Gögnavinnslusamningar

Þetta GAGNAVINNSLUSAMNINGUR (hér eftir „DPA“) þar á meðal viðaukar þess, lýsir skyldum aðila, þ.m.t. samkvæmt gildandi lögum um persónuvernd, að því er varðar vinnslu persónuupplýsinga (eins og lýst er hér að neðan). DPA er samþætt í notendaskilmála.

Þessi DPA er á milli Fyrirtækis (hér eftir „Stjóna“)

og 

Mollie B.V., einkahlutafélag (besloten vennootschap) með skráð skrifstofu í Amsterdam, á Keizersgracht 126, 1015 CW Amsterdam, Hollandi og skráð hjá hollensku verslunarráði undir númeri 30204462, (hér eftir „Mollie“ eða „Vinnsluaðili“)

og 

Mollie UK Ltd., einkahlutafélag með skráð skrifstofu í London, 7 Pancras Square, London N1C 4AG, Bretland og skráð hjá fyrirtækjaskrá undir númeri 14013554, (hér eftir „Mollie“ eða „Vinnsluaðili“),

hver þeirra „Aðili“ og sameiginlega „Aðilar“.  

Skilgreiningar 

Í þessum DPA hafa eftirfarandi hugtök þann merkingu sem lýst er hér að neðan. Sértengd hugtök sem notuð eru en ekki skilgreind hér, hafa þá merkingu sem lýst er í samningnum.

Samningur: Samningur á milli Stjórnanda og Vinnsluaðila um veitingu þjónustu („Notendaskilmáli“).

Bindandi fyrirtækjareglur: Persónuverndarstefnur sem Stjórnandi eða Vinnsluaðili, sem staðsettur er á svæði aðildarríkis, fylgir fyrir flutninga eða flokk flutninga persónuupplýsinga til Stjórnanda eða Vinnsluaðila í einu eða fleiri þriðjuríkjum innan fyrirtækjasamsteypu, eða fyrirtækjasamsteypu sem tengist sameiginlegri efnahagslegri starfsemi.

Stjóri: Líkams- eða lögpersóna, opinber yfirvaldið, stofnunar eða önnur aðila sem ákveður, einn eða í sameiningu við aðra, tilganginn og meðferðina á vinnslu persónuupplýsinga.

Viðskiptavinur: Viðskiptavinir Fyrirtækisins sem vilja borga fyrir vörur og/eða þjónustu sem Fyrirtækið veitir í gegnum greiðslumódúl Mollie..

Gagnabrot: Brotið á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar, taps, breytingar, óheimilar birtingar, eða aðgangs að persónuupplýsingum sem sendar eru, geymdar eða á annan hátt unnar.  

Gagnavinnslusamningur: Þessi samningur, þar á meðal allar viðaukar.

Yfirvald fyrir eftirlit: Óháð ríkisvald sem ber ábyrgð á að fylgja eftir því að lögum um vinnslu persónuupplýsingar sé farið eftir. Í Hollandi er þetta Autoriteit Persoonsgegevens.

Áhrifaskýrsla um persónuvernd: Mat á áhrifum fyrirhugaðra vinnsluferla á vernd persónuupplýsinga.

Lög um persónuvernd: Öll gildandi löggjöf um persónuvernd og friðhelgi einkalífs, þar á meðal, án takmarkana, almennu persónuverndarlög Evrópusambandsins, allar staðbundnar lög og reglugerðir sem breyta eða skjóta á þau, ásamt öllum landslögum sem koma fram í hvaða aðildarríki EES (Evrópska efnahagssvæðisins) sem er, að því marki sem þau eiga við, í hvaða öðrum landi sem er, eins og þau eru breytt, afturkölluð, sameinuð eða skipt út frá tíma til tíma.

Persónuupplýsingar: Allar upplýsingar sem tengjast skráðum eða auðkenndum einstaklings; auðkennandi einstaklingur er sá sem hægt er að auðkenna, beint eða óbeint, sérstaklega með vörnum eins og nafni, auðkenningu, staðsetningargögnum, netauðkenni eða einu eða fleiri þáttum sem sértækir eru fyrir líkamlega, lífeðlisfræðilega, erfðafræðilega, andlega, efnahagslega, menningarlega eða félagslega sjálfsmynd einstaklingsins.  

