Podmínky a ujednání pro Mollie Invoicing

Tyto servisní podmínky („podmínky fakturační služby“) představují právní dohodu mezi vámi a organizací nebo subjektem, který zastupujete (dále jen „organizace“, „vy“ nebo „vaše“), a společností Mollie B.V. a jejími poskytovateli licencí (dále jen „Mollie“, „my“ nebo „naše“), která upravuje používání fakturační služby.

Tyto podmínky fakturační služby stanovují pravidla, za kterých smíte fakturační službu využívat. Uživatelská smlouva, která se na vás vztahuje v celém rozsahu, zůstává v platnosti a je doplněna těmito podmínkami fakturační služby. V případě rozporu mezi Uživatelskou smlouvou a těmito podmínkami fakturační služby mají tyto podmínky fakturační služby přednost, avšak pouze ve vztahu k fakturační službě a jejímu používání.

Kromě definic obsažených v Uživatelské smlouvě nebo v jakékoli jiné dohodě mezi Mollie a vaší organizací platí následující definice:

Používáním fakturační služby vyjadřujete souhlas s následujícími podmínkami:

1. Popis služby

1.1 Fakturační služba Mollie je digitální řešení pro fakturaci navržené tak, aby platformám nebo obchodníkům pomáhalo efektivně vytvářet, přizpůsobovat, odesílat a spravovat faktury prostřednictvím rozhraní Mollie Dashboard nebo Invoice API pomocí rychlého vytváření faktur, uplatňování DPH, automatických upomínek a nástrojů pro sledování plateb a nabídky více platebních metod pro zákazníky („fakturační služba“).

2. Ceny

2.1 Ceny za fakturační službu se řídí ceníkem na adrese www.mollies.com/pricing, pokud se strany písemně nedohodly jinak. 

3. Osobní údaje a jejich zpracování 

3.1 Používání fakturační služby může vyžadovat, abyste společnosti Mollie poskytli osobní údaje svých zákazníků a uživatelů. Mollie může tyto osobní údaje zpracovávat pro zajištění chodu fakturační služby. Udělujete společnosti Mollie svolení a souhlas k používání vašich osobních údajů nebo osobních údajů vašich zákazníků a/nebo k jejich zpřístupnění třetím stranám v rozsahu nezbytném pro fungování nebo poskytování fakturační služby. Má se za to, že jste správcem osobních údajů použitých ke generování faktur, a my budeme osobní údaje zpracovávat jako zpracovatel v souladu s přílohou 1 (SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO FAKTURAČNÍ SLUŽBU MOLLIE) a prohlášením o ochraně osobních údajů společnosti Mollie, které najdete na adrese www.mollie.com/legal/privacy.

3.2 Bez ohledu na cokoli, co by bylo v rozporu s tímto ujednáním, při používání fakturační služby zaručujete, že dodržujete a budete nadále dodržovat veškeré požadavky na ochranu osobních údajů, mimo jiné včetně obecného nařízení o ochraně osobních údajů („GDPR“) nebo jakéhokoli ekvivalentního nařízení či zákona o ochraně osobních údajů, který se vztahuje na vaši podnikatelskou činnost.

4. Vaše povinnosti a odpovědnost

4.1 Fakturační službu nesmíte používat ani umožnit její používání nezákonným nebo nevhodným způsobem.

4.2 Jste povinni dodržovat platné i budoucí zákony a předpisy týkající se fakturačních a/nebo daňových požadavků. Za zajištění správnosti a pravdivosti faktury, včetně uplatněných sazeb DPH, nesete výhradní odpovědnost vy. Pokud fakturační služba nepodporuje příslušnou sazbu DPH na vaší faktuře (například z důvodu změn sazeb DPH v určité zemi), bezodkladně nás o tom písemně informujte. My situaci posoudíme a v případě potřeby upravíme nastavení fakturační služby tak, aby novou sazbu DPH podporovala.

4.3 Jste zodpovědní za přijetí vhodných opatření (pravidelně a v souladu se souvisejícími riziky) k zabezpečení dat a obsahu zadávaných, nahrávaných a ukládaných během používání fakturační služby a za vytváření vlastních záložních kopií, abyste v případě ztráty mohli data a informace obnovit. Musíte podle svých nejlepších sil zabránit neoprávněnému přístupu třetích stran k fakturační službě.

4.4 Nejste oprávněni (pokud nebylo výslovně písemně dohodnuto jinak):

• zpřístupnit fakturační službu v jakékoli formě jiným třetím stranám než svým zaměstnancům, zástupcům, dodavatelům a dalším spřízněným uživatelům; nebo

• reprodukovat, upravovat, rozebírat, dekompilovat, překládat nebo provádět zpětné inženýrství částí fakturační služby.

