Vilkår og betingelser for Mollie Invoicing

Disse tjenestevilkår (“Vilkår for Fakturatjeneste”) udgør en juridisk aftale mellem dig og den organisation eller enhed, du repræsenterer (herefter benævnt “Organisationen”, “dig” eller “din”) og Mollie B.V. og dets licensgivere (herefter benævnt “Mollie”, “vi” eller “vores”) for at regulere brugen af Fakturatjenesten.

Vilkårene for Fakturatjenesten fastsætter de betingelser, hvorunder du har tilladelse til at bruge Fakturatjenesten. Brugeraftalen, som gælder for dig i sin helhed, forbliver i kraft og suppleres af disse Vilkår for Fakturatjeneste. Hvor Brugeraftalen er i modstrid med disse Vilkår for Fakturatjeneste, vil disse Vilkår for Fakturatjeneste have forrang, men kun i forhold til Fakturatjenesten og brugen af denne.

Følgende definitioner gælder ud over de definitioner, der er inkluderet i Brugeraftalen eller enhver anden aftale mellem Mollie og Organisationen:

Ved at bruge Fakturatjenesten accepterer du  følgende vilkår:

1. Beskrivelse af tjenesten

1.1 Mollies fakturatjeneste er en digital faktureringsløsning, der er designet til at hjælpe platforme eller forhandlere med effektivt at oprette, tilpasse, sende og administrere fakturaer via Mollies Dashboard eller Faktura-API ved at muliggøre hurtig fakturaoprettelse, momsangivelse, automatiske betalingspåmindelser og trackere samt flere betalingsmuligheder for kunder (“Fakturatjeneste”).

2. Priser

2.1 Fakturatjenesten prissættes i overensstemmelse med www.mollie.com/pricing eller som på anden måde skriftligt aftalt mellem parterne. 

3. Personlige oplysninger og databehandling 

3.1 Ved at bruge Fakturatjenesten kan du blive pålagt at give personlige oplysninger om dine kunder og brugere til Mollie, og Mollie kan behandle sådanne personlige oplysninger for at få Fakturatjenesten til at fungere. Du giver Mollie tilladelse og samtykke til at bruge dine personlige oplysninger, eller dine kunders oplysninger, og/eller gøre personlige oplysninger om dig eller dine kunder tilgængelige for tredjeparter, i det omfang dette er nødvendigt for at muliggøre eller levere Fakturatjenesten. Du anses for at være 'dataansvarlig' for alle personoplysninger, der bruges til at generere fakturaer, og vi vil behandle personoplysninger som 'databehandler' i overensstemmelse med Schedule 1 (DATABEHANDLER_AFTALE FOR MOLLIE FAKTURATJENESTE) og Mollies fortrolighedserklæring, der er tilgængelig på www.mollie.com/legal/privacy.

3.2 Uanset hvad der måtte være modstridende, garanterer du, når du bruger Fakturatjenesten, at du overholder, og fortsat vil overholde, enhver og alle databeskyttelseskrav, herunder, uden begrænsning, den generelle forordning om databeskyttelse (“GDPR”) eller enhver tilsvarende databeskyttelsesforordning eller lov, der gælder for din forretningsaktivitet.

4. Dine forpligtelser og dit ansvar

4.1 Du må ikke bruge Fakturatjenesten, eller tillade den at blive brugt, på nogen ulovlig eller uhensigtsmæssig måde.

4.2 Du skal overholde gældende og fremtidige love og regler med hensyn til faktura- og/eller skattekrav. Ansvaret for at sikre, at en faktura er nøjagtig og korrekt, herunder de anvendte momssatser, påhviler udelukkende dig. Hvis den gældende momssats på din faktura ikke understøttes af Fakturatjenesten (f.eks. på grund af ændringer i et lands gældende momssatser), skal du give os skriftlig besked uden unødig forsinkelse, og vi vil vurdere og om nødvendigt justere konfigurationsmulighederne i Fakturatjenesten for at understøtte den nye momssats.

4.3 Du er ansvarlig for at tage passende forholdsregler (regelmæssigt og i overensstemmelse med de involverede risici) for at sikre de data og det indhold, der indtastes, uploades og gemmes i forbindelse med din brug af Fakturatjenesten, samt for at oprette dine egne sikkerhedskopier for at sikre genopbygning af data og oplysninger i tilfælde af tab. Du skal efter bedste evne forhindre uautoriseret adgang fra tredjeparts side til Fakturatjenesten.

4.4 Du er ikke berettiget til (medmindre andet er udtrykkeligt aftalt skriftligt):

• at gøre Fakturatjenesten tilgængelig i nogen form for andre tredjeparter end dine medarbejdere, agenter, kontrahenter og andre tilknyttede brugere, eller

• at reproducere, ændre eller foretage reverse engineering af dele af Fakturatjenesten, at skille den ad, dekompilere eller oversætte den.

