Tietojenkäsittelysopimus

Tämä TIETOJEN KÄSITTELYSOPIMUS (jäljempänä “DPA”) liitteineen kuvaa Osapuolten velvollisuudet, mukaan lukien sovellettavien tietosuojalakien alaisuudessa, henkilötietojen käsittelyssä (kuten alla määritelty). DPA sisältyy Käyttäjäsopimukseen.

Tämä DPA on Organisaation (jäljempänä “Rekisterinpitäjä”)

ja 

Mollie B.V., rajoitetun vastuun yhtiö, jolla on rekisteröity kotipaikka Amsterdamissa, osoitteessa Keizersgracht 126, 1015 CW Amsterdam, Alankomaat ja joka on rekisteröity Alankomaiden kauppakamariin numerolla 30204462, (jäljempänä “Mollie” tai “Käsittelijä”)

ja 

Mollie UK Ltd., rajoitetun vastuun yhtiö, jolla on rekisteröity kotipaikka Lontoossa, osoitteessa 7 Pancras Square, London N1C 4AG, Yhdistynyt kuningaskunta ja joka on rekisteröity Companies Houseen numerolla 14013554, (jäljempänä “Mollie” tai “Käsittelijä”),

jokainen erikseen “Osapuoli” ja yhdessä “Osapuolet”. 

Määritelmät 

Tässä DPA:ssa seuraavat termit tarkoittavat, kuten alla määritelty. Tässä määrittelemättömillä isolla alkukirjaimella kirjoitetuilla termeillä on sopimuksessa annetut merkitykset.

Sopimus: Käyttäjäsopimukseen liittyvä rekisterinpitäjän ja käsittelijän välinen sopimus palveluiden tarjoamisesta (“Käyttäjäsopimus”).

Sitovat yrityssäännöt (Binding Corporate Rules): Henkilötietojen suojauskäytännöt, joita rekisterinpitäjä tai käsittelijä noudattaa jäsenvaltion alueella tapahtuviin henkilötietojen siirtoihin tai tiettyihin siirtoihin rekisterinpitäjän tai käsittelijän sisällä yhdellä tai useammalla kolmannella maalla saman taloudellisen toiminnan harjoittajien kanssa.

Rekisterinpitäjä: Luonnollinen tai oikeushenkilö, viranomainen, toimisto tai muu elin, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Asiakas: Organisaation asiakkaat, jotka haluavat maksaa Organisaation tarjoamien tuotteiden ja/tai palveluiden puolesta Mollien Maksumoduulin kautta.

Tietoturvaloukkaus: Turvallisuusloukkaus, joka johtaa vahingossa tai laittomasti tapahtuvaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn henkilötietoihin, jotka on siirretty, tallennettu tai käsitelty muuten.

Data käsittelysopimus: Tämä sopimus, mukaan lukien kaikki liitteet.

Valvontaviranomainen: Itsenäinen hallituksen elin, joka vastaa sovellettavien henkilötietojen käsittelyyn liittyvien lakien noudattamisen valvonnasta. Alankomaissa tämä on Autoriteit Persoonsgegevens.

Tietosuojavaikutusten arviointi: Arviointi suunniteltujen käsittelytoimien vaikutuksesta henkilötietojen suojaukseen.

Tietosuojalait: Kaikki sovellettava lainsäädäntö, joka liittyy tietosuojaan ja yksityisyyteen, mukaan lukien, mutta ei rajoittuen, EU:n yleinen tietosuoja-asetus, kaikki ne paikalliset lait ja asetukset, jotka muuttavat tai korvaavat ne, yhdessä kansallisten lakien kanssa mistä tahansa Euroopan talousalueen jäsenvaltiosta, mikäli sovellettavissa, muista maista, sellaisina kuin ne on muutettu, kumottu, yhdistetty tai korvattu ajoittain.

Rekisteröity: Luonnollinen henkilö, johon henkilötiedot liittyvät (esim. Asiakkaat).

GDPR: Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27. huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta.

