват правно споразумение между вас и организацията или лицето, което представлявате (“в по-нататъшния текст наречена “Организация”, “вие” или “вашето”) и Mollie B.V. и неговите лицензодатели (в по-нататъшния текст наречени “Mollie”, “ние” или “нашето”) за регулиране на използването на услугата за фактуриране.

Условията за фактуриране определят условията и разпоредбите, при които вие ще бъдете разрешени да използвате услугата за фактуриране. Потребителското споразумение, което се прилага изцяло за вас, остава в сила и се допълва от тези условия за фактуриране. Където Потребителското споразумение противоречи на тези условия за фактуриране, тези условия за фактуриране ще имат приоритет, но само във връзка с услугата за фактуриране и нейното използване.

Следните определения се прилагат в допълнение към определенията, включени в Потребителското споразумение или всяко друго споразумение между Mollie и Организацията:

Като използвате услугата за фактуриране, вие се съгласявате с следните условия:

1. Описание на услугата

1.1 Услугата за фактуриране на Mollie е цифрово решение за фактуриране, предназначено да помогне на платформите или търговците ефективно да създават, персонализират, изпращат и управляват фактури чрез таблото на Mollie или Фактурния API, като осигурява бързо създаване на фактури, прилагане на ДДС, автоматизирани напомняния за плащания и проследяване и множество опции за плащане за клиентите (“Услуга за фактуриране”).

2. Цени

2.1 Услугата за фактуриране ще бъде оценена в съответствие с www.mollie.com/pricing или по друг начин, уговорен писмено между страните. 

3. Лична информация и обработка на данни 

3.1 Като използвате услугата за фактуриране, може да се наложи да предоставите лична информация на вашите клиенти и потребители на Mollie и Mollie може да обработва такава лична информация, за да функционира услугата за фактуриране. Вие давате разрешение и съгласие на Mollie да използва вашата лична информация, или тази на вашите клиенти, и/или да направи лична информация за вас или вашите клиенти на разположение на трети страни, доколкото това е необходимо за да се осигури или предостави услугата за фактуриране. Вие се считате за ‘контролер’ на всяка лична информация, използвана за генериране на фактури и ние ще обработваме лична информация като ‘обработващ’ в съответствие с Приложение 1 (СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ ЗА УСЛУГАТА ЗА ФАКТУРИРАНЕ НА MOLLIE) и Служебното изявление за поверителност на Mollie, налично на www.mollie.com/legal/privacy.

3.2 Независимо от всичко противно, при използването на услугата за фактуриране, вие гарантирате, че спазвате и ще продължите да спазвате всякакви и всички изисквания за защита на данните, включително, без ограничение, Общия регламент относно защитата на данните (“GDPR”) или всякакъв еквивалентен регламент за защита на данните или закон, приложим за вашата бизнес дейност.

4. Вашите задължения и отговорности

4.1 Вие не трябва да използвате услугата за фактуриране, или да позволявате тя да бъде използвана, по незаконен или неправилен начин.

4.2 Вие трябва да спазвате настоящите и бъдещите закони и разпоредби, отнасящи се до фактури и/или данъчни изисквания. Отговорността за осигуряване на точността и коректността на фактурата, включително приложените ставки на ДДС, пада изцяло върху вас. Ако приложимата ставка на ДДС на вашата фактура не се поддържа от услугата за фактуриране (например, поради промени в приложимите ставки на ДДС в дадена страна), вие трябва да ни уведомите писмено без ненужно забавяне и ние ще оценим, и ако е необходимо, ще коригираме настройките на услугата за фактуриране, за да поддържаме новата ставка на ДДС.

4.3 Вие сте отговорни за предприемането на подходящи предпазни мерки (на редовна основа и в съответствие с рисковете) за защита на данните и съдържанието, въведени, качени и съхранявани в хода на използването на услугата за фактуриране, както и за създаването на собствени резервни копия, за да осигурите възстановяването на данните и информацията в случай на загуба. Вие трябва, по най-добрия начин, да предотвратите неупълномощен достъп до услугата за фактуриране от трети страни.

4.4 Вие нямате право (освен ако не е уговорено изрично в писмен вид):

• да предоставяте услугата за фактуриране в каквато и да е форма на трети страни, освен на вашите служители, представители, изпълнители и други свързани потребители; или

• да възпроизвеждате, модифицирате или извършвате обратна разработка на части от, да разкомпилирате, да декомпилирате, да превеждате услугата за фактуриране.

