Adatfeldolgozási Megállapodás

Ez a ADATFELDOLGOZÁSI MEGÁLLAPODÁS (a továbbiakban „DPA”), beleértve a mellékleteit is, leírja a felek kötelezettségeit, beleértve az érvényes adatvédelmi törvények szerinti kötelezettségeket is, a személyes adatok (az alább meghatározottak szerint) feldolgozásával kapcsolatban. A DPA beépül a Felhasználói Megállapodásba.

Ez a DPA a Szervezet (a továbbiakban „Adatkezelő”)

és 

Mollie B.V., egy korlátolt felelősségű társaság (besloten vennootschap), amelynek székhelye Amszterdamban, a Keizersgracht 126, 1015 CW Amsterdam, Hollandia címen található, és a Holland Kereskedelmi Kamara alatt van bejegyezve a 30204462 számon, (a továbbiakban „Mollie” vagy „Feldolgozó”)

és 

Mollie UK Ltd., egy korlátolt felelősségű társaság, amelynek székhelye Londonban, a 7 Pancras Square, London N1C 4AG, Egyesült Királyság címén van, és a Companies House alatt van bejegyezve a 14013554 számon, (a továbbiakban „Mollie” vagy „Feldolgozó”),

mind egy „Fél”, és együttvéve „Felek”. 

Meghatározások 

Ebben a DPA-ban a következő kifejezések az alább meghatározott jelentéssel bírnak. A jelen megállapodásban nem definiált nagybetűs kifejezések az Egyezményben meghatározott jelentéssel bírnak.

Megállapodás: A Felhasználói Megállapodás Adatkezelő és Feldolgozó között a szolgáltatások nyújtására („Felhasználói Megállapodás”).

Kötelező Vállalati Szabályok: Személyes adatok feldolgozására vonatkozó politikák, amelyeket egy adatkezelő vagy feldolgozó követ az EGT tagállamának területén történő átvitelre vagy személyes adatok csoportos átvitelére egy vagy több harmadik országban, egy csoport vállalkozás vagy együttesen gazdasági tevékenységet folytató vállalkozáscsoport keretében.

Adatkezelő: Az a természetes vagy jogi személy, közhatalom, ügynökség vagy más testület, amely egyedül vagy másokkal együtt meghatározza a személyes adatok feldolgozásának célját és eszközeit.

Ügyfél: A Szervezet ügyfelei, akik a Mollie Fizetési Modulján keresztül kívánják kifizetni a Szervezet által nyújtott termékek és/vagy szolgáltatások árát.

Adatsértés: A biztonság megsértése, amely a személyes adatok, amelyek átadásra, tárolásra vagy más módon feldolgozásra kerültek, véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan nyilvánosságra hozatalához vagy hozzáféréséhez vezet. 

Adatfeldolgozási Megállapodás: Ez a megállapodás, beleértve minden mellékletet.

Felügyeleti Hatóság: Egy független kormányzati szerv, amely az adatfeldolgozásra vonatkozó érvényes törvények betartásának felügyeletéért felel. Hollandiában ez az Autoriteit Persoonsgegevens.

Adatvédelmi Hatásvizsgálat: A tervezett feldolgozási műveletek adatvédelemre gyakorolt hatásának értékelése.

Adatvédelmi Törvények: Minden olyan alkalmazandó jogszabály, amely az adatvédelemre és a magánéletre vonatkozik, beleértve, korlátozás nélkül, az EU Általános Adatvédelmi Rendeletét, minden helyi törvényt és rendeletet, amelyek ezeket módosítják vagy helyettesítik, valamint bármely nemzeti végrehajtási törvényt az Európai Gazdasági Térség (EGT) bármely tagállamában annyiban alkalmazható, bármely más országban, időről időre módosítva, visszavonva, konszolidálva vagy helyettesítve.

Adatalany: Az azonosított vagy azonosítható természetes személyre vonatkozó információ (pl. Ügyfelek).