4.5 Vzali jste na vědomí své povinnosti uvedené v příloze 1 a souhlasíte s nimi.

5. Licence a duševní vlastnictví 

5.1 Je vám uděleno nevýhradní, nepřenosné, nepodlicencovatelné, celosvětové, odvolatelné a dočasné právo používat fakturační službu. Fakturační služba vám bude zpřístupněna výhradně na nevýhradním základě. Mollie není povinna poskytovat jiné služby než fakturační službu. Ve vztahu k fakturační službě se neudělují žádná další užívací práva.

5.2 Za správu uživatelských práv nesete výhradní odpovědnost vy. Jste povinni zajistit, aby všichni uživatelé při používání fakturační služby dodržovali omezení obsažená v Uživatelské smlouvě Mollie a v těchto podmínkách.

5.3 Veškeré duševní vlastnictví a užívací práva (jiná než licence udělená na základě této smlouvy) týkající se fakturační služby, včetně zdrojového kódu, databází, funkcí, softwaru, designu webových stránek, zvuku, videa, textu, fotografií a grafiky (dále jen „práva duševního vlastnictví“), zůstávají plně v držení společnosti Mollie.

5.4 V rozsahu, v jakém jsou vám poskytnuty sady pro vývoj softwaru („SDK“), včetně jejich aktualizací nebo technické podpory, platí pro SDK tato zvláštní ustanovení:

• Je vám udělena nevýhradní, nepřenosná, odvolatelná a bezplatná licence k (i) instalaci a používání SDK pouze ve formě objektového kódu za účelem vývoje programů sestávajících ze zkompilovaného kódu vygenerovaného pomocí SDK nebo jakékoli jeho části, určených k fungování s produktem; (ii) pořízení omezeného počtu kopií dokumentace k SDK, které budou vaši zaměstnanci nebo konzultanti používat pouze pro účely vývoje, a nikoli pro obecné obchodní účely nebo pro distribuci; a (iii) distribuci SDK pouze ve formě objektového kódu jako součásti produktu;

• Mollie je oprávněna, nikoli však povinna, poskytovat k SDK jakoukoli technickou či jinou podporu;

• SDK obsahují kód, který automaticky odesílá oznámení o chybách. Souhlasíte, že Mollie má trvalé, neodvolatelné a neomezené právo tyto informace používat pro své obchodní účely, zejména pro podporu a vývoj produktů;

• pokud používáte SDK ke spouštění jím nebo třetí stranou vyvinutých aplikací nebo k přístupu k datům, obsahu či zdrojům poskytovaným třetí stranou, souhlasíte s tím, že Mollie za tyto aplikace, data, obsah nebo zdroje neodpovídá;

• licence k SDK se poskytuje „tak, jak je“. Riziko spojené s jejich používáním nesete vy. Mollie vylučuje veškeré záruky (zákonné, výslovné i předpokládané) a neposkytuje žádné záruky ani garance, pokud jde o vaše používání SDK.

  
  

6. Odpovědnost a odškodnění

6.1 Mollie neodpovídá za chyby, jednání, opomenutí nebo nedodržení předpisů vyplývající z vašich dat, nastavení nebo používání fakturační služby. Nesete výhradní a konečnou odpovědnost za to, že veškeré údaje použité k vytvoření nebo vystavení faktur, včetně uplatněných sazeb DPH, budou v souladu s platnými (daňovými) zákony v příslušné zemi použití. Mollie nemá povinnost ověřovat správnost, úplnost nebo pravdivost jakýchkoli dat nebo nastavení (DPH) nakonfigurovaných, dodaných nebo použitých prostřednictvím fakturační služby. Odškodníte a ochráníte společnost Mollie před veškerými nároky třetích stran, závazky, škodami, ztrátami, náklady a výdaji (včetně přiměřených nákladů na právní zastoupení) vzniklými v důsledku nebo v souvislosti s používáním fakturační služby, včetně konfigurace DPH. 

6.2 Pro vyloučení pochybností platí, že v rozsahu, v jakém společnost Mollie odpovídá za škody, je naše odpovědnost omezena v souladu s Uživatelskou smlouvou.

Příloha 1: SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Tato SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ (dále jen „DPA“) včetně jejích dodatků popisuje povinnosti stran, mimo jiné podle platných zákonů o ochraně osobních údajů, v souvislosti se zpracováním osobních údajů (vymezených níže). DPA je začleněna do Uživatelské smlouvy.