4.5 Вие сте запознати и се съгласявате с вашите задължения, изложени в Приложение 1.

5. Лиценз и интелектуална собственост 

5.1 Вие получавате ненаправим, непередаваем, непредоставим, световен, отменим и временно право да използвате услугата за фактуриране. Услугата за фактуриране ще бъде предоставена на вас единствено на ненаправимата основа. Mollie не е задължена да предоставя услуги, различни от услугата за фактуриране. Никакви допълнителни права за ползване не се предоставят във връзка с услугата за фактуриране.

5.2 Вие сте единствено отговорни за управлението на правата на потребителите и вие трябва да осигурите, че всички потребители спазват ограниченията, съдържащи се в Потребителското споразумение на Mollie и тези Общи условия при използването на услугата за фактуриране.

5.3 Всички права на интелектуална собственост и права на ползване (освен лиценза, предоставен тук) във връзка с услугата за фактуриране, включително сорс кода, базите данни, функционалността, софтуера, дизайните на сайтове, аудио, видео, текст, фотографии и графики (“Права на интелектуална собственост”), остават изцяло при Mollie.

5.4 В случай, че ви бъдат предоставени набори за разработка на софтуер (“SDK”), включително всякакви актуализации или техническа поддръжка, следните специални разпоредби за SDK ще бъдат приложими:

• Вие получавате ненаправим, непередаваем, отменим, без роялти лиценз за (i) инсталиране и използване на SDK в обектен код само за разработка на програми, състоящи се от компилиран код, генериран с помощта на SDK, или всяка част от него, проектиран да функционира с Продукта; (ii) да направите ограничен брой копия на документацията на SDK, които да се използват от вашите служители или консултанти единствено за цели на разработката и не за общи бизнес цели или за разпространение; и (iii) да разпространявате SDK в обектен код само като компонент на Продукта;

• Mollie е упълномощена, но не е задължена да предоставя всякаква техническа или друга поддръжка за SDK;

• SDK включват код, който извършва автоматични известия за грешки, които да бъдат изпратени от вас и вие се съгласявате, че Mollie има вечен, неотменим, неограничен право да използва такава информация за бизнес цели, включително, без ограничение, за поддръжка и разработка на продукти;

• ако използвате SDK за работа на приложения, разработени от него или от трета страна или за достъп до данни, съдържание или ресурси, предоставяни от трета страна, вие се съгласявате, че Mollie не носи отговорност за тези приложения, данни, съдържание или ресурси;

• SDK са лицензирани “такива, каквито са”. Вие поемате риска от тяхното използване; Mollie отказва всички гаранции или уверения (независимо дали законови, изрични или подразбиращи се) и не предоставя никакви гаранции или уверения относно вашето използване на SDK.

6. Отговорност и обезщетение

6.1 Mollie не носи отговорност за грешки, действия, пропуски или неспазване, произтичащи от вашите данни, настройки или използване на услугата за фактуриране. Вие сте единствено и напълно отговорни за осигуряване на точността на всички данни, използвани за създаване или издаване на фактури, включително приложените ставки на ДДС, в съответствие с приложимите (данъчни) закони в съответната страна на употреба. Mollie няма задължение да проверява точността, пълнотата или коректността на никакви данни или (ДДС) настройки, конфигурирани, предоставени или използвани от вас чрез услугата за фактуриране. Вие трябва да обезщетите и да освободите Mollie от всички искове на трети страни, задължения, щети, загуби, разходи и разходи (включително разумни адвокатски такси), произтичащи от или свързани с вашето използване на услугата за фактуриране, включително конфигурацията на ДДС. 

6.2 За избягване на съмнения, в случай, че Mollie е отговорна за каквито и да било щети, нашата отговорност ще бъде ограничена в съответствие с Потребителското споразумение.

Приложение 1: СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ ЗА УСЛУГАТА ЗА ФАКТУРИРАНЕ НА MOLLIE

Това СПОРАЗУМЕНИЕ ЗА ОБРАБОТКА НА ДАННИ (в по-нататъшния текст “СПОД”) включително приложенията му описва задълженията на страните, включително съгласно приложимите закони за защита на данните, относно обработката на лични данни (както е определено по-долу). SPOD е интегрирано в Потребителското споразумение.