Vinnsla: Allar aðgerðir eða aðgerðirnar sem unnar eru á persónuupplýsingum eða flokkum persónuupplýsinga, hvort sem er með sjálfvirkum aðferðum, svo sem að safna, skrá, skipuleggja, framkvæmd, geymsla, aðlögun eða breyting, endurheimt, aðgang, notkun, birtingu með sendingu, dreifingu eða á annan hátt, samstillingu eða samsetningu, takmörkun, eyðingu eða eyðingu. Þessi listi er ekki tæmandi. Hugtökin „vinna“, „vinnur“ og „unnið“ verða túlkuð í samræmi við það.  

Vinnsluaðili: Líkams- eða lögpersóna, opinber yfirvaldið, stofnunar eða önnur aðila sem vinnur (persónu) upplýsingar fyrir Stjórnanda.

Fyrirtæki: Fyrirtækið sem notar Greiðslumódúl Mollie í þeim tilgangi að selja vörur og/eða þjónustu til Viðskiptavina.

Venjulegar samningaskilmálar: Venjulegar samningaskilmálar Evrópsku framkvæmdastjórnarinnar fyrir Vinnsluaðila (2010/87/EU) eða framkvæmdaráðstefna (ESB) 2021/914 frá 4. júní 2021 um venjulega samningaskilmála fyrir flutninga persónuupplýsinga til þriðju landa samkvæmt reglugerð (ESB) 2016/679 Evrópuþingsins og ráðsins (C/2021/3972).
Undirvinnsluaðili: Hverjar sem er þriðja persónu, aðila eða fyrirtæki sem er fenginn af Vinnsluaðila til að vinna persónuupplýsingar við veitinguna á þjónustunni samkvæmt Samningnum.

Kafli A: Tilgangur 

Grein A.1 Umfangi

Vinnsluaðili hefur samþykkt að veita þjónustu fyrir Stjórnanda í samræmi við skilmála Notendaskilmála. Við veitingu þjónustu mun Vinnsluaðili vinna persónuupplýsingar fyrir hönd Stjórnanda eins og lýst er í þessari DPA. Vinnsluaðili, sem fjármálafyrirtæki, vinnur einnig persónuupplýsingar sem gagnavinnandi.  

Aðilar staðfesta og samþykkja að að því marki sem Mollie vinnur persónuupplýsingar sem tengjast greiðslum, í þeim tilgangi að: i) framkvæma Notendaskilmálana með Stjórnanda; ii) fylgjast með, koma í veg fyrir og greina sviksamlegar greiðslur; iii) uppfylla löglegar eða reglugerðarlegar skyldur sem gilda um vinnslu og varðveislu greiðsluupplýsinga sem Mollie er háð, þar með talin fjárhagslegar aðgerðir og staðlar um að þekkja viðskiptavininn; og iv) bæta vörur og þjónustu Mollie, þá er Mollie að vinna sem gagnavinnandi og hefur eina og alfarið rétt til að ákvarða tilgangana og meðferðirnar við vinnslu persónuupplýsinga sem hún fær frá eða í gegnum (veiting þjónustu til) Stjórnanda.

Vinnsluferlarnir, persónuupplýsingar og flokkarnir af gagnum sem Vinnsluaðili vinnur persónuupplýsingar fyrir Stjórnandann eru tiltæk í Viðauka A.  

Kafli B: Skyldur 

Grein B.1 Skyldur Stjórnanda 

Stjórnandi ber ábyrgð á persónuupplýsingunum sem Vinnsluaðili mun vinna og skal tryggja að allar persónuverndarlög séu virt, þar með talin kröfur varðandi flutning persónuupplýsinga samkvæmt þessari DPA og Notendaskilmála. Stjórnandi tryggir að hann hafi rétt til að vinna persónuupplýsingarnar og hefur rétt til að skipta Vinnsluaðila um að vinna gögnin fyrir hálfu Stjórnanda.

Stjórnandi samþykkir að, án takmarkana á skyldum Vinnsluaðila samkvæmt þessari DPA, er Stjórnandi einungis ábyrgur fyrir notkun sinni á þjónustunni, þ.m.t. (a) að huga að réttu notkun þjónustunnar til að tryggja öryggisstig sem hentar áhættunni í tengslum við persónuupplýsingar; (b) að tryggja að sannanir skráningar; kerfis- og tæki sem Stjórnandi notar til að nálgast þjónustuna; (c) að tryggja Stjórnandans kerfi og tæki sem hann notar með þjónustunni; og (d) að viðhalda eigin afritum af persónuupplýsingum.

