Uvjeti i odredbe Mollie fakturiranja

Ovi uvjeti usluge („Uvjeti usluge izdavanja računa”) predstavljaju pravni ugovor između vas i organizacije ili subjekta koji predstavljate (u daljnjem tekstu „Organizacija”, „vi” ili „vaš”) i tvrtke Mollie B.V. te njezinih davatelja licenci (u daljnjem tekstu „Mollie”, „mi” ili „naš”) koji uređuje korištenje Usluge izdavanja računa.

Uvjeti usluge izdavanja računa utvrđuju uvjete pod kojima vam je dopušteno korištenje Usluge izdavanja računa. Korisnički ugovor, koji se na vas primjenjuje u cijelosti, ostaje na snazi i nadopunjuje se ovim Uvjetima usluge izdavanja računa. U slučaju nesuglasica između Korisničkog ugovora i ovih Uvjeta usluge izdavanja računa, ovi Uvjeti usluge izdavanja računa imaju prednost, ali isključivo u vezi s Uslugom izdavanja računa i njezinim korištenjem.

Sljedeće definicije primjenjuju se uz definicije uključene u Korisnički ugovor ili bilo koji drugi ugovor između tvrtke Mollie i Organizacije:

Korištenjem Usluge izdavanja računa pristajete na sljedeće uvjete:

1. Opis usluge

1.1 Usluga izdavanja računa tvrtke Mollie digitalno je rješenje za fakturiranje osmišljeno kako bi pomoglo platformama ili trgovcima da učinkovito izrade, prilagode, pošalju i upravljaju računima putem nadzorne ploče Mollie Dashboard ili sučelja Invoice API tako što omogućuje brzu izradu računa, primjenu PDV-a, automatizirane podsjetnike na plaćanje i praćenje te višestruke mogućnosti plaćanja za kupce („Usluga izdavanja računa”).

2. Cijene

2.1 Cijene Usluge izdavanja računa određuju se u skladu s www.mollie.com/pricing ili kako je drugačije dogovoreno u pisanom obliku između ugovornih strana. 

3. Osobni podaci i obrada podataka 

3.1 Korištenjem Usluge izdavanja računa od vas se može zahtijevati da tvrtki Mollie pružite osobne podatke svojih kupaca i korisnika, a Mollie može obrađivati te osobne podatke kako bi omogućila funkcioniranje Usluge izdavanja računa. Dajete dopuštenje i suglasnost tvrtki Mollie da koristi vaše osobne podatke ili podatke vaših kupaca i/ili da vaše osobne podatke ili podatke vaših kupaca učini dostupnima trećim stranama u mjeri u kojoj je to potrebno za omogućavanje ili pružanje Usluge izdavanja računa. Vi se smatrate „voditeljem obrade” svih osobnih podataka koji se koriste za generiranje računa, a mi ćemo osobne podatke obrađivati kao „izvršitelj obrade” u skladu s Prilogom 1 (UGOVOR O OBRADI PODATAKA ZA USLUGU IZDAVANJA RAČUNA TVRTKE MOLLIE) i Izjavom o privatnosti tvrtke Mollie dostupnom na www.mollie.com/legal/privacy.

3.2 Bez obzira na bilo koje suprotne odredbe, korištenjem Usluge izdavanja računa jamčite da jamčite i da ćete nastaviti jamčiti usklađenost sa svim zahtjevima za zaštitu podataka, uključujući, bez ograničenja, Opću uredbu o zaštiti podataka („GDPR”) ili bilo koji ekvivalentan propis ili zakon o zaštiti podataka primjenjiv na vašu poslovnu aktivnost.

4. Vaše obveze i odgovornosti

4.1 Ne smijete koristiti Uslugu izdavanja računa, niti dopustiti njezino korištenje, na bilo koji nezakonit ili nepropisan način.

4.2 Pridržavat ćete se trenutnih i budućih zakona i propisa u pogledu zahtjeva za račune i/ili poreze. Odgovornost za osiguravanje točnosti i ispravnosti računa, uključujući primijenjene stope PDV-a, leži isključivo na vama. Ako primjenjiva stopa PDV-a na vašem računu nije podržana u Usluzi izdavanja računa (primjerice, zbog izmjena primjenjivih stopa PDV-a u nekoj zemlji), bez odgađanja ćete nas o tome obavijestiti u pisanom obliku, a mi ćemo procijeniti i, ako je potrebno, prilagoditi mogućnost konfiguracije Usluge izdavanja računa kako bismo podržali novu stopu PDV-a.

4.3 Odgovorni ste za poduzimanje odgovarajućih mjera opreza (redovito i u skladu s uključenim rizicima) radi zaštite podataka i sadržaja unesenih, učitanih i pohranjenih tijekom vašeg korištenja Usluge izdavanja računa, kao i za izradu vlastitih sigurnosnih kopija kako biste osigurali rekonstrukciju podataka i informacija u slučaju gubitka. Prema svojim najboljim mogućnostima spriječit ćete neovlašteni pristup trećih strana Usluzi izdavanja računa.