Tuto DPA uzavírá organizace (dále jen „správce“)

a 

společnost Mollie B.V., společnost s ručením omezeným (besloten vennootschap) se sídlem v Amsterdamu, na adrese Keizersgracht 126, 1015 CW Amsterdam, Nizozemsko, zapsaná v nizozemské obchodní komoře pod číslem 30204462 (dále jen „Mollie“ nebo „zpracovatel“)

a 

společnost Mollie UK Ltd., společnost s ručením omezeným se sídlem v Londýně, na adrese 7 Pancras Square, Londýn N1C 4AG, Velká Británie, zapsaná v rejstříku Companies House pod číslem 14013554 (dále jen „Mollie“ nebo „zpracovatel“),

každá z nich samostatně jako „strana“ a společně jako „strany“. 

Definice 

V této DPA mají následující pojmy níže uvedený význam. Pojmy s velkým počátečním písmenem, které zde nejsou definovány, mají význam uvedený ve smlouvě.

Smlouva
smlouva mezi správcem a zpracovatelem o poskytování služeb („Uživatelská smlouva“).

Závazná podniková pravidla
koncepce ochrany osobních údajů, které dodržuje správce nebo zpracovatel usazený na území členského státu pro předávání nebo soubor předávání osobních údajů správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo skupiny podniků vykonávajících společnou hospodářskou činnost.

Správce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Zákazník
zákazníci organizace, kteří chtějí platit za produkty a/nebo služby poskytované organizací prostřednictvím platebního modulu společnosti Mollie.

Porušení zabezpečení osobních údajů
porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přenosu, uložení nebo jinému zpracování osobních údajů. 

Smlouva o zpracování osobních údajů
tato smlouva včetně všech příloh.

Dozorový úřad
nezávislý orgán veřejné moci odpovídající za dozor nad dodržováním platných zákonů týkajících se zpracování osobních údajů. V Nizozemsku je to Autoriteit Persoonsgegevens.

Posouzení vlivu na ochranu osobních údajů
posouzení vlivu plánovaných operací zpracování na ochranu osobních údajů. 

Zákony o ochraně osobních údajů
veškeré platné právní předpisy týkající se ochrany údajů a soukromí, včetně obecného nařízení o ochraně osobních údajů (GDPR), všech místních zákonů a předpisů, které je doplňují nebo nahrazují, spolu s vnitrostátními prováděcími zákony v kterémkoli členském státě Evropského hospodářského prostoru (EHP), v platném rozsahu, v jakékoli jiné zemi, v platném znění, zrušené, konsolidované nebo nahrazené. 

Subjekt údajů
fyzická osoba, k níž se osobní údaje vztahují (např. zákazníci).

GDPR
Obecné nařízení o ochraně osobních údajů (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. 

Osobní údaje
veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 

Zpracování
jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, ukládání, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, vymazání nebo zničení. Tento seznam není vyčerpávající. Pojmy „zpracovávat“, „zpracování“ a „zpracovaný“ budou vykládány v tomto smyslu. 

Zpracovatel
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává (osobní) údaje jménem správce.

Organizace
organizace, která využívá platební modul společnosti Mollie pro účely, mimo jiné, prodeje produktů a/nebo služeb zákazníkům.

Standardní smluvní doložky
Standardní smluvní doložky Evropské komise pro zpracovatele údajů (2010/87/EU) nebo prováděcí rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (C/2021/3972).

Další zpracovatel
jakákoli třetí osoba, subjekt nebo společnost zapojená zpracovatelem do zpracování osobních údajů při poskytování služeb podle smlouvy. 

ČÁST A ÚČEL 

Článek A.1 Rozsah působnosti

Zpracovatel souhlasil s poskytováním služeb správci v souladu s podmínkami Uživatelské smlouvy. Při poskytování služeb bude zpracovatel zpracovávat osobní údaje jménem správce, jak je uvedeno v této DPA. Zpracovatel jako finanční instituce zpracovává osobní údaje také jako správce údajů. 

Strany berou na vědomí a souhlasí s tím, že v rozsahu, v jakém Mollie zpracovává osobní údaje související s platebními transakcemi za účelem: i) plnění Uživatelské smlouvy se správcem; ii) sledování, předcházení a odhalování podvodných platebních transakcí; iii) plnění právních nebo regulačních povinností vztahujících se na zpracování a uchovávání platebních údajů, kterým Mollie podléhá, včetně příslušných prověrek proti praní špinavých peněz a plnění povinností KYC (know-your-customer); a iv) zlepšování produktů a služeb Mollie, vystupuje Mollie jako správce údajů a má výhradní pravomoc určovat účely a prostředky zpracování osobních údajů, které obdrží od správce nebo jeho prostřednictvím (při poskytování služeb).