Този SPOD е между Организацията (в по-нататъшния текст “Контролер”)

и 

Mollie B.V., дружество с ограничена отговорност (besloten vennootschap), със седалище в Амстердам, на Keizersgracht 126, 1015 CW Amsterdam, Нидерландия и регистрирано в Холандската търговска камара под номер 30204462, (в по-нататъшния текст “Mollie” или “Обработващ”)

и 

Mollie UK Ltd., дружество с ограничена отговорност, със седалище в Лондон, 7 Pancras Square, Лондон N1C 4AG, Обединеното кралство и регистрирано в Companies House под номер 14013554, (в по-нататъшния текст “Mollie” или “Обработващ”),

всяка една “Страна” и съвместно “Страни”. 

Определения 
В този SPOD следните термини имат значението, изложено по-долу. Главните термини, използвани, но не дефинирани тук, ще имат значението, изложено в Споразумението.

РАЗДЕЛ А ЦЕЛ 

Член A.1 Обхват

Обработващият се е съгласил да предостави услуги на Контролера в съответствие с условията на Потребителското споразумение. При предоставянето на услуги, Обработващият ще обработва лични данни от името на Контролера, както е идентифицирано в този SPOD. Обработващият, като финансова институция, също обработва лични данни, действайки като контролер на данни. 

Страните признават и се съгласяват, че до степента, в която Mollie обработва лични данни, свързани с плащания на транзакции: i) за изпълнение на Потребителското споразумение с Контролера; ii) за мониторинг, предотвратяване и откриване на измамни плащания; iii) за спазване на законови или регулаторни задължения, приложими за обработката и съхранението на платени данни, на които Mollie е подложена, включително приложими разпоредби за предотвратяване на изпирането на пари и спазване на задълженията за познай своя клиент; и iv) за подобряване на продуктите и услугите на Mollie, Mollie действа като контролер на данни и има единствената и изключителна власт да определя целите и средствата за обработка на личните данни, които получава от или чрез (предоставяне на услуги на) Контролера.

Дейностите по обработка, лични данни и категории на Субектите на данни, за които Обработващият обработва лични данни от името на Контролера, са идентифицирани в Приложение A. 

РАЗДЕЛ B ЗАДЪЛЖЕНИЯ 

Член B.1 Задължения на Контролера 

Контролерът е отговорен за личните данни, които Обработващият ще обработва и ще осигури спазване на всички Закони за защита на данните, включително изисквания относно прехвърлянето на личните данни съгласно този SPOD и Потребителското споразумение. Контролерът гарантира, че има правото да обработва личните данни и разполага с правото да назначава Обработващия да обработва данните от името на Контролера.

Контролерът се съгласява, че без ограничаване на задълженията на Обработващия по този SPOD, Контролерът е единствено отговорен за използването на услугите, включително (a) да прави подходяща употреба на услугите, за да осигури ниво на сигурност, съответстващо на риска с отношение към личните данни; (b) да осигурява удостоверителните данни за акаунта, системите и устройствата, които Контролерът използва за достъп до услугите; (c) да осигурява системите и устройствата на Контролера, които използва с услугите; и (d) да поддържа собствените си резервни копия на личните данни.

Член B.2 Задължения на Обработващия 

Обработващият се задължава да: 

1. обработва личните данни само в съответствие с документирани инструкции от Контролера и ще предприеме необходимите стъпки да осигури, че всяко физическо лице, действащо под неговия контрол, има достъп до личните данни не обработва личните данни, освен по указания на Контролера;

2. незабавно уведомява Контролера, ако някоя от инструкциите относно обработката на личните данни, предоставени на Обработващия от Контролера, нарушава който и да е от приложимите Закони за защита на данните или разпоредбите, изложени в този SPOD;

3. прилага подходящи технически и организационни процедури за защита на личните данни, като се взима предвид състоянието на изкуствата, разходите за изпълнение и естеството, обхвата, контекста и целите на обработката, както и риска от различна вероятност и сериозност за правата и свободите на физическите лица; и

4. незабавно уведомява Контролера, ако получи оплакване или искане, свързано с задълженията на която и да е от страните по Закони за защита на данните, свързани с този SPOD, включително всякакво искане за обезщетение от Субект на данни или всяко уведомление, разследване или действие от Надзорен орган и предоставя на Контролера пълни подробности за такова разследване, оплакване или искане, освен ако не е разрешено от закона или по искане на Надзорен орган.
   
   

РАЗДЕЛ C ПРЕХВЪРЛЯНЕ И СУБ-ОБРАБОТВАЩИ

Член C.1 Прехвърляне на лични данни 

Когато лични данни, свързани с Субект на данни от ЕС, се прехвърлят извън ЕИЗ, те ще се обработват от предприятие: (i) разположено в трета страна или територия, призната от Комисията на ЕС, че има адекватно ниво на защита; или (ii) което е подложено на Стандартни договорни клаузи на ЕС и/или Клаузата за международен трансфер на данни на Великобритания или Приложение на Великобритания; или (iii) което има други правно признати подходящи мерки за защита, като Управляващи корпоративни правила, които гарантират същото ниво на защита и сигурност, каквото е този SPOD. 

Член C.2 Суб-обработващи 

Контролерът дава съгласието си за използването на Суб-обработващите, посочени в Приложение B. Този списък може да бъде актуализиран от Обработващия от време на време в съответствие с този SPOD.

Обработващият ще предостави на Контролера възможност да възрази на всеки нов Суб-обработващ, който ще бъде включен само за целите на дейностите по обработка на данни, идентифицирани в Приложение A. 

Преди да ангажира нов Суб-обработващ, Обработващият трябва да уведоми Контролера за това и да предостави на Контролера поне десет (10) календарни дни да възрази, освен ако Обработващият разумно не вярва, че ангажирането на нов Суб-обработващ на бърза основа е необходимо, за да защити конфиденциалността, целостта или наличността на личните данни или да избегне съществени смущения в предоставянето на услугите. В този случай, Обработващият ще даде такова известие веднага след разумното възможно. Ако в рамките на пет (5) календарни дни след такова известие, Контролерът уведомява Обработващия писмено, че Контролерът възразява на назначаването на нов Суб-обработващ от Обработващия по основания на разумни опасения относно защита на данните, страните ще обсъдят такива опасения добросъвестно и дали те могат да бъдат разрешени. Возраженията относно новите Суб-обработващи трябва да бъдат подавани на privacy@mollie.com. 

Контролерът признава, че Суб-обработващите са от съществено значение за предоставянето на услугите и че възражението на използването на Суб-обработващ може да предотврати Обработващия да предлага услугите на Контролера. Ако страните не могат да постигнат взаимно съгласие относно разрешаване на тези опасения, Контролерът, като единствено и изключително средство, може да прекрати SPOD по своя преценка.

Всички Суб-обработващи, които обработват лични данни при предоставяне на услуги на Контролера, трябва да спазват задълженията, изложени в този SPOD. Обработващият, преди да разкрие лични данни на какъвто и да е Суб-обработващ, трябва да извърши адекватна дългосрочна проверка, за да осигури, че Суб-обработващият е способен да предостави необходимото ниво на защита за личните данни на Контролера, изисквани от този SPOD и да сключи споразумение с този Суб-обработващ, при което Суб-обработващият се съгласява да спазва задълженията, еквивалентни на тези, изложени в този SPOD. 

РАЗДЕЛ D СИГУРНОСТ 

Член D.1 Мерки за сигурност

Обработващият ще приложи подходящи технически и организационни мерки, за да осигури ниво на сигурност, съответстващо на риска, включително, междудругото, когато е уместно:

1. псевдонимизация и криптиране на лични данни; 

2. възможността да осигури текуща конфиденциалност, целостност, наличност и устойчивост на системите и услугите за обработка; 

3. възможността да възстанови наличността и достъпа до лични данни бързо в случай на физически или технически инцидент; и 

4. процес за редовно тестване, оценка и оценка на ефективността на техническите и организационните мерки за осигуряване на сигурността на обработката. При оценяване на подходящото 

ниво на сигурност, трябва да се вземат предвид особено рисковете, които се представят от обработката, особено по отношение на случайно или незаконно унищожение, загуба, изменение, неупълномощено разкриване или достъп до лични данни, предавани, съхранявани или по друг начин обработвани.

Член D.2 Уведомление за нарушение на данни

Обработващият ще уведоми Контролера без ненужно забавяне за всяко случайно или незаконно унищожение, загуба, изменение или неупълномощено разкриване или достъп до лични данни след откритие, доколкото Нарушението на данните се отнася само до обработката на лични данни от Обработващия в качеството му на обработващ. Ако и когато Нарушението на данните засяга лични данни, за които Обработващият се счита за контролер, както е описано в Служебното изявление за поверителност на Обработващия, Обработващият запазва правото да третира Нарушението на данните като контролер. 

Закъснението при предоставяне на известие за Нарушение на данните, поискано от правоприлагащите органи и/или поради легитимните нужди на Обработващия да разследва или разреши въпроса преди да предостави известие, няма да се счита за ненужно забавяне. Такива уведомления ще описват, доколкото е възможно, детайли за Нарушението на данните, включително предприетите стъпки за смекчаване на потенциалните рискове. Без да се засяга задължението на Обработващия по този Раздел D.1, Контролерът е единствено отговорен за спазването на законите за уведомление за Нарушение на данните, приложими за Контролера и за изпълнението на всякакви задължения за уведомление на трети страни, свързани с каквито и да било Нарушения на данните. Уведомлението или отговорът на Обработващия на Нарушение на данните по този Раздел D.1. няма да се тълкува като признание от Обработващия за всяка на вина или отговорност по отношение на Нарушението на данните.

Всички разходи, понесени при разрешаването на Нарушението на данните и при изпълнението на мерки, необходими за предотвратяване на такива Нарушения на данни в бъдеще, ще бъдат поети от страната, която поема разходите. 

РАЗДЕЛ E ОДИТ

Член E.1 Право на одит 

Контролерът има право да иска, след разумно уведомление, одитни отчети от Обработващия, отнасящи се до обработката на лични данни в рамките на обхвата на предоставените услуги по този SPOD.

Одитните отчети, както са посочени в тази клауза, ще включват, но не се ограничават до, доклади, свързани със сигурността, конфиденциалността и мерките за защита на данните, приложени от Обработващия във връзка с обработката на лични данни. Тези отчети могат също да обхващат съответствието с приложимите Закони за защита на данните.

Заявките за одитни отчети ще трябва да се правят в писмен вид и да се изпращат на privacy@mollie.com, уточнявайки обхвата и целта на заявката. Обработващият ще потвърди получаването на такива искания навреме.

Получаването на одитни отчети ще бъде подчинено на професионалната дълговечност на конфиденциалността. Контролерът може да използва одитните отчети само за целите на удовлетворяване на регулаторните одитни изисквания на Контролера и потвърдете, че обработването на лични данни от Обработващия съответства на този SPOD. Одитните отчети не трябва да се споделят навън.

РАЗДЕЛ F ОЦЕНКИ НА ВЪЗДЕЙСТВИЕТО ВЪРХУ ЗАЩИТАТА НА ДАННИТЕ И ПРЕДВАРИТЕЛНИ КОНСУЛТАЦИИ

Член F.1 Помощ

Обработващият ще оказва съдействие на Контролера при провеждането на оценка на въздействието от обработката на лични данни (член 35 GDPR) и при всякакви консултации с Надзорен орган (член 36 GDPR), ако и доколкото оценяването или консултацията е задължителна в съответствие с Законите за защита на данните и където Обработващият е разрешен и/или задължен да сътрудничи.

РАЗДЕЛ G ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Член G.1 Помощ

Ако Обработващият получи искане от Субект на данни във връзка с Личните данни на Контролера, Обработващият ще посъветва Субекта на данни да подаде искането си до Контролера и/или да прехвърли искането към Контролера, и Контролерът ще бъде отговорен за отговора на всяко такова искане.

По искане на Контролера и за сметка на Контролера, Обработващият ще предостави такова съдействие, каквото Контролерът разумно може да изисква, за да отговори на задълженията си по Закони за защита на данните, за да отговори на искания от субекти на данни да упражняват правата си съгласно Закони за защита на данните (например, права на достъп до данни, поправка, изтриване, ограничаване, преносимост и възражение) в случаите, когато Контролерът не може разумно да изпълни такива искания независимо чрез достъпа си до продуктите и услугите на Обработващия.

РАЗДЕЛ H РАЗНООБРАЗИЕ 

Член H.1 Конфиденциалност 

Обработващият ще запази в тайна всички лични данни и ще осигури, че всички служители, агенти, офицери и контрагенти, които имат достъп до или участват в обработката на лични данни, са наясно с конфиденциалния характер на личните данни и са задължени по договор да запазват личните данни в тайна и са информирани за и спазват задълженията на този SPOD.

