Skilmálar og skilyrði Mollie reikningsgerð

Þessi þjónustukjör („Þjónustukjör reikninga“) teljast lögmætur samningur á milli þín og þess fyrirtækis eða lögaðila sem þú kemur fram fyrir („hér eftir nefnt „Fyrirtækið“, „þú“ eða „þitt“) og Mollie B.V. og leyfisveitenda þess (hér eftir nefnt „Mollie“, „við“ eða „okkar“) og gilda um notkun á Reikningsþjónustunni.

Þjónustukjör reikninga tilgreina þá skilmála og skilyrði sem gilda um heimild þína til að nota Reikningsþjónustuna. Notendasamningurinn, sem gildir um þig í heild sinni, er áfram í gildi og bætist þessi Þjónustukjör reikninga við hann. Þar sem Notendasamningurinn stangast á við þessi Þjónustukjör reikninga, munu þessi Þjónustukjör reikninga ganga framar, en eingöngu hvað varðar Reikningsþjónustuna og notkun hennar.

Eftirfarandi skilgreiningar gilda til viðbótar við skilgreiningarnar í Notendasamningnum eða öðrum samningum milli Mollie og Fyrirtækisins:

Með því að nota Reikningsþjónustuna samþykkir þú eftirfarandi skilmála:

1. Lýsing á þjónustu

1.1 Reikningsþjónusta Mollie er stafræn reikningslausn sem er hönnuð til að aðstoða vettvanga eða söluaðila við að útbúa, sérsníða, senda og stýra reikningum á skilvirkan hátt í gegnum stjórnborð Mollie eða Reiknings-API með því að leyfa skjóta gerð reikninga, vsk-útreikning, sjálfvirkar greiðsluáminningar og -eftirlit ásamt mörgum greiðsluleiðum fyrir viðskiptavini („Reikningsþjónusta“).

2. Verðskrá

2.1 Verðskrá fyrir Reikningsþjónustuna skal vera í samræmi við www.mollie.com/pricing eða eins og um semst skriflega á milli aðila. 

3. Persónuupplýsingar og gagnavinnsla 

3.1 Með því að nota Reikningsþjónustuna gætir þú þurft að afhenda Mollie persónuupplýsingar viðskiptavina þinna og notenda, og Mollie gæti unnið úr slíkum persónuupplýsingum til að tryggja virkni Reikningsþjónustunnar. Þú veitir Mollie leyfi og samþykki til að nota persónuupplýsingar þínar, eða viðskiptavina þinna, og/eða deila persónuupplýsingum um þig eða viðskiptavini þína með þriðju aðilum, að því marki sem nauðsynlegt er til að unnt sé að bjóða upp á eða veita Reikningsþjónustuna. Þú telst vera „ábyrgðaraðili“ allra persónuupplýsinga sem notaðar eru til að útbúa reikninga og við munum vinna persónuupplýsingar sem „vinnsluaðili“ í samræmi við Viðauka 1 (GAGNAVINNSLUSAMNINGUR FYRIR REIKNINGSÞJÓNUSTU MOLLIE) og persónuverndaryfirlýsingu Mollie sem er aðgengileg á www.mollie.com/legal/privacy.

3.2 Þrátt fyrir allt sem kann að segja um annað ábyrgist þú að þú fylgir, og munir halda áfram að fylgja, öllum kröfum um persónuvernd við notkun á Reikningsþjónustunni, þar á meðal, en ekki takmarkað við, almennu persónuverndarreglugerðinni („GDPR“) eða samsvarandi persónuverndarlögum og -reglugerðum sem gilda um atvinnustarfsemi þína.

4. Skyldur þínar og ábyrgð

4.1 Þér er óheimilt að nota Reikningsþjónustuna, eða leyfa notkun hennar, á ólöglegan eða óviðeigandi hátt.

4.2 Þú skalt fylgja gildandi og reglugerðum framtíðarinnar varðandi kröfur til reikningagerðar og/eða skatta. Ábyrgðin á því að tryggja nákvæmni og réttmæti reiknings, þar með talið vsk-hlutfalla, liggur eingöngu hjá þér. Ef viðeigandi vsk-hlutfall á reikningi þínum er ekki stutt af Reikningsþjónustunni (til dæmis vegna breytinga á gildandi vsk-hlutföllum í viðkomandi landi), skalt þú tilkynna okkur það skriflega án ástæðulausrar tafar og við munum meta, og ef þörf krefur, aðlaga uppsetningarmöguleika Reikningsþjónustunnar til að styðja við nýja vsk-hlutfallið.

4.3 Þú berð ábyrgð á að gera viðeigandi varúðarráðstafanir (reglulega og í samræmi við þá áhættu sem um ræðir) til að tryggja öryggi gagna og efnis sem slegið er inn, hlaðið upp og vistað í tengslum við notkun þína á Reikningsþjónustunni, sem og til að búa til eigin öryggisafrit svo hægt sé að endurheimta gögn og upplýsingar ef þau glatast. Þú skalt, eftir bestu getu, koma í veg fyrir óheimilan aðgang þriðju aðila að Reikningsþjónustunni.

4.4 Þú átt ekki rétt á (nema um annað hafi verið samið skriflega beinum orðum):

• að láta Reikningsþjónustuna í té á neinu formi til þriðju aðila annarra en starfsmanna þinna, umboðsmanna, verktaka og annarra tengdra notenda; eða

• að afrita, breyta eða beita öfugu verkfræði (reverse engineer) á hluta af, taka í sundur, afþýða eða þýða Reikningsþjónustuna.

4.5 Þú hefur kynnt þér og samþykkir skyldur þínar samkvæmt Viðauka 1.

