Mollie arveldamise tingimused ja reeglid

Need teenusetingimused („Arveteenuse tingimused“) moodustavad juriidilise lepingu Teie ja Teie poolt esindatava organisatsiooni või üksuse (edaspidi „Organisatsioon“, „Teie“ või „Teie oma“) ning Mollie B.V. ja selle litsentsiandjate (edaspidi „Mollie“, „meie“ või „meie oma“) vahel, et reguleerida Arveteenuse kasutamist.

Arveteenuse tingimused sätestavad tingimused, mille kohaselt on Teil lubatud Arveteenust kasutada. Teie suhtes täies ulatuses kohaldatav Kasutajaleping jääb jõusse ja seda täiendatakse käesolevate Arveteenuse tingimustega. Kui Kasutajaleping on vastuolus käesolevate Arveteenuse tingimustega, on käesolevad Arveteenuse tingimused ülimuslikud, kuid ainult seoses Arveteenuse ja selle kasutamisega.

Lisaks Kasutajalepingus või muus Mollie ja Organisatsiooni vahelises lepingus sisalduvatele definitsioonidele kohaldatakse järgmisi definitsioone:

Arveteenust kasutades nõustute Te  järgmiste tingimustega:

1. Teenuse kirjeldus

1.1 Mollie arveteenus on digitaalne arvelduslahendus, mis on loodud selleks, et aidata platvormidel või kaupmeestel tõhusalt luua, kohandada, saata ja hallata arveid Mollie juhtpaneeli või Arve API kaudu, võimaldades kiiret arve loomist, käibemaksu kohaldamist, automatiseeritud maksemeeldetuletusi ja -jälgijaid ning mitmeid maksevõimalusi klientidele („Arveteenus“).

2. Hinnakujundus

2.1 Arveteenuse hind kujundatakse vastavalt veebilehele www.mollie.com/pricing või muul viisil osapoolte vahel kirjalikult kokku lepitud viisil. 

3. Isikuandmed ja andmetöötlus 

3.1 Arveteenuse kasutamisel võidakse Teilt nõuda oma klientide ja kasutajate isikuandmete edastamist Molliele ning Mollie võib neid isikuandmeid töödelda, et võimaldada Arveteenuse toimimist. Te annate Molliele loa ja nõusoleku kasutada oma või oma klientide isikuandmeid ja/või teha Teie või Teie klientide isikuandmed kättesaadavaks kolmandatele isikutele, niivõrd kui see on vajalik Arveteenuse võimaldamiseks või pakkumiseks. Teid loetakse kõigi arvete loomiseks kasutatavate isikuandmete „vastutavaks töötlejaks“ ja me töötleme isikuandmeid „volitatud töötlejana“ vastavalt lisale 1 (MOLLIE ARVETEENUSE ANDMETÖÖTLUSLEPING) ja Mollie privaatsusavaldusele, mis on saadaval aadressil www.mollie.com/legal/privacy.

3.2 Olenemata vastupidistest sätetest, kinnitate Arveteenust kasutades, et täidate ja jätkate kõigi andmekaitsenõuete täitmist, sealhulgas piiranguteta isikuandmete kaitse üldmäärust („IKÜM“) või mis tahes samaväärset andmekaitse-eeskirja või -seadust, mis on kohaldatav Teie äritegevusele.

4. Teie kohustused ja vastutus

4.1 Te ei tohi kasutada Arveteenust ega lubada seda kasutada ebaseaduslikul või nõuetele mittevastaval viisil.

4.2 Te peate järgima praeguseid ja tulevasi seadusi ja eeskirju, mis puudutavad arve- ja/või maksunõudeid. Vastutus arve täpsuse ja õigsuse tagamise eest, sealhulgas kohaldatavad käibemaksumäärad, lasub täielikult Teil. Kui Arveteenus ei toeta Teie arve kohaldatavat käibemaksumäära (näiteks riigi kohaldatavate käibemaksumäärade muutumise tõttu), teavitate meid sellest kirjalikult ilma põhjendamatu viivituseta ning me hindame ja vajadusel kohandame Arveteenuse konfigureeritavust uue käibemaksumäära toetamiseks.

4.3 Te vastutate asjakohaste ettevaatusabinõude rakendamise eest (regulaarselt ja vastavalt kaasnevatele riskidele), et tagada Arveteenuse kasutamise käigus sisestatud, üleslaaditud ja salvestatud andmete ja sisu turvalisus, samuti oma varukoopiate loomise eest, et tagada andmete ja teabe taastamine kaotsimineku korral. Te peate oma parimate võimaluste kohaselt takistama kolmandate isikute volitamata juurdepääsu Arveteenusele.

4.4 Teil ei ole õigust (välja arvatud juhul, kui kirjalikult on sõnaselgelt kokku lepitud teisiti):

• teha Arveteenust mis tahes kujul kättesaadavaks kolmandatele isikutele peale Teie töötajate, esindajate, töövõtjate ja muude seotud kasutajate; või

• reprodutseerida, muuta või pöördprojekteerida Arveteenuse osi, seda lahti võtta, dekompileerida või tõlkida.