Grein B.2 Skyldur Vinnsluaðila 

Vinnsluaðili skuldbindur sig til að: 

1. vinna persónuupplýsingarnar aðeins í samræmi við skráð fyrirmæli frá Stjórnanda og skal taka nauðsynlegar skref til að tryggja að hver einasta manneskja sem starfar undir umboði þess og hefur aðgang að persónuupplýsingum vinni ekki persónuupplýsingarnar nema eftir fyrirmælum Stjórnanda;

2. strax tilkynna Stjórnanda ef einhver fyrirmæli varðandi vinnslu persónuupplýsinga, veitt Vinnsluaðila af Stjórnanda, brjóta gegn lögum um persónuvernd eða skilmálum sem settar eru fram í þessari DPA;

3. innleiða viðeigandi tæknilegar og skipulagslegar aðgerðir til að vernda persónuupplýsingar, íhuga miðað við stöðu mála, kostnað við innleiðingu og eðli, umfjöllun, samhengi og tilgang vinnslu, auk bæði áhættu og líkindum og alvarleika fyrir réttindi og frelsi einstaklinga; og

4. án óþarfa tveggja tilkynna Stjórnanda ef að Vinnsluaðili fær kvörtun eða beiðni um skyldur hvort aðila samkvæmt lögum um persónuvernd sem varða þessa DPA, þar á meðal skaðabótakrafna frá Dagskrá og hvaða tilkynningu, rannsókn eða aðgerðir frá eftirlitsfyrirkomulagi, og veita Stjórnanda allar upplýsingar um slíka rannsókn, kvörtun eða beiðni nema að lögum eða samkvæmt beiðni eftirlitsstofnunar sé ekki leyft.

Kafli C: Flutningar og Undirvinnsluaðilar

Grein C.1 Flutningur persónuupplýsinga 

Þegar persónuupplýsingar sem tengjast Evrópska Dagskrá er flutt út fyrir EEA, skulu þær unnar af aðila: (i) staðsettur í þriðja ríki eða svæði sem Evrópusambandið hefur viðurkennt að hafi viðunandi verndarstig; eða (ii) sem er háð venjulegum samningaskilmálum ESB og/eða Alþjóðlegum samningum um flutning persónuupplýsinga frá Bretlandi eða viðauka UK SCC; eða (iii) sem hefur aðrar lagalegar viðurkenndar viðeigandi verndarráðstafanir, svo sem Bindandi fyrirtækjareglur, sem tryggja sama verndar- og verndarráðstafanir og þessi DPA. 

Grein C.2 Undirvinnsluaðilar 

Stjórnandi samþykkir hér með notkun Vinnsluaðila sem festeð eru í Viðauka B. Þessi listi má uppfæra af Vinnsluaðila frá tíma til tíma í samræmi við þessa DPA.

Vinnsluaðili mun veita Stjórnanda möguleika á að andmæla hverjum nýjum Undirvinnsluaðila sem mun aðeins vera hlutverk í tengslum við gögnin eins og lýst er í Viðauka A. 

Áður en nýr Undirvinnsluaðili er ráðinn, skal Vinnsluaðili tilkynna Stjórnanda um það og veita Stjórnanda að minnsta kosti tíu (10) dagsetningar til að andmæla, nema þar sem Vinnsluaðili telur það nauðsynlegt að ráðinn nýr Undirvinnsluaðili tafarlaust til að vernda trúnað, heilleika eða tiltækni persónuupplýsinga eða koma í veg fyrir veruleg truflun á þjónustunni sem veitt er. Í því tilfelli mun Vinnsluaðili gefa slíka tilkynningu eins fljótt og unnt er. Ef, innan fimm (5) daga eftir slíka tilkynningu, Stjórnandi hefur skriflega tilkynnt Vinnsluaðila að Stjórnandi andmælir ráðningu nýs Undirvinnsluaðila byggt á sanngjörnum áhyggjum um persónuvernd, munu aðilar ræða slíkar áhyggjur í góðri trú og hvort þær má leysa. Andmæli við nýja Undirvinnsluaðila skulu send til privacy@mollie.com. 

Stjórnandi viðurkennir að Undirvinnsluaðilar eru nauðsynlegir til að veita þjónustuna og að andmæli við notkun Undirvinnsluaðila geti komið í veg fyrir að Vinnsluaðili geti boðið þjónustu til Stjórnandans. Ef aðilar geta ekki komist að samkomulagi um lausn slíkrar áhyggju, getur Stjórnandi, sem eini remedía hans, sagt upp DPA í auðveldu.