5. Notkunarleyfi og hugverk 

5.1 Þér er veittur óeinkaréttarlegur, óframseljanlegur, án framleysisheimildar, alþjóðlegur, afturkallanlegur og tímabundinn réttur til að nota Reikningsþjónustuna. Reikningsþjónustan skal eingöngu gerð aðgengileg þér á grundvelli óeinkaréttar. Mollie er ekki skuldbundið til að veita aðra þjónustu en Reikningsþjónustuna. Enginn frekari notkunarréttur er veittur í tengslum við Reikningsþjónustuna.

5.2 Þú berð einn ábyrgð á að stýra notendaréttindum og þú skalt tryggja að allir notendur fylgi þeim takmörkunum sem fram koma í Notendasamningi Mollie og þessum skilmálum þegar Reikningsþjónustan er notuð.

5.3 Öll hugverka- og notkunarréttindi (önnur en leyfið sem veitt er hér á eftir) í tengslum við Reikningsþjónustuna, þar á meðal frumkóði, gagnagrunnar, virkni, hugbúnaður, vefhönnun, hljóð, myndbönd, texti, ljósmyndir og grafík („Hugverkaréttindi“), eru að fullu í eigu Mollie.

5.4 Að því marki sem þér eru látin í té hugbúnaðarþróunarsett („SDK“), þar með taldar uppfærslur þeirra eða tækniaðstoð, skulu eftirfarandi sérstök ákvæði gilda um SDK:

• Þér er veitt óeinkaréttarlegt, óframseljanlegt, afturkallanlegt, gjaldfrjálst leyfi til að (i) hlaða niður og nota SDK eingöngu á hlutarkóðaformi (object code) til að þróa forrit sem samanstanda af samsettum kóða sem búinn er til með notkun SDK, eða hluta þess, sem hannaður er til að virka með Vörunni; (ii) búa til takmarkaðan fjölda afrita af handbókum með SDK sem starfsmenn þínir eða ráðgjafar mega nota eingöngu í þróunarskyni, en ekki í almennum viðskiptatilgangi eða til dreifingar; og (iii) dreifa SDK eingöngu á hlutarkóðaformi sem hluta af Vörunni;

• Mollie hefur rétt á, en er ekki skuldbundið til, að veita tæknilega eða aðra aðstoð vegna SDK;

• í SDK er kóði sem sendir sjálfvirkar villutilkynningar frá þér og þú samþykkir að Mollie hafi frambúðar, óafturkallanlegan, ótakmarkaðan rétt til að nota slíkar upplýsingar í viðskiptatilgangi sínum, þar með talið, án takmarkana, til vöruaðstoðar og -þróunar;

• ef þú notar SDK til að keyra forrit sem þú eða þriðji aðili hefur þróað eða til að fá aðgang að gögnum, efni eða auðlindum frá þriðja aðila, samþykkir þú að Mollie beri ekki ábyrgð á þeim forritum, gögnum, efni eða auðlindum;

• SDK er veitt í leyfi í því ástandi sem það er („as is“). Þú berð áhættuna af notkun þess; Mollie afsalar sér öllum ábyrgðum eða tryggingum (hvort sem þær eru lögbundnar, beinar eða óbeinar) og veitir engar ábyrgðir eða tryggingar varðandi notkun þína á SDK.

  
  

6. Skaðabótaábyrgð og skaðabætur

6.1 Mollie ber ekki ábyrgð á villum, athöfnum, vanrækslu eða vanefndum sem stafa af gögnum þínum, stillingum eða notkun á Reikningsþjónustunni. Þú berð einn og að lokum ábyrgð á því að tryggja að öll gögn sem notuð eru til að búa til eða gefa út reikninga, þar með talin vsk-hlutföll, séu í samræmi við gildandi (skatta)lög í hlutaðeigandi notkunarlandi. Mollie ber enga skyldu til að staðreyna nákvæmni, fylli eða réttmæti gagna eða (vsk)stillinga sem þú setur upp, leggur fram eða notar í gegnum Reikningsþjónustuna. Þú skalt skaðleysa og halda Mollie skaðlausu gagnvart öllum kröfum þriðju aðila, skuldbindingum, tjóni, tapi, kostnaði og útgjöldum (þar með töldum sanngjörnum lögmannskostnaði) sem stafa af eða tengjast notkun þinni á Reikningsþjónustunni, þar með talinni vsk-uppsetningu. 

6.2 Til að taka af allan vafa er ábyrgð okkar takmörkuð í samræmi við Notendasamninginn, að því marki sem Mollie kann að bera ábyrgð á tjóni.

Viðauki 1: GAGNAVINNSLUSAMNINGUR

Í þessum GAGNAVINNSLUSAMNINGI (hér eftir „GVS“) ásamt fylgiskjölum hans er lýst skyldum aðila, þar á meðal samkvæmt gildandi persónuverndarlögum, varðandi vinnslu persónuupplýsinga (eins og þær eru skilgreindar hér á eftir). GVS er hluti af Notendasamningnum.

GVS þessi er á milli Fyrirtækisins (hér eftir „Ábyrgðaraðili“)

og 

Mollie B.V., hlutafélags (besloten vennootschap) með skráð aðsetur í Amsterdam, á Keizersgracht 126, 1015 CW Amsterdam, Hollandi, skráð hjá hollensku vörustofunni (Dutch Chamber of Commerce) undir númerinu 30204462, (hér eftir „Mollie“ eða „Vinnsluaðili“)

og 

Mollie UK Ltd., hlutafélags með skráð aðsetur í London, 7 Pancras Square, London N1C 4AG, Bretlandi, skráð hjá Companies House undir númerinu 14013554, (hér eftir „Mollie“ eða „Vinnsluaðili“),

hvor um sig „Aðili“ og sameiginlega „Aðilar“. 