GDPR: Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete, amely a természetes személyek védelméről szól a személyes adatok feldolgozása és az ilyen adatok szabad áramlása tekintetében. 

Személyes Adatok: Bármilyen információ, amely egy azonosított vagy azonosítható természetes személyhez kapcsolódik; egy azonosítható természetes személy az, aki közvetlenül vagy közvetve, különösen valamely azonosító nevéhez kapcsoltan azonosítható, mint például név, azonosítószám, helyadatai, online azonosító, vagy egy vagy több tényező sajátos a természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy szociális identitása 

Feldolgozás: Bármilyen művelet vagy műveletek összessége, amelyek személyes adatokon vagy személyes adathalmazokon kerülnek végrehajtásra, akár automatizált eszközökkel, mint például gyűjtés, rögzítés, szervezés, strukturálás, tárolás, adaptálás vagy módosítás, lekérdezés, konzultáció, felhasználás, továbbadás útján történő nyilvánosságra hozatal, terjesztés vagy más módon hozzáférhetővé tétel, összehangolás vagy kombináció, korlátozás, törlés vagy megsemmisítés. Ez a lista nem kimerítő. A „feldolgozás”, „feldolgozások” és „feldolgozott” kifejezéseket ennek megfelelően értelmezik 

Feldolgozó: Természetes vagy jogi személy, közhatalom, ügynökség vagy más testület, amely a személyes adatokat az Adatkezelő nevében dolgozza fel.

Szervezet: Az a szervezet, amely a Mollie Fizetési Modulját használja, többek között termékek és/vagy szolgáltatások Ügyfelek számára történő eladására.

Standard Szerződéses Záradékok: Az Európai Bizottság Szerződéses Záradékai Adatfeldolgozók számára (2010/87/EU) vagy a Bizottság Végrehajtási Határozata (EU) 2021/914 2021. június 4-éről, amely a személyes adatok harmadik országba történő továbbítására vonatkozó standard szerződési záradékokat tartalmaz a 2016/679/EU rendelet alapján.
Alfeldolgozóbármely harmadik személy, egység vagy vállalat, amelyet Feldolgozó szerződtetett, hogy feldolgozza a személyes adatokat a Megállapodás keretei alatt nyújtott szolgáltatásokban.

A SZEKCIÓ: CEL 

A.1 Cikk Méretek

A Feldolgozó megállapodott abban, hogy szolgáltatásokat nyújt Adatkezelő részére a Felhasználói Megállapodás feltételeinek megfelelően. A szolgáltatások nyújtásakor a Feldolgozó az Adatkezelő nevében az adatfeldolgozással kapcsolatos személyes adatokat dolgozza fel, ahogyan azt a DPA meghatározza. A Feldolgozó, mint pénzügyi intézmény, adatkezelőként is feldolgozza a személyes adatokat. 

A felek elismerik és megállapodnak abban, hogy amennyiben a Mollie személyes adatokat dolgoz fel a fizetési tranzakciókban a következőkre vonatkozóan: i) a Felhasználói Megállapodás végrehajtása az Adatkezelővel; ii) csalárd fizetési tranzakciók ellenőrzése, megelőzése és felderítése; iii) a Mollie-ra alkalmazandó jogi vagy szabályozási kötelezettségek teljesítése és a fizetési adatok feldolgozásának és megőrzésének kötelezettsége, beleértve a pénzmosás elleni kötelező ellenőrzéseket és az ismerd meg az ügyfeled kötelezettségek teljesítését; és iv) a Mollie termékeinek és szolgáltatásainak fejlesztése, a Mollie adatkezelőként jár el, és kizárólagosan jogosult a személyes adatok feldolgozása céljainak és eszközeinek meghatározására, amely adatokat az Adatkezelőtől kap vagy azokon keresztül (szolgáltatások nyújtása az Adatkezelőnek).

A DPA-ban az Adatkezelő nevében Feldolgozó által feldolgozott személyes adatokkal kapcsolatos feldolgozási tevékenységek, személyes adatok és adatalanyi kategóriák az A mellékletben találhatók. 