Henkilötiedot: Kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön; tunnistettavissa oleva henkilö on sellainen, joka voidaan suoraan tai epäsuorasti tunnistaa esimerkiksi nimellä, tunnistenumerolla, sijaintitiedolla, verkkotunnisteella tai yhdellä tai useammalla kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvällä tekijällä.

Käsittely: Mikä tahansa toimenpide tai toimenpiteiden joukko, joita suoritetaan henkilötiedoille tai henkilötietojen sarjoille, olivat ne sitten automatisoituja tai eivät, kuten kerääminen, tallentaminen, järjestäminen, säilyttäminen, mukauttaminen tai muutos, noutaminen, konsultointi, käyttö, luovuttaminen välityksellä, levittäminen tai muutoin saataville asettaminen, yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen. Tämä luettelo ei ole kattava. Termit “käsitellä”, “käsittelee” ja “käsitelty” on tulkittava vastaavasti.

Käsittelijä: Luonnollinen tai oikeushenkilö, viranomainen, toimisto tai muu elin, joka käsittelee (henkilö)tietoja rekisterinpitäjän puolesta.

Organisaatio: Organisaatio, joka käyttää Mollien Maksumoduulia tarkoituksiin, jotka voivat sisältää, mutta eivät rajoitu, tuotteiden ja/tai palveluiden myyntiin asiakkaille.

Vakiomallisia sopimusehtoja: Euroopan komission vakiomallisia sopimusehtoja tietojenkäsittelijöille (2010/87/EU) tai komission täytäntöönpanopäätös (EU) 2021/914, annettu 4. kesäkuuta 2021, henkilöiden tietojen siirtoon kolmansille maille tietosuojamääräyksen (EU) 2016/679 mukaisesti annettua mallisopimusta koskeva päätös (C/2021/3972).
Alikäsittelijä: mikä tahansa kolmas henkilö, yhteisö tai yritys, jonka käsittelijä on sitouttanut käsittelemään henkilötietoja sopimuksen nojalla annettujen palveluiden tarjoamiseksi.

OSA A: TARKOITUS 

Artikla A.1 Laajuus

Käsittelijä on sitoutunut tarjoamaan palveluita rekisterinpitäjälle Käyttäjäsopimuksen ehtojen mukaisesti. Palveluja tarjotessaan käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta, kuten tässä DPA:ssa tunnistetaan. Käsittelijä, toimien rahoituslaitoksena, käsittelee myös henkilötietoja toimien tietojen rekisterinpitäjänä. 

Osapuolet tunnustavat ja sopivat, että siltä osin kuin Mollie käsittelee maksutapahtumiin liittyviä henkilötietoja: i) suorittaakseen Käyttäjäsopimuksen rekisterinpitäjän kanssa; ii) seuraa, estää ja havaitsee petolliset maksutapahtumat; iii) noudattaa päteviä tai asianmukaisia tietojen säilyttämiseen ja käsittelyyn liittyviä sääntelyvelvoitteita, joihin Mollie on sitoutunut, mukaan lukien sovellettavat rahanpesun estämisvelvoitteet ja velvoitteet noudattaa asiakkaan tuntemisvelvoitteita; ja iv) parantaa Mollien tuotteita ja palveluita, Mollie toimii tietojen rekisterinpitäjänä ja sillä on yksinomainen ja ainutlaatuinen valta määräytyä henkilökohtaista tietojen käsittelyä koskevista tarkoituksista ja keinoista, jotka se saa rekisterinpitäjältä tai sen kautta (palvelujen tarjoamiseksi rekisterinpitäjälle).

Annex A:ssa on määritetty prosessointitoimet, henkilötiedot ja luokat rekisteröidyistä, joiden osalta käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta. 

OSA B: VELVOITTEET 

Artikla B.1 Rekisterinpitäjän velvoitteet 

Rekisterinpitäjä on vastuussa käsittelijän käsiteltäväksi tulevista henkilötiedoista ja varmistaa kaikkien tietosuojalakien noudattamisen, mukaan lukien vaatimukset, jotka liittyvät henkilötietojen siirtämiseen tämän DPA:n ja Käyttäjäsopimuksen mukaisesti. Rekisterinpitäjä vakuuttaa, että sillä on oikeus käsitellä henkilötietoja ja se omistaa oikeuden nimittää käsittelijä käsittelemään tietoja rekisterinpitäjän puolesta.