4.5 Du har taget gældende forpligtelser under Schedule 1 til efterretning og accepterer dem.

5. Licens og IP 

5.1 Du tildeles en ikke-eksklusiv, ikke-overdragelig, ikke-sublicenserbar, verdensomspændende, tilbagekaldelig og midlertidig ret til at bruge Fakturatjenesten. Fakturatjenesten stilles udelukkende til rådighed for dig på en ikke-eksklusiv basis. Mollie er ikke forpligtet til at levere andre tjenester end Fakturatjenesten. Der gives ingen yderligere brugsrettigheder i forhold til Fakturatjenesten.

5.2 Du er fuldt ud ansvarlig for at administrere brugerrettigheder, og du skal sikre, at alle brugere overholder de begrænsninger, der er indeholdt i Mollies Brugeraftale og disse vilkår og betingelser, når de bruger Fakturatjenesten.

5.3 Alle immaterielle rettigheder og brugsrettigheder (bortset fra den licens, der gives herunder) i forbindelse med Fakturatjenesten, herunder kildekoden, databaser, funktionalitet, software, webstedsdesign, lyd, video, tekst, fotos og grafik (“IP-rettigheder”), forbliver fuldt ud hos Mollie.

5.4 I det omfang du er forsynet med softwareudviklingssæt (“SDK'er”), herunder enhver opdatering deraf eller teknisk support, gælder følgende særlige bestemmelser for SDK:

• Du tildeles en ikke-eksklusiv, ikke-overdragelig, tilbagekaldelig, royaltyfri licens til at (i) installere og bruge SDK'et udelukkende i objektkodeform til at udvikle programmer bestående af kompileret kode genereret ved hjælp af SDK'et, eller en hvilken som helst del deraf, der er designet til at fungere sammen med produktet; (ii) tage et begrænset antal kopier af SDK-dokumentationen, som udelukkende må bruges af dine medarbejdere eller konsulenter til udviklingsformål og ikke til generelle forretningsformål eller til distribution; og (iii) distribuere SDK'et udelukkende i objektkodeform som en del af produktet;

• Mollie er berettiget til, men ikke forpligtet til, at yde teknisk eller anden support til SDK'erne;

• SDK'erne indeholder kode, der bevirker, at automatiske fejlmeddelelser sendes af dig, og du acceptere, at Mollie har en eviggyldig, uigenkaldelig, ubegrænset ret til at bruge sådanne oplysninger til sine forretningsformål, herunder, uden begrænsning, til produktsupport og -udvikling;

• hvis du bruger SDK'erne til at køre applikationer udviklet af dig eller en tredjepart, eller til at få adgang til data, indhold eller ressourcer leveret af en tredjepart, accepterer du, at Mollie ikke er ansvarlig for disse applikationer, data, indhold eller ressourcer;

• SDK'erne er licenseret “som de er”. Du bærer risikoen ved at bruge dem; Mollie fraskriver sig alle garantier (uanset om de er lovbestemte, udtrykkelige eller underforståede) og giver ingen garantier i forhold til din brug af SDK'erne.

  
  

6. Ansvar og skadesløsholdelse

6.1 Mollie er ikke ansvarlig for fejl, handlinger, undladelser eller manglende overholdelse, der skyldes dine data, indstillinger eller brug af Fakturatjenesten. Du er alene og i sidste ende ansvarlig for at sikre, at alle data, der bruges til at oprette eller udstede fakturaer, herunder anvendte momssatser, overholder gældende (skatte)love i det pågældende brugsland. Mollie har ingen pligt til at kontrollere nøjagtigheden, fuldstændigheden eller rigtigheden af data eller (moms)indstillinger, der er konfigureret, leveret eller brugt af dig via Fakturatjenesten. Du skal skadesløsholde og holde Mollie skadesløs for alle tredjepartskrav, forpligtelser, skader, tab, omkostninger og udgifter (herunder rimelige advokatsalærer), der måtte opstå som følge af eller i forbindelse med din brug af Fakturatjenesten, herunder momskonfiguration. 

6.2 For at undgå enhver tvivl skal vores ansvar, i det omfang Mollie er erstatningsansvarlig, begrænses i overensstemmelse med Brugeraftalen.

Schedule 1: DATABEHANDLER_AFTALE

Denne DATABEHANDLER_AFTALE (herefter “DPA”) inklusive dens bilag beskriver parternes forpligtelser, herunder i henhold til gældende databeskyttelseslovgivning, med hensyn til behandling af personoplysninger (som defineret nedenfor). DPA'en er indarbejdet i Brugeraftalen.