Öllum Undirvinnsluaðilum sem vinna persónuupplýsingar við veitingu þjónustu til Stjórnanda, verður að fylgja skyldum samkvæmt þessari DPA. Vinnsluaðili skal, áður en persónuupplýsingar eru birtar til nokkurs Undirvinnsluaðila, framkvæma nauðsynlega aðskilnað til að tryggja að Undirvinnsluaðili hafi getu til að veita þann verndarstigi fyrir Stjórnanda 

Persónuupplýsingar sem krafa er um í þessari DPA og gera samning við þann Undirvinnsluaðila þar sem Undirvinnsluaðili samþykki að fylgja skyldum sem eru sambærilegar þeim sem lýst er í þessari DPA. 

Kafli D: Öryggi

Grein D.1 Öryggisaðgerðir

Vinnsluaðili skal innleiða viðeigandi tæknilegar og skipulagslegar aðgerðir til að tryggja öryggisstig sem hentar áhættunni, þar á meðal m.a. ef við á:

1. útdrátt og dulkóðun persónuupplýsinga; 

2. getu til að tryggja áframhaldandi trúnað, heilleika, tiltækni og seiglu vinnslukerfa og þjónustu; 

3. getu til að endurheimta tiltækni og aðgang að persónuupplýsingum á tímanlegan hátt í tilviki líkamlegs eða tæknilegs atviks; og 

4. ferli fyrir regluleg prófanir, mat og skoðun á árangri tæknilegra og skipulagslegra aðgerða til að tryggja öryggi vinnslunnar. Við mat á viðeigandi 

   öryggisstigi skal taka mið af áhættum sem eru fyrstlegar að vinnslu, sérstaklega frá óviljandi eða ólögmætri eyðingu, tapi, breytingum, óheimilum birtingum eða aðgangi að persónuupplýsingum sem sendar, geymdar eða á annan hátt unnar.

   
   

Grein D.2 Tilkynning um gagnabrot

Vinnsluaðili skal tilkynna Stjórnanda án óþarfa tafar um óviljandi eða ólögmæta eyðingu, taps, breytingar eða óheimila birtingu eða aðgang að persónuupplýsingum eftir uppgötvun, að því leyti sem gagnabrotið tengist eingöngu vinnslunni á persónuupplýsingum af Vinnsluaðila í störfum hans sem gagnavinnandi. Ef og þar sem gagnabrotin varða persónuupplýsingar sem Vinnsluaðili er talinn Stjóri, eins og lýst er í Persónuviðmiði Vinnsluaðila, áskilur Vinnsluaðili sér rétt til að meðhöndla gagnabrotið sem stjórnandi. 

Tafir á að gefa gagnabrotin tilkynningu að hafa verið beðið um af lögreglu og/eða að taka tillit til þarfir Vinnsluaðila getur ekki talist ólögmæt tafar. Slíkar tilkynningar munu lýsa, að því leyti sem hægt er, upplýsingum um gagnabrotin, þar á meðal skrefum sem tekin eru til að draga úr mögulegum áhættum. Án að hafa áhrif á skyldur Vinnsluaðila samkvæmt þessum Kafla D.1, er Stjórnandi maddi ábyrgur fyrir að uppfylla lögum um tilkynning á gagnabrot sem gilda um Stjórnanda og að uppfylla allar skuldbindingar gagnvart þriðja aðila sem tengjast hverju gagnabroti. Tilkynning Vinnsluaðila um eða viðbrögð við gagnabroti samkvæmt þessum Kafla D.1 verður ekki túlkuð sem viðurkennandi af Vinnsluaðila á einhverju vanrækslu eða ábyrgð gagnvart gagnabrotinu.

Allir kostnaðar sem hafa verið gerðir vegna þess að leysa gagnabrotið og í framkvæmdaraðgerðum sem nauðsynlegar eru til að koma í veg fyrir að slíkt gagnabrot verði aftur í framtíð, munu verða greiddar af aðilanum sem ber kostnað.

Kafli E: Endurskoðun

Grein E.1 Réttur til endurskoðunar 

Stjórnandi skal hafa rétt til að óska eftir, með sanngjörnum fyrirvara, endurskoðunarskýrslum frá Vinnsluaðila tengdum vinnslu persónuupplýsinga innan umfangs þjónustunnar samkvæmt þessari DPA.

Endurskoðunarskýrslur, eins og vísað er í þessum kafla, skulu innihalda en ekki takmarka sig við skýrslur sem tengjast öryggi, trúnað og persónuverndar aðgerða sem Vinnsluaðili hefur innleitt í tengslum við vinnslu persónuuppl{