Rekisterinpitäjä hyväksyy, ettei käsittelijän velvoitteista tämän DPA:n mukaisesti piittaamatta, rekisterinpitäjä on yksin vastuussa palveluiden käytöstä, mukaan lukien (a) palvelujen asianmukainen käyttö varmistaakseen turvallisuustason käsiteltyihin henkilötietoihin liittyvien riskien mukaisesti; (b) tilin todennustunnuksien, järjestelmien ja laitteiden turvaaminen, joita rekisterinpitäjä käyttää palveluihin pääsyksi; (c) rekisterinpitäjän käyttämien järjestelmien ja laitteiden turvaaminen palveluiden yhteydessä; ja (d) omien henkilötietojen varmuuskopioiden ylläpitäminen.

Artikla B.2 Käsittelijän velvoitteet 

Käsittelijä sitoutuu: 

1. käsittelemään henkilötietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti ja ryhtyy tarvittaviin toimiin varmistaakseen, että kaikki sen alaisuudessa toimivat luonnolliset henkilöt, joilla on pääsy henkilötietoihin, eivät käsittele henkilötietoja muuten kuin rekisterinpitäjän ohjeiden mukaisesti;

2. ilmoittamaan välittömästi rekisterinpitäjälle, jos rekisterinpitäjän käsittelijälle antamat henkilötietojen käsittelyohjeet rikkovat mitään sovellettavia tietosuojalakeja tai tässä DPA:ssa asetettuja määräyksiä;

3. toteuttamaan asianmukaiset tekniset ja organisatoriset menettelyt suojaamaan henkilötietoja, ottaen huomioon nykytekniikan tila, toteutuskustannukset sekä prosessoinnin laajuus, luonne, konteksti ja tarkoitus sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat erilaiset todennäköisyydet ja vakavuudet; ja

4. ilmoittamaan viipymättä rekisterinpitäjälle, jos vastaanotetaan valitus tai pyyntö, joka liittyy kumpaankin osapuolen velvoitteisiin tässä DPA:ssa käsiteltyihin tietosuojalakeihin nähden, mukaan lukien korvausvaatimus rekisteröidyltä tai ilmoitus, tutkinta tai muu toimenpide valvontaviranomaiselta ja antamaan rekisterinpitäjälle täydelliset tiedot tällaisesta tutkinnasta, valituksesta tai pyynnöstä lain tai valvontaviranomaisen pyynnön estämättä.

OSA C: SIIRROT JA ALIKÄSITTELIJÄT

Artikla C.1 Henkilötietojen siirto 

Kun EU-rekisteröityyn liittyvät henkilötiedot siirretään Euroopan talousalueen ulkopuolelle, niitä tulee käsitellä yksikössä: (i) joka sijaitsee kolmannessa maassa tai alueella, jonka EU-komissio on tunnustanut riittävän suojan tasoon; tai (ii) johon sovelletaan EU:n vakiomallisia sopimusehtoja ja/tai UK:n kansainvälistä tietojen siirtosopimusta tai UK SCC:ien lisäosaa; tai (iii) jolla on muita oikeudellisesti tunnustettuja asianmukaisia suojatoimia, kuten sitovat yrityssäännöt, jotka takaavat saman suojatason ja suojakeinot kuin tämä DPA. 

Artikla C.2 Alikäsittelijät 

Rekisterinpitäjä suostuu käsittelijän käyttävän Alikäsittelijöitä, jotka on määritelty liitteessä B. Tämä lista voidaan päivittää käsittelijän toimesta ajoittain tämän DPA:n mukaisesti.

Käsittelijä antaa rekisterinpitäjälle mahdollisuuden vastustaa jokaisen uuden Alikäsittelijän käyttöä, joka osallistuu yksinomaan tiettyihin käsittelytoimiin, kuten Annex A:ssa on identifioitu. 