B SZEKCIÓ: KÖTELEZETTSÉGEK 

B.1 Cikk Adatkezelői kötelezettségek 

Az Adatkezelő felelős a Feldolgozó által feldolgozott személyes adatokért, és köteles betartani minden Adatvédelmi Törvényt, beleértve a DPA és a Felhasználói Megállapodás keretei alatt történő személyes adatok továbbítására vonatkozó követelményeket. Az Adatkezelő garantálja, hogy jogában áll a személyes adatok feldolgozása és jogában áll a Feldolgozót felhatalmazni a személyes adatok adatkezelő nevében történő feldolgozására.

Az Adatkezelő beleegyezik, hogy a Feldolgozó e DPA alatti kötelezettségeinek korlátozás nélkül, az Adatkezelő kizárólagosan felelős a szolgáltatások használatáért, beleértve a) a szolgáltatások megfelelő használatát a személyes adatokkal kapcsolatos biztonság kockázathoz megfelelő szintjének biztosítása érdekében; b) az Adatkezelő által a szolgáltatások eléréséhez használt fiókhitelesítési hitelesítő adatok, rendszerek és eszközök védelme; c) az Adatkezelő rendszereinek és eszközeinek védelme, amelyeket a szolgáltatásokkal használ; és d) a személyes adatok saját biztonsági másolatainak fenntartása.

B.2 Cikk Feldolgozói kötelezettségek 

A Feldolgozó vállalja, hogy: 

1. kizárólag az Adatkezelő dokumentált utasításai alapján dolgozza fel a személyes adatokat, és megteszi a szükséges lépéseket annak biztosítására, hogy hatósága alatt dolgozó természetes személyek, akik hozzáférnek a személyes adatokhoz, azokat kizárólag az Adatkezelő utasításainak megfelelően dolgozzák fel;

2. haladéktalanul értesíti az Adatkezelőt, ha bármely Adatkezelő által a Feldolgozónak adott személyes adatok feldolgozására vonatkozó utasítások megsértik bármely alkalmazandó adatvédelmi törvényt vagy a DPA-ban foglalt rendelkezéseket;

3. megfelelő technikai és szervezési eljárások bevezetése a személyes adatok védelmére, figyelembe véve a technológia állását, a megvalósítás költségeit és a feldolgozás jellegét, terjedelmét, környezetét és céljait, valamint a természetes személyek jogait és szabadságait érintő különféle valószínűségű és súlyosságú kockázatokat és

4. haladéktalanul tájékoztatja az Adatkezelőt, amennyiben bármilyen panaszt vagy kérés érkezik az adatvédelmi törvényekkel kapcsolatos bármely fél kötelezettségeire vonatkozóan e DPA-val kapcsolatban, beleértve az Adatalanytól érkező bármilyen kártérítési igényt vagy bármilyen felügyeleti hatósági vizsgálati aktust, panaszt vagy kérelmet, és az Adatkezelőt teljes körűen tájékoztatja az ilyen vizsgálatról, panaszról vagy kérelemről, kivéve ha jogszabály nem engedi meg vagy a felügyeleti hatóság kérelmezi.

C SZEKCIÓ: ÁTVITELEK ÉS ALFELDOLGOZÓK

C.1 Cikk A személyes adatok átvitele 

Amikor az EU-beli Adatalany személyes adatai az EGT-n kívülére kerülnek átvitelre, azokat olyan szervezetek dolgozzák fel, amelyek: (i) olyan harmadik ország vagy terület, amelyet az EU Bizottsága megfelelő védelmi szinttel rendelkezőként ismert el; vagy (ii) amely az uniós standard szerződéses záradékokhoz és/vagy az Egyesült Királysági Nemzetközi Adatátviteli Megállapodáshoz vagy az Egyesült Királyság SCC kiegészítéséhez tartozik; vagy (iii) amelyek más jogilag elismert megfelelő garanciákkal rendelkeznek, mint például a kötelező vállalati szabályok, amelyek garantálják a DPA-val megegyező védelmi szintet és biztosítékokat. 