Denne DPA er indgået mellem Organisationen (herefter “Dataansvarlig”)

og 

Mollie B.V., et selskab med begrænset ansvar (besloten vennootschap) med registreret hjemsted i Amsterdam på Keizersgracht 126, 1015 CW Amsterdam, Holland og registreret i det hollandske handelskammer under nummer 30204462 (herefter “Mollie” eller “Databehandler”)

og 

Mollie UK Ltd., et selskab med begrænset ansvar med registreret hjemsted i London, 7 Pancras Square, London N1C 4AG, Storbritannien og registreret hos Companies House under nummer 14013554 (herefter “Mollie” eller “Databehandler”),

hver en “Part” og i fællesskab “Parterne”. 

Definitioner 

I denne DPA har følgende udtryk den betydning, der er angivet nedenfor. Lovbestemte udtryk, der anvendes, men ikke er defineret heri, skal have den betydning, der er angivet i aftalen.

Aftale
aftalen mellem den Dataansvarlige og Databehandleren om levering af tjenesteydelser (“Brugeraftale”).

Bindende virksomhedsregler
regler for beskyttelse af personoplysninger, som overholdes af en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, i forbindelse med overførsler eller en række overførsler af personoplysninger til en dataansvarlig eller databehandler i et eller flere tredjelande inden for en koncern eller en gruppe af virksomheder, der udøver en fælles økonomisk aktivitet.

Dataansvarlig
den fysiske eller juridiske person, offentlige myndighed, institution eller andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Kunde
Kunder hos Organisationen, som ønsker at betale for produkter og/eller tjenester leveret af Organisationen via Mollies Payment Module.

Brud på datasikkerheden
et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. 

Databehandler aftale
denne aftale, inklusive alle bilag.

Tilsynsmyndighed
et uafhængigt offentligt organ, der er ansvarligt for at føre tilsyn med overholdelsen af den gældende lovgivning vedrørende behandling af personoplysninger. I Holland er dette Autoriteit Persoonsgegevens.

Konsekvensanalyse vedrørende databeskyttelse
en vurdering af konsekvenserne af de planlagte behandlingsaktiviteter for beskyttelse of personoplysninger. 

Databeskyttelseslovgivning
alle gældende regler vedrørende databeskyttelse og privatlivets fred, herunder, men ikke begrænset til, EU's generelle forordning om databeskyttelse, alle lokale love og regler, der ændrer eller erstatter nogen af dem, sammen med eventuelle nationale gennemførelseslove i en medlemsstat i Det Europæiske Økonomiske Samarbejdsområde (EØS), i det omfang de finder anvendelse, i et hvilket som helst andet land, som ændret, ophævet, konsolideret eller erstattet fra tid til anden. 

Registreret
den fysiske person, som personoplysningerne vedrører (f.eks. kunder).

GDPR
Europa-Parlamentets og Rådets generelle forordning om databeskyttelse (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. 

Personoplysninger
enhver form for information om en identificeret eller identificerbar fysisk person; ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokalitetsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. 

Behandling
enhver aktivitet eller række af aktiviteter, som personoplysninger eller en gruppe af personoplysninger gøres til genstand for, hvad enten det sker automatisk eller ej, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. Denne liste er ikke udtømmende. Udtrykkene “behandle”, “behandles” og “behandlet” fortolkes i overensstemmelse hermed. 

Databehandler
en fysisk eller juridisk person, offentlig myndighed, institution eller et andet organ, der behandler (person)oplysninger på den dataansvarliges vegne.

Organisation
den organisation, der bruger Mollies Payment Module til formål, herunder men ikke begrænset til, salg af produkter og/eller tjenester til kunder.

Standardkontraktbestemmelser
Europa-Kommissionens standardkontraktbestemmelser for databehandlere (2010/87/EU) eller Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (C/2021/3972).

Underdatabehandler
enhver tredjepart, enhed eller virksomhed, som databehandleren har engageret til at behandle personoplysninger i forbindelse med leveringen af tjenesteydelserne i henhold til aftalen. 

AFSNIT A FORMÅL 

Artikel A.1 Anvendelsesområde

Databehandleren har accepteret at levere tjenesteydelser til den Dataansvarlige i overensstemmelse med vilkårene i Brugeraftalen. Ved levering af tjenester vil Databehandleren behandle personoplysninger på vegne af den Dataansvarlige som identificeret i denne DPA. Som finansiel institution behandler Databehandleren også personoplysninger i egenskab af dataansvarlig. 

Parterne anerkender og accepterer, at i det omfang Mollie behandler personoplysninger, der er involveret i betalingstransaktioner, til at: i) eksekvere Brugeraftalen med den Dataansvarlige; ii) overvåge, forebygge og opdage svigagtige betalingstransaktioner; iii) overholde juridiske eller lovmæssige forpligtelser, der gælder for behandling og opbevaring af betalingsdata, som Mollie er underlagt, herunder gældende hvidvaskscreening og overholdelse af kend din kunde-forpligtelser; og iv) forbedre Mollies produkter og tjenester, handler Mollie som dataansvarlig og har den eneste og eksklusive kompetence til at fastsætte formålene med og midlerne til behandlingen af personoplysninger, som den modtager fra eller gennem (levering af tjenester til) den Dataansvarlige.

