Συμφωνία Επεξεργασίας Δεδομένων

Αυτή Η ΣΥΜΦΩΝΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ (εφεξής "DPA") συμπεριλαμβανομένων των παραρτημάτων της περιγράφει τις υποχρεώσεις των Μερών, συμπεριλαμβανομένων των ισχυόντων νόμων για την προστασία των δεδομένων, σχετικά με την επεξεργασία προσωπικών δεδομένων (όπως ορίζεται παρακάτω). Το DPA είναι ενσωματωμένο στη Συμφωνία Χρήστη.

Αυτή η DPA είναι μεταξύ της Οργάνωσης (εφεξής "Εκδότης")

και 

Mollie B.V., μια εταιρεία περιορισμένης ευθύνης (besloten vennootschap) με την έδρα της στο Άμστερνταμ, στη Keizersgracht 126, 1015 CW Άμστερνταμ, Ολλανδία και καταχωρημένη στο Ολλανδικό Επιμελητήριο Εμπορίου με αριθμό 30204462, (εφεξής "Mollie" ή "Επεξεργαστής")

και 

Mollie UK Ltd., μια εταιρεία περιορισμένης ευθύνης με έδρα στο Λονδίνο, 7 Pancras Square, Λονδίνο N1C 4AG, Ηνωμένο Βασίλειο και καταχωρημένη στο Companies House με αριθμό 14013554, (εφεξής "Mollie" ή "Επεξεργαστής"),

κάθε μία "Μέρος" και από κοινού "Μέρη". 

Ορισμοί 

Στη DPA αυτή, οι παρακάτω όροι έχουν την έννοια που καθορίζεται παρακάτω. Οι κεφαλαιοποιημένοι όροι που χρησιμοποιούνται αλλά δεν ορίζονται εδώ θα έχουν την έννοια που ορίζεται στη Συμφωνία.

Συμφωνία: Η συμφωνία μεταξύ του Εκδότη και του Επεξεργαστή για την παροχή υπηρεσιών ("Συμφωνία Χρήστη").

Δεσμευτικοί Εταιρικοί Κανόνες: Πολιτικές προστασίας προσωπικών δεδομένων που τηρούνται από έναν εκδότη ή επεξεργαστή που έχει εγκατασταθεί στην επικράτεια μιας Κράτους-Μέλους για τη μεταφορά ή ένα σύνολο μεταφορών προσωπικών δεδομένων σε έναν εκδότη ή επεξεργαστή σε μία ή περισσότερες τρίτες χώρες εντός ενός ομίλου επιχειρήσεων ή ομάδας επιχειρήσεων που συμμετέχουν σε κοινή οικονομική δραστηριότητα.

Εκδότης: Το φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή άλλο σώμα που, μόνο ή από κοινού με άλλους, καθορίζει τον σκοπό και τους τρόπους της επεξεργασίας προσωπικών δεδομένων.

Πελάτης: Οι πελάτες της Οργάνωσης που επιθυμούν να πληρώσουν για προϊόντα και/ή υπηρεσίες που παρέχονται από την Οργάνωση μέσω του Μηχανισμού Πληρωμών της Mollie.

Παράβαση δεδομένων: Μία παράβαση ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε προσωπικά δεδομένα που μεταδίδονται, αποθηκεύονται ή με άλλο τρόπο επεξεργάζονται. 

Συμφωνία Επεξεργασίας Δεδομένων: Αυτή η συμφωνία, συμπεριλαμβανομένων όλων των συνημμένων.

Εποπτική Αρχή: Μια ανεξάρτητη κυβερνητική αρχή υπεύθυνη για την εποπτεία της συμμόρφωσης με τους ισχύοντες νόμους που σχετίζονται με την επεξεργασία προσωπικών δεδομένων. Στις Κάτω Χώρες, αυτή είναι η Autoriteit Persoonsgegevens.

Εκτίμηση Επιπτώσεων για την Προστασία των Δεδομένων: Μια εκτίμηση των επιπτώσεων των σχεδιαζόμενων διαδικασιών επεξεργασίας στην προστασία των προσωπικών δεδομένων.