C.2 Cikk Alfeldolgozók 

Az Adatkezelő ezennel hozzájárul a Feldolgozó által megnevezett Alfeldolgozók használatához, amelyeket a B mellékletben találnak meg. Ezt a listát a Feldolgozó időről időre frissítheti e DPA-nak megfelelően.

A Feldolgozó lehetőséget biztosít az Adatkezelő számára minden új Alfeldolgozó kifogásolására, amely kizárólag a feldolgozási tevékenységek körére hivatkozva kerül bevonásra, ahogyan azt az A melléklet tartalmazza. 

Az új Alfeldolgozó szerződtetése előtt a Feldolgozó erről értesíti az Adatkezelőt, és legalább tíz (10) naptári napot biztosít az Adatkezelőnek a kifogásolásra, kivéve, ha a Feldolgozónak ésszerűen megítélése szerint az azonnali szerződtetés szükséges a személyes adatok bizalmasságának, integritásának vagy rendelkezésére állásának védelme vagy az általa nyújtott szolgáltatások lényegi megszakadásának elkerülése érdekében. Ebben az esetben a Feldolgozó a lehető legrövidebb időkeretben értesítést ad. Ha öt (5) naptári napon belül a megadott értesítést követően az Adatkezelő írásban értesíti a Feldolgozót olyan kifogásokkal, amelyek az Adatfeldolgozással kapcsolatos ésszerű aggályokon alapulnak, a felek jóhiszeműen megvitatják az említett aggályokat, és megoldást keresnek rájuk. Az új Alfeldolgozókkal kapcsolatos kifogásokat privacy@mollie.com címen kell benyújtani. 

Az Adatkezelő elismeri, hogy az Alfeldolgozók nélkülözhetetlenek a szolgáltatások nyújtásához, és az Alfeldolgozó használatának kifogásolása megakadályozhatja, hogy a Feldolgozó a szolgáltatásokat az Adatkezelőnek kínálja. Ha a felek nem tudnak közös megoldást találni az ilyen aggályokra, az Adatkezelő, mint egyetlen és kizárólagos jogorvoslatának lehetősége, felmondhatja a DPA-t indoklás nélkül.

Valamennyi Alfeldolgozónak, amelyik az Adatkezelő számára nyújtott szolgáltatásban adatokat dolgoz fel, kötelessége betartani a DPA által előírt kötelezettségeket. A Feldolgozó, mielőtt bármilyen személyes adatot bármely Alfeldolgozóra átruházna, elvégzi a szükséges átvilágítást annak biztosítására, hogy az Alfeldolgozó biztosítani tudja az Adatkezelő számára szükséges védelmi szintet, amelyet a DPA előír, és megállapodást köt a nevezett Alfeldolgozóval, amelyben az Alfeldolgozó vállalja, hogy betartja a jelen DPA-ban meghatározott kötelezettségekkel egyenértékű kötelezettségeket. 

D SZEKCIÓ: BIZTONSÁG

D.1 Cikk Biztonsági intézkedések

A Feldolgozó megfelelő technikai és szervezési intézkedéseket vezet be a kockázathoz megfelelő biztonsági szint biztosítása érdekében, beleértve többek között, ha szükséges:

1. a személyes adatok álnevesítése és titkosítása; 

2. az adatok feldolgozó rendszerek és szolgáltatások folyamatos bizalmasságának, integritásának, rendelkezésre állásának és rugalmasságának biztosításának képessége; 

3. az adatok fizikai vagy technikai esemény bekövetkezése esetén a személyes adatok rendelkezésre állásának és hozzáférhetőségének visszaállításának képessége; és 

4. az adatfeldolgozás biztonságát biztosító technikai és szervezési intézkedések rendszeres tesztelési, értékelési és kiértékelési eljárása. A megfelelő 

   biztonsági szint értékelése során különösen figyelembe kell venni a feldolgozás által jelentett kockázatokat, különösen a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, jogosulatlan nyilvánosságra hozatal vagy hozzáférés előidézte kockázatokat a személyes adatokkal kapcsolatban azok átadásakor, tárolásakor, vagy más módon történő feldolgozásakor.