4.5 Olete tutvunud lisas 1 sätestatud kohustustega ja nõustute nendega.

5. Litsents ja intellektuaalomand 

5.1 Teile antakse mitteeksklusiivne, mitte-edasiantav, mitte-alllitsentsitav, ülemaailmne, tühistatav ja ajutine õigus kasutada Arveteenust. Arveteenus tehakse Teile kättesaadavaks üksnes mitteeksklusiivsel alusel. Mollie ei ole kohustatud osutama muid teenuseid peale Arveteenuse. Seoses Arveteenusega ei anta täiendavaid kasutusõigusi.

5.2 Te vastutate ainuisikuliselt kasutajaõiguste haldamise eest ja tagate, et kõik kasutajad järgivad Arveteenuse kasutamisel Mollie Kasutajaleppest ja käesolevatest üldtingimustest tulenevaid piiranguid.

5.3 Kõik Arveteenusega seotud intellektuaalomandi- ja kasutusõigused (vle arvatud käesolevaga antud litsents), sealhulgas lähtekood, andmebaasid, funktsionaalsus, tarkvara, veebisaidi kujundus, heli, video, tekst, fotod ja graafika („intellektuaalomandi õigused“), jäävad täielikult Molliele.

5.4 Kui Teile antakse tarkvaraarenduskomplektid („SDK-d“), sealhulgas nende uuendused või tehniline tugi, kohaldatakse SDK suhtes järgmisi erisätteid:

• Toote funktsioneerimiseks mõeldud programmide väljatöötamiseks antakse Teile mitteeksklusiivne, mitte-edasiantav, tühistatav ja autoritasuta litsents, et (i) installida ja kasutada SDK-d ainult objektkoodi kujul; (ii) teha SDK dokumentatsioonist piiratud arv koopiaid, mida Teie töötajad või konsultandid saavad kasutada ainult arendustegevuseks, mitte üldiseks äritegevuseks või levitamiseks; ja (iii) levitada SDK-d ainult objektkoodi kujul Toote osana;

• Molliel on õigus, kuid mitte kohustus, pakkuda SDK-dele tehnilist või muud tuge;

• SDK-d sisaldavad koodi, mis saadab Teie poolt automaatseid veateateid, ja Te nõustute, et Molliel on alaline, tühistamatu ja piiramatu õigus kasutada sellist teavet oma äritegevuseks, sealhulgas piiranguteta toote toe ja arenduse jaoks;

• kui kasutate SDK-sid enda või kolmanda isiku poolt välja töötatud rakenduste käitamiseks või kolmanda isiku esitatud andmetele, sisule või ressurssidele juurdepääsuks, nõustute Te, et Mollie ei vastuta nende rakenduste, andmete, sisu ega ressursside eest;

• SDK-sid litsentsitakse põhimõttel „nagu on“. Te kannate nende kasutamisega seotud riske; Mollie loobub kõigist garantiidest (olgu need seadusjärgsed, sõnaselged või kaudsed) ega anna mingeid garantiisid seoses SDK-de kasutamisega.

  
  

6. Vastutus ja hüvitamine

6.1 Mollie ei vastuta vigade, tegude, tegematajätmiste või nõuete mittevastavuse eest, mis tulenevad Teie andmetest, seadistustest või Arveteenuse kasutamisest. Te vastutate ainuisikuliselt ja lõplikult selle eest, et kõik arvete loomiseks või väljastamiseks kasutatavad andmed, sealhulgas kohaldatavad käibemaksumäärad, vastaksid asjaomase kasutusriigi kohaldatavatele (maksu)seadustele. Molliel ei ole kohustust kontrollida mis tahes andmete või (käibemaksu) seadistuste täpsust, täielikkust või õigsust, mida olete Arveteenuse kaudu konfigureerinud, esitanud või kasutanud. Te peate kaitsema ja hüvitama Molliele kõik kolmandate isikute nõuded, kohustused, kahjud, kaotused, kulud ja väljaminekud (sealhulgas mõistlikud advokaaditasud), mis tulenevad või on seotud Teie Arveteenuse kasutamisega, sealhulgas käibemaksu konfigureerimisega. 

6.2 Arusaamatuste vältimiseks on Mollie võimaliku kahju vastutus piiratud vastavalt Kasutajalepingule.

Lisa 1: ANDMETÖÖTLUSLEPING

Käesolev ANDMETÖÖTLUSLEPING (edaspidi „DPA“) koos selle lisadega kirjeldab poolte kohustusi, sealhulgas kohaldatavate andmekaitseõigusaktide alusel, seoses isikuandmete (nagu allpool määratletud) töötlemisega. DPA on integreeritud Kasutajalepingusse.

Käesolev DPA on sõlmitud Organisatsiooni (edaspidi „Vastutav töötleja“)

ja 

Mollie B.V., piiratud vastutusega äriühing (besloten vennootschap), mille registrijärgne asukoht on Amsterdamis, aadressil Keizersgracht 126, 1015 CW Amsterdam, Holland ja mis on registreeritud Hollandi Kaubanduskojas numbriga 30204462, (edaspidi „Mollie“ või „Volitatud töötleja“)

ja 

Mollie UK Ltd., piiratud vastutusega äriühing, mille registrijärgne asukoht on Londonis, 7 Pancras Square, London N1C 4AG, Ühendkuningriik ja mis on registreeritud Companies House'is numbriga 14013554, (edaspidi „Mollie“ või „Volitatud töötleja“),

vahel, edaspidi igaüks eraldi „Pool“ ja ühiselt „Pooled“. 