De behandlingsaktiviteter, personoplysninger og kategorier af registrerede, som Databehandleren behandler personoplysninger for på vegne af den Dataansvarlige, er identificeret i Bilag A. 

AFSNIT B FORPLIGTELSER 

Artikel B.1 Den Dataansvarliges forpligtelser 

Den Dataansvarlige er ansvarlig for de personoplysninger, som Databehandleren behandler, og skal sikre overholdelse af al databeskyttelseslovgivning, herunder krav i forbindelse med overførsel af personoplysninger i henhold til denne DPA og Brugeraftalen. Den Dataansvarlige garanterer at have ret til at behandle personoplysningerne og har ret til at udpege Databehandleren til at behandle oplysningerne på den Dataansvarliges vegne.

Den Dataansvarlige accepterer, at uden begrænsning af Databehandlerens forpligtelser i henhold til denne DPA, er den Dataansvarlige alene ansvarlig for sin brug af tjenesterne, herunder (a) at gøre passende brug af tjenesterne for at sikre et sikkerhedsniveau, der passer til risikoen i forhold til personoplysningerne; (b) at sikre kontogodkendelsesoplysninger, systemer og enheder, som den Dataansvarlige bruger til at få adgang til tjenesterne; (c) at sikre den Dataansvarliges systemer og enheder, som den bruger til tjenesterne; og (d) at opretholde sine egne sikkerhedskopier af personoplysninger.

Artikel B.2 Databehandlerens forpligtelser 

Databehandleren forpligter sig til at: 

1. kun at behandle personoplysningerne i overensstemmelse med dokumenterede instrukser fra den Dataansvarlige og tage de nødvendige skridt til at sikre, at enhver fysisk person, der handler under dennes myndighed, og som har adgang til personoplysningerne, ikke behandler personoplysningerne, undtagen efter instruks fra den Dataansvarlige;

2. straks informere den Dataansvarlige, hvis instrukser vedrørende behandlingen af personoplysninger, som den Dataansvarlige har givet til Databehandleren, overtræder gældende databeskyttelseslovgivning eller bestemmelserne i denne DPA;

3. iværksætte passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og behandlingens karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder; og

4. uden unødig forsinkelse informere den Dataansvarlige, hvis den modtager en klage eller anmodning i forbindelse med en af parternes forpligtelser i henhold til den databeskyttelseslovgivning, der er relevant for denne DPA, herunder ethvert erstatningskrav fra en registreret eller enhver meddelelse, undersøgelse eller anden handling fra en tilsynsmyndighed, og give den Dataansvarlige alle detaljer om en sådan undersøgelse, klage eller anmodning, medmindre det ikke er tilladt i henhold til loven eller efter anmodning fra tilsynsmyndigheden.
   
   

AFSNIT C OVERFØRSLER OG UNDERDATABEHANDLERE

Artikel C.1 Overførsel af personoplysninger 

Hvor personoplysninger vedrørende en registreret i EU overføres til lande uden for EØS, skal de behandles af en enhed: (i) beliggende i et tredjeland eller område, der af EU-Kommissionen er anerkendt som havende et tilstrækkeligt beskyttelsesniveau, eller (ii) som er underlagt EU's standardkontraktbestemmelser og/eller den britiske International Data Transfer Agreement eller de britiske SCC'ers tillæg, eller (iii) som har andre juridisk anerkendte passende garantier på plads, såsom bindende virksomhedsregler, der garanterer samme beskyttelsesniveau og garantier som denne DPA. 

Artikel C.2 Underdatabehandlere 

Den Dataansvarlige giver hermed sit samtykke til Databehandlerens brug af de de underdatabehandlere, der er angivet i Bilag B. Denne liste kan opdateres af Databehandleren fra tid til anden i overensstemmelse med denne DPA.

Før en ny underdatabehandler engageres til de i Bilag A nævnte tjenester, skal Databehandleren underrette den Dataansvarlige, der bruger nævnte tjeneste, herom og give den Dataansvarlige mindst ti (10) kalenderdage til at gøre indsigelse, undtagen hvor Databehandleren har rimelig grund til at antage, at det er nødvendigt at engagere en ny underdatabehandler hurtigt for at beskytte fortroligheden, integriteten eller tilgængeligheden af personoplysningerne eller for at undgå væsentlig forstyrrelse af de leverede tjenester. I så fald vil Databehandleren give besked herom så hurtigt som muligt. Hvis den Dataansvarlige inden for fem (5) kalenderdage efter en sådan meddelelse skriftligt meddeler Databehandleren, at den Dataansvarlige modsætter sig Databehandlerens udpegelse af en ny underdatabehandler baseret på rimelige databeskyttelseshensyn, vil parterne drøfte disse hensyn i god tro, og om de kan løses. Indsigelser mod nye underdatabehandlere skal sendes til privacy@mollie.com. 