4.4 Nemate pravo (osim ako se izričito drukčije ne dogovori u pisanom obliku):

• učiniti Uslugu izdavanja računa dostupnom u bilo kojem obliku trećim stranama osim vašim zaposlenicima, agentima, ugovarateljima i drugim povezanim korisnicima; ili

• reproducirati, mijenjati ili provoditi obrnuti inženjering dijelova, rastavljati, dekompilirati ili prevoditi Uslugu izdavanja računa.

4.5 Primili ste na znanje i suglasni ste sa svojim obvezama navedenima u Prilogu 1.

5. Licenca i intelektualno vlasništvo 

5.1 Odobrava vam se neisključivo, neprenosivo, bez prava na podlicenciranje, svjetsko, opozivo i privremeno pravo na korištenje Usluge izdavanja računa. Usluga izdavanja računa bit će vam dostupna isključivo na neisključivoj osnovi. Mollie nije dužna pružati usluge koje nisu dio Usluge izdavanja računa. U vezi s Uslugom izdavanja računa ne dodjeljuju se nikakva daljnja prava korištenja.

5.2 Isključivo ste odgovorni za upravljanje korisničkim pravima i dužni ste osigurati da svi korisnici poštuju ograničenja sadržana u Korisničkom ugovoru tvrtke Mollie i ovim Uvjetima i odredbama prilikom korištenja Usluge izdavanja računa.

5.3 Sva prava intelektualnog vlasništva i prava korištenja (osim licence dodijeljene ovim ugovorom) u vezi s Uslugom izdavanja računa, uključujući izvorni kod, baze podataka, funkcionalnosti, softver, dizajn web-mjesta, audio, video, tekst, fotografije i grafike („Prava intelektualnog vlasništva”), u potpunosti ostaju u vlasništvu tvrtke Mollie.

5.4 U mjeri u kojoj su vam ustupljeni kompleti za razvoj softvera („SDK-ovi”), uključujući njihova ažuriranja ili tehničku podršku, primjenjuju se sljedeće posebne odredbe za SDK:

• Odobrava vam se neisključiva, neprenosiva, opoziva licenca bez naknade za (i) instalaciju i korištenje SDK-a samo u obliku objektnog koda za razvoj programa koji se sastoje od kompajliranog koda generiranog pomoću SDK-a, ili bilo kojeg njegovog dijela, dizajniranog za rad s Proizvodom; (ii) izradu ograničenog broja kopija dokumentacije SDK-a koje vaši zaposlenici ili konzultanti mogu koristiti isključivo u svrhe razvoja, a ne u opće poslovne svrhe ili za distribuciju; i (iii) distribuciju SDK-a u obliku objektnog koda samo kao komponente Proizvoda;

• Mollie ima pravo, ali ne i obvezu pružiti bilo kakvu tehničku ili drugu podršku za SDK-ove;

• SDK-ovi uključuju kod koji uzrokuje slanje automatskih obavijesti o pogreškama s vaše strane i suglasni ste da Mollie ima trajno, neopozivo, neograničeno pravo koristiti takve informacije u svoje poslovne svrhe, uključujući, bez ograničenja, za podršku i razvoj proizvoda;

• ako koristite SDK-ove za pokretanje aplikacija koje ste razvili vi ili treća strana ili za pristup podacima, sadržaju ili resursima koje pruža treća strana, suglasni ste da Mollie nije odgovorna za te aplikacije, podatke, sadržaj ili resurse;

• SDK-ovi se licenciraju u viđenom stanju („as is”). Vi snosite rizik njihova korištenja; Mollie se odriče svih jamstava (bilo zakonskih, izričitih ili prešutnih) i ne pruža nikakva jamstva u vezi s vašim korištenjem SDK-ova.

  
  

6. Odgovornost i odšteta

6.1 Mollie nije odgovorna za pogreške, radnje, propuste ili neusklađenost proizašle iz vaših podataka, postavki ili korištenja Usluge izdavanja računa. Isključivo ste i u konačnici odgovorni za osiguravanje da svi podaci koji se koriste za izradu ili izdavanje računa, uključujući primijenjene stope PDV-a, budu u skladu s primjenjivim (poreznim) zakonima u dotičnoj zemlji korištenja. Mollie nema obvezu provjeravati točnost, cjelovitost ili ispravnost bilo kojih podataka ili postavki (PDV-a) koje ste konfigurirali, dostavili ili koristili putem Usluge izdavanja računa. Dužni ste obeštetiti i zaštititi tvrtku Mollie od svih zahtjeva trećih strana, obveza, šteta, gubitaka, troškova i izdataka (uključujući razumne odvjetničke naknade) koji proizlaze iz ili su povezani s vašim korištenjem Usluge izdavanja računa, uključujući konfiguraciju PDV-a. 

6.2 Radi izbjegavanja sumnje, u mjeri u kojoj je Mollie odgovorna za bilo kakvu štetu, naša odgovornost bit će ograničena u skladu s Korisničkim ugovorom.

Prilog 1: UGOVOR O OBRADI PODATAKA

Ovaj UGOVOR O OBRADI PODATAKA (u daljnjem tekstu „DPA”) uključujući njegove dodatke opisuje obveze ugovornih strana, uključujući one prema primjenjivim zakonima o zaštiti podataka, u pogledu obrade osobnih podataka (kako je definirano u nastavku). DPA je sastavni dio Korisničkog ugovora.