   
   

D.2 Cikk Adatsértés értesítés

A Feldolgozó haladéktalanul értesíti az Adatkezelőt bármely véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás vagy jogosulatlan nyilvánosságra hozatal vagy hozzáférés kapcsán a személyes adatokkal kapcsolatban, amennyiben az Adatsértés csak a Feldolgozó által feldolgozó személyes adatokra vonatkozik mint adatfeldolgozó. Ha és amennyiben az Adatsértés Feldolgozónak mint adatkezelőnek tekintett személyes adatokat érinti, a Feldolgozó fenntartja a jogot, hogy az Adatsértést adatkezelőként kezelje. 

A hatósági kérelmek által kötelezően kérhető adatsértés értesítés késése és/vagy a Feldolgozó jogos szükséglete alapján történő késés, amely szükséges az ügy kivizsgálásához vagy helyreállításához, mielőtt a hivatalos értesítés megtörténne, nem minősül indokolatlan késésnek. Az ilyen értesítések tartalmazzák, amennyiben lehetséges, az Adatsértés részleteit, beleértve a lehetséges kockázatok tompítására tett lépéseket. A Feldolgozó kötelességeinek sérelme nélkül e D.szabályzat alapján, az Adatkezelő kizárólagos felelősséget vállal az Adatsértés értesítési jogszabályainak betartásáért, és harmadik fél értesítésével kapcsolatos kötelezettségekért, amelyek bármely Adatsértéssel kapcsolatosak. Feldolgozó által történő értesítés vagy az Adatsértésre adott válasz e D. szakasz alapján nem értelmezhető úgy, mintha a Feldolgozó bármiféle hibát vagy felelősséget elismert volna az Adatsértéssel kapcsolatban.

Bármilyen költség, amely az Adatsértés megoldásával és az ilyen Adatsértés jövőbeni megelőzéséhez szükséges intézkedések végrehajtásával kapcsolatos, annak félnek a költsége, aki ezt a költséget felmerültette.

E SZEKCIÓ: AUDIT

E.1 Cikk Audithoz való jog 

Az Adatkezelő kérheti, hogy a Feldolgozó, ésszerű időtartamú előzetes értesítéssel, auditjelentéseket biztosítson, amelyek a személyes adatok feldolgozására vonatkoznak a DPA alatt nyújtott szolgáltatások keretében.

Az e klauzula alapján megkövetelt auditjelentések tartalmazzák, de nem kizárólag, a Feldolgozó által a személyes adatok feldolgozása során alkalmazott biztonsági, bizalmassági és adatvédelmi intézkedésekkel kapcsolatos jelentéseket. Ezek a jelentések kiterjedhetnek a vonatkozó Adatvédelmi Törvények betartására is.

Auditjelentések iránti kérelmeket írásban kell benyújtani, és a privacy@mollie.com címre kell küldeni, meghatározva a kérelem tartományát és célját. A Feldolgozó időben elismeri az ilyen kérelmek átvételét.

Az auditjelentések átvételére szakmai titoktartási kötelesség vonatkozik. Az Adatkezelő az auditjelentéseket kizárólag az Adatkezelő szabályozási auditkövetelmények teljesítésére és annak megerősítésére használhatja, hogy a Feldolgozó által a személyes adatok feldolgozása megfelel a jelen DPA-nak. Az auditjelentéseket nem érdelékesen megosztani.

F SZEKCIÓ: ADATVÉDELMI HATÁSVIZSGÁLATOK ÉS ELŐZETES KONZULTÁCIÓK

F.1 Cikk Segítségnyújtás

A Feldolgozó segíti az Adatkezelőt az Adatvédelmi Hatásvizsgálat (35. cikk GDPR) és bármely felügyeleti hatósággal történő konzultáció (36. cikk GDPR) végrehajtásában, ha és amennyiben a fent említett vizsgálat vagy konzultáció szükséges az Adatvédelmi Törvények alapján, ahol a Feldolgozó engedélyezett és/vagy kötelezett együttműködni.