Ennen uuden Alikäsittelijän sitouttamista käsittelijä ilmoittaa siitä rekisterinpitäjälle ja antaa rekisterinpitäjälle vähintään kymmenen (10) kalenteripäivää vastustaa, paitsi jos käsittelijä kohtuudella uskoo uuden Alikäsittelijän sitouttamisen kiireellisellä tavalla olevan välttämätöntä henkilötietojen luottamuksellisuuden, eheyden tai saatavuuden suojaamiseksi tai vältetään palvelun tarjoamisen materiaalinen keskeytys. Tällöin käsittelijä antaa tällaisen ilmoituksen niin pian kuin on kohtuudella mahdollista. Jos, viiden (5) kalenteripäivän kuluessa tuosta ilmoituksesta, rekisterinpitäjä ilmoittaa käsittelijälle kirjallisesti, että rekisterinpitäjä vastustaa käsittelijän nimittämistä uudeksi Alikäsittelijäksi kohtuullisista tietosuojaongelmista johtuen, osapuolet keskustelevat hyvissä aikeissa tällaisista huolenaiheista ja siitä, voivatko ne ratkaista. Vastustukset uusille Alikäsittelijöille tulee lähettää osoitteeseen privacy@mollie.com. 

Rekisterinpitäjä tunnustaa, että Alikäsittelijät ovat olennaisia palvelujen tarjoamiseksi ja että Alikäsittelijän käytön vastustaminen voi estää Käsittelijän tarjoamasta palveluja Rekisterinpitäjälle. Jos osapuolet eivät pysty pääsemään yksimielisyyteen tällaisten huolenaiheiden ratkaisemiseksi, Rekisterinpitäjä voi, sen ainoana ja yksinomaisena keinonaan, päättää DPA:n käyttäjäystävyydellä.

Kaikki Alikäsittelijät, jotka käsittelevät henkilötietoja Rekisterinpitäjälle annettujen palveluiden yhteydessä, noudattavat tästä DPA:sta asetettuja velvoitteita. Käsittelijä suorittaa ennen henkilötietojen luovuttamista Alikäsittelijälle riittävän huolellisuuttaan varmistaakseen näiden kyvyn tarjoamaan rekisterinpitäjän vaatimustasolle sovellettua suojaa ja tekee kyseisen alikäsittelijän kanssa sopimuksen, jonka mukaan alikäsittelijä hyväksyy vastaavat velvoitteet kuin tämä DPA. 

OSA D: TURVALLISUUS

Artikla D.1 Turvatoimenpiteet

Käsittelijä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen tason turvallisuus, joka on riskien mukainen, mukaan lukien muussa tapauksessa:

1. henkilötietojen pseudonymisointi ja salaus; 

2. kyky varmistaa käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, saatavuus ja kestävyys; 

3. kyky palauttaa saatavuus ja pääsy henkilötietoihin ajoissa fyysisen tai teknisen tapahtuman tapahtuessa; ja 

4. prosessi teknisten ja organisatoristen toimenpiteiden tehokkuuden säännölliseen testaamiseen, arvioimiseen ja arvioimiseen käsittelyn turvallisuuden varmistamiseksi. Tarkoituksenmukaisen turvallisuustason määrittämisessä huomioidaan erityisesti prosessoinnin aiheuttamat riskit, erityisesti vahingossa tai laittomasti tapahtuva tuhoaminen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai henkilökohtaisten tietojen saatavuuteen.

   
   

Artikla D.2 Tietoturvaloukkauksen ilmoitus

Käsittelijä ilmoittaa Rekisterinpitäjälle viipymättä kaikista vahingoittavista tai laittomista tuhoamisista, häviämisistä, muutoksista tai luvattomista ilmoituksista tai pääsystä henkilötietoihin havaitsemisen jälkeen, siltä osin kuin tietoturvaloukkaus koskee vain Käsittelijän käsiteltäviä henkilötietoja tämän sopimuksen nojalla. Jos tietoturvaloukkaus koskee henkilötietoja, joiden käsittelystä Käsittelijä on katsottu rekisterinpitäjäksi, kuten Käsittelijän Tietosuojailmoituksessa, Käsittelijä pidättää oikeuden käsitellä tietoturvaloukkausta rekisterinpitäjänä. 