Ovaj DPA sklopljen je između Organizacije (u daljnjem tekstu „Voditelj obrade”)

i 

Mollie B.V., društva s ograničenom odgovornošću (besloten vennootschap) sa sjedištem u Amsterdamu, na adresi Keizersgracht 126, 1015 CW Amsterdam, Nizozemska, upisanog u nizozemsku Gospodarsku komoru pod brojem 30204462 (u daljnjem tekstu „Mollie” ili „Izvršitelj obrade”)

i 

Mollie UK Ltd., društva s ograničenom odgovornošću sa sjedištem u Londonu, na adresi 7 Pancras Square, London N1C 4AG, Ujedinjeno Kraljevstvo, upisanog u registar Companies House pod brojem 14013554 (u daljnjem tekstu „Mollie” ili „Izvršitelj obrade”),

pri čemu je svako pojedinačno „Strana”, a zajednički „Strane”. 

Definicije 

U ovom DPA-u sljedeći pojmovi imaju značenje navedeno u nastavku. Pojmovi napisani velikim slovom koji se koriste, ali ovdje nisu definirani, imaju značenje utvrđeno u Ugovoru.

Ugovor
ugovor između Voditelja obrade i Izvršitelja obrade o pružanju usluga („Korisnički ugovor”).

Obvezujuća korporativna pravila
pravila zaštite osobnih podataka kojih se pridržava voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice za prijenose ili skup prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzeća ili grupe poduzeća koja se bave zajedničkom gospodarskom aktivnošću.

Voditelj obrade
fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva Obrade osobnih podataka.

Kupac
Kupci Organizacije koji žele platiti proizvode i/ili usluge koje pruža Organizacija putem modula za plaćanje pod nazivom Payment Module tvrtke Mollie.

Povreda podataka
povreda sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. 

Ugovor o obradi podataka
ovaj ugovor, uključujući sve privitke.

Nadzorno tijelo
neovisno državno tijelo odgovorno za nadzor usklađenosti s primjenjivim zakonima koji se odnose na Obradu osobnih podataka. U Nizozemskoj je to Autoriteit Persoonsgegevens.

Procjena učinka na zaštitu podataka
procjena učinka predviđenih postupaka obrade na zaštitu osobnih podataka. 

Zakoni o zaštiti podataka
svo primjenjivo zakonodavstvo koje se odnosi na zaštitu podataka i privatnost uključujući, bez ograničenja, Opću uredbu o zaštiti podataka EU-a, sve lokalne zakone i propise koji ih izmjenjuju ili zamjenjuju, zajedno sa svim nacionalnim zakonima o provedbi u bilo kojoj državi članici Europskog gospodarskog prostora (EGP), u primjenjivoj mjeri, u bilo kojoj drugoj zemlji, u verziji koja se s vremena na vrijeme izmjenjuje, stavlja izvan snage, konsolidira ili zamjenjuje. 

Ispitanik
fizička osoba na koju se odnose Osobni podaci (npr. Kupci).

GDPR
Opća uredba o zaštiti podataka (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka. 

Osobni podaci
svaki podatak koji se odnosi na identificiranu fizičku osobu ili osobu koja se može identificirati; osoba koja se može identificirati je osoba koja se može identificirati, izravno ili neizravno, uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet te fizičke osobe. 

Obrada
svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim sredstvima ili ne, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. Ovaj popis nije iscrpan. Pojmovi „obrađivati”, „obrađuje” i „obrađeno” tumačit će se u skladu s tim. 

Izvršitelj obrade
fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje (osobne) podatke u ime Voditelja obrade.

Organizacija
organizacija koja koristi modul plaćanja Payment Module tvrtke Mollie u svrhe koje uključuju, ali nisu ograničene na, prodaju proizvoda i/ili usluga Kupcima.

Standardne ugovorne klauzule
Standardne ugovorne klauzule Europske komisije za izvršitelje obrade podataka (2010/87/EU) ili Provedbena odluka Komisije (EU) 2021/914 od 4. lipnja 2021. o standardnim ugovornim klauzulama za prijenos osobnih podataka trećim zemljama u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (C/2021/3972).

Podizvršitelj obrade
svaka treća osoba, subjekt ili tvrtka koju angažira Izvršitelj obrade radi obrade Osobnih podataka u sklopu pružanja usluga prema Ugovoru. 

ODJELJAK A SVRHA 

Članak A.1 Područje primjene

Izvršitelj obrade pristao je pružati usluge Voditelju obrade u skladu s uvjetima Korisničkog ugovora. Prilikom pružanja usluga, Izvršitelj obrade će u ime Voditelja obrade obrađivati Osobne podatke navedene u ovom DPA-u. Izvršitelj obrade, kao financijska institucija, također obrađuje Osobne podatke djelujući kao voditelj obrade podataka. 

Strane potvrđuju i slažu se da u mjeri u kojoj Mollie obrađuje Osobne podatke uključene u platne transakcije radi: i) izvršenja Korisničkog ugovora s Voditeljem obrade; ii) praćenja, sprječavanja i otkrivanja prijevarnih platnih transakcija; iii) usklađivanja sa zakonskim ili regulatornim obvezama primjenjivima na obradu i zadržavanje podataka o plaćanju koji se odnose na tvrtku Mollie, uključujući primjenjive provjere protiv pranja novca i usklađenost s obvezama dubinske analize stranke („upoznaj svog klijenta”); i iv) poboljšanja proizvoda i usluga tvrtke Mollie, Mollie djeluje kao voditelj obrade podataka i ima isključivu ovlast za utvrđivanje svrha i sredstava obrade Osobnih podataka koje prima od ili putem (pružanja usluga) Voditelja obrade.