Νόμοι Προστασίας Δεδομένων: Όλη η ισχύουσα νομοθεσία που σχετίζεται με την προστασία δεδομένων και την ιδιωτικότητα, συμπεριλαμβανομένων, ενδεικτικά, του Γενικού Κανονισμού Προστασίας Δεδομένων της ΕΕ, όλων των τοπικών νόμων και κανονισμών που τροποποιούν ή αντικαθιστούν οποιονδήποτε από αυτούς, μαζί με οποιονδήποτε εθνικό νόμο εφαρμογής σε οποιοδήποτε Κράτος-Μέλος της Ευρωπαϊκής Οικονομικής Ζώνης (ΕΕΖ), στο μέτρο που ισχύει, σε οποιαδήποτε άλλη χώρα, όπως τροποποιήθηκε, καταργήθηκε, ενοποιήθηκε ή αντικαταστάθηκε κατά καιρούς.

Υποκείμενο των Δεδομένων: Το φυσικό πρόσωπο στο οποίο σχετίζονται τα προσωπικά δεδομένα (π.χ. Πελάτες).

GDPR: Ο Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία προσωπικών δεδομένων και σχετικά με την ελεύθερη κυκλοφορία τέτοιων δεδομένων. 

Προσωπικά Δεδομένα: Καμία πληροφορία που σχετίζεται με ένα αναγνωρίσιμο ή αναγνωρίσιμο φυσικό πρόσωπο. Ένα αναγνωρίσιμο φυσικό πρόσωπο είναι αυτό που μπορεί να αναγνωριστεί, άμεσα ή έμμεσα, ιδίως αναφερόμενο σε αναγνωριστικό, όπως όνομα, αριθμός ταυτότητας, δεδομένα τοποθεσίας, διαδικτυακό αναγνωριστικό ή σε ένα ή περισσότερα χαρακτηριστικά ειδικά για τη φυσική, φυσιολογική, γενετική, ψυχική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του φυσικού προσώπου. 

Επεξεργασία: Οποιαδήποτε επιχείρηση ή σύνολο επιχειρήσεων που πραγματοποιούνται σε προσωπικά δεδομένα ή σύνολα προσωπικών δεδομένων, είτε από αυτοματοποιημένα μέσα είτε όχι, όπως συλλογή, καταγραφή, οργάνωση, δομή, αποθήκευση, προσαρμογή ή τροποποίηση, ανάκτηση, συμβουλευτική, χρήση, αποκάλυψη μέσω μετάδοσης, διάδοση ή με άλλο τρόπο διαθέσιμη, ευθυγράμμιση ή συνδυασμός, περιορισμός, διαγραφή ή καταστροφή. Αυτή η λίστα δεν είναι εξαντλητική. Οι όροι "επεξεργασία", "επεξεργασίες" και "επεξεργάστηκε" θα ερμηνεύονται αναλόγως. 

Επεξεργαστής: Ένα φυσικό ή νομικό πρόσωπο, δημόσια αρχή, οργανισμός ή άλλο σώμα που επεξεργάζεται (προσωπικά) δεδομένα εκ μέρους του Εκδότη.

Οργάνωση: Η οργάνωση που χρησιμοποιεί το Μηχανισμό Πληρωμών της Mollie για σκοπούς που περιλαμβάνουν, αλλά δεν περιορίζονται σε, την πώληση προϊόντων και/ή υπηρεσιών στους Πελάτες.

Πρότυπες Συμβατικές Ρήτρες: Πρότυπες Συμβατικές Ρήτρες της Ευρωπαϊκής Επιτροπής για τους Επεξεργαστές Δεδομένων (2010/87/EU) ή η Εκτελεστική Απόφαση της Επιτροπής (ΕΕ) 2021/914 της 4ης Ιουνίου 2021 σχετικά με τις τυπικές συμβατικές ρήτρες για τη μεταφορά προσωπικών δεδομένων σε τρίτες χώρες σύμφωνα με τον Κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (C/2021/3972).
Υπ-επεξεργαστήςοποιοδήποτε τρίτο πρόσωπο, οντότητα ή εταιρεία που απασχολείται από τον Επεξεργαστή για να επεξεργαστεί τα προσωπικά δεδομένα κατά την παροχή των υπηρεσιών σύμφωνα με τη Συμφωνία.