G SZEKCIÓ: ADATALANY JOGOK

G.1 Cikk Segítségnyújtás

Ha a Feldolgozó adatalany kérelmet kap az Adatkezelő személyes adataira vonatkozóan, a Feldolgozó az adatalanyt az Adatkezelőhöz irányítja, hogy nyújtsa be kérését, és/vagy továbbítja a kérelmet az Adatkezelő számára, az Adatkezelő lesz felelős az ilyen kérések megválaszolásáért.

Az Adatkezelő kérésére és költségére a Feldolgozó megadja az Adatkezelőnek azt a segítséget, amelyet az észszerűen megkövetelhet az Adatvédelmi Törvények szerinti adatalany jogok gyakorlására vonatkozó kérelmek megválaszolása során (például adatokhoz való hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság és tiltakozás) olyan esetekben, amikor az Adatkezelő nem tudja az ilyen kérelmeket függetlenül teljesíteni a Feldolgozó termékei és szolgáltatásai elérésével.

H SZEKCIÓ: EGYÉB

H.1 Cikk Titoktartás 

A Feldolgozó titokban tart minden személyes adatot, és biztosítja, hogy minden alkalmazott, ügynök, tisztviselő és szerződéses alvállalkozó, aki hozzáfér a személyes adatok feldolgozásához, tudatában van a személyes adatok bizalmas jellegének, és szerződésesen kötelezik őket a személyes adatok titkosságának megőrzésére, és tájékoztatja őket a jelen DPA követelményeinek betartásáról.

H.2 Cikk Felelősség

A DPA-ból eredő minden felelősség a Felhasználói Megállapodás vonatkozó rendelkezései alapján irányadó, beleértve a felelősség korlátozását is. 

A Felhasználói Megállapodás rendelkezéseinek sérelme nélkül, minden Fél csak olyan károkért lesz felelős a másik Fél felé, amelyeket a DPA megsértésével okoz a másik Félnek. Ezeket a károkat tisztán kell bizonyítani. A Feldolgozó csak az ilyen adatfeldolgozás kapcsán okozott károkért felel, amely során nem teljesítette az adatfeldolgozókat kifejezetten célozott adatvédelmi törvényekkel szemben támasztott kötelezettségeit, vagy amikor a DPA szerinti jogszerű utasításokat túllépte vagy szembe ment az Adatkezelővel. Ebben a kontextusban a Feldolgozó csak akkor felelős, ha az Adatkezelő bizonyítja, hogy a Feldolgozó felelős a kár keletkezéséért.

Az Adatkezelő kizárólag felel az Adatalanynak, és az Adatalany jogosult bármilyen anyagi vagy nem anyagi kártérítésre, amelyet az Adatkezelő vagy a Feldolgozó (vagy annak alfelodolgozó(i)) okoznak az Adatalanynak a DPA megsértésével.

H.3 Cikk Időtartam és Felmondás 

A DPA időtartama egybeesik a Felhasználói Megállapodás megkezdésével és/vagy a mellékletben felsorolt termék vagy szolgáltatás használatával együtt.

A DPA automatikusan megszűnik a Felhasználói Megállapodás és/vagy a mellékletben felsorolt termék vagy szolgáltatás használatának megszűnésével együtt, bármelyik kerül előbb megszüntetésre.

A DPA megszüntetésekor a Feldolgozó az Adatkezelő kérésére visszaadja a személyes adatokat az Adatkezelőnek vagy az Adatkezelő által megnevezett Feldolgozónak, vagy törli a személyes adatokat, kivéve, ha a Feldolgozót az Európai Unió vagy bármely tagállamának jogszabályi követelmény előírja, hogy a másolatot megőrizze. 