Činnosti zpracování, osobní údaje a kategorie subjektů údajů, pro které zpracovatel zpracovává osobní údaje jménem správce, jsou uvedeny v příloze A. 

ČÁST B POVINNOSTI 

Článek B.1 Povinnosti správce 

Správce odpovídá za osobní údaje, které bude zpracovatel zpracovávat, a je povinen zajistit soulad se všemi zákony o ochraně osobních údajů, včetně požadavků týkajících se předávání osobních údajů podle této DPA a Uživatelské smlouvy. Správce zaručuje, že má právo osobní údaje zpracovávat a že má právo pověřit zpracovatele zpracováním údajů jménem správce.

Smluvní strany se dohodly, že bez omezení povinností zpracovatele podle této DPA nese správce výhradní odpovědnost za používání služeb, včetně (a) vhodného využívání služeb k zajištění úrovně zabezpečení odpovídající rizikům spojeným s osobními údaji; (b) zabezpečení přihlašovacích údajů k účtu, systémů a zařízení, které správce používá k přístupu ke službám; (c) zabezpečení systémů a zařízení správce, které se službami používá; a (d) udržování vlastních záloh osobních údajů.

Článek B.2 Povinnosti zpracovatele 

Zpracovatel se zavazuje: 

1. zpracovávat osobní údaje pouze na základě doložených pokynů správce a přijmout nezbytná opatření k zajištění toho, aby žádná fyzická osoba jednající z jeho pověření, která má k osobním údajům přístup, tyto osobní údaje nezpracovávala jinak než na pokyn správce;

2. neprodleně informovat správce, pokud podle jeho názoru některý z pokynů týkajících se zpracování osobních údajů, které správce zpracovateli poskytl, porušuje platné zákony o ochraně osobních údajů nebo ustanovení této DPA;

3. zavést vhodná technická a organizační opatření k ochraně osobních údajů s přihlédnutím ke stavu techniky, nákladům na provedení a povaze, rozsahu, kontextu a účelům zpracování, jakož i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob; a

4. bez zbytečného odkladu informovat správce, pokud obdrží stížnost nebo žádost týkající se povinností kterékoli ze stran podle zákonů o ochraně osobních údajů relevantních pro tuto DPA, včetně jakéhokoli nároku na odškodnění od subjektu údajů nebo jakéhokoli oznámení, šetření či jiného opatření ze strany dozorového úřadu, a poskytnout správci veškeré podrobnosti o takovém šetření, stížnosti nebo žádosti, pokud to zákon nebo dozorový úřad nezakazuje.
   
   

ČÁST C PŘEDÁVÁNÍ ÚDAJŮ A DALŠÍ ZPRACOVATELÉ

Článek C.1 Předávání osobních údajů 

Pokud jsou osobní údaje týkající se subjektu údajů z EU předávány mimo EHP, musí být zpracovávány subjektem: (i) se sídlem ve třetí zemi nebo na území, o kterém Evropská komise rozhodla, že zajišťuje odpovídající úroveň ochrany; nebo (ii) který podléhá standardním smluvním doložkám EU a/nebo dohodě o předávání osobních údajů Spojeného království či dodatku k doložkám Spojeného království; nebo (iii) který má zavedeny jiné právně uznávané vhodné záruky, jako jsou závazná podniková pravidla, která zaručují stejnou úroveň ochrany a záruk jako tato DPA. 

Článek C.2 Další zpracovatelé 

Správce tímto souhlasí s tím, aby zpracovatel využíval další zpracovatele uvedené v příloze B. Tento seznam může zpracovatel průběžně aktualizovat v souladu s touto DPA.

Před zapojením nového dalšího zpracovatele pro služby uvedené v příloze A uvědomí zpracovatel správce, který danou službu využívá, a poskytne správci alespoň deset (10) kalendářních dnů na vznesení námitek. Výjimkou jsou situace, kdy se zpracovatel důvodně domnívá, že urychlené zapojení nového dalšího zpracovatele je nezbytné k ochraně důvěrnosti, integrity nebo dostupnosti osobních údajů nebo k zabránění závažnému narušení poskytovaných služeb. V takovém případě zpracovatel zašle toto oznámení co nejdříve. Pokud do pěti (5) kalendářních dnů po takovém oznámení správce písemně oznámí zpracovateli, že vznáší námitku proti jmenování nového dalšího zpracovatele na základě důvodných obav o ochranu údajů, strany o těchto obavách v dobré víře projednají jejich vyřešení. Námitky proti novým dalším zpracovatelům zasílejte na adresu privacy@mollie.com. 

Správce bere na vědomí, že další zpracovatelé jsou pro poskytování služeb nezbytní a že nesouhlas s jejich využitím může zpracovateli zabránit v nabízení služeb správci. Pokud se strany nedokážou dohodnout na vyřešení těchto obav, může správce jako jedinečný a výhradní opravný prostředek DPA vypovědět.

Všichni další zpracovatelé, kteří zpracovávají osobní údaje při poskytování služeb správci, jsou povinni dodržovat povinnosti stanovené v této DPA. Zpracovatel před předáním osobních údajů jakémukoli dalšímu zpracovateli provede náležitou kontrolu, aby se ujistil, že je další zpracovatel schopen zajistit úroveň ochrany osobních údajů správce požadovanou touto DPA, a uzavře s tímto dalším zpracovatelem smlouvu, v níž se další zpracovatel zaváže dodržovat povinnosti odpovídající povinnostem stanoveným v této DPA. 

ČÁST D BEZPEČNOST 

Článek D.1 Bezpečnostní opatření

Zpracovatel zavede vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku, případně včetně:

1. pseudonymizace a šifrování osobních údajů; 

2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; 

3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzické či technické mimořádné události; a 

4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. Při posuzování vhodné úrovně zabezpečení se zohlední zejména rizika, která zpracování představuje, zejména v důsledku náhodného nebo protiprávního zničení, ztráty, změny, neoprávněného zpřístupnění osobních údajů přenášených, uchovávaných nebo jinak zpracovávaných nebo neoprávněného přístupu k nim.

Článek D.2 Oznámení o porušení zabezpečení osobních údajů

Zpracovatel uvědomí správce bez zbytečného odkladu po zjištění jakéhokoli náhodného nebo protiprávního zničení, ztráty, změny nebo neoprávněného zpřístupnění osobních údajů nebo přístupu k nim, pokud se porušení zabezpečení údajů týká pouze zpracování osobních údajů zpracovatelem v jeho roli zpracovatele. Pokud se porušení zabezpečení údajů týká osobních údajů, u nichž je zpracovatel považován za správce (jak je popsáno v prohlášení o ochraně osobních údajů zpracovatele), vyhrazuje si zpracovatel právo řešit toto porušení z pozice správce. 

Zpoždění při poskytnutí oznámení o porušení zabezpečení údajů vyžádané orgány činnými v trestním řízení a/vzhledem k oprávněným potřebám zpracovatele záležitost před poskytnutím oznámení vyšetřit nebo sjednat nápravu se nepovažuje za bezdůvodné zpoždění. Tato oznámení budou v maximální možné míře popisovat podrobnosti o porušení zabezpečení údajů včetně opatření přijatých ke zmírnění potenciálních rizik. Bez dotčení povinností zpracovatele podle této části D.1 nese správce výhradní odpovědnost za dodržování zákonů o oznamování porušení zabezpečení údajů, které se na něj vztahují, a za plnění povinností oznamování třetím stranám v souvislosti s jakýmkoli porušením zabezpečení údajů. Oznámení zpracovatele o porušení zabezpečení údajů nebo jeho reakce na něj podle této části D.1 se nepovažuje za uznání jakéhokoli pochybení nebo odpovědnosti ze strany zpracovatele v souvislosti s tímto porušením.

Veškeré náklady vzniklé při řešení porušení zabezpečení osobních údajů a při zavádění opatření nezbytných k zabránění takovému porušení v budoucnu nese ta strana, které náklady vznikly. 

ČÁST E AUDIT

Článek E.1 Právo na audit 

Správce má právo na základě přiměřeného oznámení požadovat od zpracovatele zprávy o auditu týkající se zpracování osobních údajů v rozsahu služeb poskytovaných podle této DPA.

Zprávy o auditu zmiňované v tomto ustanovení zahrnují zejména zprávy týkající se zabezpečení, důvěrnosti a opatření na ochranu údajů zavedených zpracovatelem v souvislosti se zpracováním osobních údajů. Tyto zprávy mohou rovněž pokrývat dodržování příslušných zákonů o ochraně osobních údajů.

Žádosti o zprávy o auditu musí mít písemnou formu a zasílají se na adresu privacy@mollie.com s upřesněním rozsahu a účelu žádosti. Zpracovatel přijetí takových žádostí včas potvrdí.

Příjem zpráv o auditu podléhá profesní povinnosti mlčenlivosti. Správce smí zprávy o auditu použít pouze pro účely splnění svých regulačních požadavků na audit a pro ověření toho, že zpracování osobních údajů zpracovatelem je v souladu s touto DPA. Zprávy o auditu nesmí být sdíleny externě.