ΤΜΗΜΑ Α: ΣΚΟΠΟΣ 

Άρθρο Α.1 Εύρος

Ο Επεξεργαστής έχει συμφωνήσει να παρέχει υπηρεσίες στον Εκδότη σύμφωνα με τους όρους της Συμφωνίας Χρήστη. Κατά την παροχή υπηρεσιών, ο Επεξεργαστής θα επεξεργάζεται προσωπικά δεδομένα εκ μέρους του Εκδότη όπως αναγνωρίζεται σε αυτή τη DPA. Ο Επεξεργαστής, ως χρηματοπιστωτικό ίδρυμα, επεξεργάζεται επίσης προσωπικά δεδομένα ενεργώντας ως εκδότης. 

Τα Μέρη αναγνωρίζουν και συμφωνούν ότι στην περίπτωση που η Mollie επεξεργάζεται προσωπικά δεδομένα που σχετίζονται με συναλλαγές πληρωμών για: i) την εκτέλεση της Συμφωνίας Χρήστη με τον Εκδότη; ii) την παρακολούθηση, πρόληψη και ανίχνευση δόλιων συναλλαγών πληρωμών; iii) τη συμμόρφωση με νομικές ή κανονιστικές υποχρεώσεις που ισχύουν για την επεξεργασία και τη διατήρηση δεδομένων πληρωμής στις οποίες η Mollie υπόκειται, συμπεριλαμβανομένων των ισχυόντων ελέγχων κατά της χρηματοδότησης της τρομοκρατίας και της συμμόρφωσης με τις υποχρεώσεις γνώριζε τον πελάτη; και iv) τη βελτίωση των προϊόντων και υπηρεσιών της Mollie, η Mollie ενεργεί ως εκδότης και έχει την αποκλειστική εξουσία να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των προσωπικών δεδομένων που λαμβάνει από ή μέσω (παροχή υπηρεσιών στον) Εκδότη.

Οι δραστηριότητες επεξεργασίας, τα προσωπικά δεδομένα και οι κατηγορίες Υποκειμένων Δεδομένων για τα οποία ο Επεξεργαστής επεξεργάζεται προσωπικά δεδομένα εκ μέρους του Εκδότη αναγνωρίζονται στο Παράρτημα Α. 

ΤΜΗΜΑ Β: ΥΠΟΧΡΕΩΣΕΙΣ 

Άρθρο Β.1 Υποχρεώσεις του Εκδότη 

Ο Εκδότης είναι υπεύθυνος για τα προσωπικά δεδομένα που θα επεξεργαστεί ο Επεξεργαστής και θα διασφαλίσει τη συμμόρφωση με όλους τους Νόμους Προστασίας Δεδομένων, συμπεριλαμβανομένων των απαιτήσεων που αφορούν τη μεταφορά των προσωπικών δεδομένων σύμφωνα με αυτή τη DPA και τη Συμφωνία Χρήστη. Ο Εκδότης εγγυάται ότι έχει το δικαίωμα να επεξεργάζεται τα προσωπικά δεδομένα και κατέχει το δικαίωμα να διορίσει τον Επεξεργαστή, για να επεξεργαστεί τα δεδομένα εκ μέρους του Εκδότη.

Ο Εκδότης συμφωνεί ότι, χωρίς περιορισμό στις υποχρεώσεις του Επεξεργαστή σύμφωνα με αυτή τη DPA, ο Εκδότης είναι αποκλειστικά υπεύθυνος για τη χρήση των υπηρεσιών, συμπεριλαμβανομένων (α) της κατάλληλης χρήσης των υπηρεσιών για να διασφαλιστεί ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο σχετικά με τα προσωπικά δεδομένα; (β) της εξασφάλισης των διαπιστευτηρίων ταυτοποίησης του λογαριασμού, των συστημάτων και των συσκευών που χρησιμοποιεί ο Εκδότης για πρόσβαση στις υπηρεσίες; (γ) της ασφάλισης των συστημάτων και συσκευών του Εκδότη που χρησιμοποιεί μαζί με τις υπηρεσίες; και (δ) της διατήρησης αντίγραφων ασφαλείας των προσωπικών δεδομένων.