Den Dataansvarlige anerkender, at underdatabehandlere er afgørende for at kunne levere tjenesterne, og at indsigelse mod brugen af en underdatabehandler kan forhindre Databehandleren i at tilbyde tjenesterne til den Dataansvarlige. Hvis parterne ikke kan nå til enighed om en løsning af sådanne problemer, kan den Dataansvarlige, som sit eneste og eksklusive retsmiddel, opsige DPA'en til ophør.

Alle underdatabehandlere, der behandler personoplysninger i forbindelse med leveringen af tjenesteydelser til den Dataansvarlige, skal overholde de forpligtelser, der er fastsat i denne DPA. Inden personoplysninger videregives til en underdatabehandler, skal Databehandleren foretage en passende due diligence for at sikre, at underdatabehandleren er i stand til at levere det beskyttelsesniveau for den Dataansvarliges 

personoplysninger, der kræves i henhold til denne DPA, og indgå en aftale med denne underdatabehandler, i henhold til hvilken underdatabehandleren indvilger i at overholde forpligtelser, der svarer til dem, der er fastsat i denne DPA. 

AFSNIT D SIKKERHED 

Artikel D.1 Sikkerhedsforanstaltninger

Databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen, herunder herunder bl.a. efter behov:

1. pseudonymisering og kryptering af personoplysninger; 

2. evnen til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester; 

3. evnen til at genoprette tilgængeligheden af og adgangen til personoplysninger i tide i tilfælde af en fysisk eller teknisk hændelse; og 

4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden. Ved vurderingen af det passende 

sikkerhedsniveau skal der især tages hensyn til de risici, som behandlingen frembyder, navnlig i forbindelse med hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Artikel D.2 Meddelelse om brud på datasikkerheden

Databehandleren skal uden unødig forsinkelse underrette den Dataansvarlige om enhver hændelig eller ulovlig tilintetgørelse, tab, ændring eller uautoriseret videregivelse af eller adgang til personoplysninger efter opdagelsen, for så vidt bruddet på datasikkerheden udelukkende er relateret til Databehandlerens behandling af personoplysninger i sin egenskab af databehandler. Hvis og hvor bruddet på datasikkerheden vedrører personoplysninger, for hvilke Databehandleren anses for at være Dataansvarlig som beskrevet i Databehandlerens Privacy Statement, forbeholder Databehandleren sig ret til at behandle bruddet på datasikkerheden som dataansvarlig. 

En forsinkelse i afgivelsen af en meddelelse om brud på datasikkerheden, der er anmodet om af retshåndhævende myndigheder og/eller i lyset af Databehandlerens legitime behov for at undersøge eller afhjælpe sagen før afgivelse af meddelelse, skal ikke udgøre en unødig forsinkelse. Sådanne meddelelser vil så vidt muligt beskrive detaljerne om bruddet på datasikkerheden, herunder de skridt, der er taget for at mindske de potentielle risici. Uden at det påvirker Databehandlerens forpligtelser i henhold til dette afsnit D.1, er den Dataansvarlige alene ansvarlig for at overholde de love om underretning om brud på datasikkerheden, der gælder for den Dataansvarlige, og for at opfylde eventuelle forpligtelser til underretning af tredjepart i forbindelse med eventuelle brud på datasikkerheden. Databehandlerens meddelelse om eller svar på et brud på datasikkerheden i henhold til dette afsnit D.1. vil ikke blive fortolket som en anerkendelse fra Databehandlerens side af eventuel skyld eller ansvar med hensyn til bruddet på datasikkerheden.

Eventuelle omkostninger i forbindelse med afhjælpning af bruddet på datasikkerheden og iværksættelse af foranstaltninger, der er nødvendige for at forhindre et sådant brud på datasikkerheden i fremtiden, afholdes af den part, der afholder omkostningerne. 

AFSNIT E REVISION

Artikel E.1 Ret til revision 

Den Dataansvarlige har ret til efter rimelig varsel at anmode om revisionsrapporter fra Databehandleren vedrørende behandlingen of personoplysninger inden for rammerne af de tjenester, der leveres i henhold til denne DPA.

Revisionsrapporter, som der henvises til i denne bestemmelse, omfatter, men er ikke begrænset til, rapporter relateret til de sikkerheds-, fortroligheds- og databeskyttelsesforanstaltninger, som Databehandleren har implementeret i forbindelse med behandlingen af personoplysninger. Disse rapporter kan også dække overholdelse af gældende databeskyttelseslovgivning.

Anmodninger om revisionsrapporter skal fremsættes skriftligt og sendes til privacy@mollie.com med angivelse af anmodningens omfang og formål. Databehandleren skal bekræfte modtagelsen af sådanne anmodninger i tide.