Skilgreiningar 

Í þessum GVS hafa eftirfarandi hugtök þá merkingu sem lýst er hér á eftir. Hugtök með stórum staf sem notuð eru en ekki skilgreind hér hafa þá merkingu sem tilgreind er í Samningnum.

Samningur
samningurinn á milli Ábyrgðaraðila og Vinnsluaðila um veitingu þjónustu („Notendasamningur“).

Bindandi fyrirtækisreglur
stefna um vernd persónuupplýsinga sem ábyrgðaraðili eða vinnsluaðili, sem hefur staðfestu á yfirráðasvæði aðildarríkis, fylgir við flutning eða flutninga á persónuupplýsingum til ábyrgðaraðila eða vinnsluaðila í einu eða fleiri þriðju löndum innan samstæðu fyrirtækja eða hóps fyrirtækja sem stunda sameiginlega atvinnustarfsemi.

Ábyrgðaraðili
einstaklingur, lögaðili, stjórnvald, stofnun eða annar aðili sem ákveður, einn eða í samstarfi við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga.

Viðskiptavinur
Viðskiptavinir Fyrirtækisins sem vilja greiða fyrir vörur og/eða þjónustu sem Fyrirtækið býður upp á í gegnum Greiðslueiningu Mollie.

Öryggisbrestur
brestur á öryggi sem leiðir til óviljandi eða ólöglegrar eyðingar persónuupplýsinga, að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim án heimildar, en um er að ræða persónuupplýsingar sem eru sendar, vistaðar eða unnar á annan hátt. 

Gagnavinnslusamningur
samningur þessi, þar með talin öll fylgiskjöl.

Eftirlitsstofnun
sjálfstætt stjórnvald sem ber ábyrgð á að hafa eftirlit með því að farið sé að gildandi lögum um vinnslu persónuupplýsinga. Í Hollandi er þetta Autoriteit Persoonsgegevens.

Mat á áhrifum á persónuvernd
mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga. 

Persónuverndarlög
öll gildandi löggjöf um persónuvernd og friðhelgi einkalífs, þar á meðal, án takmarkana, almenna persónuverndarreglugerð Evrópusambandsins, öll staðbundin lög og reglugerðir sem breyta eða koma í stað einhverra þeirra, ásamt hvers kyns innlendum innleiðingarlögum í hvaða aðildarríki Evrópska efnahagssvæðisins (EES) sem er, að því marki sem við á, í hvaða öðru landi sem er, eins og þeim er breytt, þær felldar úr gildi, sameinaðar eða skipt út á hverjum tíma. 

Skráður einstaklingur
einstaklingurinn sem persónuupplýsingarnar tengjast (t.d. viðskiptavinir).

GDPR
almenna persónuverndarreglugerðin (ESB) 2016/679 Evrópuþingsins og ráðsins frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. 

Persónuupplýsingar
hvers kyns upplýsingar sem tengjast persónugreindum eða persónugreinanlegum einstaklingi; persónugreinanlegur einstaklingur er sá sem hægt er að persónugreina, beint eða óbeint, einkum með tilvísun í auðkenni eins og nafn, auðkennisnúmer, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna líkamlega, lífeðlisfræðilega, erfðafræðilega, andlega, efnahagslega, menningarlega eða félagslega hlið einstaklingsins. 

Vinnsla
hvers kyns aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar eða söfn persónuupplýsinga, hvort sem það er gert með sjálfvirkum hætti eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, vistun, aðlögun eða breyting, endurheimt, skoðun, notkun, miðlun með sendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, takmörkun, eyðing eða eyðilegging. Þessi listi er ekki tæmandi. Hugtökin „vinna“ og „unnið“ skulu skýrð í samræmi við þetta. 

Vinnsluaðili
einstaklingur eða lögaðili, stjórnvald, stofnun eða annar aðili sem vinnur (persónu)upplýsingar fyrir hönd Ábyrgðaraðila.

Fyrirtækið
fyrirtækið sem notar Greiðslueiningu Mollie í þeim tilgangi, meðal annars en ekki takmarkað við, að selja vörur og/eða þjónustu til viðskiptavina.

Staðlaðir samningsskilmálar
Staðlaðir samningsskilmálar Evrópustjórnarinnar fyrir vinnsluaðila (2010/87/EB) eða framkvæmdaráðstöfun nefndarinnar (ESB) 2021/914 frá 4. júní 2021 um staðlaða samningsskilmála fyrir flutning persónuupplýsinga til þriðju landa samkvæmt reglugerð (ESB) 2016/679 Evrópuþingsins og ráðsins (C/2021/3972).

Undirvinnsluaðili
hvers kyns þriðji aðili, eining eða fyrirtæki sem Vinnsluaðili fær til að vinna persónuupplýsingar við að veita þjónustuna samkvæmt Samningnum. 

HLUTI A TILGANGUR 

Grein A.1 Gildissvið

Vinnsluaðili hefur samþykkt að veita Ábyrgðaraðila þjónustu í samræmi við skilmála Notendasamningsins. Við veitingu þjónustunnar mun Vinnsluaðili vinna persónuupplýsingar fyrir hönd Ábyrgðaraðila eins og tilgreint er í GVS þessum. Vinnsluaðili, sem fjármálastofnun, vinnur einnig persónuupplýsingar sem ábyrgðaraðili gagna. 

Aðilar viðurkenna og samþykkja að að því marki sem Mollie vinnur persónuupplýsingar í tengslum við greiðslumiðlun til að: i) framkvæma Notendasamninginn við Ábyrgðaraðila; ii) fylgjast með, koma í veg fyrir og uppgötva sviksamlegar greiðslur; iii) uppfylla lagalegar eða eftirlitsskyldur sem gilda um vinnslu og varðveislu greiðslugagna sem Mollie lýtur, þar á meðal viðeigandi athuganir gegn peningaþvætti og uppfyllingu skyldna um áreiðanleikakönnun viðskiptavina; og iv) bæta vörur og þjónustu Mollie, kemur Mollie fram sem ábyrgðaraðili gagna og hefur eitt og sér óskorað ákvörðunarvald um tilgang og aðferðir við vinnslu persónuupplýsinganna sem það fær frá eða í gegnum (þjónustu við) Ábyrgðaraðila.

Vinnsluaðgerðirnar, persónuupplýsingarnar og flokkar skráðra einstaklinga sem Vinnsluaðili vinnur persónuupplýsingar fyrir, fyrir hönd Ábyrgðaraðila, eru tilgreind í Viðauka A. 

HLUTI B SKYLDUVERР

Grein B.1 Skyldur Ábyrgðaraðila 

Ábyrgðaraðili ber ábyrgð á persónuupplýsingunum sem Vinnsluaðili vinnur og skal tryggja að farið sé að öllum persónuverndarlögum, þar á meðal kröfum varðandi flutning persónuupplýsinganna samkvæmt GVS þessum og Notendasamningnum. Ábyrgðaraðili ábyrgist að hann hafi rétt til að vinna persónuupplýsingarnar og hafi rétt til að tilnefna Vinnsluaðila til að vinna gögnin fyrir hönd Ábyrgðaraðila.

Ábyrgðaraðili samþykkir að, án þess að takmarka skyldur Vinnsluaðila samkvæmt GVS þessum, ber Ábyrgðaraðili einn ábyrgð á notkun sinni á þjónustunni, þar með talið (a) að nota þjónustuna á viðeigandi hátt til að tryggja öryggisstig sem hæfir áhættunni varðandi persónuupplýsingarnar; (b) að tryggja öryggi auðkennisupplýsinga, kerfa og tækja sem Ábyrgðaraðili notar til að fá aðgang að þjónustunni; (c) að tryggja kerfi og tæki Ábyrgðaraðila sem það notar með þjónustunni; og (d) að viðhalda eigin öryggisafritum af persónuupplýsingum.

Grein B.2 Skyldur Vinnsluaðila 

Vinnsluaðili undirgengst að: 

1. vinna persónuupplýsingarnar eingöngu í samræmi við skjalfestar leiðbeiningar frá Ábyrgðaraðila og skal gera nauðsynlegar ráðstafanir til að tryggja að sérhver einstaklingur sem starfar á hans vegum og hefur aðgang að persónuupplýsingum vinni þær ekki nema samkvæmt leiðbeiningum frá Ábyrgðaraðila;

2. upplýsa Ábyrgðaraðila tafarlaust ef einhverjar af leiðbeiningunum um vinnslu persónuupplýsinga sem Ábyrgðaraðili veitir Vinnsluaðila brjóta gegn gildandi persónuverndarlögum eða ákvæðum þessa GVS;

3. innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar, að teknu tilliti til nýjustu tækni, kostnaðar við innleiðingu og eðlis, umfangs, samhengis og tilgangs vinnslunnar, sem og áhættunnar, sem er mislíkleg og misalvarleg, fyrir réttindi og frelsi einstaklinga; og

4. án ástæðulausrar tafar upplýsa Ábyrgðaraðila ef því berst kvörtun eða beiðni sem tengist skyldum annaðhvort Aðila samkvæmt persónuverndarlögum sem máli skipta fyrir þennan GVS, þar á meðal hvers kyns bótakröfu frá skráðum einstaklingi eða tilkynningu, rannsókn eða aðra aðgerð frá Eftirlitsstofnun, og veita Ábyrgðaraðila ítarlegar upplýsingar um slíka rannsókn, kvörtun eða beiðni, nema lög eða beiðni Eftirlitsstofnunarinnar banni það.
   
   

HLUTI C FLUTNINGAR OG UNDIRVINNSLUADILI

Grein C.1 Flutningur persónuupplýsinga 

Þegar persónuupplýsingar sem tengjast skráðum einstaklingi innan ESB eru fluttar út fyrir EES skulu þær unnar af aðila sem: (i) er staðsettur í þriðja landi eða á yfirráðasvæði sem framkvæmdastjórn ESB viðurkennir að tryggi fullnægjandi verndarstig; eða (ii) fellur undir staðlaða samningsskilmála ESB og/eða alþjóðlegan gagnaflutningssamning Bretlands eða viðauka við staðlaða samningsskilmála Bretlands; eða (iii) hefur aðrar lagalega viðurkenndar viðeigandi verndarráðstafanir tiltækar, svo sem bindandi fyrirtækisreglur, sem tryggja sömu vernd og öryggi og GVS þessi. 

Grein C.2 Undirvinnsluaðilar 

Ábyrgðaraðili samþykkir hér með notkun Vinnsluaðila á þeim Undirvinnsluaðilum sem tilgreindir eru í Viðauka B. Vinnsluaðili kann að uppfæra þennan lista á hverjum tíma í samræmi við GVS þennan.

Áður en nýr Undirvinnsluaðili er fenginn til vinnu vegna þeirrar þjónustu sem tilgreind er í Viðauka A skal Vinnsluaðili tilkynna Ábyrgðaraðila sem notar þjónustuna um það og veita Ábyrgðaraðila að minnsta kosti tíu (10) almanaksdaga til að andmæla, nema þegar Vinnsluaðili telur með sanngjörnum hætti nauðsynlegt að fá nýjan Undirvinnsluaðila fljótt til að vernda trúnað, áreiðanleika eða tiltækileika persónuupplýsinganna eða komast hjá verulegri röskun á veittri þjónustu. Í þeim tilvikum mun Vinnsluaðili senda slíka tilkynningu eins fljótt og auðvelt er. Ef Ábyrgðaraðili, innan fimm (5) almanaksdaga eftir slíka tilkynningu, tilkynnir Vinnsluaðila skriflega að Ábyrgðaraðili andmæli tilnefningu Vinnsluaðila á nýjum Undirvinnsluaðila á grundvelli rökstdds áhyggna af persónuvernd, munu aðilar ræða þær áhyggjur af heilindum og hvort hægt sé að leysa úr þeim. Andmælum gegn nýjum Undirvinnsluaðilum skal senda á privacy@mollie.com. 

Ábyrgðaraðili viðurkennir að Undirvinnsluaðilar eru nauðsynlegir til að veita þjónustuna og að andmæli gegn notkun Undirvinnsluaðila geta komið í veg fyrir að Vinnsluaðili geti boðið Ábyrgðaraðila þjónustuna. Ef aðilar ná ekki samkomulagi um lausn á slíkum áhyggjum getur Ábyrgðaraðili, sem eina úrræði sitt, sagt upp GVS þessum.

Allir Undirvinnsluaðilar sem vinna persónuupplýsingar við að veita Ábyrgðaraðila þjónustu skulu uppfylla skyldurnar sem lýst er í GVS þessum. Áður en persónuupplýsingar eru afhentar einhverjum Undirvinnsluaðila skal Vinnsluaðili framkvæma fullnægjandi áreiðanleikakönnun til að tryggja að Undirvinnsluaðili sé fær um að veita það verndarstig fyrir Ábyrgðaraðila 

Persónuupplýsingar sem krafist er í þessum GVS og gera samning við þann Undirvinnsluaðila þar sem Undirvinnsluaðilinn samþykkir að uppfylla skyldur til jafns við þær sem tilgreindar eru í þessum GVS. 

HLUTI D ÖRYGGI 

Grein D.1 Öryggisráðstafanir

Vinnsluaðili skal innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðeigandi öryggi miðað við áhættuna, þar á meðal eftir því sem við á:

1. gervigerving (pseudonymisation) og dulkóðun persónuupplýsinga; 

2. getu til að tryggja áframhaldandi trúnað, áreiðanleika, tiltækileika og viðnámsþrótt vinnslukerfa og þjónustu; 

3. getu til að endurheimta tiltækileika og aðgang að persónuupplýsingum á réttum tíma ef líkamlegt eða tæknilegt atvik á sér stað; og 

4. ferli til að prófa, meta og skoða reglulega virkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar. Við mat á því hvaða öryggisstig 

er viðeigandi skal sérstaklega taka tillit til þeirrar áhættu sem vinnslan hefur í för með sér, einkum vegna óviljandi eða ólöglegrar eyðingar, taps, breytinga, óheimillar birtingar eða aðgangs að persónuupplýsingum sem eru sendar, vistaðar eða unnar á annan hátt.

Grein D.2 Tilkynning um öryggisbrest

Vinnsluaðili skal tilkynna Ábyrgðaraðila án ástæðulausrar tafar um hvers kyns óviljandi eða ólöglega eyðingu, tap, breytingu eða óheimila birtingu eða aðgang að persónuupplýsingum eftir að þess verður vart, að því marki sem öryggisbresturinn tengist eingöngu vinnslu persónuupplýsinga af hálfu Vinnsluaðila í eiginleika hans sem vinnsluaðila. Ef og þar sem öryggisbresturinn varðar persónuupplýsingar sem Vinnsluaðili telst vera Ábyrgðaraðili fyrir eins og lýst er í Persónuverndaryfirlýsingu Vinnsluaðila, áskilur Vinnsluaðili sér rétt til að meðhöndla öryggisbrestinn sem ábyrgðaraðili. 

Töf á því að sendi tilkynningu um öryggisbrest sem lögregla fer fram á og/eða samkvæmt réttmætum þörfum Vinnsluaðila til að rannsaka eða lagfæra málið áður en tilkynnt er skal ekki teljast ástæðulaus töf. Í slíkum tilkynningum verður lýst, eftir því sem auðið er, upplýsingum um öryggisbrestinn, þar á meðal ráðstöfunum sem gerðar hafa verið til að draga úr hugsanlegri áhættu. Án þess að það dragi úr skyldum Vinnsluaðila samkvæmt þessum Hluta D.1 ber Ábyrgðaraðili einn ábyrgð á að fylgja lögum um tilkynningar vegna öryggisbresta sem gilda um Ábyrgðaraðila og að uppfylla allar skyldur til að tilkynna þriðju aðilum um hvers kyns öryggisbrest. Tilkynning Vinnsluaðila um eða viðbrögð við öryggisbresti samkvæmt þessum Hluta D.1 skulu ekki túlkuð sem viðurkenning Vinnsluaðila á sokinni sök eða skaðabótaábyrgð vegna öryggisbrestsins.

Sérhver kostnaður sem hlýst af því að leysa úr öryggisbrestinum og við innleiðingu ráðstafana sem nauðsynlegar eru til að koma í veg fyrir slíkan öryggisbrest í framtíðinni skal greiðast af þeim Aðila sem dregur á sig kostnaðinn. 

HLUTI E ÚTTEKT

Grein E.1 Réttur til úttektar 

Ábyrgðaraðili skal eiga rétt á að biðja um, með hæfilegum fyrirvara, úttektarskýrslur frá Vinnsluaðila varðandi vinnslu persónuupplýsinga innan gildissviðs þeirrar þjónustu sem veitt er samkvæmt GVS þessum.

Úttektarskýrslur, eins og vísað er til í þessu ákvæði, skulu innihalda, en ekki takmarkast við, skýrslur sem tengjast öryggi, trúnaði og persónuverndarráðstöfunum sem Vinnsluaðili hefur innleitt í tengslum við vinnslu persónuupplýsingastarfsemi. Þessar skýrslur kunna einnig að ná yfir fylgni við viðeigandi persónuverndarlög.

Beiðnir um úttektarskýrslur skulu vera skriflegar og sendar á privacy@mollie.com, og skal þar tilgreina umfang og tilgang beiðninnar. Vinnsluaðili skal staðfesta móttöku slíkra beiðna á réttum tíma.

Móttaka úttektarskýrslna skal háð þagnarskyldu starfsfólks. Ábyrgðaraðili má aðeins nota úttektarskýrslurnar í þeim tilgangi að uppfylla eigin kröfur um eftirlitsúttekt og til að staðfesta að vinnsla Vinnsluaðila á persónuupplýsingum sé í samræmi við þennan GVS. Úttektarskýrslunum skal ekki miðla út á við.

HLUTI F MAT Á ÁHRIFUM Á PERSÓNUVERND OG UNDANFARIÐ SAMRÁÐ

Grein F.1 Aðstoð

Vinnsluaðili skal aðstoða Ábyrgðaraðila við að leggja mat á áhrif vinnslu persónuupplýsinga (grein 35 GDPR) og við samráð við Eftirlitsstofnun (grein 36 GDPR), ef og að því marki sem krafist er að slíkt mat eða samráð fari fram samkvæmt persónuverndarlögum og þar sem Vinnsluaðila er heimilt og/eða skylt að samstarfa.

HLUTI G RÉTTINDI SKRÁÐRA EINSTAKLINGA

Grein G.1 Aðstoð

Ef Vinnsluaðila berst beiðni frá skráðum einstaklingi varðandi persónuupplýsingar Ábyrgðaraðila mun Vinnsluaðili ráðleggja skráða einstaklingnum að beina beiðni sinni til Ábyrgðaraðila og/eða áframsenda beiðnina til Ábyrgðaraðila, og Ábyrgðaraðili ber ábyrgð á að svara slíkri beiðni.

Að beiðni Ábyrgðaraðila og á kostnað Ábyrgðaraðila mun Vinnsluaðili veita Ábyrgðaraðila þá aðstoð sem hann kann með sanngjörnum hætti að krefjast til að uppfylla skyldur samkvæmt persónuverndarlögum til að svara beiðnum frá skráðum einstaklingum um að neyta réttinda sinna samkvæmt persónuverndarlögum (t.d. réttur til aðgangs að gögnum, leiðréttingar, eyðingar, takmörkunar, flutnings og andmæla) í þeim tilvikum þar sem Ábyrgðaraðili getur ekki með sanngjörnum hætti uppfyllt slíkar beiðnir sjálfstætt með aðgangi sínum að vörum og þjónustu Vinnsluaðila.

HLUTI H ÝMISLEGT 

Grein H.1 Trúnaður 

Vinnsluaðili skal gæta fyllsta trúnaðar um allar persónuupplýsingar og skal tryggja að allir starfsmenn, umboðsmenn, stjórnendur og verktakar sem hafa aðgang að eða koma að vinnslu persónuupplýsinga séu meðvitaðir um trúnaðareðli persónuupplýsinganna og séu samningsbundnir til að gæta þess trúnaðar, og að þeir séu upplýstir um og fylgi skyldum GVS þessa.

Grein H.2 Skaðabótaábyrgð

Öll skaðabótaábyrgð sem stafar af GVS þessum mun lúta viðeigandi ákvæðum Notendasamningsins, þar með töldum takmörkunum á ábyrgð. 

Þrátt fyrir ákvæði Notendasamningsins skal hvor Aðili um sig aðeins bera ábyrgð gagnvart hinum Aðilanum á tjóni sem hann veldur hinum Aðilanum vegna hvers kyns brots á þessum GVS. Sýna verður fram á þetta tjón með skýrum hætti. Vinnsluaðili verður aðeins ábyrgur fyrir tjóni af völdum vinnslunnar ef það hefur ekki fylgt skyldum persónuverndarlaga sem beint er sérstaklega að vinnsluaðilum gagna eða þar sem það hefur starfað út fyrir eða í andstöðu við lögmætar leiðbeiningar Ábyrgðaraðila eins og þeim er lýst í þessum GVS. Í því samhengi verður Vinnsluaðili aðeins ábyrgur ef Ábyrgðaraðili sýnir fram á að Vinnsluaðili beri ábyrgð á atvikinu sem leiddi til tjónsins.

Ábyrgðaraðili skal einn bera ábyrgð gagnvart skráðum einstaklingi, og skráður einstaklingur á rétt á að fá bætur, vegna hvers kyns efnislegs eða óefnislegs tjóns sem Ábyrgðaraðili eða Vinnsluaðili (eða Undirvinnsluaðilar hans) veldur skráða einstaklingnum með því að brjóta gegn þessum GVS.

Grein H.3 Gildistími og uppsögn 

Gildistími þessa GVS skal fara saman við gildistöku Notendasamningsins og/eða notkun á tiltekinni vöru eða þjónustu sem talin er upp í Viðauka A.

Þessi GVS fellur sjálfkrafa úr gildi um leið og Notendasamningi er sagt upp og/eða notkun á tiltekinni vöru eða þjónustu sem talin er upp í Viðauka A hættir, hvort sem gerist á undan.

Við lok þessa GVS skal Vinnsluaðili, að beiðni Ábyrgðaraðila, skila persónuupplýsingunum til Ábyrgðaraðila eða til Vinnsluaðila sem Ábyrgðaraðili tilnefnir, eða eyða persónuupplýsingunum, nema Vinnsluaðila sé skylt að halda eftir afriti í samræmi við lög Evrópusambandsins eða hvers kyns aðildarríkis Evrópusambandsins.

HLUTI I LOKAÁKVÆÐI 

Grein I.1 Heildarsamningur 

Þessi GVS telst hluti af Notendasamningnum. Öll réttindi og skyldur sem stafa af Notendasamningnum gilda einnig um þennan GVS. Viðauki A telst óaðskiljanlegur hluti af þessum GVS.

Grein I.2 Breytingar aðeins með samkomulagi 

Engar breytingar á GVS þessum skulu gilda nema þær séu skriflegar og undirritaðar af þar til bærum fulltrúum hvors Aðila um sig. 

Grein I.3 Gildi einstakra ákvæða 

Hvert ákvæði í GVS þessum er sjálfstætt og aðskiljanlegt frá öðrum, og ef eitthvert ákvæði, eða hluti ákvæðis, er dæmt óframkvæmanlegt, ólöglegt eða ógilt að öllu leyti eða hluta af dómstóli, eftirlitsstofnun eða öðru bæru yfirvaldi, skal það að því marki teljast ekki vera hluti af GVS þessum og innheimtanleiki, lögmæti og gildi annarra ákvæða GVS þessa munu ekki skerðast. Aðilar samþykkja að reyna að skipta út hvers kyns ógildu eða óframkvæmanlegu ákvæði fyrir gilt eða framkvæmanlegt ákvæði sem nær sem mest sömu áhrifum og gert var ráð fyrir

með ógilda eða óframkvæmanlega ákvæðinu. Að öðru leyti en breytingum sem innleiddar eru með GVS þessum er Notendasamningurinn óbreyttur og í fullu gildi.

Grein I.4 Framsal réttinda 

Aðilar mega aðeins framselja GVS þennan í samræmi við Notendasamninginn (ákvæði 8.9). 

Grein I.5 Lög og varnarþing 

GVS þessi skal lúta og vera túlkaður í samræmi við lög Hollands. Hvor Aðili samþykkir einkalögsögu dómstóla í Amsterdam til að leysa úr hvers kyns ágreiningi sem stafar af GVS þessum. Ef dómstóll eða stjórnsýslustofnun með lögsögu telur eitthvert ákvæði GVS þessa vera ógilt, óframkvæmanlegt eða ólöglegt, skulu önnur ákvæði GVS þessa halda fullu gildi sínu. 

VIÐAUKI A – TILGREINING Á VINNSLU PERSÓNUUPPLÝSINGA 

1. TILGANGUR VINNSLUNNAR

Vinnsla persónuupplýsinga tengist beint veitingu þeirrar þjónustu sem veitt er samkvæmt Notendasamningnum.

Tilgangur vinnslunnar er:

• Dómsmál / Ágreiningur

  • Að auðvelda umsjón og lausn ágreiningsmála milli Ábyrgðaraðila og viðskiptavina hans með vörum og þjónustu Mollie.

  • Að veita Ábyrgðaraðila nauðsynleg verkfæri og upplýsingar til að svara ágreiningi, t.d. vegna endurkrafa (chargebacks) eða fyrirspurna um greiðslur.

• Reikningagerð

  •  Að auðvelda sendingu reikninga til viðskiptavina Ábyrgðaraðila með vörum og þjónustu Mollie 

2. FLOKKAR SKRÁÐRA EINSTAKLINGA 

Vinnsluaðili mun vinna persónuupplýsingar fyrir eftirfarandi flokka skráðra einstaklinga fyrir Ábyrgðaraðila:

• Viðskiptavinir Ábyrgðaraðila: Greiðendur (neytendur eða viðskiptavinir) sem hefja greiðslu, fyrirspurn eða ágreining.

Ágreiningur / Deilur

• Þriðju aðilar sem viðtakendur: Einstaklingar sem tilgreindir eru í afhendingargögnum eða viðskiptastaðfestingum sem eru hugsanlega ekki greiðandinn sjálfur (t.d. sá sem fær gjöf á sendingarheimili).

• Leyfðir fulltrúar / Starfsfólk Ábyrgðaraðila: Starfsfólk söluaðilans sem gæti átt nöfn sín, tengiliðaupplýsingar eða undirskriftir skráð í sönnunargögnum vegna ágreinings, samskiptaskrám eða aðstoðarbeiðnum.

• Þriðju aðilar sem þjónustuveitendur: Einstaklingar sem eiga gögn í sönnunargögnum sem undirvinnsluaðilar eða samstarfsaðilar leggja fram (t.d. nöfn sendibílstjóra á undirskrift til staðfestingar á afhendingu).

Reikningagerð

• Upplýsingar á reikningi (eins og Ábyrgðaraðili skráir þær)

3. TEGUNDIR PERSÓNUUPPLÝSINGA 

Vinnsluaðili mun vinna eftirfarandi tegundir persónuupplýsinga fyrir Ábyrgðaraðila:

• Auðkennis- og tengiliðaupplýsingar: Fullt nafn, netfang, símanúmer og innheimtuheimili greiðanda.

• Lýsigögn færslu (Transaction Metadata): Færslunúmer, pöntunarnúmer, upphæð, gjaldmiðill, dagsetning/tími og tiltekin greiðsluaðferð sem notuð var (t.d. Kreditkort, Klarna, iDEAL).

• Afhendingar- og flutningagögn: 

  • Sendingarupplýsingar: Sendingarheimili (gata, húsbúmer, póstnúmer, borg, land).

  • Eftirlitsupplýsingar: Nafn flutningsaðila, sendingarnúmer og rauntímaskrár yfir flutning/afhendingu.

  • Staðfesting á afhendingu: Stafrænar undirskriftir, tímastimplar afhendingar og ljósmyndir sem sanna afhendingu (t.d. pakki við dyrnar).

• Sönnunargögn vegna ágreinings (Óskipulögð gögn): 

  • Hlaðnar skrár: Hvers kyns persónuupplýsingar í skjölum sem Ábyrgðaraðili hleður upp handvirkt (t.d. PDF-reikningar, spjallskrár úr þjónustuveri, skjáskot úr WhatsApp eða tölvupóstsamskipti).

• Tæknileg auðkenni: IP-tölur, tækjasporsgögn og lýsigögn vafra sem safnað er við færsluna (notað til að staðreyna staðsetningu og auðkenni viðskiptavinarins til að berjast gegn svikum).

Flokkar persónuupplýsinga sem taldir eru upp hér að ofan sýna fyrirhugað umfang vinnslunnar samkvæmt samningi þessum. Þar sem persónuupplýsingar sem falla utan þessara flokka eru óviljandi deildar eða felldar inn í óskipulögð gögn eða skjöl sem hlaðið er upp, skal Vinnsluaðili meðhöndla slík gögn með viðeigandi varúð og beita viðeigandi tæknilegum og skipulagslegum ráðstöfunum.

4. ÖRYGGISRÁÐSTAFANIR 

Samhengi 

Sem fjármálastofnun eru öryggisráðstafanir og starfsferlar sem Mollie hefur búið til fyrir forrit okkar, kerfi og upplýsingatækniferla háð skoðun hollenska seðlabankans (DNB), sem aftur notar leiðbeiningar evrópsku bankaeftirlitsstofnunarinnar (EBA) um tæknilega staðla sem leyfishafar skulu fylgja. 

Ennfremur, þar sem Mollie starfar (einnig) sem ábyrgðaraðili persónuupplýsinga, lýtur Mollie einnig annarri löggjöf sem setur staðla um öryggi og persónuvernd, sem fylgt er eftir af öðrum yfirvöldum - einkum almennu persónuverndarreglugerðinni (GDPR) og eftirlitsstofnun hennar í Hollandi (Autoriteit Persoonsgegevens). 

Að auki eru kerfin sem vinna sérstaklega með kortaupplýsingar PCI DSS-samræmd kerfi á stigi 1, sem þýðir að þetta tiltekna forrit og ferlarnir við að þróa það og viðhalda því lúta persónuverndarráðstöfunum sem tilgreindar eru af PCI-ráðinu, en fylgni Mollie við þær er metin árlega af utanaðkomandi aðila. 

Almennar ráðstafanir

Öll forrit, kerfi og ferlar sem tengjast þeim lúta upplýsingaöryggisstefnu Mollie. Helstu atriði úr þessari og öðrum stefnum sem máli skipta fyrir umfang þeirrar þjónustu sem veitt er eru:

• Bakgrunnsathugun starfsmanna

• Þjálfunaráætlun hönnuða í öryggismálum

• Áætlun um meðvitund um öryggi

• Aðskilnaður starfa

• Stýring breytinga

• Stýring veikleika

• Atvikastýring

• Viðnámsþróttur og afritunarstýring

• Ströng framfylgd aðgangsstýringar (IAM og IGA)

• Skoðun á heimildum notenda

• Staðlar fyrir flokkun kerfa

• Staðlar fyrir flokkun gagna og gagnastefna

• Öruggir stillingastaðlar byggðir á bestu starfsvenjum í iðnaðinum, framfylgd stefnu (herðing)

• Eðlisfræðilegur og röklegur aðskilnaður netumhverfa

• Öruggir dulkóðunarstaðlar

• Stýring dulkóðunarlykla

• Dulkóðun (í flutningi, í hvíld fyrir sameiginleg innviðaumhverfi eins og ský)

• Áhættustýring þriðju aðila

• Vöktun á tiltækileika og villum

• Öruggur lífsferill þróunar

  • Ógnunarlíkön vegna verulegra breytinga og nýrra eiginleika

  • Stýring á háðum þáttum og skönnun á þekktum veikleikum

  • Fastgreining á öryggi kóða

  • Innri og ytri veikleikaskönnun

• Samræmd uppljóstrun um veikleika (CVD) og gallaverðlaunakerfi (bug bounty)

• Upplýsingaöflun um ógnir (t.d. þátttaka í hollensku PI-ISAC, upplýsingamiðlun og greiningarmiðstöð greiðslustofnana, vöktun á hulduneti / dark web)

• Samstarf við öryggisþjónustuveitanda (MSSP) varðandi öryggisrekstur, greiningu og tæknilegar rannsóknir

• Stýring öryggisupplýsinga og atburða (SIEM)

• Endapunktaöryggi starfsfólks

• Tölvupóstsöryggi

Mollie Dashboard

Auk þeirra almennu öryggisráðstafana sem lýst er hér að ofan, fellur „Mollie Platform“-forritið undir eftirfarandi öryggisráðstafanir - sem annaðhvort leiðir af innleiðingu almennra öryggisstefna okkar eða sem mótvægisaðgerð til að taka á áhættu sem greind var í áhættumati fyrir tiltekið forrit:

• Tvítátta aðgangsstýring (2-Factor)

• Innbrotspróf þriðja aðila (Penetration tests)

• Stýring á öryggisatburðum

• Varnir gegn DDoS-árásum

• Viðbrögð við öryggisatvikum

• Vöktun á tiltækileika

• Örugg geymsla auðkennisupplýsinga

• Umframinnviðir (Redundant infrastructure)

• Varaleið vegna hamfaraendurheimtar

• Flæðitakmörkun og læsing

• Ströng Content-Security-Policy

• Captcha

• Vefveggur (Web application firewall)
  
  

VIÐAUKI B – YFIRLIT YFIR UNDIRVINNSLUAÐILA

Viðeigandi fyrir notendur Disputes-vörunnar (ágreiningur)

Viðeigandi fyrir notendur Invoicing-vörunnar (reikningagerð)