Άρθρο Β.2 Υποχρεώσεις του Επεξεργαστή 

Ο Επεξεργαστής αναλαμβάνει να: 

1. επεξεργάζεται τα προσωπικά δεδομένα μόνο σύμφωνα με τις εγγράφως τεκμηριωμένες οδηγίες του Εκδότη και θα λάβει τα απαραίτητα μέτρα για να διασφαλίσει ότι οποιοδήποτε φυσικό πρόσωπο που ενεργεί υπό την εξουσία του και έχει πρόσβαση στα προσωπικά δεδομένα δεν επεξεργάζεται τα προσωπικά δεδομένα εκτός εάν με οδηγίες του Εκδότη;

2. να ενημερώνει άμεσα τον Εκδότη εάν οποιαδήποτε από τις οδηγίες που αφορούν την επεξεργασία προσωπικών δεδομένων που παρέχονται στον Επεξεργαστή από τον Εκδότη παραβαίνουν οποιουσδήποτε ισχύοντες Νόμους Προστασίας Δεδομένων ή τις διατάξεις που ορίζονται σε αυτή τη DPA;

3. να εφαρμόσει κατάλληλες τεχνικές και οργανωτικές διαδικασίες για την προστασία των προσωπικών δεδομένων, εξετάζοντας την κατάσταση της τέχνης, το κόστος εφαρμογής και τη φύση, το εύρος, το περιβάλλον και τους σκοπούς της επεξεργασίας καθώς και τους κινδύνους διαφορετικής πιθανότητας και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων; και

4. χωρίς υπέρμετρη καθυστέρηση να ενημερώνει τον Εκδότη εάν λάβει κάποια καταγγελία ή αίτημα που σχετίζεται με τις υποχρεώσεις κάθε Μέρους σύμφωνα με τους Νόμους Προστασίας Δεδομένων που σχετίζονται με αυτή τη DPA, συμπεριλαμβανομένων οποιωνδήποτε αξιώσεων αποζημίωσης από Υποκείμενο Δεδομένων ή οποιαδήποτε ειδοποίηση, έρευνα ή άλλη ενέργεια από Εποπτική Αρχή και να παρέχει στον Εκδότη πλήρη στοιχεία αυτής της έρευνας, καταγγελίας ή αιτήματος, εκτός εάν δεν επιτρέπεται εκ του νόμου ή κατόπιν αιτήματος της Εποπτικής Αρχής.

ΤΜΗΜΑ Γ: ΜΕΤΑΦΟΡΕΣ ΚΑΙ ΥΠ-ΕΠΕΞΕΡΓΑΣΤΕΣ

Άρθρο Γ.1 Μεταφορά Προσωπικών Δεδομένων 

Όταν τα προσωπικά δεδομένα που σχετίζονται με Υποκείμενο Δεδομένων της ΕΕ μεταφέρονται εκτός ΕΕΖ, θα πρέπει να επεξεργαστούν από μια οντότητα: (i) που βρίσκεται σε τρίτη χώρα ή περιοχή που αναγνωρίζεται από την Επιτροπή της ΕΕ ότι έχει επαρκές επίπεδο προστασίας; ή (ii) που υπόκειται σε Πρότυπες Συμβατικές Ρήτρες της ΕΕ και/ή Συμφωνία Διεθνούς Μεταφοράς Δεδομένων του Ηνωμένου Βασιλείου ή Προσθήκη SCC του Ηνωμένου Βασιλείου; ή (iii) που έχει άλλες νομικά αναγνωρισμένες κατάλληλες ασφαλείς διατάξεις, όπως οι Δεσμευτικοί Εταιρικοί Κανόνες, οι οποίοι εγγυώνται το ίδιο επίπεδο προστασίας και ασφάλειας όπως αυτή τη DPA. 

Άρθρο Γ.2 Υπο-επεξεργαστές 

Ο Εκδότης συμφωνεί με τη χρήση των Υπο-επεξεργαστών του Επεξεργαστή που καθορίζονται στο Παράρτημα Β. Αυτή η λίστα μπορεί να ενημερώνεται από τον Επεξεργαστή κατά καιρούς σύμφωνα με αυτή τη DPA.

Ο Επεξεργαστής θα παρέχει στον Εκδότη τη δυνατότητα να εναντιωθεί σε κάθε νέο Υπο-επεξεργαστή που θα συμμετάσχει αποκλειστικά στο εύρος των δραστηριοτήτων επεξεργασίας δεδομένων όπως αναγνωρίζονται στο Παράρτημα Α. 