Modtagelsen af revisionsrapporter er underlagt professionel tavshedspligt. Den Dataansvarlige må kun bruge revisionsrapporterne med det formål at opfylde sine lovgivningsmæssige revisionskrav og bekræfte, at Databehandlerens behandling of personoplysninger overholder denne DPA. Revisionsrapporterne må ikke deles eksternt.

AFSNIT F KONSEKVENSANALYSER VEDRØRENDE DATABESKYTTELSE OG FORUDGÅENDE HØRINGER

Artikel F.1 Bistand

Databehandleren skal bistå den Dataansvarlige med at foretage en vurdering af konsekvenserne af behandlingen af personoplysninger (artikel 35 i GDPR) og med eventuelle høringer af en tilsynsmyndighed (artikel 36 i GDPR), hvis og i det omfang en vurdering eller høring er påkrævet i henhold til databeskyttelseslovgivningen, og hvor det er tilladt og/eller påkrævet, at Databehandleren samarbejder.

AFSNIT G DE REGISTREREDES RETTIGHEDER

Artikel G.1 Bistand

Hvis Databehandleren modtager en anmodning fra en registreret i forhold til den Dataansvarliges personoplysninger, vil Databehandleren råde den registrerede til at indsende sin anmodning til den Dataansvarlige og/eller videresende anmodningen til den Dataansvarlige, og den Dataansvarlige vil være ansvarlig for at besvare en sådan anmodning.

Efter anmodning fra den Dataansvarlige og for dennes regning vil Databehandleren give den Dataansvarlige den bistand, som denne rimeligvis måtte kræve for at overholde forpligtelserne i henhold til databeskyttelseslovgivningen til at besvare anmodninger fra registrerede om at udøve deres rettigheder i henhold til databeskyttelseslovgivningen (f.eks. ret til dataindsigt, berigtigelse, sletning, begrænsning, portabilitet og indsigelse) i tilfælde, hvor den Dataansvarlige ikke rimeligt kan opfylde sådanne anmodninger uafhængigt via sin adgang til Databehandlerens produkter og tjenester.

AFSNIT H DIVERSE 

Artikel H.1 Fortrolighed 

Databehandleren skal behandle alle personoplysninger fortroligt og skal sikre, at alle medarbejdere, agenter, ledere og kontrahenter, der har adgang til eller er involveret i behandlingen af personoplysninger, er klar over personoplysningernes fortrolige karakter og er kontraktligt forpligtet til at behandle personoplysningerne fortroligt samt er informeret om og overholder forpligtelserne i denne DPA.

Artikel H.2 Ansvar

Ethvert ansvar, der opstår som følge af denne DPA, vil være styret af de relevante bestemmelser i Brugeraftalen, herunder ansvarsbegrænsninger. 

Uanset bestemmelserne i Brugeraftalen er hver Part kun ansvarlig over for den anden Part for skader, som den forårsager den anden Part ved misligholdelse af denne DPA. Disse skader skal påvises klart. Databehandleren er kun ansvarlig for skader forårsaget af behandlingen, hvis den ikke har overholdt de forpligtelser i databeskyttelseslovgivningen, der specifikt er rettet mod databehandlere, eller hvis den har handlet uden for eller i strid med den Dataansvarliges lovlige instrukser som beskrevet i denne DPA. I den sammenhæng vil Databehandleren kun være erstatningsansvarlig, hvis den Dataansvarlige beviser, at Databehandleren er ansvarlig for den begivenhed, der gav anledning til skaden.

Den Dataansvarlige er alene ansvarlig over for den registrerede, og den registrerede er berettiget til at modtage erstatning for enhver materiel eller immateriel skade, som den Dataansvarlige eller Databehandleren (eller dennes underdatabehandler(e)) forårsager den registrerede ved at overtræde denne DPA.

Artikel H.3 Løbetid og opsigelse 

Løbetiden for denne DPA skal falde sammen med påbegyndelsen af Brugeraftalen og/eller brugen af det specifikke produkt eller den specifikke tjeneste som anført i Bilag A.

Denne DPA ophører automatisk sammen med ophøret af Brugeraftalen og/eller brugen af det specifikke produkt eller den specifikke tjeneste som anført i Bilag A, alt efter hvad der ophører først.

Ved ophør af denne DPA skal Databehandleren efter den Dataansvarliges anmodning returnere personoplysningerne til den Dataansvarlige eller til en af den Dataansvarlige udpeget Databehandler, eller slette personoplysningerne, medmindre Databehandleren er forpligtet til at opbevare en kopi i overensstemmelse med lovgivningen i Den Europæiske Union eller en af Den Europæiske Unions medlemsstater.

AFSNIT I AFSLUTTENDE BESTEMMELSER 

Artikel I.1 Hele aftalen 

Denne DPA udgør en del af Brugeraftalen. Alle rettigheder og forpligtelser, der udspringer af Brugeraftalen, gælder også for denne DPA. Bilag A udgør en integreret del af denne DPA.

Artikel I.2 Kun ændring ved aftale 

Ingen ændring af denne DPA er gyldig, medmindre den er skriftlig og underskrevet af bemyndigede repræsentanter for hver part. 

Artikel I.3 Uafhængighed 

Hver af bestemmelserne i denne DPA er særskilte og uafhængige, og hvis en bestemmelse eller en del af en bestemmelse erklæres uigennemførlig, ulovlig eller ugyldig helt eller delvist af en domstol, tilsynsmyndighed eller anden kompetent myndighed, skal den i det omfang anses for ikke at være en del af denne DPA, og håndhævelsen, lovligheden og gyldigheden af resten af denne DPA vil ikke blive påvirket. Parterne er enige om at forsøge at erstatte en ugyldig eller uigennemførlig bestemmelse med en gyldig eller gennemførlig bestemmelse, som i videst muligt omfang opnår samme virkning, som ville

være opnået med den ugyldige eller uigennemførlige bestemmelse. Bortset fra de ændringer, der gennemføres med denne DPA, forbliver Brugeraftalen uændret og i fuld kraft og virkning.

Artikel I.4 Ret til overdragelse 

Parterne kan kun overdrage denne DPA i overensstemmelse med Brugeraftalen (punkt 8.9). 

Artikel I.5 Lovvalg 

Denne DPA er underlagt og skal fortolkes i overensstemmelse med hollandsk lovgivning. Hver Part indvilger i, at domstolene i Amsterdam har eksklusiv kompetence til at afgøre enhver tvist, der måtte opstå i forbindelse med denne DPA. Skulle en domstol eller et administrativt organ med kompetent jurisdiktion finde en bestemmelse i denne DPA ugyldig, uigennemførlig eller ulovlig, skal de øvrige bestemmelser i denne DPA forblive i fuld kraft og virkning. 

BILAG A – SPECIFIKATION AF BEHANDLING AF PERSONOPLYSNINGER 

1. FORMÅLET MED BEHANDLINGEN

Behandling af personoplysninger er direkte relateret til levering af de tjenester, der leveres i henhold til Brugeraftalen.

Formålene med behandlingen er:

• Tvister

  • At facilitere håndtering og løsning af tvister mellem den Dataansvarlige og dennes Kunder via Mollies produkter og tjenester.

  • At forsyne den Dataansvarlige med de nødvendige værktøjer og oplysninger til at besvare tvistekrav, såsom tilbageførsler eller betalingsforespørgsler.

• Fakturering

  •  At facilitere afsendelse af fakturaer til den Dataansvarliges Kunder via Mollies produkter og tjenester 

2. KATEGORIER AF REGISTREREDE 

Databehandleren vil behandle personoplysninger for følgende kategorier af registrerede for den Dataansvarlige:

• Kunder hos den Dataansvarlige: Betalerne (forbrugere eller erhvervskunder), der initierer en betaling, forespørgsel eller tvist.

Tvister

• Tredjepartsmodtagere: Personer identificeret i leveringsoptegnelser eller transaktionsbeviser, som muligvis ikke er betaleren (f.eks. en person, der modtager en gave på en leveringsadresse).

• Autoriserede repræsentanter / personale hos den Dataansvarlige: Medarbejdere hos forhandleren, hvis navne, kontaktoplysninger eller underskrifter kan forekomme i tvistebeviser, kommunikationslogfiler eller supportbilletter.

• Tredjepartstjenesteudbydere: Personer, hvis data kan være indeholdt i beviser leveret af underdatabehandlere eller partnere (f.eks. leveringschaufførers navne på en underskrift for leveringsbekræftelse).

Fakturering

• Fakturadetaljer (som inkluderet af den Dataansvarlige)

3. TYPER AF PERSONOPLYSNINGER 

Databehandleren vil behandle følgende typer af personoplysninger for den Dataansvarlige:

• Identitets- og kontaktoplysninger: Fulde navn, e-mailadresse, telefonnummer og faktureringsadresse for betaleren.

• Transaktionsmetadata: Transaktions-ID, ordrenummer, beløb, valuta, dato/tidspunkt og den specifikke anvendte betalingsmetode (f.eks. kreditkort, Klarna, iDEAL).

• Opfyldelses- og logistikdata: 

  • Forsendelsesoplysninger: Leveringsadresse (vejnavn, husnummer, postnummer, by, land).

  • Sporingsinfo: Transportørens navn, sporingsnumre og transit-/leveringsstatuslogfiler i realtid.

  • Leveringsbevis: Digitale underskrifter, tidsstempler for levering og fotografisk dokumentation for levering (f.eks. pakke ved døren).

• Bevis for tvist (ustrukturerede data): 

  • Uploadede filer: Alle personoplysninger indeholdt i dokumenter, som den Dataansvarlige uploader manuelt (f.eks. PDF-fakturaer, chatlogfiler fra kundesupport, skærmbilleder af WhatsApp eller e-mailkorrespondance).

• Tekniske identifikatorer: IP-adresser, enhedsfingeraftryk og browsermetadata indsamlet på transaktionstidspunktet (bruges til at bekræfte kundens placering og identitet for at bekæmpe svindel).

Kategorierne af personoplysninger anført ovenfor afspejler det tilsigtede omfang af behandlingen i henhold til denne aftale. Hvor personoplysninger, der falder uden for disse kategorier, tilfældigt deles eller indlejres i ustrukturerede data eller uploadede dokumenter, skal Databehandleren håndtere sådanne data med passende omhu og anvende passende tekniske og organisatoriske foranstaltninger.

4. SIKKERHEDSFORANSTALTNINGER 

Kontekst 

Som finansiel institution er de sikkerhedskontroller og driftsprocedurer, som Mollie har oprettet til vores applikationer, systemer og IT-processer, underlagt revision af den hollandske centralbank (DNB), som igen bruger vejledning fra Den Europæiske Banktilsynsmyndighed (EBA) for tekniske standarder, som licenshavere skal overholde. 

Desuden er Mollie, da Mollie (også) fungerer som dataansvarlig for personoplysninger, også reguleret af anden lovgivning, der fastsætter standarder for sikkerhed og databeskyttelse, som håndhæves af yderligere myndigheder - herunder især GDPR og dens tilsynsmyndighed i Holland (Autoriteit Persoonsgegevens). 

Desuden er de systemer, der specifikt behandler kortdata, systemer, der overholder niveau 1 PCI DSS, hvilket betyder, at denne specifikke applikation og procedurerne for udvikling og vedligeholdelse af den er underlagt de databeskyttelsesforanstaltninger, der er beskrevet af PCI Council, og overholdelsen heraf vurderes årligt af en ekstern part for Mollie. 

Generelle foranstaltninger

Alle applikationer, systemer og procedurer i forbindelse med dem er underlagt Mollies informationssikkerhedspolitik. Højdepunkter fra denne og andre politikker, der er relevante for omfanget af de leverede tjenester, er:

• Medarbejderscreening

• Udviklerens program til sikkerhedstræning

• Program for sikkerhedsbevidsthed

• Adskillelse af funktioner

• Håndtering af ændringer

• Håndtering af sårbarheder

• Håndtering af hændelser

• Håndtering af robusthed og sikkerhedskopiering

• Håndhævelse af stærk adgangskontrol (IAM og IGA)

• Gennemgang af brugerautorisationer

• Standarder for systemklassificering

• Standarder for dataklassificering og datapolitik

• Standarder for sikker konfiguration baseret på branchens bedste praksis, håndhævelse af politikker (hærdning)

• Fysisk og logisk opdeling af netværksmiljøer

• Sikre krypteringsstandarder

• Administration af krypteringsnøgler

• Kryptering (under overførsel, i hvile for delte infrastrukturmiljøer som f.eks. skyen)

• Håndtering af risici i forbindelse med tredjeparter

• Overvågning af tilgængelighed og fejl

• Sikker livscyklus for udvikling

  • Trusselsmodellering ved væsentlige ændringer og nye funktioner

  • Håndtering af afhængigheder og scanning efter kendte sårbarheder

  • Statisk sikkerhedsanalyse of kode

  • Intern og ekstern scanning for sårbarheder

• Koordineret offentliggørelse af sårbarheder (CVD) og bug bounty-program

• Program for trusselsintelligens (f.eks. deltagelse i det hollandske PI-ISAC, videndelings- og analysecenter for betalingsinstitutter, overvågning af det mørke web)

• Samarbejde med Managed Security Service Provider (MSSP) om sikkerhedsoperationer, analyser og retsmedicinske undersøgelser

• Sikkerhedsinformation og hændelsesstyring (SIEM)

• Medarbejdernes endepunktssikkerhed

• E-mail-sikkerhed

Mollie Platform

Ud over de generelle sikkerhedsforanstaltninger, der er beskrevet ovenfor, er Mollie Platform-applikationen dækket af følgende sikkerhedsforanstaltninger - enten som et resultat af implementeringen af vores generelle sikkerhedspolitikker eller som en afbødende foranstaltning til at imødegå en risiko, der er identificeret i den applikationsspecifikke risikovurdering:

• 2-faktor adgangskontrol

• Penetrationstests fra tredjeparter

• Håndtering af sikkerhedshændelser

• DDoS-afbødning

• Reaktion på sikkerhedshændelser

• Overvågning af tilgængelighed

• Sikker lagring of loginoplysninger

• Redundant infrastruktur

• Disaster recovery failover

• Hastighedsbegrænsning og -låsning

• Streng Content-Security-Policy

• Captcha

• Firewall til webapplikationer
  
  

BILAG B – OVERSIGT OVER UNDERDATABEHANDLERE

Gælder for brugere af produktet Disputes

Gælder for brugere af produktet Invoicing