I SZEKCIÓ: ZÁRÓ RENDELKEZÉSEK 

I.1 Cikk Egész Megállapodás 

E DPA a Felhasználói Megállapodás részét képezi. A Felhasználói Megállapodásból fakadó minden jog és kötelesség szintén alkalmazható erre a DPA-ra is. Az A melléklet a DPA szerves részét képezi.

I.2 Cikk Csak megállapodás útján történő módosítás 

E DPA módosítása csak akkor érvényes, ha írásban történik, és mindkét Fél meghatalmazott képviselője aláírja. 

I.3 Cikk Elválaszthatóság 

E DPA minden rendelkezése különálló és elválasztható, és ha bármely rendelkezés, vagy rész rendelkezés érvénytelennek, jogellenesnek vagy üresnek bizonyul bármely bíróság, szabályozó hatóság vagy más illetékes hatóság döntése alapján, akkor az a mértékig nem minősül a DPA részének, és a DPA többi részének érvényességét, jogszerűségét és érvényesíthetőségét nem érinti. A felek vállalják, hogy érvénytelen vagy érvényesíthetetlen rendelkezést érvényes vagy érvényesíthető rendelkezéssel helyettesítenek, amely a legnagyobb mértékben megvalósítja azt a hatást, amelyet az érvénytelen vagy érvényesíthetetlen rendelkezéssel lehetett volna elérni. E DPA végrehajtásával kapcsolatos módosítások kivételével a Felhasználói Megállapodás változatlan és teljes hatályában marad.

I.4 Cikk Átruházási jog 

A Felek kizárólag a Felhasználói Megállapodás szerint (8.9. pont) ruházhatják át e DPA-t. 

I.5 Cikk Irányadó jog 

E DPA-t Hollandia jogai irányítják és értelmezik, és a Hollandia bíróságainak kizárólagos illetékességét fogadják el a jelen DPA-ból fakadó viták rendezésére. Ha bármely bíróság vagy szabályozó testület érvénytelennek, végrehajthatatlannak vagy jogellenesnek minősíti a jelen DPA bármely rendelkezését, a DPA többi rendelkezése teljes hatályában és érvényességében marad.

A MELLÉKLET - A SZEMÉLYES ADATOK FELDOLGOZÁSÁNAK JELLEMZÉSE 

1. A FELDOLGOZÁS CÉLJA

A személyes adatok feldolgozása közvetlenül kapcsolódik a Felhasználói Megállapodás alatti szolgáltatások nyújtásához.

A feldolgozás céljai:

• A számlák Adatkezelő ügyfeleihez történő küldése a Mollie terméken és szolgáltatásokon keresztül 

2. AZ ADATTÁRGYAK KATEGÓRIÁI 

A Feldolgozó Adatkezelő számára a következő adattárgyak kategóriáinak személyes adatait dolgozza fel:

• Az Adatkezelő ügyfelei (azaz a fizető (fogyasztók, üzleti ügyfelek))

3. A SZEMÉLYES ADATOK TÍPUSAI 

A Feldolgozó a következő típusú személyes adatokat dolgozza fel az Adatkezelő számára:

• Alapvető kapcsolattartási adatok (teljes név, (irodai) telefonszám, (üzleti) e-mail cím, lakcím/cégcím)

• Számla részletek (Adatkezelő által megadottak szerint)

A Feldolgozó nem dolgoz fel különleges adatokat (amint azt a GDPR 9. cikke meghatározza). 

4. BIZTONSÁGI INTÉZKEDÉSEK 

Kontextus 

Pénzintézetként a Mollie által létrehozott alkalmazások, rendszerek és IT-folyamatok biztonsági intézkedéseket és működési eljárásokat a Holland Központi Bank (DNB) felülvizsgálja, amely az Európai Bankhatóság (EBA) technikai szabványai alapján ad útmutatást, amelyet az engedélyoltalmat tartalmazó joghatósággal rendelkező felek követnek. 