Aktivnosti obrade, Osobni podaci i kategorije Ispitanika za koje Izvršitelj obrade obrađuje Osobne podatke u ime Voditelja obrade navedeni su u Prilogu A. 

ODJELJAK B OBVEZE 

Članak B.1 Obveze Voditelja obrade 

Voditelj obrade odgovoran je za Osobne podatke koje će Izvršitelj obrade obrađivati te je dužan osigurati usklađenost sa svim Zakonima o zaštiti podataka, uključujući zahtjeve koji se odnose na prijenos Osobnih podataka prema ovom DPA-u i Korisničkom ugovoru. Voditelj obrade jamči da ima pravo obrađivati Osobne podatke i da ima pravo imenovati Izvršitelja obrade za obradu podataka u ime Voditelja obrade.

Voditelj obrade suglasan je da je, bez ograničavanja obveza Izvršitelja obrade prema ovom DPA-u, Voditelj obrade isključivo odgovoran za svoje korištenje usluga, što uključuje (a) primjereno korištenje usluga radi osiguravanja razine sigurnosti koja odgovara riziku u odnosu na Osobne podatke; (b) zaštitu autentifikacijskih vjerodajnica računa, sustava i uređaja koje Voditelj obrade koristi za pristup uslugama; (c) zaštitu sustava i uređaja Voditelja obrade koje koristi s uslugama; i (d) održavanje vlastitih sigurnosnih kopija Osobnih podataka.

Članak B.2 Obveze Izvršitelja obrade 

Izvršitelj obrade obvezuje se: 

1. obrađivati Osobne podatke samo u skladu s dokumentiranim uputama Voditelja obrade i poduzeti potrebne korake kako bi osigurao da nijedna fizička osoba koja djeluje pod njegovim nadzorom i ima pristup Osobnim podacima ne obrađuje Osobne podatke osim po uputama Voditelja obrade;

2. odmah obavijestiti Voditelja obrade ako bilo koja uputa u vezi s Obradom osobnih podataka koju je Voditelj obrade dao Izvršitelju obrade krši primjenjive Zakone o zaštiti podataka ili odredbe utvrđene u ovom DPA-u;

3. provesti odgovarajuće tehničke i organizacijske postupke za zaštitu Osobnih podataka, uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba; i

4. bez nepotrebnog odgađanja obavijestiti Voditelja obrade ako primi pritužbu ili zahtjev koji se odnosi na obveze bilo koje ugovorne strane prema Zakonima o zaštiti podataka relevantnima za ovaj DPA, uključujući bilo koji zahtjev za naknadu štete od Ispitanika ili bilo koju obavijest, istragu ili drugu radnju Nadzornog tijela te pružiti Voditelju obrade sve pojedinosti o takvoj istrazi, pritužbi ili zahtjevu, osim ako to nije dopušteno zakonom ili na zahtjev Nadzornog tijela.
   
   

ODJELJAK C PRIJENOSI I PODIZVRŠITELJI OBRADE

Članak C.1 Prijenos Osobnih podataka 

U slučaju da se Osobni podaci koji se odnose na Ispitanika iz EU-a prenose izvan EGP-a, obrađivat će ih subjekt: (i) koji se nalazi u trećoj zemlji ili na teritoriju za koji je Europska komisija utvrdila da osigurava primjerenu razinu zaštite; ili (ii) koji podliježe Standardnim ugovornim klauzulama EU-a i/ili Međunarodnom ugovoru o prijenosu podataka Ujedinjenog Kraljevstva ili Dodatku Standardnim ugovornim klauzulama Ujedinjenog Kraljevstva; ili (iii) koji ima uspostavljene druge pravno priznate odgovarajuće zaštitne mjere, kao što su Obvezujuća korporativna pravila, koja jamče istu razinu zaštite i zaštitnih mjera kao ovaj DPA. 

Članak C.2 Podizvršitelji obrade 

Voditelj obrade ovime daje suglasnost Izvršitelju obrade za korištenje Podizvršitelja obrade navedenih u Prilogu B. Izvršitelj obrade može povremeno ažurirati ovaj popis u skladu s ovim DPA-om.

Prije angažiranja novog Podizvršitelja obrade za usluge navedene u Prilogu A, Izvršitelj obrade o tome će obavijestiti Voditelja obrade koji koristi dotičnu uslugu i ostaviti Voditelju obrade rok od najmanje deset (10) kalendarskih dana za prigovor, osim ako Izvršitelj obrade opravdano vjeruje da je angažiranje novog Podizvršitelja obrade po ubrzanom postupku nužno radi zaštite povjerljivosti, cjelovitosti ili dostupnosti Osobnih podataka ili radi izbjegavanja znatnih poremećaja u pruženim uslugama. U tom slučaju Izvršitelj obrade poslat će takvu obavijest što je prije moguće. Ako u roku od pet (5) kalendarskih dana nakon takve obavijesti Voditelj obrade pismeno obavijesti Izvršitelja obrade da se protivi imenovanju novog Podizvršitelja obrade na temelju opravdanih razloga u vezi sa zaštitom podataka, strane će u dobroj vjeri raspraviti te sumnje i mogućnost njihova rješavanja. Prigovori na nove Podizvršitelje obrade podnose se na adresu privacy@mollie.com. 

Voditelj obrade prima na znanje da su Podizvršitelji obrade nužni za pružanje usluga te da prigovor na korištenje pojedinog Podizvršitelja obrade može onemogućiti Izvršitelja obrade u pružanju usluga Voditelju obrade. Ako ugovorne strane ne uspiju postići zajednički dogovor o rješenju takvih pitanja, Voditelj obrade može, kao svoj jedini i isključivi pravni lijek, otkazati DPA.

Svi Podizvršitelji obrade koji obrađuju Osobne podatke u sklopu pružanja usluga Voditelju obrade dužni su pridržavati se obveza utvrđenih u ovom DPA-u. Izvršitelj obrade će, prije otkrivanja Osobnih podataka bilo kojem Podizvršitelju obrade, provesti odgovarajuću dubinsku analizu kako bi osigurao da je Podizvršitelj obrade sposoban pružiti razinu zaštite osobnih podataka Voditelja obrade 

koja se zahtijeva ovim DPA-om te će s tim Podizvršiteljem obrade sklopiti ugovor prema kojem se Podizvršitelj obrade slaže pridržavati obveza istovjetnih onima utvrđenima u ovom DPA-u. 

ODJELJAK D SIGURNOST 

Članak D.1 Sigurnosne mjere

Izvršitelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti koja odgovara riziku, uključujući, prema potrebi, između ostalog:

1. pseudonimizaciju i šifriranje Osobnih podataka; 

2. sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade; 

3. sposobnost pravodobne uspostave dostupnosti Osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta; i 

4. postupak redovitog testiranja, ocjenjivanja i vrednovanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti Obrade. Prilikom procjene odgovarajuće 

razine sigurnosti, posebno se uzimaju u obzir rizici koje predstavlja obrada, posebice od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa Osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

Članak D.2 Obavijest o Povredi podataka

Izvršitelj obrade će bez odgađanja obavijestiti Voditelja obrade o svakom slučajnom ili nezakonitom uništenju, gubitku, izmjeni ili neovlaštenom otkrivanju ili pristupu Osobnim podacima nakon otkrivanja, u mjeri u kojoj se Povreda podataka odnosi isključivo na obradu Osobnih podataka od strane Izvršitelja obrade u svojstvu izvršitelja obrade. Ako se Povreda podataka odnosi na Osobne podatke za koje se Izvršitelj obrade smatra Voditeljem obrade kako je opisano u Izjavi o privatnosti Izvršitelja obrade, Izvršitelj obrade zadržava pravo rješavati Povredu podataka u svojstvu voditelja obrade. 

Odgađanje slanja obavijesti o Povredi podataka koje zahtijevaju tijela kaznenog progona i/ili u svjetlu opravdanih potreba Izvršitelja obrade da istraži ili sanira situaciju prije slanja obavijesti, neće se smatrati neopravdanim odgađanjem. Takve obavijesti opisat će, u mjeri u kojoj je to moguće, pojedinosti o Povredi podataka, uključujući korake poduzete za ublažavanje potencijalnih rizika. Bez utjecaja na obveze Izvršitelja obrade prema ovom Odjeljku D.1, Voditelj obrade isključivo je odgovoran za usklađenost sa zakonima o obavješćivanju o Povredama podataka primjenjivima na Voditelja obrade i za ispunjavanje svih obveza obavješćivanja trećih strana u vezi s Povredama podataka. Obavijest Izvršitelja obrade o Povredi podataka ili njegov odgovor na nju prema ovom Odjeljku D.1 ne smiju se tumačiti kao priznanje krivnje ili odgovornosti Izvršitelja obrade u vezi s Povredom podataka.

Sve troškove nastale u rješavanju Povrede podataka i provedbi mjera potrebnih za sprječavanje takve Povrede podataka u budućnosti snosit će Strana koja te troškove prouzroči. 

ODJELJAK E REVIZIJA

Članak E.1 Pravo na reviziju 

Voditelj obrade ima pravo, uz prethodnu najavu u razumnom roku, zatražiti izvješća o reviziji od Izvršitelja obrade koja se odnose na Obradu osobnih podataka u okviru usluga pruženih prema ovom DPA-u.

Izvješća o reviziji, kako se navodi u ovoj klauzuli, uključuju, ali se ne ograničavaju na, izvješća koja se odnose na mjere sigurnosti, povjerljivosti i zaštite podataka koje je Izvršitelj obrade proveo u vezi s Obradom osobnih podataka. Ova izvješća također mogu obuhvaćati usklađenost s relevantnim Zakonima o zaštiti podataka.

Zahtjevi za izvješća o reviziji podnose se u pisanom obliku na adresu privacy@mollie.com, uz navođenje opsega i svrhe zahtjeva. Izvršitelj obrade će pravodobno potvrditi primitak takvih zahtjeva.

Primitak izvješća o reviziji podliježe profesionalnoj obvezi čuvanja povjerljivosti. Voditelj obrade može koristiti izvješća o reviziji isključivo u svrhu ispunjavanja svojih regulatornih zahtjeva za reviziju i potvrde da je Obrada osobnih podataka od strane Izvršitelja obrade u skladu s ovim DPA-om. Izvješća o reviziji ne smiju se dijeliti s vanjskim stranama.

ODJELJAK F PROCJENE UČINKA NA ZAŠTITU PODATAKA I PRETHODNO SAVJETOVANJE

Članak F.1 Pomoć

Izvršitelj obrade pomoći će Voditelju obrade u provođenju procjene učinka na obradu Osobnih podataka (članak 35. GDPR-a) i u svim savjetovanjima s Nadzornim tijelom (članak 36. GDPR-a), ako i u mjeri u kojoj je provođenje procjene ili savjetovanja obvezno prema Zakonima o zaštiti podataka i u slučajevima kada je Izvršitelju obrade dopušteno i/ili se od njega zahtijeva suradnja.

ODJELJAK G PRAVA ISPITANIKA

Članak G.1 Pomoć

Ako Izvršitelj obrade primi zahtjev od Ispitanika u vezi s Osobnim podacima Voditelja obrade, Izvršitelj obrade uputit će Ispitanika da svoj zahtjev podnese Voditelju obrade i/ili će proslijediti zahtjev Voditelju obrade, a Voditelj obrade bit će odgovoran za odgovaranje na takav zahtjev.

Na zahtjev i o trošku Voditelja obrade, Izvršitelj obrade pružit će Voditelju obrade pomoć koja mu može razumno biti potrebna za ispunjavanje obveza prema Zakonima o zaštiti podataka radi odgovaranja na zahtjeve ispitanika za ostvarivanje njihovih prava prema Zakonima o zaštiti podataka (npr. prava na pristup podacima, ispravak, brisanje, ograničenje, prenosivost i prigovor) u slučajevima kada Voditelj obrade ne može razumno samostalno ispuniti takve zahtjeve putem svog pristupa proizvodima i uslugama Izvršitelja obrade.

ODJELJAK H RAZNO 

Članak H.1 Povjerljivost 

Izvršitelj obrade čuvat će u tajnosti sve Osobne podatke i osigurati da svi zaposlenici, agenti, službenici i ugovaratelji koji imaju pristup Obradi osobnih podataka ili su u nju uključeni budu svjesni povjerljive naravi Osobnih podataka te da su ugovorno obvezani čuvati povjerljivost Osobnih podataka te da su upoznati s obvezama iz ovog DPA-a i da ih se pridržavaju.

Članak H.2 Odgovornost

Svaka odgovornost koja proizlazi iz ovog DPA-a bit će uređena relevantnim odredbama Korisničkog ugovora, uključujući i ograničenja odgovornosti. 

Bez obzira na odredbe Korisničkog ugovora, svaka Strana bit će odgovorna drugoj Strani isključivo za štetu koju joj prouzroči bilo kojim kršenjem ovog DPA-a. Ta šteta mora biti jasno dokazana. Izvršitelj obrade bit će odgovoran za štetu prouzročenu obradom samo u slučaju da se nije pridržavao obveza iz Zakona o zaštiti podataka koje su posebno upućene izvršiteljima obrade ili ako je djelovao izvan ili suprotno zakonitim uputama Voditelja obrade kako je opisano u ovom DPA-u. U tom kontekstu, Izvršitelj obrade bit će odgovoran samo ako Voditelj obrade dokaže da je Izvršitelj obrade odgovoran za događaj koji je doveo do štete.

Voditelj obrade bit će isključivo odgovoran Ispitaniku, a Ispitanik ima pravo na naknadu za svaku imovinsku ili neimovinsku štetu koju Voditelj obrade ili Izvršitelj obrade (ili njegovi Podizvršitelji obrade) prouzroče Ispitaniku kršenjem ovog DPA-a.

Članak H.3 Trajanje i otkazivanje 

Trajanje ovog DPA-a podudara se s početkom važenja Korisničkog ugovora i/ili korištenjem određenog proizvoda ili usluge kako je navedeno u Prilogu A.

Ovaj DPA prestaje vrijediti automatski zajedno s prestankom Korisničkog ugovora i/ili prestankom korištenja određenog proizvoda ili usluge kako je navedeno u Prilogu A, ovisno o tome što nastupi prije.

Po prestanku ovog DPA-a, Izvršitelj obrade će, na zahtjev Voditelja obrade, vratiti Osobne podatke Voditelju obrade ili izvršitelju obrade kojeg je imenovao Voditelj obrade, ili izbrisati Osobne podatke, osim ako je Izvršitelj obrade dužan zadržati kopiju u skladu s bilo kojim zakonom Europske unije ili bilo koje države članice Europske unije.

ODJELJAK I ZAVRŠNE ODREDBE 

Članak I.1 Cjeloviti ugovor 

Ovaj DPA čini dio Korisničkog ugovora. Sva prava i obveze koje proizlaze iz Korisničkog ugovora također su primjenjive na ovaj DPA. Prilog A čini sastavni dio ovog DPA-a.

Članak I.2 Izmjene isključivo sporazumom 

Nikakva izmjena ovog DPA-a neće biti valjana osim ako nije u pisanom obliku i potpisana od strane ovlaštenih predstavnika svake Strane. 

Članak I.3 Djelomična ništavost 

Svaka od odredbi u ovom DPA-u zasebna je i odvojiva, i ako se bilo koja odredba ili dio odredbe proglasi neprovedivom, nezakonitom ili ništavnom u cijelosti ili djelomično od strane bilo kojeg suda, regulatornog tijela ili drugog nadležnog tijela, smatrat će se u toj mjeri da nije dio ovog DPA-a, a na provedivost, zakonitost i valjanost ostatka ovog DPA-a to neće utjecati. Strane su suglasne da će pokušati zamijeniti svaku nevaljanu ili neprovedivu odredbu valjanom i provedivom odredbom koja u najvećoj mogućoj mjeri postiže isti učinak koji bi se

postigao nevaljanom ili neprovedivom odredbom. Osim izmjena uvedenih ovim DPA-om, Korisnički ugovor ostaje nepromijenjen i u punoj snazi i na snazi.

Članak I.4 Pravo na ustupanje 

Strane mogu prenijeti ovaj DPA samo u skladu s Korisničkim ugovorom (klauzula 8.9). 

Članak I.5 Mjerodavno pravo 

Ovaj DPA bit će uređen i tumačit će se u skladu sa zakonima Nizozemske. Svaka Strana pristaje na isključivu nadležnost sudova u Amsterdamu za rješavanje svih sporova proizašlih iz ovog DPA-a. Ako bilo koji sud ili upravno tijelo nadležne jurisdikcije proglasi bilo koju odredbu ovog DPA-a nevaljanom, neprovedivom ili nezakonitom, ostale odredbe ovog DPA-a ostaju u punoj snazi i na snazi. 

PRILOG A – SPECIFIKACIJA OBRADE OSOBNIH PODATAKA 

1. SVRHA OBRADE

Obrada Osobnih podataka izravno je povezana s pružanjem usluga ugovorenih u sklopu Korisničkog ugovora.

Svrhe obrade su:

• Sporovi

  • Olakšavanje upravljanja i rješavanja sporova između Voditelja obrade i njegovih Kupaca putem proizvoda i usluga tvrtke Mollie.

  • Pružanje Voditelju obrade potrebnih alata i informacija za odgovor na sporne zahtjeve, kao što su povrati uplate (chargeback) ili upiti o plaćanju.

• Izdavanje računa

  •  Olakšavanje slanja računa Kupcima Voditelja obrade putem proizvoda i usluga tvrtke Mollie 

2. KATEGORIJE ISPITANIKA 

Izvršitelj obrade obradit će Osobne podatke sljedećih kategorija Ispitanika za Voditelja obrade:

• Kupci Voditelja obrade: Platitelji (potrošači ili poslovni kupci) koji pokreću plaćanje, upit ili spor.

Sporovi

• Treće strane primatelji: Pojedinci identificirani u evidenciji dostave ili dokazima o transakciji koji možda nisu platitelji (npr. osoba koja prima dar na adresi za dostavu).

• Ovlašteni predstavnici / Osoblje Voditelja obrade: Osoblje trgovca čija se imena, kontakt podaci ili potpisi mogu pojaviti u dokazima o sporu, zapisnicima komunikacije ili tiketima podrške.

• Treće strane pružatelji usluga: Pojedinci čiji podaci mogu biti sadržani u dokazima koje su dostavili podizvršitelji obrade ili partneri (npr. imena dostavljača na potpisu potvrde o dostavi).

Izdavanje računa

• Pojedinosti o računu (kako ih unese Voditelj obrade)

3. VRSTE OSOBNIH PODATAKA 

Izvršitelj obrade obradit će sljedeće vrste Osobnih podataka za Voditelja obrade:

• Podaci o identitetu i kontaktu: Puno ime, adresa e-pošte, telefonski broj i adresa za naplatu Platitelja.

• Metapodaci transakcije: ID transakcije, broj narudžbe, iznos, valuta, datum/vrijeme i specifičan način plaćanja koji je korišten (npr. Kreditna kartica, Klarna, iDEAL).

• Podaci o ispunjenju obveza i logistici: 

  • Podaci o dostavi: Adresa dostave (ulica, kućni broj, poštanski broj, grad, država).

  • Podaci za praćenje: Naziv prijevoznika, brojevi za praćenje i zapisi o statusu tranzita/dostave u stvarnom vremenu.

  • Dokaz o dostavi: Digitalni potpisi, vremenske oznake isporuke i fotografski dokazi o isporuci (npr. paket pred vratima).

• Dokazi o sporu (nestrukturirani podaci): 

  • Učitane datoteke: Svi osobni podaci sadržani u dokumentima koje je Voditelj obrade ručno učitao (npr. računi u PDF-u, zapisnici čavrljanja korisničke podrške, snimke zaslona aplikacije WhatsApp ili korespondencija e-poštom).

• Tehnički identifikatori: IP adrese, otisci prstiju uređaja i metapodaci preglednika prikupljeni u trenutku transakcije (koriste se za provjeru lokacije i identiteta kupca u svrhu borbe protiv prijevara).

Gore navedene kategorije Osobnih podataka odražavaju predviđeni opseg Obrade prema ovom Ugovoru. U slučaju da se Osobni podaci koji ne spadaju u ove kategorije slučajno podijele ili ugrade unutar nestrukturiranih podataka ili učitanih dokumenata, Izvršitelj obrade će s tim podacima postupati s odgovarajućom pažnjom i primijeniti prikladne tehničke i organizacijske mjere.

4. SIGURNOSNE MJERE 

Kontekst 

Kao financijska institucija, sigurnosne kontrole i operativne postupke koje je Mollie kreirala za naše aplikacije, sustave i IT procese podliježu reviziji od strane Nizozemske središnje banke (DNB), koja pak koristi smjernice Europskog nadzornog tijela za bankarstvo (EBA) za tehničke standarde kojih bi se imatelji licenci trebali pridržavati. 

Nadalje, kako Mollie (također) djeluje kao voditelj obrade osobnih podataka, Mollie je regulirana i drugim zakonodavstvom koje postavlja standarde za sigurnost i zaštitu podataka, a koje provode dodatna tijela - ponajviše GDPR i njegovo regulatorno tijelo u Nizozemskoj (Autoriteit Persoonsgegevens). 

Dodatno, sustavi koji obrađuju podatke o karticama specifični su sustavi usklađeni sa standardom PCI DSS razine 1, što znači da ova posebna aplikacija i postupci za njezin razvoj i održavanje podliježu mjerama zaštite podataka koje je definiralo Vijeće za standarde sigurnosti industrije platnih kartica (PCI), a usklađenost s kojima se za tvrtku Mollie procjenjuje od strane vanjske strane jednom godišnje. 

Opće mjere

Sve aplikacije, sustavi i postupci povezani s njima podliježu Politici informacijske sigurnosti tvrtke Mollie. Istaknuti dijelovi ove i drugih politika koje su relevantne za opseg pruženih usluga su:

• Provjera zaposlenika

• Program obuke o sigurnosti za razvojne programere

• Program podizanja svijesti o sigurnosti

• Razdvajanje dužnosti

• Upravljanje promjenama

• Upravljanje ranjivostima

• Upravljanje incidentima

• Upravljanje otpornošću i sigurnosnim kopijama

• Stroga provedba kontrole pristupa (IAM i IGA)

• Pregledi korisničkih ovlaštenja

• Standardi klasifikacije sustava

• Standardi klasifikacije podataka i politika o podacima

• Standardi sigurne konfiguracije temeljeni na najboljim praksama u industriji, provedba politike (otvrdnjavanje sustava - hardening)

• Fizičko i logičko razdvajanje mrežnog okruženja

• Standardi sigurnog šifriranja

• Upravljanje ključevima za šifriranje

• Šifriranje (u tranzitu, u mirovanju za dijeljena infrastrukturna okruženja kao što je oblak)

• Upravljanje rizicima trećih strana

• Praćenje dostupnosti i pogrešaka

• Životni ciklus sigurnog razvoja (S-SDLC)

  • Modeliranje prijetnji kod značajnih promjena i novih značajki

  • Upravljanje ovisnostima i skeniranje poznatih ranjivosti

  • Sigurnosna analiza statičkog koda

  • Unutarnje i vanjsko skeniranje ranjivosti

• Koordinirano otkrivanje ranjivosti (CVD) i program nagrađivanja za otkrivanje bugova (bug bounty)

• Program prikupljanja podataka o prijetnjama (npr. sudjelovanje u nizozemskom PI-ISAC-u, centru za dijeljenje i analizu informacija platnih institucija, praćenje mračnog weba - dark web)

• Suradnja s pružateljem upravljanih sigurnosnih usluga (MSSP) za sigurnosne operacije, analizu i forenzičke istrage

• Upravljanje sigurnosnim informacijama i događajima (SIEM)

• Sigurnost krajnjih točaka osoblja

• Sigurnost e-pošte

Platforma Mollie

Uz gore navedene opće sigurnosne mjere, aplikacija Platforma Mollie obuhvaćena je sljedećim sigurnosnim mjerama - koje proizlaze iz provedbe naših općih sigurnosnih politika ili kao mjera ublažavanja rizika utvrđenog u procjeni rizika specifičnoj za aplikaciju:

• Kontrola pristupa s dvofaktorskom autentifikacijom

• Penetracijska testiranja trećih strana

• Upravljanje sigurnosnim incidentima i događajima

• Ublažavanje DDoS napada

• Odgovor na sigurnosne incidente

• Praćenje dostupnosti

• Sigurna pohrana vjerodajnica

• Redundantna infrastruktura

• Preusmjeravanje u slučaju kvara radi oporavka od katastrofe

• Ograničavanje brzine prijenosa i zaključavanje

• Stroga Politika sigurnosti sadržaja (Content-Security-Policy)

• Captcha

• Vatrozid web aplikacije
  
  

PRILOG B – PREGLED PODIZVRŠITELJA OBRADE

Primjenjivo na korisnike proizvoda za Sporove (Disputes)

Primjenjivo na korisnike proizvoda za Izdavanje računa (Invoicing)