Lainvalvontaviranomainen pyytämän tietoturvaloukkauksen ilmoituksen viivästyksellä ja/tai käsittelijän oikeutetut tarpeet tutkia tai korjata asia ennen ilmoituksen tekemistä eivät muodosta aiheetonta viivettä. Tällaiset ilmoitukset kuvaavat mahdollisuuksien mukaan tietoturvaloukkauksen yksityiskohtia, mukaan lukien toimenpiteet, jotka on toteutettu mahdollisten riskien lieventämiseksi. Ilman Käsittelijän velvoitteista tämän osan D.1:n mukaisesti Rekisterinpitäjä on yksin vastuussa tietoturvalakien noudattamisesta sovellettavien tietoturvaloukkauslain ilmoittamisesta ja kolmansille osapuolille liittyvien ilmoitusvelvollisuuksien täyttämisestä liittyen kaikkiin tietoturvaloukkauksiin. Käsittelijän ilmoitus tai reaktio tietoturvaloukkaukseen tämän osan D.1:n mukaisesti ei tulkita käsittelijälle mielipiteenä eikä vastuuna, joka liittyy tietoturvaloukkausta.

Osapuolen, joka aiheuttaa tietoturvaloukkauksen ja toteuttaa toimenpiteitä tietoturvaloukkauksen estämiseksi tulevaisuudessa, tulee kantaa syntyneet kustannukset.

OSA E: AUDITOINTI

Artikla E.1 Auditointioikeus 

Rekisterinpitäjällä on oikeus pyytää käsittelijältä, kohtuullisen ilmoituksen mukaisesti, auditointiraportteja, jotka liittyvät henkilötietojen käsittelyyn tämän DPA:ssa tarjottujen palveluiden laajuudessa.

Auditointiraportit, kuten tässä lausekkeessa viitataan, sisältävät, mutta eivät rajoitu, raportit, jotka liittyvät Käsittelijän toteuttamiin tietoturva- ja salassapitotoimenpiteisiin ja henkilötietojenkäsittelyyn liittyviin tietosuojatoimenpiteisiin. Nämä raportit voivat myös kattaa sovellettavien tietosuojalakien noudattamisen.

Auditointiraporttipyyntöjä tulee tehdä kirjallisesti ja lähettää privacy@mollie.com -osoitteeseen, eriteltynä pyynnön laajuus ja tarkoitus. Käsittelijän tulee kuittausta tällaisille pyynnöille ajantasaisesti.

Auditointiraporttien vastaanottamisessa on noudatettava ammatillista salassapitovelvollisuutta. Rekisterinpitäjä voi käyttää auditointiraportteja ainoastaan regulatory audit -vaatimustensa täyttämiseen ja vahvistaakseen että käsittelijän henkilötietojen käsittely vastaa tätä DPA:ta. Auditointiraportteja ei saa jakaa ulkopuolisille.

OSA F: TIETOSUOJAVAATIMUSTEN ARVIOINTI JA ETUKÄTEISKUULEMISET

Artikla F.1 Apua

Käsittelijä auttaa Rekisterinpitäjää henkilötietojen käsittelyn vaikutusten arvioinnissa (artikla 35 GDPR) ja kaikissa kuulemisissa valvontaviranomaisen kanssa (artikla 36 GDPR), jos ja siltä osin kuin arviointi tai kuuleminen on suoritettava sovellettavien henkilötietojen käsittelyyn liittyvien lakien mukaan ja jossa Käsittelijä voi ja/tai on velvollinen yhteistyöhön.

OSA G: REKISTERÖIDYN OIKEUDET

Artikla G.1 Apua

Jos Käsittelijä saa pyynnön rekisteröidyltä liittyen Rekisterinpitäjän henkilötietoihin, Käsittelijä neuvoo Rekisteröityä lähettämään pyyntönsä Rekisterinpitäjälle ja/tai välittää pyynnön Rekisterinpitäjälle, ja Rekisterinpitäjä vastaa tällaisiin pyyntöihin.