Πριν απασχολήσει έναν νέο Υπο-επεξεργαστή, ο Επεξεργαστής θα ειδοποιήσει τον Εκδότη γι' αυτό και θα παρέχει στον Εκδότη τουλάχιστον δέκα (10) ημέρες ημερολογιακής περιόδου για να εναντιωθεί, εκτός εάν ο Επεξεργαστής δικαιολογημένα πιστεύει ότι η απασχόληση ενός νέου Υπο-επεξεργαστή είναι αναγκαία ώστε να προστατευθούν η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητα των προσωπικών δεδομένων ή να αποφευχθεί υλική διαταραχή στις παρεχόμενες υπηρεσίες. Σε αυτή την περίπτωση, ο Επεξεργαστής θα δώσει σχετική ειδοποίηση το συντομότερο λογικά δυνατό. Εάν, μέσα σε πέντε (5) ημέρες ημερολογιακής περιόδου μετά την ειδοποίηση αυτή, ο Εκδότης ειδοποιήσει γραπτώς τον Επεξεργαστή ότι εναντιώνεται στην απασχόληση ενός νέου Υπο-επεξεργαστή με βάση λογικές ανησυχίες για την προστασία δεδομένων, τα μέρη θα συζητήσουν αυτές τις ανησυχίες με καλή πίστη και εάν μπορούν να λυθούν. Αντιρρήσεις σε νέους Υπο-επεξεργαστές θα πρέπει να υποβληθούν στο privacy@mollie.com. 

Ο Εκδότης αναγνωρίζει ότι οι Υπο-επεξεργαστές είναι απαραίτητοι για την παροχή των υπηρεσιών και ότι η εναντίωση στη χρήση ενός Υπο-επεξεργαστή μπορεί να αποτρέψει τον Επεξεργαστή από το να προσφέρει τις υπηρεσίες στον Εκδότη. Εάν τα μέρη δεν καταφέρουν να συμφωνήσουν αμοιβαία σε μια επίλυση αυτών των ανησυχιών, ο Εκδότης, ως η μόνη και αποκλειστική θεραπεία του, μπορεί να τερματίσει τη DPA για λόγους ευκολίας.

Όλοι οι Υπο-επεξεργαστές που επεξεργάζονται προσωπικά δεδομένα στην παροχή υπηρεσιών στον Εκδότη θα συμμορφώνονται με τις υποχρεώσεις που καθορίζονται σε αυτή τη DPA. Ο Επεξεργαστής θα, πριν τη γνωστοποίηση προσωπικών δεδομένων σε οποιοδήποτε Υπο-επεξεργαστή, διενεργήσει επαρκή δέουσα επιμέλεια για να διασφαλίσει ότι ο Υπο-επεξεργαστής είναι ικανός να παρέχει το απαιτούμενο επίπεδο προστασίας για τα προσωπικά δεδομένα του Εκδότη όπως απαιτείται από αυτή τη DPA και να συνάψει συμφωνία με τον Υπο-επεξεργαστή βάσει της οποίας ο Υπο-επεξεργαστής συμφωνεί να συμμορφώνεται με υποχρεώσεις ισοδύναμες με εκείνες που ορίζονται σε αυτή τη DPA. 

ΤΜΗΜΑ Δ: ΑΣΦΑΛΕΙΑ

Άρθρο Δ.1 Μέτρα ασφάλειας

Ο Επεξεργαστής θα εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, συμπεριλαμβανομένων ενδεικτικά και κατάλληλα:

1. η ψευδονομιφοποίηση και η κρυπτογράφηση των προσωπικών δεδομένων; 

2. η δυνατότητα διασφάλισης της συνεχούς εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας; 

3. η δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης στα προσωπικά δεδομένα σε έγκαιρη βάση σε περίπτωση φυσικού ή τεχνικού συμβάντος; και 

4. μια διαδικασία για τακτική δοκιμή, αξιολόγηση και εκτίμηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της ασφάλειας της Επεξεργασίας. Κατά την εκτίμηση του κατάλληλου 

   επιπέδου ασφάλειας, θα ληφθεί υπόψη ιδιαίτερα οι κίνδυνοι που παρουσιάζονται από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση{