Általános Szerződési Feltételek Mollie Invoicing

A jelen szolgáltatási feltételek („Számlázási Szolgáltatási Feltételek”) jogi megállapodást képeznek közted és az általad képviselt szervezet vagy jogi személy (a továbbiakban: „Szervezet”, „te” vagy „tiéd/tied”), valamint a Mollie B.V. és licencadói (a továbbiakban: „Mollie”, „mi” vagy „miénk”) között, és a Számlázási Szolgáltatás használatát szabályozzák.

A Számlázási Szolgáltatási Feltételek meghatározzák azokat a feltételeket, amelyek alapján jogosult vagy a Számlázási Szolgáltatás használatára. A rád teljes egészében alkalmazandó Felhasználói Szerződés érvényben marad, és a jelen Számlázási Szolgáltatási Feltételek kiegészítik azt. Amennyiben a Felhasználói Szerződés elüt a jelen Számlázási Szolgáltatási Feltételektől, a jelen Számlázási Szolgáltatási Feltételek az irányadóak, de kizárólag a Számlázási Szolgáltatásra és annak használatára vonatkozóan.

A Felhasználói Szerződésben vagy a Mollie és a Szervezet közötti bármely más megállapodásban szereplő meghatározásokon túlmenően az alábbi fogalommeghatározások érvényesek:

A Számlázási Szolgáltatás használatával elfogadod a következő feltételeket:

1. A szolgáltatás leírása

1.1 A Mollie számlázási szolgáltatása egy digitális számlázási megoldás, amelynek célja, hogy segítse a platformokat vagy kereskedőket a számlák hatékony létrehozásában, testreszabásában, elküldésében és kezelésében a Mollie Dashboard vagy az Invoice API segítségével, lehetővé téve a gyors számlalétrehozást, az áfa alkalmazását, az automatizált fizetési emlékeztetőket és nyomon követőket, valamint a többféle fizetési lehetőséget az ügyfelek számára („Számlázási Szolgáltatás”).

2. Árazás

2.1 A Számlázási Szolgáltatás árazása a www.mollie.com/pricing oldalon található információk szerint, vagy a felek által írásban egyéb módon egyeztetett módon alakul.

3. Személyes adatok és adatkezelés

3.1 A Számlázási Szolgáltatás igénybevételéhez szükséges lehet, hogy megadd ügyfeleid és felhasználóid személyes adatait a Mollie részére. A Mollie kezelheti ezeket a személyes adatokat a Számlázási Szolgáltatás működésének biztosítása érdekében. Engedélyt és hozzájárulást adsz a Mollie-nak arra, hogy felhasználja a saját vagy ügyfeleid személyes adatait, és/oder a veled vagy ügyfeleiddel kapcsolatos személyes adatokat harmadik felek rendelkezésére bocsássa, amennyiben ez a Számlázási Szolgáltatás működéséhez vagy biztosításához szükséges. Te minősülsz a számlák generálásához használt személyes adatok „adatkezelőjének”, mi pedig „adatfeldolgozóként” fogjuk kezelni a személyes adatokat az 1. számú mellékletnek (ADATFELDOLGOZÁSI MEGÁLLAPODÁS A MOLLIE SZÁMLÁZÁSI SZOLGÁLTATÁSHOZ) és a Mollie Adatvédelmi Nyilatkozatának megfelelően, amely a www.mollie.com/legal/privacy oldalon érhető el.

3.2 Az ellenkező értelmű rendelkezések ellenére a Számlázási Szolgáltatás használata során garantálod, hogy megfelelsz és a jövőben is meg fogsz felelni minden adatvédelmi követelménynek, beleértve korlátozás nélkül az Általános Adatvédelmi Rendeletet („GDPR”) vagy az üzleti tevékenységedre alkalmazandó bármely egyenértékű adatvédelmi szabályozást vagy törvényt.

4. Kötelezettségeid és felelősséged

4.1 Nem használhatod a Számlázási Szolgáltatást, és nem engedélyezheted annak használatát semmilyen jogellenes vagy nem megfelelő módon.

4.2 Köteles vagy betartani a jelenlegi és jövőbeli törvényeket és előírásokat a számlázási és/vagy adózási követelmények tekintetében. A számla pontosságának és helyességének biztosításáért, beleértve az alkalmazott áfakulcsokat is, kizárólag te felelsz. Ha a számládon alkalmazandó áfakulcsot a Számlázási Szolgáltatás nem támogatja (például egy ország alkalmazandó áfakulcsainak változása miatt), köteles vagy minket haladéktalanul írásban értesíteni, mi pedig megvizsgáljuk, és ha szükséges, módosítjuk a Számlázási Szolgáltatás konfigurálhatóságát az új áfakulcs támogatása érdekében.

4.3 Felelős vagy a megfelelő óvintézkedések megtételéért (rendszeresen és a felmerülő kockázatokkal arányosan) a Számlázási Szolgáltatás használata során megadott, feltöltött és tárolt adatok és tartalmak biztonsága érdekében, valamint saját biztonsági másolatok készítéséért, hogy adatvesztés esetén biztosítsd az adatok és információk helyreállítását. Köteles vagy minden tőled telhetőt megtenni annak érdekében, hogy megakadályozd a Számlázási Szolgáltatáshoz való jogosulatlan hozzáférést harmadik felek által.

4.4 Nem vagy jogosult (hacsak írásban kifejezetten másként nem állapodtunk meg):

• a Számlázási Szolgáltatást bármilyen formában elérhetővé tenni harmadik felek számára, kivéve az alkalmazottaidat, ügynökeidet, alvállalkozóidat és más kapcsolódó felhasználóidat; vagy

• a Számlázási Szolgáltatás részeit többszörözni, módosítani, visszafejteni, szétszedni, dekompilálni vagy lefordítani.

4.5 Tudomásul vetted és elfogadod az 1. számú mellékletben meghatározott kötelezettségeidet.

5. Licenc és szellemi tulajdon

5.1 Nem kizárólagos, nem átruházható, továbblicencbe nem adható, világméretű, visszavonható és ideiglenes jogot kapsz a Számlázási Szolgáltatás használatára. A Számlázási Szolgáltatást kizárólag nem kizárólagos alapon bocsátjuk a rendelkezésedre. A Mollie nem köteles a Számlázási Szolgáltatáson kívül más szolgáltatásokat nyújtani. A Számlázási Szolgáltatással kapcsolatban további használati jogok nem illetnek meg.

5.2 Kizárólag te felelsz a felhasználói jogok kezeléséért, és köteles vagy gondoskodni arról, hogy a Számlázási Szolgáltatás használata során minden felhasználó betartsa a Mollie Felhasználói Szerződésében és a jelen ÁSZF-ben szereplő korlátozásokat.

5.3 A Számlázási Szolgáltatással kapcsolatos összes szellemi tulajdonjog és használati jog (a jelen megállapodás keretében biztosított licencen kívül), beleértve a forráskódot, adatbázisokat, funkcionalitást, szoftvereket, weboldal-terveket, hangokat, videókat, szövegeket, fényképeket és grafikákat („Szellemi Tulajdonjogok”), teljes egészében a Mollie-nál marad.

5.4 Amennyiben szoftverfejlesztő készleteket („SDK”) bocsátunk a rendelkezésedre, beleértve azok frissítéseit vagy technikai támogatását is, az SDK-kra a következő különleges rendelkezések vonatkoznak:

• Nem kizárólagos, nem átruházható, visszavonható, jogdíjmentes licencet kapsz arra, hogy (i) az SDK-t kizárólag tárgykód formátumban telepítsd és használd olyan programok fejlesztésére, amelyek az SDK vagy annak bármely része felhasználásával generált, összeállított kódból állnak, és amelyeket a Termékkel való működésre terveztek; (ii) korlátozott számú másolatot készíts az SDK dokumentációjáról, amelyeket munkatársaid vagy tanácsadóid kizárólag fejlesztési célokra használhatnak fel, és nem általános üzleti célokra vagy terjesztésre; és (iii) az SDK-t kizárólag tárgykód formátumban, a Termék részeként terjeszd;

• A Mollie jogosult, de nem köteles technikai vagy egyéb támogatást nyújtani az SDK-khoz;

• az SDK-k olyan kódot tartalmaznak, amely automatikus hibaértesítéseket küld tőled, és elfogadod, hogy a Mollie időbeli korlátozás nélküli, visszavonhatatlan és korlátlan joggal rendelkezik ezen információk üzleti célú felhasználására, beleértve, de nem kizárólagosan, a terméktámogatást és -fejlesztést;

• ha az SDK-kat az általad vagy harmadik fél által fejlesztett alkalmazások futtatására, vagy harmadik fél által biztosított adatokhoz, tartalmakhoz vagy erőforrásokhoz való hozzáférésre használod, elfogadod, hogy a Mollie nem vállal felelősséget ezekért az alkalmazásokért, adatokért, tartalmakért vagy erőforrásokért;

• az SDK-k licencelése „jelenlegi állapotukban” (as is) történik. A használatukból eredő kockázatokat te viseled; a Mollie kizár minden szavatosságot vagy garanciát (legyen az törvényen alapuló, kifejezett vagy hallgatólagos), és nem vállal semmilyen szavatosságot vagy garanciát az SDK-k használatával kapcsolatban.

  
  

6. Felelősség és kártalanítás

6.1 A Mollie nem vállal felelősséget az adataidból, beállításaidból vagy a Számlázási Szolgáltatás használatából eredő hibákért, cselekményekért, mulasztásokért vagy meg nem felelésért. Kizárólag és végső soron te felelsz azért, hogy a számlák létrehozásához vagy kiállításához használt összes adat, beleértve az alkalmazott áfakulcsokat is, megfeleljen a használat szerinti országban alkalmazandó (adó)törvényeknek. A Mollie nem köteles ellenőrizni az általad a Számlázási Szolgáltatáson keresztül konfigurált, megadott vagy használt adatok vagy (áfa)beállítások pontosságát, teljességét vagy helyességét. Köteles vagy kártalanítani és mentesíteni a Mollie-t minden olyan harmadik féltől származó követelés, felelősség, kár, veszteség, költség és kiadás (beleértve az ésszerű ügyvédi díjakat is) alól, amely a Számlázási Szolgáltatás használatából, beleértve az áfakonfigurációt is, származik vagy azzal kapcsolatos.

6.2 A félreértések elkerülése végett: amennyiben a Mollie felelősséggel tartozik bármilyen kárért, felelősségünk a Felhasználói Szerződéssel összhangban korlátozott.

1. számú melléklet: ADATFELDOLGOZÁSI MEGÁLLAPODÁS

A jelen ADATFELDOLGOZÁSI MEGÁLLAPODÁS (a továbbiakban: „DPA”) a mellékleteivel együtt leírja a Felek kötelezettségeit – beleértve az alkalmazandó adatvédelmi jogszabályok szerinti kötelezettségeket is – a személyes adatok (az alábbiakban meghatározottak szerinti) kezelésével kapcsolatban. A DPA a Felhasználói Szerződés részét képezi.

Ez a DPA a Szervezet (a továbbiakban: „Adatkezelő”)

és

a Mollie B.V., egy amszterdami székhelyű (Keizersgracht 126, 1015 CW Amsterdam, Hollandia), a holland cégjegyzékben 30204462 számon bejegyzett korlátolt felelősségű társaság (besloten vennootschap) (a továbbiakban: „Mollie” vagy „Adatfeldolgozó”)

és

a Mollie UK Ltd., egy londoni székhelyű (7 Pancras Square, London N1C 4AG, Egyesült Királyság), a brit cégnyilvántartásban (Companies House) 14013554 számon bejegyzett korlátolt felelősségű társaság (a továbbiakban: „Mollie” vagy „Adatfeldolgozó”)

között jött létre, amelyek mindegyike külön-külön „Fél”, együttesen pedig „Felek”.

Fogalommeghatározások

A jelen DPA alkalmazásában az alábbi kifejezések az alább meghatározott jelentéssel bírnak. A jelen dokumentumban használt, de itt meg nem határozott nagybetűs kifejezések a Szerződésben meghatározott jelentéssel bírnak.

Szerződés
az Adatkezelő és az Adatfeldolgozó közötti, szolgáltatások nyújtására vonatkozó szerződés („Felhasználói Szerződés”).

Kötelező erejű vállalati szabályok
személyesadat-védelmi szabályzat, amelyet az valamely tagállam területén letelepedett adatkezelő vagy adatfeldolgozó egy vállalkozáscsoporton vagy közös gazdasági tevékenységet folytató vállalkozások csoportján belüli személyes adatoknak egy vagy több harmadik országban lévő adatkezelő vagy adatfeldolgozó részére történő továbbítása vagy ilyen továbbítások sorozata tekintetében alkalmaz.

Adatkezelő
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

Ügyfél
a Szervezet azon ügyfelei, akik a Szervezet által kínált termékekért és/vagy szolgáltatásokért a Mollie Payment Module felületén keresztül kívánnak fizetni.

Adatvédelmi incidens
a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Adatfeldolgozási megállapodás
a jelen megállapodás, annak összes mellékletével együtt.

Felügyeleti hatóság
a személyes adatok kezelésére vonatkozó jogszabályok betartásának felügyeletéért felelős független állami szerv. Hollandiában ez az Autoriteit Persoonsgegevens.

Adatvédelmi hatásvizsgálat
a tervezett adatkezelési műveleteknek a személyes adatok védelmére gyakorolt hatásának vizsgálata.

Adatvédelmi jogszabályok
az adatvédelemre és a magánélet védelmére vonatkozó összes alkalmazandó jogszabály, beleértve korlátozás nélkül az EU Általános Adatvédelmi Rendeletét, az ezeket módosító vagy felváltó összes helyi törvényt és rendeletet, valamint az Európai Gazdasági Térség (EGT) bármely tagállamában és – az alkalmazandó mértékben – bármely más országban alkalmazandó nemzeti végrehajtási törvényeket, azok időről időre történő módosítása, hatályon kívül helyezése, egységes szerkezetbe foglalása vagy felváltása szerint.

Érintett
az a természetes személy, akire a személyes adatok vonatkoznak (pl. az Ügyfelek).

GDPR
az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról.

Személyes adat
azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Adatkezelés
a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, például a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. Ez a felsorolás nem teljes körű. A „kezel”, „kezelés” és „kezelt” kifejezések ennek megfelelően értelmezendők.

Adatfeldolgozó
az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az Adatkezelő nevében (személyes) adatokat kezel.

Szervezet
az a szervezet, amely a Mollie Payment Module rendszerét használja többek között termékek és/vagy szolgáltatások Ügyfelek részére történő értékesítése céljából.

Általános szerződési feltételek
az Európai Bizottság adatfeldolgozókra vonatkozó általános szerződési feltételei (2010/87/EU) vagy a Bizottság (EU) 2021/914 végrehajtási határozatát (2021. június 4.) az Európai Parlament és a Tanács (EU) 2016/679 rendelete értelmében a személyes adatok harmadik országokba történő továbbítására vonatkozó általános szerződési feltételekről (C/2021/3972).

További adatfeldolgozó
bármely harmadik személy, szervezet vagy vállalat, amelyet az Adatfeldolgozó a Szerződés szerinti szolgáltatások nyújtása során a személyes adatok kezelésével bíz meg.

A. RÉSZ CÉL

A.1 Cikk Hatály

Az Adatfeldolgozó vállalta, hogy a Felhasználói Szerződés feltételeivel összhangban szolgáltatásokat nyújt az Adatkezelőnek. A szolgáltatások nyújtása során az Adatfeldolgozó az Adatkezelő nevében személyes adatokat fog kezelni a jelen DPA-ban meghatározottak szerint. Az Adatfeldolgozó pénzügyi intézményként adatkezelőként is kezel személyes adatokat.

A Felek tudomásul veszik és elfogadják, hogy amennyiben a Mollie a fizetési tranzakciókban érintett személyes adatokat az alábbi célokból kezeli: i) az Adatkezelővel kötött Felhasználói Szerződés teljesítése; ii) a csalárd fizetési tranzakciók nyomon követése, megelőzése és felderítése; iii) a Mollie-ra vonatkozó, a fizetési adatok kezelésével és megőrzésével kapcsolatos jogi vagy szabályozási kötelezettségek teljesítése, beleértve az alkalmazandó pénzmosás elleni szűrést és az ügyfél-átvilágítási (know-your-customer) kötelezettségek teljesítését; valamint iv) a Mollie termékeinek és szolgáltatásainak fejlesztése, a Mollie adatkezelőként jár el, és kizárólagos, egyedüli jogosultsággal rendelkezik az Adatkezelőtől vagy az Adatkezelőn keresztül (szolgáltatások nyújtása révén) kapott személyes adatok kezelése céljainak és eszközeinek meghatározására.

Azokat az adatkezelési tevékenységeket, személyes adatokat és érintetti kategóriákat, amelyek tekintetében az Adatfeldolgozó az Adatkezelő nevében személyes adatokat kezel, az A. melléklet tartalmazza.

B. RÉSZ KÖTELEZETTSÉGEK

B.1 Cikk Adatkezelői kötelezettségek

Az Adatkezelő felelős azokért a személyes adatokért, amelyeket az Adatfeldolgozó kezelni fog, és köteles biztosítani az összes adatvédelmi jogszabály betartását, beleértve a személyes adatok jelen DPA és a Felhasználói Szerződés szerinti továbbítására vonatkozó követelményeket. Az Adatkezelő szavatolja, hogy jogosult a személyes adatok kezelésére, és jogosult az Adatfeldolgozót megbízni az adatok Adatkezelő nevében történő kezelésével.

Az Adatkezelő elfogadja, hogy az Adatfeldolgozónak a jelen DPA-ban rögzített kötelezettségeinek korlátozása nélkül az Adatkezelő kizárólagos felelősséggel tartozik a szolgáltatások használatáért, beleértve (a) a szolgáltatások megfelelő használatát a személyes adatok kockázatának megfelelő szintű biztonság biztosítása érdekében; (b) a szolgáltatások eléréséhez használt fiók-hitelesítési adatok, rendszerek és eszközök biztonságának megőrzését; (c) a szolgáltatásokkal együtt használt saját rendszereinek és eszközeinek biztosítását; valamint (d) a személyes adatok saját biztonsági mentéseinek fenntartását.

B.2 Cikk Adatfeldolgozói kötelezettségek

An Adatfeldolgozó kötelezettséget vállal arra, hogy:

1. a személyes adatokat kizárólag az Adatkezelő dokumentált utasításainak megfelelően kezeli, és megteszi a szükséges intézkedéseket annak biztosítására, hogy az irányítása alatt álló, a személyes adatokhoz hozzáféréssel rendelkező természetes személyek csak az Adatkezelő utasításának megfelelően kezelhessék azokat;

2. haladéktalanul tájékoztatja az Adatkezelőt, ha az Adatkezelő által az Adatfeldolgozónak adott, a személyes adatok kezelésére vonatkozó utasítások bármelyike sérti az alkalmazandó adatvédelmi jogszabályokat vagy a jelen DPA rendelkezéseit;

3. megfelelő technikai és szervezési intézkedéseket hajt végre a személyes adatok védelme érdekében, figyelembe véve a tudomány és a technológia állását, a végrehajtás költségeit, az adatkezelés jellegét, hatókörét, körülményeit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatot; és

4. indokolatlan késedelem nélkül tájékoztatja az Adatkezelőt, ha a jelen DPA szempontjából releváns adatvédelmi jogszabályok szerinti kötelezettségekkel kapcsolatos panasz vagy kérelem érkezik hozzá, beleértve az érintett kártérítési igényét, vagy a felügyeleti hatóság értesítését, vizsgálatát vagy egyéb intézkedését, és teljes körű tájékoztatást nyújt az Adatkezelőnek az ilyen vizsgálatról, panaszról vagy kérelemről, kivéve, ha ezt a jogszabályok vagy a felügyeleti hatóság kérése tiltja.
   
   

C. RÉSZ ADATTOVÁBBÍTÁS ÉS TOVÁBBI ADATFELDOLGOZÓK

C.1 Cikk Személyes adatok továbbítása

Amennyiben egy uniós érintettre vonatkozó személyes adatot az EGT-n kívülre továbbítanak, azt olyan szervezetnek kell kezelnie, amely: (i) az Európai Bizottság által megfelelő védelmi szintet biztosítóként elismert harmadik országban vagy területen található; vagy (ii) az EU általános szerződési feltételei és/vagy az egyesült királyságbeli nemzetközi adattovábbítási megállapodás vagy a brit SCC-kiegészítés hatálya alá tartozik; vagy (iii) más egyéb, jogilag elismert megfelelő garanciákkal rendelkezik, mint például a kötelező erejű vállalati szabályok, amelyek a jelen DPA-val azonos szintű védelmet és garanciákat biztosítanak.

C.2 Cikk További adatfeldolgozók

Az Adatkezelő ezennel hozzájárul ahhoz, hogy az Adatfeldolgozó igénybe vegye a B. mellékletben meghatározott további adatfeldolgozókat. Ezt a listát az Adatfeldolgozó a jelen DPA-val összhangban időről időre frissítheti.

Mielőtt új további adatfeldolgozót vonna be az A. mellékletben felsorolt szolgáltatások nyújtásába, az Adatfeldolgozó értesíti az adott szolgáltatást igénybe vevő Adatkezelőt, és legalább tíz (10) naptári napot biztosít az Adatkezelőnek a kifogásolásra, kivéve, ha az Adatfeldolgozó ésszerűen úgy véli, hogy egy új további adatfeldolgozó gyorsított bevonása szükséges a személyes adatok bizalmasságának, integritásának vagy rendelkezésre állásának védelme érdekében, vagy a nyújtott szolgáltatások jelentős fennakadásának elkerülése céljából. Ebben az esetben az Adatfeldolgozó az értesítést a lehető leghamarabb megküldi. Ha az Adatkezelő az ilyen értesítést követő öt (5) naptári napon belül írásban jelezné az Adatfeldolgozónak, hogy ésszerű adatvédelmi aggályok alapján tiltakozik az új további adatfeldolgozó kijelölése ellen, a felek jóhiszeműen egyeztetnek az aggályokról és azok megoldhatóságáról. Az új további adatfeldolgozókkal szembeni kifogásokat a privacy@mollie.com címre kell benyújtani.

Az Adatkezelő tudomásul veszi, hogy a további adatfeldolgozók elengedhetetlenek a szolgáltatások nyújtásához, és a további adatfeldolgozó használata elleni tiltakozás megakadályozhatja, hogy az Adatfeldolgozó felajánlja a szolgáltatásokat az Adatkezelőnek. Ha a feleknek nem sikerül közös megegyezésre jutniuk az aggályok rendezéséről, az Adatkezelő – mint egyetlen és kizárólagos jogorvoslati lehetőség – felmondhatja a DPA-t.

Minden olyan további adatfeldolgozónak, amely az Adatkezelőnek nyújtott szolgáltatások során személyes adatokat kezel, meg kell felelnie a jelen DPA-ban rögzített kötelezettségeknek. Az Adatfeldolgozó köteles a személyes adatok bármely további adatfeldolgozó általi megismerése előtt megfelelő átvilágítást végezni annak biztosítására, hogy a további adatfeldolgozó képes legyen biztosítani az Adatkezelőnek nyújtott védelmi szintet.

A jelen DPA által előírt személyes adatok védelme érdekében az Adatfeldolgozó olyan megállapodást köt a további adatfeldolgozóval, amelyben az vállalja, hogy a jelen DPA-ban meghatározott kötelezettségekkel egyenértékű kötelezettségeket teljesít.

D. RÉSZ BIZTONSÁG

D.1 Cikk Biztonsági intézkedések

Az Adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre a kockázat mértékének megfelelő szintű biztonság garantálása érdekében, ideértve többek között és szükség szerint az alábbiakat:

1. a személyes adatok álnevesítése és titkosítása;

2. az adatkezelő rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása;

3. fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és azok rendelkezésre állását kellő időben vissza lehessen állítani; és

4. az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárás. A megfelelő

biztonsági szint meghatározásakor különösen figyelembe kell venni az adatkezelésből eredő kockázatokat, különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből eredő kockázatokat.

D.2 Cikk Adatvédelmi incidens bejelentése

Az Adatfeldolgozó a személyes adatok véletlen vagy jogellenes megsemmisüléséről, elvesztéséről, megváltoztatásáról, jogosulatlan nyilvánosságra hozataláról vagy az azokhoz való jogosulatlan hozzáférésről a felfedezést követően indokolatlan késedelem nélkül értesíti az Adatkezelőt, amennyiben az adatvédelmi incidens kizárólag a személyes adatok Adatfeldolgozó általi, adatfeldolgozói minőségben történő kezelésével kapcsolatos. Ha és amennyiben az adatvédelmi incidens olyan személyes adatokat érint, amelyek tekintetében az Adatfeldolgozó az Adatfeldolgozó Adatvédelmi Nyilatkozatában leírtak szerint adatkezelőnek minősül, az Adatfeldolgozó fenntartja a jogot, hogy az adatvédelmi incidenst adatkezelőként kezelje.

A rendfenntartó szervek által kért és/vagy az Adatfeldolgozó azon jogos igénye miatt történő késedelem, hogy az ügyet az értesítés előtt kivizsgálja vagy orvosolja, nem minősül indokolatlan késedelemnek. Az ilyen értesítések a lehető legnagyobb mértékben leírják az adatvédelmi incidens részleteit, beleértve a lehetséges kockázatok mérséklésére tett lépéseket is. Az Adatfeldolgozónak a jelen D.1. szakasz szerinti kötelezettségeinek sérelme nélkül kizárólag az Adatkezelő felelős az Adatkezelőre alkalmazandó adatvédelmi incidens bejelentési törvények betartásáért és az adatvédelmi incidensekkel kapcsolatos harmadik felek felé fennálló értesítési kötelezettségek teljesítéséért. Az Adatfeldolgozónak az adatvédelmi incidensről szóló értesítése vagy az arra adott válasza a jelen D.1. szakasz alapján nem értelmezhető úgy, hogy az Adatfeldolgozó elismeri az adatvédelmi incidenssel kapcsolatos hibáját vagy felelősségét.

Az adatvédelmi incidens megoldásával és a jövőbeni hasonló incidensek megelőzéséhez szükséges intézkedések végrehajtásával kapcsolatban felmerülő költségeket az a Fél viseli, akinél a költségek felmerülnek.

E. RÉSZ AUDIT

E.1 Cikk Auditálási jog

Az Adatkezelő jogosult arra, hogy ésszerű határidőn belül elküldött értesítés mellett auditjelentéseket kérjen az Adatfeldolgozótól a jelen DPA hatálya alá tartozó szolgáltatások keretében végzett személyes adatok kezelésével kapcsolatban.

Az ebben a pontban említett auditjelentések magukban foglalják – de nem kizárólagosan – a személyes adatok kezelésével kapcsolatban az Adatfeldolgozó által végrehajtott biztonsági, titoktartási és adatvédelmi intézkedésekre vonatkozó jelentéseket. Ezek a jelentések kiterjedhetnek a vonatkozó adatvédelmi jogszabályoknak való megfelelésre is.

Az auditjelentések iránti kérelmeket írásban kell benyújtani a privacy@mollie.com címre, megjelölve a kérelem hatókörét és célját. Az Adatfeldolgozó köteles a kérelmek kézhezvételét kellő időben visszaigazolni.

Az auditjelentések átvételére szakmai titoktartási kötelezettség vonatkozik. Az Adatkezelő az auditjelentéseket kizárólag az Adatkezelőre vonatkozó jogszabályi ellenőrzési követelmények teljesítése, valamint annak ellenőrzése céljából használhatja fel, hogy az Adatfeldolgozó személyes adatokkal kapcsolatos adatkezelése megfelel-e a jelen DPA-nak. Az auditjelentések harmadik féllel nem oszthatók meg.

F. RÉSZ ADATVÉDELMI HATÁSVIZSGÁLATOK ÉS ELŐZETES KONZULTÁCIÓK

F.1 Cikk Segítségnyújtás

Az Adatfeldolgozó segítséget nyújt az Adatkezelőnek a személyes adatok kezelésének hatásvizsgálatához (GDPR 35. cikkő) és a felügyeleti hatósággal folytatandó konzultációkhoz (GDPR 36. cikk), ha és amilyen mértékben a hatásvizsgálatot vagy a konzultációt az adatvédelmi jogszabályok szerint el kell végezni, és ahol az Adatfeldolgozó számára megengedett és/vagy kötelező az együttműködés.

G. RÉSZ AZ ÉRINTETTEK JOGAI

G.1 Cikk Segítségnyújtás

Ha az Adatfeldolgozóhoz kérelem érkezik az érintettől az Adatkezelő személyes adataival kapcsolatban, az Adatfeldolgozó javasolja az érintettnek, hogy nyújtsa be kérelmét az Adatkezelőnek, és/vagy továbbítja a kérelmet az Adatkezelőnek, és az Adatkezelő felelős az ilyen kérelmek megválaszolásáért.

Az Adatkezelő kérésére és az Adatkezelő költségére az Adatfeldolgozó megadja az Adatkezelőnek azt a segítséget, amelyre ésszerűen szüksége lehet az adatvédelmi jogszabályok szerinti azon kötelezettségek teljesítéséhez, amelyek az érintettek adatvédelmi jogszabályokból eredő jogainak (pl. az adatokhoz való hozzáférés, az adatok helyesbítése, törlése, korlátozása, hordozhatósága és a tiltakozás joga) gyakorlására irányuló kérelmeire adandó válaszokhoz szükségesek, azokban az esetekben, amikor az Adatkezelő nem képes ésszerűen önállóan teljesíteni az ilyen kérelmeket az Adatfeldolgozó termékeihez és szolgáltatásaihoz való hozzáférése révén.

H. RÉSZ EGYÉB RENDELKEZÉSEK

H.1 Cikk Bizalmas adatkezelés

Az Adatfeldolgozó köteles bizalmasan kezelni minden személyes adatot, és köteles gondoskodni arról, hogy minden olyan alkalmazottja, ügynöke, tisztségviselője és alvállalkozója, aki hozzáfér a személyes adatokhoz vagy részt vesz azok kezelésében, tisztában legyen a személyes adatok bizalmas jellegével, szerződésben kötelezze magát a személyes adatok bizalmas kezelésére, valamint tájékoztatást kapjon a jelen DPA kötelezettségeiről és betartsa azokat.

H.2 Cikk Felelősség

A jelen DPA-ból eredő mindennemű felelősségre a Felhasználói Szerződés vonatkozó rendelkezései, beleértve a felelősség korlátozásait is, az irányadóak.

A Felhasználói Szerződés rendelkezéseitől függetlenül mindegyik Fél csak a jelen DPA megszegésével a másik Félnek okozott károkért felel a másik Féllel szemben. Ezeket a károkat egyértelműen bizonyítani kell. Az Adatfeldolgozó csak az adatkezelés által okozott károkért felel, ha nem felelt meg a kifejezetten az adatfeldolgozókra vonatkozó adatvédelmi jogi kötelezettségeknek, vagy ha az Adatkezelőnek a jelen DPA-ban leírt jogszerű utasításain kívül vagy azokkal ellentétesen járt el. Ebben az összefüggésben az Adatfeldolgozó csak akkor felel, ha az Adatkezelő bizonyítja, hogy az Adatfeldolgozó felelős a kárt kiváltó eseményért.

Az Adatkezelő kizárólagos felelősséggel tartozik az érintettel szemben, az érintett pedig jogosult kártérítésre minden olyan vagyoni vagy nem vagyoni kárért, amelyet az Adatkezelő vagy az Adatfeldolgozó (vagy annak további adatfeldolgozója) okoz az érintettnek a jelen DPA megszegésével.

H.3 Cikk Időtartam és felmondás

A jelen DPA időtartama megegyezik a Felhasználói Szerződés hatálybalépésének és/vagy az A. mellékletben szereplő konkrét termék vagy szolgáltatás igénybevételének kezdetével.

A jelen DPA automatikusan megszűnik a Felhasználói Szerződés és/vagy az A. mellékletben szereplő konkrét termék vagy szolgáltatás használatának megszűnésével egyidejűleg, attól függően, hogy melyik szűnik meg előbb.

A jelen DPA megszűnésekor az Adatfeldolgozó az Adatkezelő kérésére visszaszolgáltatja a személyes adatokat az Adatkezelőnek vagy az Adatkezelő által kijelölt adatfeldolgozónak, vagy törli a személyes adatokat, kivéve, ha az Adatfeldolgozó köteles megőrizni egy másolatot az Európai Unió vagy az Európai Unió valamely tagállamának joga alapján.

I. RÉSZ ZÁRÓ RENDELKEZÉSEK

I.1 Cikk Teljes megállapodás

Ez a DPA a Felhasználói Szerződés részét képezi. A Felhasználói Szerződésből származó minden jog és kötelezettség a jelen DPA-ra is alkalmazandó. Az A. melléklet a jelen DPA szerves részét képezi.

I.2 Cikk Módosítás kizárólag megállapodás útján

A jelen DPA semmilyen módosítása nem érvényes, kivéve, ha az írásban történik, és mindkét Fél meghatalmazott képviselői aláírták.

I.3 Cikk Részleges érvénytelenség

A jelen DPA minden rendelkezése különálló és elválasztható, és ha bármely rendelkezést vagy egy rendelkezés részét bármely bíróság, szabályozó hatóság vagy más illetékes hatóság részben vagy egészben végrehajthatatlannak, jogellenesnek vagy semmisnek nyilvánít, az a szükséges mértékben úgy tekintendő, mint amely nem része a jelen DPA-nak, és a jelen DPA fennmaradó részének végrehajthatóságát, jogszerűségét és érvényességét ez nem érinti. A Felek megállapodnak abban, hogy megkísérelnek bármely érvénytelen vagy végrehajthatatlan rendelkezést olyan érvényes vagy végrehajtható rendelkezéssel helyettesíteni, amely a lehető legnagyobb mértékben ugyanazt a hatást éri el, mint amelyet

az érvénytelen vagy végrehajthatatlan rendelkezés ért el volna. A jelen DPA által eszközölt módosítások kivételével a Felhasználói Szerződés változatlanul és teljes mértékben hatályban marad.

I.4 Cikk Engedményezési jog

A Felek a jelen DPA-t csak a Felhasználói Szerződéssel (8.9. pont) összhangban ruházhatják át.

I.5 Cikk Alkalmazandó jog

A jelen DPA-ra Hollandia joga az irányadó, és annak megfelelően kell értelmezni. Mindegyik Fél aláveti magát az amszterdami bíróságok kizárólagos joghatóságának a jelen DPA-ból eredő jogviták rendezésére. Amennyiben bármely illetékes hatáskörrel rendelkező bíróság vagy közigazgatási szerv a jelen DPA bármely rendelkezését érvénytelennek, végrehajthatatlannak vagy jogellenesnek találná, a jelen DPA többi rendelkezése továbbra is teljes mértékben hatályban marad.

A. MELLÉKLET – SZEMÉLYES ADATOK KEZELÉSÉNEK RÉSZLETEZÉSE

1. AZ ADATKEZELÉS CÉLJA

A személyes adatok kezelése közvetlenül kapcsolódik a Felhasználói Szerződés keretében nyújtott szolgáltatások biztosításához.

Az adatkezelés céljai a következők:

• Jogviták

  • Az Adatkezelő és Ügyfelei közötti viták kezelésének és rendezésének elősegítése a Mollie termékei és szolgáltatásai révén.

  • A szükséges eszközök és információk biztosítása az Adatkezelő számára a vitás igényekre (például visszaterhelésekre vagy fizetési lekérdezésekre) történő válaszadáshoz.

• Számlázás

  • A számlák elküldésének megkönnyítése az Adatkezelő Ügyfeleinek a Mollie termékein és szolgáltatásain keresztül.

2. AZ ÉRINTETTEK KATEGÓRIÁI

Az Adatfeldolgozó az Ügyfél nevében az érintettek alábbi kategóriáinak személyes adatait fogja kezelni:

• Az Adatkezelő Ügyfelei: Azok a fizetők (fogyasztók vagy üzleti ügyfelek), akik fizetést, lekérdezést vagy vitát indítanak.

Viták

• Harmadik fél címzettek: A kézbesítési nyilvántartásokban vagy a tranzakciós bizonylatokban azonosított azon személyek, akik esetleg nem a fizetők (például egy szállítási címen ajándékot átvevő személy).

• Meghatalmazott képviselők / Az Adatkezelő munkatársai: A kereskedő azon munkatársai, akiknek a neve, elérhetősége vagy aláírása szerepelhet a vitás ügy bizonylataiban, kommunikációs naplóiban vagy a támogatási kérésekben.

• Harmadik fél szolgáltatók: Azon magánszemélyek, akiknek az adatai a további adatfeldolgozók vagy partnerek által benyújtott bizonyítékokban szerepelhetnek (például kézbesítő futárok neve a kézbesítési igazoláson).

Számlázás

• Számlaadatok (az Adatkezelő által megadottak szerint)

3. A SZEMÉLYES ADATOK TÍPUSAI

Az Adatfeldolgozó az Adatkezelő nevében a személyes adatok alábbi típusait fogja kezelni:

• Azonosító és kapcsolattartási adatok: A Fizető teljes neve, e-mail-címe, telefonszáma és számlázási címe.

• Tranzakció metaadatai: Tranzakcióazonosító, megrendelésszám, összeg, pénznem, dátum/időpont és a használt fizetési mód (pl. hitelkártya, Klarna, iDEAL).

• Teljesítési és logisztikai adatok:

  • Szállítási adatok: Szállítási cím (utca, házszám, irányítószám, város, ország).

  • Nyomon követési információk: A futárszolgálat neve, nyomkövetési számok és valós idejű szállítási naplók.

  • Kézbesítési igazolás: Digitális aláírások, kézbesítési időbélyegek és kézbesítést igazoló fényképek (pl. csomag az ajtó előtt).

• Vitarendezési bizonyítékok (Nem strukturált adatok):

  • Feltöltött fájlok: Bármely személyes adat, amelyet az Adatkezelő által manuálisan feltöltött dokumentumok tartalmaznak (pl. PDF számlák, ügyfélszolgálati csevegési naplók, WhatsApp képernyőképek vagy e-mail-váltások).

• Műszaki azonosítók: A tranzakció időpontjában gyűjtött IP-címek, eszköz-ujjnyomatok és böngésző-metaadatok (az ügyfél helyének és azonosságának ellenőrzésére, a csalások megelőzése céljából).

A fent felsorolt személyes adatok kategóriái a Jelen Megállapodás szerinti adatkezelés tervezett hatókörét tükrözik. Amennyiben a fenti kategóriákba nem tartozó személyes adatok véletlenül megosztásra kerülnek, vagy nem strukturált adatokban, illetve feltöltött dokumentumokban szerepelnek, az Adatfeldolgozó az ilyen adatokat megfelelő gondossággal kezeli, és megfelelő technikai és szervezési intézkedéseket alkalmaz.

4. BIZTONSÁGI INTÉZKEDÉSEK

Kontextus

Pénzügyi intézményként azokat a biztonsági ellenőrzési és működési eljárásokat, amelyeket a Mollie az alkalmazásaink, rendszereink és informatikai folyamataink számára kidolgozott, a Holland Központi Bank (DNB) vizsgálja felül, amely az Európai Bankhatóság (EBA) iránymutatásait használja a licencbirtokosok által betartandó technikai szabványok kidolgozásához.

Mivel a Mollie (egyben) személyes adatok adatkezelőjeként is működik, a Mollie-ra más olyan jogszabályok is vonatkoznak, amelyek biztonsági és adatvédelmi szabványokat határoznak meg, és amelyeket további hatóságok – különösen a GDPR és annak hollandiai felügyeleti szerve (Autoriteit Persoonsgegevens) – tartatnak be.

Ezenkívül a kártyaadatokat kezelő rendszerek kifejezetten level 1 PCI DSS megfelelőségű rendszerek, ami azt jelenti, hogy ez a konkrét alkalmazás és a fejlesztési, valamint karbantartási eljárásai a PCI Council által meghatározott adatvédelmi intézkedések hatálya alá tartoznak, amelyeknek való megfelelését egy külső fél évente értékeli a Mollie-nál.

Általános intézkedések

Minden alkalmazásra, rendszerre és az azokkal kapcsolatos eljárásokra a Mollie Információbiztonsági Szabályzata vonatkozik. Az ebből és más szabályzatokból származó, a nyújtott szolgáltatások körében releváns legfontosabb szempontok a következők:

• Munkavállalók szűrése

• Fejlesztők biztonsági képzési programja

• Biztonságtudatossági program

• Feladatkörök elkülönítése

• Változáskezelés

• Sérülékenység-kezelés

• Incidenskezelés

• Rugalmasság és biztonsági mentések kezelése

• Szigorú hozzáférés-szabályozás érvényesítése (IAM és IGA)

• Felhasználói jogosultságok felülvizsgálata

• Rendszer-osztályozási szabványok

• Adat-osztályozási szabványok és adatszabályzat

• Iparági legjobb gyakorlatokon alapuló biztonságos konfigurációs szabványok, szabályzatok betartatása (rendszer-megerősítés)

• Fizikai és logikai hálózati környezet elkülönítése

• Biztonságos titkosítási szabványok

• Titkosítási kulcsok kezelése

• Titkosítás (továbbítás közben, nyugalmi állapotban a megosztott infrastruktúra-környezetekben, például a felhőben)

• Harmadik félből eredő kockázatok kezelése

• Rendelkezésre állás és hibák nyomon követése

• Biztonságos fejlesztési életciklus

  • Fenyegetésmodellezés a jelentős változások és új funkciók esetében

  • Függőségek kezelése és ismert sérülékenységek keresése

  • Statikus kód biztonsági elemzése

  • Belső és külső sebezhetőség-vizsgálat

• Koordinált sebezhetőség-bejelentési (CVD) és hibavadász (bug bounty) program

• Fenyegetés-felderítési program (pl. részvétel a holland PI-ISAC-ban, a fizetési intézmények információ-megosztó és -elemző központjában, dark web megfigyelés)

• Együttműködés menedzselt biztonsági szolgáltatóval (MSSP) a biztonsági műveletek, elemzések és törvényszéki vizsgálatok elvégzése érdekében

• Biztonsági információ- és eseménykezelés (SIEM)

• Munkatársi végponti biztonság

• E-mail biztonság

Mollie Platform

A fent vázolt általános biztonsági intézkedéseken túlmenően az Mollie Platform alkalmazásra a következő konkrét biztonsági intézkedések is vonatkoznak – amelyek az általános biztonsági szabályzataink végrehajtásából vagy az alkalmazásspecifikus kockázatértékelésben azonosított kockázatok csökkentésére irányuló intézkedésekből adódnak:

• Kétlépcsős hozzáférés-ellenőrzés

• Harmadik fél által végzett behatolásvizsgálatok (penetration tests)

• Biztonsági incidensek és események kezelése

• DDoS védelem

• Biztonsági incidensekre való reagálás

• Rendelkezésre állás nyomon követése

• Biztonságos hitelesítőadat-tárolás

• Redundáns infrastruktúra

• Rendszer-összeomlás utáni helyreállítás (Disaster recovery failover)

• Sebességkorlátozás és zárolás

• Szigorú tartalom-biztonsági szabályzat (Content-Security-Policy)

• Captcha

• Webalkalmazási tűzfal (WAF)
  
  

B. MELLÉKLET – TOVÁBBI ADATFELDOLGOZÓK ÁTTEKINTÉSE

A Disputes termék használóira vonatkozik

A Számlázási termék használóira vonatkozik