Член H.2 Отговорност

Всякаква и всякаква отговорност, произтичаща от този SPOD, ще бъде регулирана от съответните разпоредби на Потребителското споразумение, включително ограничения на отговорността. 

Независимо от разпоредбите на Потребителското споразумение, всяка Страна ще бъде отговорна само на другата Страна за всякакви щети, причинени на другата Страна вследствие на всяко нарушение на този SPOD. Тези щети ще трябва да бъдат ясно демонстрирани. Обработващият ще носи отговорност само за повреда, причинена от обработката, когато не е съответствал на задълженията на Закона за защита на данните, насочени конкретно към обработващите данни или когато е действал извън или в противоречие с законните указания на Контролера, както е описано в този SPOD. В този контекст, Обработващият ще носи отговорност само ако Контролерът докаже, че Обработващият е отговорен за събитието, което води до щета.

Контролерът носи единствената отговорност към Субекта на данни, а Субектът на данни има право на получаване на обезщетение за всякакви материални или нематериални щети, причинени от Контролера или Обработващия (или неговите Суб-обработващи) на Субекта на данни, в резултат на нарушение на този SPOD.

Член H.3 Срок на действие и прекратяване 

Срокът на действие на този SPOD ще съвпада с началото на Потребителското споразумение и/или използването на конкретния продукт или услуга, включени в Приложение A.

Този SPOD ще се прекрати автоматично с прекратяването на Потребителското споразумение и/или използването на конкретния продукт или услуга, включени в Приложение A, в зависимост от това, кое е прекратено първо.

При прекратяване на този SPOD, Обработващият, при искане на Контролера, ще върне личните данни на Контролера или на назначен от Контролера обработващ, или ще изтрие личните данни, освен ако Обработващият не е задължен да запази копие в съответствие с всякакъв закон на Европейския съюз или на която и да е държава членка на Европейския съюз.

РАЗДЕЛ I КРАЙНИ РАЗПОРЕДБИ 

Член I.1 Цялостно споразумение 

Този SPOD представлява част от Потребителското споразумение. Всички права и задължения, произтичащи от Потребителското споразумение също се прилагат към този SPOD. Приложение A е неразделна част от този SPOD.

Член I.2 Допълнение само по споразумение 

Няма изменение на този SPOD, което да бъде валидно, освен ако не е в писмен вид и подписано от упълномощените представители на всяка Страна. 

Член I.3 Разделимост

Всяка от разпоредбите в този SPOD е различна и разделима, и ако всяка разпоредба или част от разпоредба е считана за неизпълнима, незаконна или недействителна изцяло или частично от всеки съд, регулаторен орган или друг компетентен орган, то до този аспект тя ще се счита, че не е част от този SPOD и изпълнимостта, законността и валидността на останалата част от този SPOD няма да бъдат засегнати. Страните се съгласяват да се опитат да заменят всяка невалидна или неизпълнима разпоредба с валидна или изпълнима разпоредба, която до най-голяма степен постига същия ефект, който би

бил постигнат от невалидната или неизпълнима разпоредба. Освен за измененията, извършени чрез този SPOD, Потребителското споразумение остава непроменено и в сила.

Член I.4 Право на прехвърляне 

Страните могат да прехвърлят този SPOD само в съответствие с Потребителското споразумение (клауза 8.9). 

Член I.5 Приложимо право 

Този SPOD ще се регулира от и тълкува в съответствие с законите на Нидерландия. Всяка Страна се съгласява на изключителната юрисдикция на съдилищата в Амстердам да уреждат всякакви спорове, произтичащи от този SPOD. В случай, че какъвто и да е съд или административен орган с компетентна юрисдикция намери коя и да е разпоредба на този SPOD за\невалидна, неизпълнима или незаконна, останалите разпоредби на този SPOD ще останат в пълна сила и действие. 

ПРИЛОЖЕНИЕ A – СПЕЦИФИКАЦИЯ НА ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

1. ЦЕЛ НА ОБРАБОТВАНЕТО

Обработката на лични данни е пряко свързана с предоставянето на услугите, предоставени съгласно Потребителското споразумение.

Целите на обработката са:

• Улесняване на изпращането на фактури на клиентите на Контролера чрез продуктите и услугите на Mollie 

  
  

2. КАТЕГОРИИ НА СУБЕКТИ НА ДАННИ 

Обработващият ще обработва лични данни на следните категории Субекти на данни от името на Контролера:

• Клиентите на Контролера (т.е. плащащите (потребители, бизнес клиенти))

  
  

3. ВИДОВЕ ЛИЧНИ ДАННИ 

Обработващият ще обработва следните видове лични данни от името на Контролера:

• Основни контактни данни (включващи пълно име, (офисен) телефонен номер, (бизнес) имейл адрес, адрес на местоживеене/фирма)

• Данни за фактура (както са включени от Контролера)

Никаки специални категории лични данни (както е определено в член 9 от GDPR) няма да бъдат обработвани от Обработващия. 

4. МЕРКИ ЗА СИГУРНОСТ 

Контекст 

Като финансова институция, контролите за сигурност и операционните процедури, които Mollie е създала за нашите приложения, системи и ИТ процеси, подлежат на преглед от ДНБ, който от своя страна използва указания от Европейската банка по въпросите на стандартите за техническа лицензия, които притежателите на лиценз трябва да спазват. 

Освен това, тъй като Mollie (също) действа като контролер на лични данни, Mollie се регулира от друго законодателство, което определя стандарти за сигурност и защита на данните, наложено от допълнителни органи - предимно GDPR и неговия регулатор в Нидерландия (Autoriteit Persoonsgegevens). 

Допълнително, системите, обработващи данни за карти, са системи с ниво 1 PCI DSS, което означава, че това конкретно приложение и процедурите за разработването и поддържането му подлежат на мерките за защита на данните, очертани от PCI съвета, към които Mollie е оценявана от външна страна всяка година. 

Общи мерки

Всички приложения, системи и процедури, свързани с тях, подлежат на Политиката за информационна сигурност на Mollie. Акценти от тази и други политики, които са релевантни за обхвата на предоставените услуги, включват:

• Проверка на служителите

• Програма за обучение по сигурност за разработчици

• Програма за осведоменост относно сигурността

• Разделяне на задълженията

• Управление на промените

• Управление на уязвимостите

• Управление на инциденти

• Управление на устойчивостта и резервното копие

• Строго налагане на контрол на достъпа (IAM и IGA)

• Прегледи на авторизацията на потребителите

• Стандарти за класификация на системите

• Стандарти за класификация на данни и политика за данни

• Стандарти за безопасна конфигурация на базата на индустриалните добри практики, прилагане на политика (засилване)

• Физическо и логично отделяне на мрежовата среда

• Стандарти за сигурно криптиране

• Управление на ключовете за криптиране

• Криптиране (в движение, в състояние на покой за споделени инфраструктурни среди като облака)

• Управление на риска от трети страни

• Наблюдение на наличността и грешките

• Жизнен цикъл на сигурното развитие

  • Моделиране на заплахи при значителни промени и нови функции

  • Управление на зависимости и сканиране за известни уязвимости

  • Статичен анализ на кода за сигурност

  • Вътрешно и външно сканиране на уязвимости

• Координирано разкритие на уязвимости (CVD) и програма за награди за грешки

• Програма за разузнаване на заплахи (например участие в холандския PI-ISAC, център за споделяне и анализ на информацията за институции за плащания, мониторинг на тъмен уеб)

• Сътрудничество с управляеми услуги по сигурност (MSSP) за операции по сигурността, анализ и разследване на инциденти

• Управление на информацията за сигурност и събития (SIEM)

• Сигурност на крайни точки за персонал

• Сигурност на имейлите

Платформа на Mollie

В допълнение към общите мерки за сигурност, споменати по-горе, приложението на платформата на Mollie е покрито от следните мерки за сигурност - или в резултат на изпълнението на нашите общи политики за сигурност или като мерки за смекчаване на риска, признат в оценката на риска специфично за приложението:

• Двустепенен контрол на достъпа

• Тестове за проникване от трети страни

• Управление на инциденти по сигурността

• Ограничаване на DDoS

• Отговор на инциденти по сигурността

• Наблюдение на наличността

• Сигурно съхранение на идентификационни данни

• Резервна инфраструктура

• Необходимост от възстановяване при бедствие

• Ограничаване и заключване на скоростта

• Строга политика за сигурност на съдържанието

• Captcha

• Междинна защитна стена за уеб приложения

ПРИЛОЖЕНИЕ B – ПРЕГЛЕД НА СУБ-ОБРАБОТВАЩИ