Definitsioonid 

Käesolevas DPA-s on järgmistel terminitel allpool sätestatud tähendus. Siin määratlemata suurtähega kirjutatud terminitel on Lepingus sätestatud tähendus.

Leping
Vastutava töötleja ja Volitatud töötleja vaheline leping teenuste osutamiseks („Kasutajaleping“).

Siduvad kontsernisisesed eeskirjad
isikuandmete kaitse põhimõtted, mida järgib liikmesriigi territooriumil asuv vastutav töötleja või volitatud töötleja isikuandmete edastamisel või edastuste kogumi puhul vastutavale töötlejale või volitatud töötlejale ühes või mitmes kolmandas riigis samasse kontserni või ühist majandustegevust teostavasse ettevõtjate rühma kuuluvate ettevõtjate vahel.

Vastutav töötleja
füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.

Klient
Organisatsiooni kliendid, kes soovivad maksta Organisatsiooni pakutavate toodete ja/või teenuste eest Mollie Maksemooduli kaudu.

Isikuandmetega seotud rikkumine
turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu. 

Andmetöötlusleping
käesolev leping koos kõigi lisadega.

Järelevalveasutus
sõltumatu valitsusorgan, mis vastutab isikuandmete töötlemisega seotud kohaldatavate seaduste täitmise järelevalve eest. Hollandis on selleks Autoriteit Persoonsgegevens.

Andmekaitsealane mõjuhinnang
hinnang kavandatavate töötlemistoimingute mõju kohta isikuandmete kaitsele. 

Andmekaitse seadused
kõik kohaldatavad õigusaktid, mis käsitlevad andmekaitset ja privaatsust, sealhulgas piiranguteta ELi isikuandmete kaitse üldmäärus, kõik kohalikud seadused ja eeskirjad, mis muudavad või asendavad mõnda neist, koos riiklike rakendusseadustega Euroopa Majanduspiirkonna (EMP) mis tahes liikmesriigis või asjakohases ulatuses mis tahes muus riigis, mida võidakse aeg-ajalt muuta, tühistada, konsolideerida või asendada. 

Andmesubjekt
füüsiline isik, kellega isikuandmed on seotud (nt Kliendid).

IKÜM
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta. 

Isikuandmed
igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, identifitseerimisnumber, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal. 

Töötlemine
isikuandmete või isikuandmete kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul viisil kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine. See loetelu ei ole ammendav. Termineid „töötlema“, „töötleb“ ja „töödeldud“ tõlgendatakse vastavalt. 

Volitatud töötleja
füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb (isiku)andmeid Vastutava töötleja nimel.

Organisatsioon
organisatsioon, mis kasutab Mollie Maksemoodulit eesmärkidel, sealhulgas, kuid mitte ainult, toodete ja/või teenuste müügiks Klientidele.

Lepingu tüüptingimused
Euroopa Komisjoni isikuandmete volitatud töötlejate lepingu tüüptingimused (2010/87/EL) või komisjoni 4. juuni 2021. aasta rakendusotsus (EL) 2021/914 isikuandmete kolmandatesse riikidesse edastamise lepingu tüüptingimuste kohta vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679 (C/2021/3972).

Alamtöötleja
mis tahes kolmas isik, üksus või ettevõte, kelle Volitatud töötleja on kaasanud isikuandmete töötlemiseks Lepingu kohaste teenuste osutamisel. 

A OSA EESMÄRK 

Artikkel A.1 Reguleerimisala

Volitatud töötleja on nõustunud osutama teenuseid Vastutavale töötlejale vastavalt Kasutajalepingule. Teenuste osutamisel töötleb Volitatud töötleja isikuandmeid Vastutava töötleja nimel, nagu on määratletud käesolevas DPA-s. Volitatud töötleja kui finantsasutus töötleb isikuandmeid ka vastutava töötlejana. 

Pooled võtavad teadmiseks ja nõustuvad, et niivõrd, kuivõrd Mollie töötleb maksetehingutega seotud isikuandmeid, et: i) täita Vastutava töötlejaga sõlmitud Kasutajalepingut; ii) jälgida, ennetada ja avastada petturlikke maksetehinguid; iii) täita Mollie suhtes kohaldatavaid seadusest või regulatsioonidest tulenevaid kohustusi, mis on seotud makseandmete töötlemise ja säilitamisega, sealhulgas kohaldatavat rahapesu tõkestamise kontrolli ja tunne-oma-klienti kohustuste täitmist; ning iv) parandada Mollie tooteid ja teenuseid, tegutseb Mollie isikuandmete vastutava töötlejana ning tal on ainuvälisõigus määrata kindlaks Vastutavalt töötlejalt või tema kaudu (talle teenuseid osutades) saadud isikuandmete töötlemise eesmärgid ja vahendid.

Töötlemistoimingud, isikuandmed ja andmesubjektide kategooriad, mille puhul Volitatud töötleja töötleb isikuandmeid Vastutava töötleja nimel, on esitatud lisas A. 

B OSA KOHUSTUSED 

Artikkel B.1 Vastutava töötleja kohustused 

Vastutav töötleja vastutab isikuandmete eest, mida Volitatud töötleja töötleb, ning tagab vastavuse kõigile andmekaitseseadustele, sealhulgas nõuetele, mis puudutavad isikuandmete edastamist käesoleva DPA ja Kasutajalepingu alusel. Vastutav töötleja kinnitab, et tal on õigus isikuandmeid töödelda ja õigus määrata Volitatud töötleja andmeid töötlema Vastutava töötleja nimel.

Vastutav töötleja nõustub, et ilma Volitatud töötleja käesolevast DPA-st tulenevate kohustuste piiramiseta vastutab Vastutav töötleja ainuisikuliselt teenuste kasutamise eest, sealhulgas (a) teenuste asjakohase kasutamise eest, et tagada isikuandmete riskile vastav turvatase; (b) teenustele juurdepääsuks kasutatavate konto autentimisandmete, süsteemide ja seadmete turvalisuse tagamise eest; (c) teenustega kasutatavate süsteemide ja seadmete turvalisuse tagamise eest; ja (d) isikuandmetest oma varukoopiate tegemise eest.

Artikkel B.2 Volitatud töötleja kohustused 

Volitatud töötleja kohustub: 

1. töötlema isikuandmeid ainult vastavalt Vastutava töötleja kirjalikele juhistele ja astuma vajalikke samme tagamaks, et ükski tema alluvuses tegutsev füüsiline isik, kellel on juurdepääs isikuandmetele, ei töötleks isikuandmeid muidu kui Vastutava töötleja juhiste kohaselt;

2. teavitama Vastutavat töötlejat viivitamata, kui mõni Vastutava töötleja poolt Volitatud töötlejale antud isikuandmete töötlemise juhistest rikub kohaldatavaid andmekaitseseadusi või käesoleva DPA sätteid;

3. rakendama asjakohaseid tehnilisi ja organisatsioonilisi meetmeid isikuandmete kaitsmiseks, võttes arvesse teaduse ja tehnoloogia taset, rakenduskulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke, samuti füüsiliste isikute õiguste ja vabaduste ohustamise erinevat tõenäosust ja raskusastet; ning

4. teavitama ilma põhjendamatu viivituseta Vastutavat töötlejat, kui ta saab kaebuse või taotluse, mis on seotud kummagi poole kohustustega käesoleva DPA-ga seotud andmekaitseseaduste alusel, sealhulgas andmesubjekti hüvitisnõude või järelevalveasutuse teate, uurimise või muu toimingu kohta, ning edastama Vastutavale töötlejale sellise uurimise, kaebuse või taotluse täielikud üksikasjad, välja arvatud juhul, kui see on seadusega või järelevalveasutuse nõudmisel keelatud.
   
   

C OSA EDASTAMISED JA ALAMTÖÖTLEJAD

Artikkel C.1 Isikuandmete edastamine 

Kui ELi andmesubjektiga seotud isikuandmeid edastatakse väljapoole EMP-d, töötleb neid üksus: (i) mis asub kolmandas riigis või territooriumil, mida ELi Komisjon on tunnustanud piisava kaitsetasemega riigina; või (ii) mille suhtes kohaldatakse ELi lepingu tüüptingimusi ja/või Ühendkuningriigi rahvusvahelist andmeedastuslepingut või Ühendkuningriigi tüüptingimuste lisa; või (iii) millel on muud seaduslikult tunnustatud asjakohased kaitsemeetmed, näiteks siduvad kontsernisisesed eeskirjad, mis tagavad samasuguse kaitsetaseme ja kaitsemeetmed nagu käesolev DPA. 

Artikkel C.2 Alamtöötlejad 

Vastutav töötleja nõustub käesolevaga Volitatud töötleja poolt lisas B täpsustatud Alamtöötlejate kasutamisega. Volitatud töötleja võib seda loetelu aeg-ajalt vastavalt käesolevale DPA-le uuendada.

Enne uue Alamtöötleja kaasamist lisas A nimetatud teenuste osutamiseks teavitab Volitatud töötleja seda teenust kasutavat Vastutavat töötlejat ja annab Vastutavale töötlejale vähemalt kümme (10) kalendripäeva aega vastuväidete esitamiseks, välja arvatud juhul, kui Volitatud töötleja põhjendatult usub, et uue Alamtöötleja kiire kaasamine on vajalik isikuandmete konfidentsiaalsuse, terviklikkuse või kättesaadavuse kaitsmiseks või osutatavate teenuste oluliste häirete vältimiseks. Sellisel juhul edastab Volitatud töötleja teate niipea, kui see on mõistlikult teostatav. Kui Vastutav töötleja teavitab viie (5) kalendripäeva jooksul pärast sellise teate saamist Volitatud töötlejat kirjalikult, et ta esitab mõistlikele andmekaitsealastele muredele tuginedes vastuväite uue Alamtöötleja määramisele, arutavad pooled neid muresid heas usus ja otsivad neile lahendust. Vastuväited uute Alamtöötlejate kohta tuleb saata aadressile privacy@mollie.com. 

Vastutav töötleja võtab teadmiseks, et Alamtöötlejad on teenuste osutamiseks hädavajalikud ja Alamtöötleja kasutamisele vastuväite esitamine võib takistada Volitatud töötlejal teenuste pakkumist Vastutavale töötlejale. Kui pooltel ei õnnestu nendes muredes kokkuleppele jõuda, võib Vastutav töötleja oma ainukese ja eksklusiivse õiguskaitsevahendina DPA üles öelda.

Kõik Alamtöötlejad, kes töötlevad isikuandmeid Vastutavale töötlejale teenuste osutamisel, peavad täitma käesolevas DPA-s sätestatud kohustusi. Volitatud töötleja peab enne isikuandmete avaldamist mis tahes Alamtöötlejale viima läbi asjakohase hoolsuskohustuse kontrolli tagamaks, et Alamtöötleja on suuteline pakkuma Vastutavale töötlejale nõutavat kaitsetaset. 

Käesoleva DPA-ga nõutavad isikuandmed ja sõlmima selle Alamtöötlejaga lepingu, mille kohaselt Alamtöötleja nõustub täitma käesolevas DPA-s sätestatutega samaväärseid kohustusi. 

D OSA TURVALISUS 

Artikkel D.1 Turvameetmed

Volitatud töötleja rakendab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et tagada ohule vastav turvalisuse tase, sealhulgas asjakohasel juhul muu hulgas:

1. isikuandmete pseudonümiseerimine ja krüpteerimine; 

2. suutlikkus tagada kestvalt töötlemissüsteemide ja -teenuste konfidentsiaalsus, terviklikkus, kättesaadavus ja vastupidavus; 

3. suutlikkus taastada õigeaegselt isikuandmete kättesaadavus ja juurdepääs andmetele füüsilise või tehnilise vahejuhtumi korral; ja 

4. protsess tehniliste ja organisatsiooniliste meetmete tõhususe korrapäraseks testimiseks, hindamiseks ja järelevalveks töötlemise turvalisuse tagamisel. Asjakohase 

turvalisuse taseme hindamisel võetakse eelkõige arvesse töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist, loata avalikustamist või neile juurdepääsu.

Artikkel D.2 Isikuandmetega seotud rikkumisest teavitamine

Volitatud töötleja teavitab Vastutavat töötlejat ilma põhjendamatu viivituseta mis tahes isikuandmete juhuslikust või ebaseaduslikust hävitamisest, kaotsiminekust, muutmisest või loata avalikustamisest või neile juurdepääsust pärast selle avastamist, kuivõrd isikuandmetega seotud rikkumine on seotud ainult isikuandmete töötlemisega Volitatud töötleja poolt tema kui volitatud töötleja rollis. Kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mille puhul Volitatud töötlejat loetakse Vastutavaks töötlejaks, nagu on kirjeldatud Volitatud töötleja privaatsusavalduses, jätab Volitatud töötleja endale õiguse käsitleda rikkumist vastutava töötlejana. 

Viivitus õiguskaitseorganite nõutud rikkumisteate edastamisel ja/või pidades silmas Volitatud töötleja õigustatud vajadust asja uurida või heastada enne teavitamist, ei kujuta endast põhjendamatut viivitust. Sellistes teadetes kirjeldatakse võimaluse piires rikkumise üksikasju, sealhulgas potentsiaalsete riskide leevendamiseks astutud samme. Ilma et see piiraks Volitatud töötleja kohustusi käesoleva D-osa punkti 1 kohaselt, vastutab Vastutav töötleja ainuisikuliselt Vastutava töötleja suhtes kohaldatavate rikkumisest teavitamise seaduste täitmise ja kolmandate isikute teavitamise kohustuste täitmise eest. Volitatud töötleja teavitust või reageerimist rikkumisele käesoleva D-osa punkti 1 kohaselt ei tõlgendata Volitatud töötleja poolt süü või vastutuse omaksvõtuna seoses rikkumisega.

Kõik kulud, mis tekivad rikkumise lahendamisel ja tulevikus sellise rikkumise vältimiseks vajalike meetmete rakendamisel, kannab see Pool, kellel need kulud tekivad. 

E OSA AUDIT

Artikkel E.1 Auditiõigus 

Vastutaval töötlejal on õigus mõistliku etteteatamisega nõuda Volitatud töötlejalt auditiaruandeid käesoleva DPA alusel osutatavate teenuste raames toimunud isikuandmete töötlemise kohta.

Käesolevas punktis viidatud auditiaruanded hõlmavad muu hulgas aruandeid, mis käsitlevad Volitatud töötleja poolt seoses isikuandmete töötlemisega rakendatud turva-, konfidentsiaalsuse ja andmekaitsemeetmeid. Need aruanded võivad hõlmata ka vastavust asjakohastele andmekaitseseadustele.

Auditiaruannete taotlused esitatakse kirjalikult aadressil privacy@mollie.com, täpsustades taotluse ulatuse ja eesmärgi. Volitatud töötleja kinnitab selliste taotluste kättesaamist õigeaegselt.

Auditiaruannete vastuvõtmise suhtes kohaldatakse ametialast konfidentsiaalsuskohustust. Vastutav töötleja võib auditiaruandeid kasutada ainult Vastutava töötleja regulatiivsete auditinõuete täitmiseks ja kinnituseks, et Volitatud töötleja isikuandmete töötlemine vastab käesolevale DPA-le. Auditiaruandeid ei tohi väljapoole jagada.

F OSA ANDMEKAITSEALASED MÕJUHINNANGUD JA EELNEVAD KONSULTEERIMISED

Artikkel F.1 Abi partnersuhetes

Volitatud töötleja abistab Vastutavat töötlejat isikuandmete töötlemise mõju hindamisel (IKÜMi artikkel 35) ja järelevalveasutusega konsulteerimisel (IKÜMi artikkel 36), kui ja määral, mil andmekaitseseaduste kohaselt on nõutav mõjuhinnangu või konsultatsiooni läbiviimine ning kus Volitatud töötajal on lubatud ja/või kohustus koostööd teha.

G OSA ANDMESUBJEKTI ÕIGUSED

Artikkel G.1 Abi partnersuhetes

Kui Volitatud töötleja saab andmesubjektilt taotluse seoses Vastutava töötleja isikuandmetega, soovitab Volitatud töötleja andmesubjektil esitada oma taotlus Vastutavale töötlejale ja/või edastab taotluse Vastutavale töötlejale ning Vastutav töötleja vastutab sellisele taotlusele vastamise eest.

Vastutava töötleja taotlusel ja tema kulul osutab Volitatud töötleja Vastutavale töötlejale abi, mida ta võib mõistlikult nõuda andmekaitseseadustest tulenevate kohustuste täitmiseks, et vastata andmesubjektide taotlustele kasutada oma andmekaitseseadustest tulenevaid õigusi (nt õigus andmetele juurde pääseda, neid parandada, kustutada, piirata, üle kanda ja esitada vastuväiteid) juhtudel, kui Vastutav töötleja ei suuda selliseid taotlusi iseseisvalt täita juurdepääsu kaudu Volitatud töötleja toodetele ja teenustele.

H OSA MUUD SÄTTED 

Artikkel H.1 Konfidentsiaalsus 

Volitatud töötleja hoiab kõik isikuandmed konfidentsiaalsena ja tagab, et kõik töötajad, esindajad, ametiisikud ja töövõtjad, kellel on juurdepääs isikuandmetele või kes on kaasatud isikuandmete töötlemisse, on teadlikud isikuandmete konfidentsiaalsest iseloomust, on lepinguliselt kohustatud hoidma isikuandmeid konfidentsiaalsena ning on teavitatud ja täidavad käesoleva DPA kohustusi.

Artikkel H.2 Vastutus

Kõik käesolevast DPA-st tulenevad kohustused reguleeritakse Kasutajalepingu asjakohaste sätetega, sealhulgas vastutuse piirangutega. 

Olenemata Kasutajalepingu sätetest vastutab kumbki Pool teise Poole ees ainult nende kahjude eest, mida ta tekitab teisele Poolele käesoleva DPA rikkumisega. Neid kahjusid tuleb selgelt tõendada. Volitatud töötleja vastutab töötlemisest tekitatud kahju eest ainult juhul, kui ta ei ole täitnud spetsiaalselt volitatud töötlejatele suunatud andmekaitseseaduste kohustusi või kui ta on tegutsenud väljaspool Vastutava töötleja seaduslikke juhiseid või nendega vastuolus, nagu on kirjeldatud käesolevas DPA-s. Selles kontekstis vastutab Volitatud töötleja ainult siis, kui Vastutav töötleja tõestab, et Volitatud töötleja vastutab kahju tekitanud sündmuse eest.

Vastutav töötleja vastutab ainuisikuliselt andmesubjekti ees ja andmesubjektil on õigus saada hüvitist mis tahes varalise või mittevaralise kahju eest, mida Vastutav töötleja või Volitatud töötleja (või tema Alamtöötlejad) tekitab andmesubjektile käesoleva DPA rikkumisega.

Artikkel H.3 Tähtaeg ja lõpetamine 

Käesoleva DPA tähtaeg ühtib Kasutajalepingu algusega ja/või lisas A nimetatud konkreetse toote või teenuse kasutamise algusega.

Käesolev DPA lõpeb automaatselt koos Kasutajalepingu lõppemisega ja/või lisas A nimetatud konkreetse toote või teenuse kasutamise lõpetamisega, olenevalt sellest, kumb lõppeb varem.

Käesoleva DPA lõpetamisel tagastab Volitatud töötleja Vastutava töötleja taotlusel isikuandmed Vastutavale töötlejale või Vastutava töötleja poolt määratud volitatud töötlejale või kustutab isikuandmed, välja arvatud juhul, kui Volitatud töötleja on kohustatud säilitama koopiat vastavalt Euroopa Liidu või Euroopa Liidu liikmesriigi seadustele.

I OSA LÕPPSÄTTED 

Artikkel I.1 Terviklik leping 

Käesolev DPA moodustab osa Kasutajalepingust. Kõik Kasutajalepingust tulenevad õigused ja kohustused on kohaldatavad ka käesoleva DPA suhtes. Lisa A on käesoleva DPA lahutamatu osa.

Artikkel I.2 Muutmine ainult kokkuleppel 

Käesoleva DPA muudatused kehtivad ainult juhul, kui need on vormistatud kirjalikult ja allkirjastatud kummagi Poole volitatud esindajate poolt. 

Artikkel I.3 Severability (Sätete lahutatavus) 

Kõik käesoleva DPA sätted on eraldiseisvad ja lahutatavad ning kui kohus, reguleeriv asutus või muu pädev asutus tunnistab mõne sätte või sätte osa täielikult või osaliselt täitmatuks, ebaseaduslikuks või tühiseks, loetakse see selles ulatuses käesoleva DPA-st välja jäänuks ning see ei mõjuta ülejäänud DPA täidetavust, seaduslikkust ja kehtivust. Pooled nõustuvad püüdma asendada kehtetu või täitmatu sätte kehtiva või täidetava sättega, mis saavutab võimalikult suures ulatuses sama tulemuse, mis oleks

saavutatud kehtetu või täitmatu sättega. Välja arvatud käesoleva DPA-ga tehtud muudatused, jääb Kasutajalepingu tekst muutmata ja on täies ulatuses jõus.

Artikkel I.4 Loovutamisõigus 

Pooled võivad käesoleva DPA edasi anda ainult kooskõlas Kasutajalepinguga (punkt 8.9). 

Artikkel I.5 Kohaldatav õigus 

Seda DPA-d reguleerivad ja tõlgendatakse vastavalt Hollandi seadustele. Kumbki Pool nõustub, et käesolevast DPA-st tulenevate vaidluste lahendamine kuulub Amsterdami kohtute eksklusiivsesse alluvusse. Kui mõni pädev kohus või haldusorgan leiab, et mõni käesoleva DPA säte on kehtetu, täitmatu või ebaseaduslik, jäävad käesoleva DPA ülejäänud sätted täies ulatuses jõusse. 

ANNEX A – ISIKUANDMETE TÖÖTLEMISE SPETSIFIKATSIOON 

1. TÖÖTLEMISE EESMÄRK

Isikuandmete töötlemine on otseselt seotud Kasutajalepingu alusel osutatavate teenuste osutamisega.

Töötlemise eesmärgid on:

• Vaidlused

  • Vastutava töötleja ja tema Klientide vaheliste vaidluste haldamise ja lahendamise hõlbustamine Mollie toodete ja teenuste kaudu.

  • Vastutavale töötlejale vajalike tööriistade ja teabe pakkumine vaidlusnõuetele (näiteks tagasimaksed või maksepäringud) vastamiseks.

• Arveldamine

  •  Arvete saatmise hõlbustamine Vastutava töötleja Klientidele Mollie toodete ja teenuste kaudu 

2. ANDMESUBJEKTIDE KATEGOORIAD 

Volitatud töötleja töötleb Vastutava töötleja nimel järgmiste andmesubjektide kategooriate isikuandmeid:

• Vastutava töötleja kliendid: Maksjad (tarbijad või ärikliendid), kes algatavad makse, päringu või vaidluse.

Vaidlused

• Kolmandatest isikutest saajad: Isikud, kes on tuvastatud tarneandmetes või tehingutõendites, kuid kes ei pruugi olla maksjad (nt isik, kes saab kingituse tarneaadressile).

• Vastutava töötleja volitatud esindajad / töötajad: Kaupmehe personal, kelle nimed, kontaktandmed või allkirjad võivad kajastuda vaidlustõendites, suhtluslogides või tugipiletites.

• Kolmandatest isikutest teenuseosutajad: Isikud, kelle andmed võivad sisalduda alamtöötlejate või partnerite esitatud tõendites (nt kulleri nimi kättetoimetamise kinnituse allkirjal).

Arveldamine

• Arve andmed (nagu Vastutav töötleja on lisanud)

3. ISIKUANDMETE TÜÜBID 

Volitatud töötleja töötleb Vastutava töötleja nimel järgmist tüüpi isikuandmeid:

• Isiku- ja kontaktandmed: Maksja täisnimi, e-posti aadress, telefoninumber ja arveldusaadress.

• Tehingu metaandmed: Tehingu ID, tellimuse number, summa, valuuta, kuupäev/kellaaeg ja kasutatud konkreetne makseviis (nt krediitkaart, Klarna, iDEAL).

• Täitmis- ja logistikaandmed: 

  • Tarneandmed: Tarneaadress (tänav, majanumber, sihtnumber, linn, riik).

  • Jälgimisteave: Vedaja nimi, jälgimisnumbrid ja reaalajas transiidi/tarne staatuse logid.

  • Tarnekinnitus: Digitaalallkirjad, tarne kuupäev ja kellaaeg ning fototõendid tarne kohta (nt pakk ukse taga).

• Vaidlustõendid (struktureerimata andmed): 

  • Üleslaaditud failid: Kõik isikuandmed, mis sisalduvad Vastutava töötleja poolt manuaalselt üleslaaditud dokumentides (nt PDF-arved, klienditõe vestluslogid, WhatsAppi ekraanitõmmised või e-posti kirjavahetus).

• Tehnilised identifikaatorid: IP-aadressid, seadme digitaalsed sõrmejäljed ja brauseri metaandmed, mis kogutakse tehingu tegemise ajal (kasutatakse kliendi asukoha ja isikusamasuse tuvastamiseks pettuste vastu võitlemisel).

Eespool loetletud isikuandmete kategooriad kajastavad käesoleva Lepingu kohaselt kavandatud töötlemise ulatust. Kui nendesse kategooriatesse mittekuuluvaid isikuandmeid jagatakse või lisatakse juhuslikult struktureerimata andmete või üleslaaditud dokumentide hulka, käsitleb Volitatud töötleja selliseid andmeid asjakohase hoolsusega ning rakendab sobivaid tehnilisi ja organisatsioonilisi meetmeid.

4. TURVAMEETMED 

Kontekst 

Finantsasutusena kontrollib Mollie oma rakenduste, süsteemide ja IT-protsesside jaoks loodud turvakontrolle ja tööprotseduure Hollandi Keskpank (DNB), mis omakorda kasutab Euroopa Pangandusjärelevalve (EBA) suuniseid tehniliste standardite kohta, mida litsentsiomanikud peaksid järgima. 

Kuna Mollie tegutseb (ka) isikuandmete vastutava töötlejana, reguleerivad Molliet ka muud turvalisuse ja andmekaitse standardeid kehtestavad õigusaktid, mille täitmist tagavad täiendavad asutused – eriti IKÜM ja selle järelevalveasutus Hollandis (Autoriteit Persoonsgegevens). 

Lisaks on kaardiandmeid töötlevad süsteemid konkreetselt PCI DSS 1. tasemele vastavad süsteemid, mis tähendab, et selle konkreetse rakenduse ning selle arendamise ja hooldamise protseduuride suhtes kohaldatakse PCI nõukogu poolt määratletud andmekaitsemeetmeid, millele vastavust hindab Mollie puhul igal aastal väline osapool. 

Üldised meetmed

Kõigi rakenduste, süsteemide ja nendega seotud protseduuride suhtes kohaldatakse Mollie infoturbe poliitikat. Sellest ja teistest osutatavate teenuste raames asjakohastest poliitikatest on kõige olulisemad järgmised aspektid:

• Töötajate kontroll (taustakontroll)

• Arendajate turvakoolituse programm

• Turvateadlikkuse programm

• Kohustuste lahusus

• Muudatuste juhtimine

• Nõrkuste haldamine

• Intsidentide haldamine

• Vastupidavuse ja varukoopiate haldamine

• Tugev juurdepääsukontroll (IAM ja IGA)

• Kasutajate autoriseerimise ülevaatused

• Süsteemide klassifitseerimise standardid

• Andmete klassifitseerimise standardid ja andbepoliitika

• Tööstuse parimatel tavadel põhinevad turvalised konfigureerimisstandardid, poliitika rakendamine (tugevdamine)

• Füüsilise ja loogilise võrgukeskkonna eraldamine

• Turvalised krüpteerimisstandardid

• Krüpteerimisvõtmete haldamine

• Krüpteerimine (edastamisel, puhkeolekus jagatud infrastruktuurikeskkondades, nagu pilv)

• Kolmandate isikute riskijuhtimine

• Kättesaadavuse ja vigade jälgimine

• Turvalise arenduse elutsükkel

  • Ohtude modelleerimine oluliste muudatuste ja uute funktsioonide puhul

  • Sõltuvuste haldamine ja teadaolevate nõrkuste skaneerimine

  • Staatilise koodi turvaanalüüs

  • Sisemine ja väline nõrkuste skaneerimine

• Koordineeritud nõrkustest teavitamine (CVD) ja vigade otsimise programm (bug bounty)

• Ohuinfo programm (nt osalemine Hollandi PI-ISAC-is, makseasutuste teabe jagamise ja analüüsi keskuses, pimeveebi monitooring)

• Koostöö hallatavat turvateenust pakkuva partneriga (MSSP) turvatoimingute, analüüsi ja kohtuekspertiisi uurimiseks

• Turvateabe ja sündmuste haldamine (SIEM)

• Töötajate lõppseadmete turvalisus

• E-posti turvalisus

Mollie platvorm

Lisaks eespool kirjeldatud üldistele turvameetmetele on Mollie platvormi rakendus kaetud järgmiste turvameetmetega – mis tulenevad kas meie üldiste turvapoliitikate rakendamisest või on leevendavad meetmed rakendusepõhises riskihindamises tuvastatud riski kõrvaldamiseks:

• Kaheastmeline juurdepääsukontroll (2FA)

• Kolmandate isikute läbistustestid

• Turvaintsidentide sündmuste haldamine

• DDoS leevendamine

• Reageerimine turvaintsidentidele

• Kättesaadavuse monitooring

• Kontoandmete turvaline salvestamine

• Dubleeritud infrastruktuur

• Katastroofijärgse taastamise (disaster recovery) süsteemid

• Päringute piiramine (rate limiting) ja lukustamine

• Range sisu turvapoliitika (Content-Security-Policy)

• Captcha

• Veebirakenduse tulemüür (WAF)
  
  

ANNEX B – ALAMTÖÖTLEJATE ÜLEVAADE

Kohaldatav Disputes (Vaidlused) toote kasutajatele

Kohaldatav Invoicing (Arveldamine) toote kasutajatele