ČÁST F POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ A PŘEDCHOZÍ KONZULTACE

Článek F.1 Asistence

Zpracovatel pomůže správci s provedením posouzení vlivu na ochranu osobních údajů (článek 35 GDPR) a s konzultacemi s dozorovým úřadem (článek 36 GDPR), pokud a v rozsahu, v jakém je provedení posouzení nebo konzultace vyžadováno podle zákonů o ochraně osobních údajů a kde je zpracovatel oprávněn a/nebo povinen spolupracovat.

ČÁST G PRÁVA SUBJEKTŮ ÚDAJŮ

Článek G.1 Asistence

Pokud zpracovatel obdrží žádost od subjektu údajů v souvislosti s osobními údaji správce, doporučí subjektu údajů, aby svou žádost předložil správci, a/nebo žádost správci předá, přičemž za odpověď na takovou žádost odpovídá správce.

Zpracovatel poskytne správci na jeho žádost a na jeho náklady součinnost, kterou může přiměřeně vyžadovat ke splnění svých povinností podle zákonů o ochraně osobních údajů při vyřizování žádostí subjektů údajů o výkon jejich práv (např. práva na přístup k údajům, opravu, výmaz, omezení, přenositelnost a námitku) v případech, kdy správce nemůže tyto žádosti přiměřeně splnit sám prostřednictvím svého přístupu k produktům a službám zpracovatele.

ČÁST H RŮZNÉ 

Článek H.1 Důvěrnost 

Zpracovatel zachová mlčenlivost o všech osobních údajích a zajistí, aby všichni zaměstnanci, zástupci, vedoucí pracovníci a dodavatelé, kteří mají k osobním údajům přístup nebo se podílejí na jejich zpracování, byli obeznámeni s důvěrným charakterem osobních údajů, byli smluvně vázáni mlčenlivostí o osobních údajích a byli informováni o povinnostech vyplývajících z této DPA a tyto povinnosti dodržovali.

Článek H.2 Odvětrnost

Veškerá odpovědnost vyplývající z této DPA se řídí příslušnými ustanoveními Uživatelské smlouvy, včetně omezení odpovědnosti. 

Bez ohledu na ustanovení Uživatelské smlouvy odpovídá každá strana druhé straně pouze za škody, které jí způsobí jakýmkoli porušením této DPA. Tyto škody musí být jasně prokázány. Zpracovatel odpovídá za škodu způsobenou zpracováním pouze v případě, že nesplnil povinnosti vyplývající ze zákonů o ochraně osobních údajů, které jsou výslovně určeny zpracovatelům údajů, nebo pokud jednal mimo zákonné pokyny správce nebo v rozporu s nimi, jak je popsáno v této DPA. V této souvislosti nese zpracovatel odpovědnost pouze tehdy, pokud správce prokáže, že zpracovatel za událost, která škodu způsobila, odpovídá.

Správce nese výhradní odpovědnost vůči subjektu údajů a subjekt údajů má nárok na náhradu jakékoli majetkové či nemajetkové újmy, kterou správce nebo zpracovatel (nebo jeho další zpracovatel či zpracovatelé) způsobí subjektu údajů porušením této DPA.

Článek H.3 Doba trvání a ukončení platnosti 

Doba trvání této DPA se shoduje s počátkem platnosti Uživatelské smlouvy a/nebo s fází používání konkrétního produktu či služby uvedených v příloze A.

Tato DPA zaniká automaticky společně s ukončením platnosti Uživatelské smlouvy a/nebo ukončením používání konkrétního produktu či služby podle přílohy A, a to podle toho, co nastane dříve.

Po ukončení platnosti této DPA vrátí zpracovatel na žádost správce osobní údaje správci nebo správcem pověřenému zpracovateli, případně osobní údaje vymaže. Výjimkou jsou situace, kdy je zpracovatel povinen si kopii ponechat v souladu s právními předpisy Evropské unie nebo některého z jejích členských států.

ČÁST I ZÁVĚREČNÁ USTANOVENÍ 

Článek I.1 Úplná dohoda 

Tato DPA tvoří součást Uživatelské smlouvy. Na tuto DPA se vztahují také veškerá práva a povinnosti vyplývající z Uživatelské smlouvy. Příloha A tvoří nedílnou součást této DPA.

Článek I.2 Změny pouze dohodou 

Žádná změna této DPA není platná, pokud nemá písemnou formu a není podepsána oprávněnými zástupci obou stran. 