Rekisterinpitäjän pyynnöstä ja tämän kustannuksella Käsittelijä antaa Rekisterinpitäjälle tarvittaessa apua täyttääkseen tietosuojalakien mukaiset velvoitteet vastata rekisteröityjen tietopyyntöihin käyttää oikeuksiaan tietosuojalakien alaisena (esim. tietojen käyttöoikeudet, oikaisu, poisto, rajoitus, siirrettävyys ja vastustus), joka tapauksessa, jossa Rekisterinpitäjä ei voi kohtuudella toteuttaa tällaisten pyyntöjen täyttämistä itsenäisesti Käsittelijän tuotteiden ja palveluiden kautta.

OSA H: ERIÄÄT 

Artikla H.1 Luottamuksellisuus 

Käsittelijä pitää kaikki henkilötiedot luottamuksellisina ja varmistaa, että kaikki työntekijät, agentit, virkailijat ja alihankkijat, joilla on pääsy henkilötietoihin tai osallistuvat niiden käsittelyyn, ovat tietoisia henkilötietojen luottamuksellisesta luonteesta ja ovat sopimuksella velvoitettuja pitämään henkilötiedot luottamuksellisina sekä tietoisia tämän DPA:n velvoitteista.

Artikla H.2 Vastuu

Kaikesta tästä DPA:sta aiheutuvasta vastuusta säädetään Käyttäjäsopimuksen asianmukaisilla määräyksillä, mukaan lukien vastuunrajoitukset. 

Ottaen huomioon Käyttäjäsopimuksen määräykset, kumpikin osapuoli on vastuussa toiselle osapuolelle tämän DPA:n rikkomisesta aiheutuneista vahingoista, jotka ovat selvästi osoitettavissa. Käsittelijä on vastuussa vain käsittelyn aiheuttamista vahingoista, jotka johtuvat tietosuojalakien erityisesti käsittelijöille osoitettujen velvoitteiden noudattamatta jättämisestä tai joissa se on toiminut ulkopuolella tai vastoin Rekisterinpitäjän laillisia ohjeita, kuten tässä DPA:ssa on kuvattu. Tässä yhteydessä, Käsittelijä on vastuussa vain, jos Rekisterinpitäjä todistaa, että Käsittelijä on vastuussa tapahtumasta, joka antaa aihetta vahinkoon.

Rekisterinpitäjä on yksin vastuussa Rekisteröidylle, ja Rekisteröidyllä on oikeus saada korvausta, kaikista aineellisista tai aineettomista vahingoista, jotka Rekisterinpitäjä tai Käsittelijä (tai sen alikäsittelijä(t)) aiheuttavat Rekisteröidylle tämän DPA:n rikkomisella.

Artikla H.3 Kesto ja lopettaminen 

Tämän DPA:n kesto vastaa Käyttäjäsopimuksen alkamista ja/tai tietyn tuotteen tai palvelun käyttöä, kuten liitteessä A ilmoitetaan.

Tämä DPA päättyy automaattisesti yhdessä Käyttäjäsopimuksen ja/tai tietyn tuotteen tai palvelun käytön kanssa, kuten liitteessä A ilmoitetaan, mikäli jokin niistä päättyy ensin.

Tämän DPA:n päättyessä Käsittelijän tulee Rekisterinpitäjän pyynnöstä palauttaa henkilötiedot Rekisterinpitäjälle tai Käsittelijälle, jonka Rekisterinpitäjä nimeää, tai poistaa henkilötiedot, paitsi jos Käsittelijää vaaditaan säilyttämään kopio Euroopan unionin tai minkä tahansa Euroopan unionin jäsenvaltion lain mukaisesti.

OSA I: LOPPUSÄÄNNÖKSET 

Artikla I.1 Koko sopimus 

Tämä DPA muodostaa osan Käyttäjäsopimuksesta. Kaikki Käyttäjäsopimuksesta johtuvat oikeudet ja velvoitteet koskevat myös tätä DPA:ta. Annex A on erottamaton osa tätä DPA:ta.

Artikla I.2 Muutos vain yhteisellä sopimuksella 

Kaiikki DPA:n muutokset ovat voimassa vain, jos ne ovat kirjallisia ja allekirjoitettu molempien osapuolten valtuutettujen edustajien toimesta. 