Ezenkívül, mivel a Mollie (is) személyes adatok adatkezelőjeként működik, más jogi előírások is szabályozzák, amelyek biztonságra és adatvédelemre is vonatkoznak, jellemzően a GDPR, amelyet a holland adatvédelmi hatóság (Autoriteit Persoonsgegevens) hajt végre. 

Emellett azokat a rendszereket, amelyek kártyával kapcsolatos adatokat dolgoznak fel, PCI DSS kompatibilis rendszerek szintje 1 megfelelőségi szinten vannak, ami azt jelenti, hogy ez a meghatározott alkalmazás és az élenjáró az eljárások fejlesztése és folyamatos fenntartása terén megfelel a PCI Tanács által előírt adatvédelmi intézkedéseknek, amely kötelezettség alá tartozó vállalat technikai ellenőrzést hajt végre évente.

Általános intézkedések

Minden alkalmazás, rendszer és az azokhoz kapcsolódó eljárás a Mollie Informatikai Biztonsági Politikájának tárgyát képezik. A politikák és más, a nyújtott szolgáltatások hatókörére releváns szabályzatok kiemelése a következő:

• Munkavállalói előszűrés

• Fejlesztők biztonsági képzési programja

• Biztonságtudatossági program

• Feladatkörök elkülönítése

• Változáskezelés

• Sérülékenység menedzsment

• Eseménykezelés

• Rugalmasság és biztonsági mentés kezelés

• Erős hozzáférés ellenőrzés (IAM és IGA)

• Felhasználói jogok ellenőrzése

• Rendszerosztályozási normák

• Adat osztályozási normák és adatpolitikák

• Biztonságos konfigurációs normák az iparági legjobb gyakorlatok alapján, szabályzat betartása (edzés)

• Fizikai és logikai hálózati környezet elkülönítése

• Biztonságos titkosítási szabványok

• Titkosítás kulcs kezelése

• Titkosítás (szállítás közben, nyugalomban, megosztott infrastruktúra környezetekben, mint a cloud)

• Harmadik fél kockázat menedzsment

• Elérhetőség és hibamegfigyelés

• Biztonságos fejlesztési életciklus

  • Fenyegetés modellezése jelentős változások és új funkciók esetében

  • Függőség menedzsment és ismert sérülékenységek vizsgálata

  • Statikus kód biztonsági elemzés

  • Belső és külső sérülékenységek vizsgálata

• Koordinált sérülékenység feltárás (CVD) és hibakeresési program

• Fenyegetési intelligencia program (pl. részvétel a holland PI-ISAC, fizetési intézmények információmegosztási és elemzési központ, dark web megfigyelés)

• Kezeletlen biztonsági szolgáltatás ellátó (MSSP) együttműködés a biztonsági operációk, elemzések és törvényszéki nyomozások területén

• Biztonsági információ kezelés és eseménykezelés (SIEM)

• Dolgozói végpont biztonság

• Email biztonság

Mollie Platform

Az általános biztonsági intézkedések mellett, amelyeket fent már ismertettem, a Mollie Platform alkalmazás a következő biztonsági intézkedéseket fedi le - amelyeket általános biztonságpolitikai szabályzataink végrehajtása vagy kockázatfelmérés eredményeként hoztunk meg az alkalmazás specifikus kockázatok mérséklésére:

• Kétfaktoros hozzáférés ellenőrzés

• Harmadik fél általi behatolási vizsgálatok

• Biztonsági események eseménykezelése

• Elosztott szolgáltatásmegtagadás (DDoS) mérséklése

• Biztonsági incidens válaszadó

• Elérhetőség megfigyelése

• Biztonságos hitelesítő adatok tárolása

• Redundáns infrastruktúra

• Katasztrófa-helyreállítási átváltás

• Árfolyam-korlátozás és zárolás

• Szigorú Tartalom-Biztonság-Politika

• Captcha

• Webalkalmazás tűzfala

B MELLÉKLET - ALFELDOLGOZÓK ÁTTEKINTÉSE