Článek I.3 Oddělitelnost 

Jednotlivá ustanovení této DPA jsou samostatná a oddělitelná. Pokud bude kterékoli ustanovení nebo jeho část shledáno soudem, regulačním úřadem nebo jiným příslušným orgánem jako zcela nebo zčásti nevymahatelné, nezákonné či neplatné, nebude se v tomto rozsahu považovat za součást této DPA a vymahatelnost, zákonnost a platnost zbývajících částí této DPA tím nebude ovlivněna. Smluvní strany se zavazují, že se pokusí nahradit jakékoli neplatné nebo nevymahatelné ustanovení novým platným nebo vymahatelným ustanovením, které v nejvyšší možné míře dosáhne stejného účinku, jakého

by bylo dosaženo neplatným nebo nevymahatelným ustanovením. S výjimkou změn provedených touto DPA zůstává Uživatelská smlouva beze změny a v plném rozsahu účinná.

Článek I.4 Právo na postoupení 

Strany smí tuto DPA převést pouze v souladu s Uživatelskou smlouvou (článek 8.9). 

Článek I.5 Rozhodné právo 

Tato DPA se řídí nizozemským právem a vykládá se v souladu s ním. Obě strany souhlasí s výhradní příslušností soudů v Amsterdamu k řešení veškerých sporů vyplývajících z této DPA. V případě, že by jakýkoli soud nebo správní orgán příslušné jurisdikce shledal některé ustanovení této DPA jako neplatné, nevymahatelné nebo nezákonné, zůstávají ostatní ustanovení této DPA v plném rozsahu účinná a platná. 

PŘÍLOHA A – SPECIFIKACE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ 

1. ÚČEL ZPRACOVÁNÍ

Zpracování osobních údajů přímo souvisí s poskytováním služeb poskytovaných podle Uživatelské smlouvy.

Účely zpracování jsou:

• Spory

  • Usnadnění správy a řešení sporů mezi správcem a jeho zákazníky prostřednictvím produktů a služeb společnosti Mollie.

  • Poskytnutí nezbytných nástrojů a informací správci k reagování na reklamace, jako jsou zpětné zúčtování (chargebacky) nebo dotazy na platby.

• Fakturace

  •  Usnadnění odesílání faktur zákazníkům správce prostřednictvím produktů a služeb společnosti Mollie. 

2. KATEGORIE SUBJEKTŮ ÚDAJŮ 

Zpracovatel bude pro správce zpracovávat osobní údaje následujících kategorií subjektů údajů:

• Zákazníci správce: plátci (spotřebitelé nebo firemní zákazníci), kteří iniciují platbu, dotaz nebo spor.

Spory

• Třetí strany jako příjemci: osoby identifikované v dokladech o doručení nebo v dokladech o transakci, které nemusí být plátcem (např. osoba přijímající dárek na doručovací adrese).

• Oprávnění zástupci / zaměstnanci správce: personál obchodníka, jehož jména, kontaktní údaje nebo podpisy se mohou objevit v důkazech o sporech, komunikačních protokolech nebo lístcích podpory.

• Externí poskytovatelé služeb: osoby, jejichž údaje mohou být obsaženy v důkazech poskytnutých dalšími zpracovateli nebo partnery (např. jména řidičů doručovacích služeb na podpisu potvrzujícím doručení).

Fakturace

• Údaje o faktuře (vložené správcem)

3. TYPY OSOBNÍCH ÚDAJŮ 

Zpracovatel bude pro správce zpracovávat následující typy osobních údajů:

• Identifikační a kontaktní údaje: celé jméno, e-mailová adresa, telefonní číslo a fakturační adresa plátce.

• Metadata transakce: ID transakce, číslo objednávky, částka, měna, datum/čas a konkrétní použitá platební metoda (např. kreditní karta, Klarna, iDEAL).

• Údaje o doručení a logistice: 

  • Podrobnosti o dopravě: doručovací adresa (ulice, číslo popisné, PSČ, město, země).

  • Sledování zásilky: název dopravce, sledovací čísla a protokoly o stavu přepravy/doručení v reálném čase.

  • Doklad o doručení: digitální podpisy, časová razítka doručení a fotografické důkazy o doručení (např. balíček u dveří).

• Důkazy k řešení sporů (nestrukturovaná data): 

  • Nahrané soubory: veškeré osobní údaje obsažené v dokumentech ručně nahraných správcem (např. PDF faktury, protokoly chatů zákaznické podpory, snímky obrazovky ze služby WhatsApp nebo e-mailová korespondence).

• Technické identifikátory: IP adresy, otisky prstů zařízení a metadata prohlížeče shromážděná v okamžiku transakce (slouží k ověření polohy a identity zákazníka v rámci boje proti podvodům).