Artikla I.3 Erotettavuus 

Kaiikki tämän DPA:n säännökset ovat erillisiä ja irrotettavissa, ja jos mikä tahansa säännös tai sen osa pidetään täytäntöönpanokelvottomana, lainvastaisena tai mitättömänä kokonaan tai osittain minkään tuomioistuimen, sääntelyviranomaisen tai muun toimivaltaisen viranomaisen toimesta, se katsotaan tässä laajuudessa, että se ei ole osa tätä DPA:ta, eikä täytäntöönpanon kelpoisuutta koskevia, laillisuus- ja oikeudelliset muut tästä oikeustoimenpiteestä estäviä vaikuttavia vaikutuksia. Osapuolet yrittävät korvata minkä tahansa pätemättömän tai täytäntöönpanokelvottoman säännöksen oikeutettavalla tai täytäntöönpanokelpoisella säännöksellä, joka vastaa mahdollisimman läheisesti samaa vaikutusta, joka olisi saavutettu epäkelvolla tai täytäntöönpanokelvottomalla säännöksellä. Käyttäjäsopimuksen muutoksia pidättäen, se pysyy koskemattomana ja täydessä voimassa ja vaikutuksessa.

Artikla I.4 Siirtäminen oikeudesta 

Osapuolet voivat siirtää tämän DPA:n Käyttäjäsopimuksen mukaisesti (kohta 8.9). 

Artikla I.5 Sovellettava laki 

Tätä DPA:ta tulkitaan ja siihen sovelletaan Alankomaiden lain mukaan. Kumpikin osapuoli suostuu Amsterdamin oikeuslaitoksen yksinomaiseen toimivaltaan ratkaisemaan DPA:sta johtuvat riitatilanteet. Jos mikään toimivaltainen tuomioistuin tai hallintoviranomainen katsoo, että jokin tämän DPA:n määräys ei ole pätevä, täytäntöönpantavissa oleva tai laiton, muut tämän DPA:n määräykset pysyvät täydessä voimassa ja vaikutuksessa.

LIITE A - HENKILÖTIETOJEN KÄSITTELYN SPESEFIOINTI 

1. KÄSITTELYN TARKOITUS

Henkilötietojen käsittely liittyy suoraan Käyttäjäsopimuksen mukaisten palveluiden tarjoamiseen.

Käsittelyn tarkoitukset ovat:

• Laskujen lähettämisen helpottaminen rekisterinpitäjän asiakkaille Mollien tuotteiden ja palveluiden kautta 

2. REKISTERÖIDYIDEN KATEGORIAT 

Käsittelijä käsittelee henkilötietoja seuraavien rekisteröityjen kategoriat Rekisterinpitäjän puolesta:

• Rekisterinpitäjän asiakkaat (esim. maksajat (kuluttajat, yritysasiakkaat))

3. HENKILÖTIETOJEN TYYPIT 

Käsittelijä käsittelee Rekisterinpitäjän puolesta seuraavia henkilötietojen tyyppejä:

• Perustiedot yhteystiedoista (sis. koko nimi, (toimisto) puhelinnumero, (yritys) sähköpostiosoite, asuinpaikka/yritysosoite)

• Laskutiedot (kuten Rekisterinpitäjä on sisällyttänyt)

Käsittelijä ei käsittele erityisiä henkilötietoryhmiä (kuten GDPR:n artiklassa 9 on määritelty). 

4. TURVALLISUUSTOIMENPITEET 

Konteksti 

Rahoituslaitoksena Mollie on luonut turvallisuusohjaimet ja toimintamenettelyt, joita sovelletaan sovelluksiimme, järjestelmiimme ja IT-prosesseihin, ja joita Alankomaiden keskuspankki (DNB) tarkastaa, joka käyttää Euroopan pankkiviranomaisen (EBA) ohjeita teknisistä standardeista, joita lisenssinhaltijoiden tulisi noudattaa. 