Výše uvedené kategorie osobních údajů odpovídají zamýšlenému rozsahu zpracování podle této smlouvy. Pokud dojde k náhodnému sdílení osobních údajů nespadajících pod tyto kategorie nebo k jejich vložení do nestrukturovaných dat či nahraných dokumentů, bude zpracovatel s těmito údaji nakládat s náležitou péčí a uplatní vhodná technická a organizační opatření.

4. BEZPEČNOSTNÍ OPATŘENÍ 

Kontext 

Bezpečnostní kontroly a provozní postupy, které společnost Mollie vytvořila pro své aplikace, systémy a IT procesy jako finanční instituce, podléhají kontrole ze strany Nizozemské centrální banky (DNB). Ta při své činnosti vychází z pokynů Evropského orgánu pro bankovnictví (EBA) pro technické normy, které by měli držitelé licencí dodržovat. 

Vzhledem k tomu, že Mollie vystupuje (rovněž) v roli správce osobních údajů, podléhá i dalším právním předpisům stanovujícím standardy pro bezpečnost a ochranu údajů, na jejichž dodržování dohlížejí další orgány – zejména GDPR a dozorový úřad v Nizozemsku (Autoriteit Persoonsgegevens). 

Systémy zpracovávající údaje o platebních kartách jsou navíc v souladu se standardem PCI DSS úrovně 1. To znamená, že tato konkrétní aplikace a postupy pro její vývoj a údržbu podléhají opatřením na ochranu údajů definovaným radou PCI Security Standards Council. Soulad s těmito standardy posuzuje u společnosti Mollie každoročně externí strana. 

Obecná opatření

Všechny aplikace, systémy a související postupy podléhají informační bezpečnostní politice společnosti Mollie. Mezi hlavní body této a dalších politik, které jsou relevantní pro rozsah poskytovaných služeb, patří:

• prověřování zaměstnanců,

• bezpečnostní školicí program pro vývojáře,

• program zvyšování povědomí o bezpečnosti,

• rozdělení kompetencí,

• řízení změn,

• správa zranitelností,

• řízení incidentů,

• řízení odolnosti a zálohování,

• přísné vynucování kontroly přístupu (IAM a IGA),

• kontroly oprávnění uživatelů,

• standardy klasifikace systémů,

• standardy klasifikace údajů a datová politika,

• standardy bezpečného nastavení vycházející z osvědčených postupů v oboru, prosazování pravidel (hardening),

• fyzické a logické oddělení síťového prostředí,

• standardy bezpečného šifrování,

• správa šifrovacích klíčů,

• šifrování (při přenosu, uložených dat pro sdílená infrastrukturní prostředí, jako je cloud),

• řízení rizik třetích stran,

• sledování dostupnosti a chyb,

• životní cyklus bezpečného vývoje,

  • modelování hrozeb u významných změn a nových funkcí,

  • správa závislostí a skenování známých zranitelností,

  • statická analýza bezpečnosti kódu,

  • interní a externí skenování zranitelností,

• koordinované odhalování zranitelností (CVD) a program odměn za vyhledávání chyb (bug bounty),

• program zpravodajství o hrozbách (např. účast v nizozemském PI-ISAC, centru pro sdílení a analýzu informací platebních institucí, monitorování dark webu),

• spolupráce s poskytovatelem řízených bezpečnostních služeb (MSSP) pro bezpečnostní operace, analýzu a forenzní vyšetřování,

• Security Information and Event Management (SIEM),

• zabezpečení koncových bodů zaměstnanců,

• zabezpečení e-mailu.

Platforma Mollie

Kromě výše uvedených obecných bezpečnostních opatření se na aplikaci platformy Mollie vztahují následující bezpečnostní opatření – buď jako výsledek implementace našich obecných bezpečnostních politik, nebo jako zmírňující opatření k řešení rizik identifikovaných při posuzování rizik specifických pro danou aplikaci:

• dvoufaktorové řízení přístupu,

• penetrační testy třetích stran,

• řízení bezpečnostních incidentů a událostí,

• ochrana před útoky DDoS,

• reakce na bezpečnostní incidenty,

• sledování dostupnosti,

• bezpečné ukládání přihlašovacích údajů,

• redundantní infrastruktura,

• přechod na záložní systémy v případě výpadku (disaster recovery failover),

• omezování rychlosti požadavků (rate limiting) a blokování,

• přísná politika zabezpečení obsahu (Content-Security-Policy),

• Captcha,

• webový aplikační firewall (WAF).
  
  

PŘÍLOHA B – PŘEHLED DALŠÍCH ZPRACOVATELŮ

Platí pro uživatele produktu Disputes

Platí pro uživatele produktu Invoicing