Lisäksi, koska Mollie toimii (myös) henkilötietojen rekisterinpitäjänä, Mollie on säänneltyjen muiden lainsäädännöllisten säädösten asettamaa turvallisuus- ja tietosuojaunion valvoneet, jotka olivat Notableen GDPR ja sen sääntelyviranomainen Alankomaissa (Autoriteit Persoonsgegevens). 

Lisäksi, erityisesti korttitietoja käsittelevät järjestelmät ovat tasoa 1 PCI DSS -yhteensopivia järjestelmiä, mikä tarkoittaa, että tätä erityistä sovellusta ja sen kehittämiseen ja ylläpitoon liittyviä menettelyjä säädellään PCI Councilin esittämillä tietosuojamenetelmillä, joita ulkoiset tahot arvioivat vuosittain.

Yleiset Toimenpiteet

Kaikki sovellukset, järjestelmiä ja niihin liittyvät menettelyt ovat osallisen Mollien Tietoturvapolitiikka. Politiikan ja muiden sääntöjen kohokohdat, jotka ovat merkityksellisiä tarjottujen palveluiden laajuudelle, ovat:

• Töiden seulonta

• Kehittäjän turvallisuus-koulutusohjelma

• Turvallisuustietoisuusohjelma

• Tehtävien erottelu

• Muutoksenhallinta

• Haavoittuvuuksien hallinta

• Tapaturmahallinta

• Toiminnan jatkuvuus ja varmuuskopiohallinta

• Vahva pääsynhallinnan täytäntöönpano (IAM ja IGA)

• Käyttäjän valtuutuksen tarkistukset

• Järjestelmän luokittelustandardit

• Dataluokittelustandardit ja tietopolitiikka

• Turvalliset kokoonpanostandardit teollisuuden parhaaksi katsomien käytäntöjen perusteella, politiikan täytäntöönpano (kovettaminen)

• Fyysisen ja loogisen verkko-ympäristön erottelu

• Turvalliset salausstandardit

• Salausavaintyyppi

• Salaus (liikkeellä, levossa ja jaetuilla infrastruktuuriympäristöissä, kuten pilvessä)

• Kolmannen osapuolen riskinhallinta

• Saatavuus ja virheiden seuranta

• Turvallinen kehitys elinkaari

  • Uhkamallinnus merkittäville muutoksille ja uusille ominaisuuksille

  • Riippuvuuden hallinta ja tunnettu haavoittuvuuksien tarkastus

  • Pysähdys-koodin turvallisuusanalyysi

  • Sisäisten ja ulkoisten haavoittuvuusskannausten suoritus

• Koordinoitu haavoittuvuuden raportointiohjelma (CVD) ja virheiden palkitsemisohjelma

• Uhkatiedusteluohjelma (esim. osallistuminen Hollannin PI-ISAC:iin, maksumenettelyn ja -instituuttien tietojen vaihtokeskuksiin, pimeiden verkkoseurantojen)

• Hallittujen turvallisuuspalveluiden tarjoajien (MSSP) yhteistyö turvallisuustoimenpiteissä, analyyseissä ja oikeuslääketieteellisissä tutkimus

• Tietoturva- ja tapahtumienhallinnan (SIEM)

• Henkilöstön päätepisteiden turvaaminen

• Sähköpostin turvallisuus

Mollie Alusta

Yllämainittujen yleisten turvamenettelyjen lisäksi, Mollie Alusta -sovellus kattaa seuraavat turvallisuustoimenpiteet - joko yleisen turvallisuuspolitiikan täytäntöönpanosta johtuvina tai riskinä, jotka tunnisaan sovelluksen erityisriskinarvioinnissa:

• 2-vaiheinen pääsynhallinta

• Kolmannen osapuolen tunkeutumistestit

• Turvatapahtumien hallinta

• DDoS-mitigaatio

• Turvatapahtumien vastaus

• Saatavuuden seuranta

• Turvallinen tunnusvarastointi

• Redundanttinen infrastruktuuri

• Katastofitoimenpiteiden palautus

• Vauhtiuttamistoimenpiteet ja lukitus

• Tiukka Sisällön suojauspolitiikka

• Captcha

• Verkkosovellusten palomuuri

LIITE B - ALIKÄSITTELIJÖIDEN YLEISKATSAUS