Duomenų apdorojimo sutartis

Šis DUOMENŲ APDOROJIMO SUTARTIS (toliau – „DPA“) kartu su priedais aprašo Šalių įsipareigojimus, įskaitant taikytinų duomenų apsaugos įstatymų nuostatas, susijusias su asmens duomenų apdorojimu (kaip apibrėžta žemiau). DPA yra įtraukta į Vartotojo sutartį.

Šis DPA sudarytas tarp Organizacijos (toliau – „Centrinis“)

ir 

Mollie B.V., ribotos civilinės atsakomybės bendrovė (besloten vennootschap), kurios registruota buveinė yra Amsterdame, Keizersgracht 126, 1015 CW Amsterdam, Nyderlandai, registruota Nyderlandų Prekybos rūmuose pagal numerį 30204462, (toliau – „Mollie“ arba „Apdorotojas“)

ir 

Mollie UK Ltd., ribotos civilinės atsakomybės bendrovė, kurios registruota buveinė yra Londone, 7 Pancras Square, London N1C 4AG, Jungtinė Karalystė, registruota Įmonių registre pagal numerį 14013554, (toliau – „Mollie“ arba „Apdorotojas“),

kiekvienas vadinamas „Šalimi“ ir kartu „Šalys“. 

Apibrėžimai 

Šiame DPA šie terminai turi tokią reikšmę, kaip nustatyta žemiau. Didžiąja raide vartojami terminai, kurie čia nėra apibrėžti, turi tokią reikšmę, kaip nustatyta Sutartyje.

Sutartis: Susitarimas tarp Centrinio ir Apdorotojo dėl paslaugų teikimo („Vartotojo sutartis“).

Privalomi korporatyviniai taisyklės: Asmens duomenų apsaugos politikos, kurių laikosi centrinis ar apdorotojas, įsteigtas valstybės narės teritorijoje, perduodant ar perduodant asmens duomenis centriniam ar apdorotojui vienoje ar daugiau trečiųjų šalių grupėje, užsiimančioje kartu ekonomine veikla.

Centrinis: Fizinis ar juridinis asmuo, valstybės institucija, agentūra ar kita institucija, kuri viena ar kartu su kitais nustato asmens duomenų apdorojimo tikslus ir priemones.

Klientas: Organizacijos klientai, kurie nori mokėti už organizacijos teikiamas prekes ir (arba) paslaugas per Mollie Mokėjimo modulį.

Duomenų pažeidimas: Saugumo pažeidimas, dėl kurio atsitiktinai ar neteisėtai sunaikinami, prarandami, keičiasi, neįgaliotai atskleidžiami arba turi patekti į asmens duomenis, kurie perduodami, saugomi ar kitaip apdorojami. 

Duomenų apdorojimo sutartis: Šis susitarimas, įskaitant visus priedus.

Stebėjimo institucija: Nepriklausoma vyriausybinė institucija, atsakinga už atitikties stebėjimą, susijusį su asmens duomenų apdorojimu. Nyderlanduose tai yra Autoriteit Persoonsgegevens.

Duomenų apsaugos poveikio vertinimas: Vertinimas, kuris atliktas poveikio, kurį numatoma apdorojimo operacija, vertinimas asmens duomenų apsaugai.

Duomenų apsaugos įstatymai: Visi taikytini teisės aktai, susiję su duomenų apsauga ir privatumu, įskaitant, bet neapsiribojant, ES Bendruoju duomenų apsaugos reglamentu, visais vietiniais įstatymais ir taisyklėmis, kurie pakeičia ar panaikina bet kurį iš jų, kartu su bet kokiais nacionaliniais įgyvendinimo įstatymais bet kurioje Europos ekonominės erdvės (EEE) valstybėje narėje, tiek, kiek tai taikoma bet kurioje kitoje šalyje, kaip pakeista, panaikinta, konsoliduota ar pakeista laikui bėgant.

Duomenų subjektas: Fizinis asmuo, kurio asmens duomenys yra susiję (pvz., klientai).

GDPR: Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 Europos Parlamento ir Tarybos reglamentas dėl fizinių asmenų apsaugos nuostatos asmens duomenų apdorojimo srityje ir šių duomenų laisvo judėjimo.

Asmens duomenys: Bet kokia informacija, susijusi su identifikuotu ar identifikuojamu fiziniu asmeniu; tapatinamas fizinis asmuo yra tas, kuris gali būti identifikuotas tiesiogiai ar netiesiogiai, ypač remiantis tokiais identifikatoriais kaip vardas, identifikavimo numeris, buvimo duomenys, interneto identifikatorius arba vienas ar daugiau ypatumų, specifinių fizinio, fiziologinio, genetinio, psichinio, ekonominio, kultūrinio ar socialinio fizinio asmens tapatybės. 

Apdorojimas: Bet kuri operacija ar operacijų rinkinys, atliekamas su asmens duomenimis ar asmens duomenų rinkiniais, nepriklausomai nuo to, ar automatizuotai, pvz., surinkimas, registravimas, organizavimas, struktūravimas, saugojimas, pritaikymas ar keitimas, atsiėmimas, konsultavimas, naudojimas, atskleidimas per perdavimą, skleidimą arba kitaip padarant prieinamu, derinimas ar derinimas, ribojimas, ištrynimas arba sunaikinimas. Šis sąrašas nėra išsamus. Terminai „apdoroti“, „apdorojama“ ir „apdorota“ bus aiškinami atitinkamai. 

Apdorotojas: Fizinis ar juridinis asmuo, valstybės institucija, agentūra ar kita institucija, kuri apdoroja (asmens) duomenis Centrinio vardu.

Organizacija: Organizacija, kuri naudoja Mollie Mokėjimo modulį tikslams, įskaitant, bet neapsiribojant, prekių ir (arba) paslaugų pardavimą klientams.

Standartinės sutarties klauzulės: Europos Komisijos standartinės sutarties klauzulės, taikomos duomenų apdorotojams (2010/87/EU) arba Komisijos įgyvendinimo sprendimas (ES) 2021/914, 2021 m. birželio 4 d., dėl standartinių sutarčių klauzulių, taikomų asmens duomenų perdavimui į trečiąsias šalis, pagal Reglamentą (ES) 2016/679 Europos Parlamento ir Tarybos (C/2021/3972).
Podbūdantis apdorotojas bet kuris trečias asmuo, subjektas ar bendrovė, įgaliotas Apdorotojo dirbti su Asmens Duomenimis pagal Sutartį

A SKYRIUS: TIKSLAS 

1 straipsnis Apimtis

Apdorotojas sutiko teikti paslaugas Centriniam pagal Vartotojo sutarties sąlygų. Teikdamas paslaugas, Apdorotojas apdoros Asmens Duomenis Centriniam, kaip nurodyta šiame DPA. Apdorotojas, kaip finansinis institutas, taip pat apdoroja Asmens Duomenis veikdamas kaip duomenų valdytojas. 

Šalys pripažįsta ir sutinka, kad iki to, kas Mollie apdoroja Asmens Duomenis, susijusius su mokėjimų transakcijomis, kad: i) vykdyti Vartotojo sutartį su Centriniais; ii) stebėti, užkirsti kelią ir nustatyti sukčiavimus mokėjimų transakcijose; iii) laikytis su įstatymais ar reglamentais taikomų mokėjimo duomenų apdorojimo ir saugojimo įsipareigojimų, kuriems Mollie yra taikoma, įskaitant taikomos kovos su pinigų plovimu tikrinimo ir atitikimo su žinokite savo klientą reikalavimais; iv) tobulinti Mollie produktus ir paslaugas, Mollie veikia kaip duomenų valdytojas ir turi išskirtinę ir vienintelę teisę nustatyti asmens duomenų, kuriuos ji gauna iš ar per (teikdama paslaugas) Centrinę, apdorojimo tikslus bei priemones.

Apdorojimo veiklos, Asmens Duomenys ir Duomenų subjektų kategorijos, dėl kurių Apdorotojas apdoroja Asmens Duomenis Centriniam, nurodomi A priede. 

B SKYRIUS: ĮSIPAREIGOJIMAI 

B straipsnis Centrinio įsipareigojimai 

Centrinis atsako už Asmens Duomenis, kuriuos Apdorotojas apdoros, ir turi užtikrinti atitiktį visiems Duomenų apsaugos įstatymams, įskaitant reikalavimus, susijusius su Asmens Duomenų perdavimu pagal šį DPA ir Vartotojo sutartį. Centrinis garantuoja, kad turi teisę apdoroti Asmens Duomenis ir turi teisę skirti Apdorotoją, kad apdorotų duomenis Centrinio vardu.

Centrinis sutinka, kad be Apdorotojo įsipareigojimų, numatytų šiame DPA, Centrinis yra vienintelis atsakingas už savo paslaugų naudojimą, įskaitant (a) tinkamą paslaugų naudojimą, kad užtikrinti saugumo lygį, atitinkantį riziką, susijusią su Asmens Duomenimis; (b) užtikrinti paskyros autentifikavimo informacijos, sistemų ir prietaisų, kuriuos Centrinis naudoja paslaugoms pasiekti, saugumą; (c) užtikrinti Centriniame naudojamų sistemų ir prietaisų, naudojamų kartu su paslaugomis, saugumą; ir (d) tvarkyti savo Asmens Duomenų atsargines kopijas.

B straipsnis Apdorotojo įsipareigojimai 

Apdorotojas sutinka: 

1. asmens duomenis apdoroti tik pagal dokumentuotas Centrinių pateiktas instrukcijas ir imtis reikiamų veiksmų, kad užtikrinti, jog bet kuris fizinis asmuo, veikiantis pagal jo įgaliojimus, kuris turi prieigą prie Asmens Duomenų, nesuklystų apdoroti Asmens Duomenų tik pagal Centrinių pateiktas instrukcijas;

2. nedelsiant informuoti Centrinius, jei bet kurios instrukcijos dėl Asmens Duomenų apdorojimo, teikiamos Apdorotojui Centrinių, pažeidžia bet kokius taikytinus Duomenų apsaugos įstatymus arba šiame DPA nustatytas nuostatas;

3. įgyvendinti tinkamas technines ir organizacines procedūras, užtikrinančias Asmens Duomenų saugumą, atsižvelgidamas į pažangą, įgyvendinimo sąnaudas ir apdorojimo pobūdis, taikymą bei pasekmes ir įgaliojimų įgijimo rizikos kintamumą bei sunkumą; ir

4. be nepagrįsto delsimo informuoti Centrinius, jei gauna skundą ar prašymą, susijusį su bet kurio Šalies įsipareigojimais pagal Duomenų apsaugos įstatymus, susijusius su šiuo DPA, įskaitant bet kokią kompensacijos užduotį iš Duomenų Subjekto ar bet kokį pranešimą, tyrimą ar kitą veiksmą iš Stebėjimo institucijos ir pateikti Centriniams visą informaciją apie tokį tyrimą, skundą ar prašymą, nebent pagal įstatymą ar Stebėjimo institucijos pratimą tai nebūtų leidžiama.

C SKYRIUS: PERVEDIMAI IR PODBŪDAI

C straipsnis Asmens Duomenų perdavimas 

Jeigu Asmens Duomenys, susiję su ES Duomenų Subjektu, yra perduodami už EEE ribų, juos turi apdoroti subjektas, (i) esantis trečiojoje šalyje ar teritorijoje, kurią ES Komisija pripažino turinti tinkamą apsaugos lygį; arba (ii) kuris yra veikiamas ES standartinėmis sutarties klauzulėmis ir (arba) Jungtinės Karalystės tarptautine duomenų perdavimo sutartimi ar JK SCC priedu; arba (iii) kuris turi kitus teisėtais pripažintus tinkamus užtikrinimus, tokius kaip Privalomi korporatyviniai taisyklės, užtikrinančios tokį patį apsaugos ir užtikrinimo lygį kaip ir šis DPA. 

C straipsnis Podbūdai 

Centrinis šiuo būdu sutinka su Apdorotojo naudojimusi Podbūdais, nurodytais B priede. Šis sąrašas gali būti kartais atnaujinamas Apdorotojo pagal šį DPA.

Apdorotojas suteiks Centriniam galimybę pasipriešinti kiekvienam naujam Podapdorotojui, kuris bus įtrauktas tik duomenų apdorojimo veiklos mąstelio A priede. 

Prieš samdant naują Podapdorotoją, Apdorotojas privalo informuoti Centrinius apie tai ir suteikti Centriniams ne mažiau kaip dešimt (10) kalendorinių dienų prieštarauti, nebent Apdorotojas pagrįstai mano, kad reikia greitai samdyti naują Podapdorotoją, kad būtų apsaugotasAsmens Duomenų konfidencialumas, vientisumas arba prieinamumas arba būtų išvengta rimto paslaugų teikimo sutrikimo. Tokiu atveju Apdorotojas duos tokį pranešimą, kai tik tai bus pagrįstai įmanoma. Jeigu per penkias (5) kalendorines dienas po tokio pranešimo, Centriniu ji praneša Apdorotojui raštu, kad Centriniam nepriimtina Apdorotojo paskyrimo naujo Podapdorotojo remiantis pagrįstais duomenų apsaugos rūpesčiais, šalys aptars tokius rūpesčius geranoriškai ir ar juos galima išspręsti. Prieštaravimus naujiems Podapdorotojams reikėtų pateikti privacy@mollie.com. 

Centrinis pripažįsta, kad Podapdorotojai yra būtini teikiant paslaugas ir kad prieštaravimas naudoti Podapdorotoją gali užkirsti kelią Apdorotojui siūlyti paslaugas Centriniams. Jei šalys negali tarpusavyje susitarti dėl tokių rūpesčių sprendimo, Centrinių, kaip savo vienintelės ir išskirtinės teisių gynimo priemonės, gali nutraukti DPA patogumui.

Visi Podapdorotojai, kurie apdoroja Asmens Duomenis, teikiančius paslaugas Centriniams, turi laikytis šiame DPA nurodytų įsipareigojimų. Apdorotojas, prieš atskleidžiant Asmens Duomenis bet kuriam Podapdorotojui, atliks tinkamus patikrinimus, kad užtikrintų, jog Podapdorotojas galėtų užtikrinti Centrinių Asmens Duomenų lygį, reikalaujamą šiame DPA, ir sudarys sutartį su tokiu Podapdorotoju, pagal kurią Podapdorotojas sutinka laikytis įsipareigojimų, lygiaverčių šiam DPA nustatytiems.

D SKYRIUS: SAUGUMAS

D straipsnis Saugaus sprendimo priemonės

Apdorotojas turės įgyvendinti tinkamas technines ir organizacines priemones užtikrinti apropinamą saugumo lygį, įskaitant tarptautinę tarptautinę reikšmę:

1. Asmens duomenų pseudonimizavimas ir šifravimas; 

2. gebėjimas užtikrinti nuolatinį konfidencialumą, vientisumą, prieinamumą ir paslaugų ir sistemų atsparumą; 

3. gebėjimas laiku atkurti prieinamumą ir prieigą prie Asmens Duomenų, kai įvyksta fizinis arba techninis incidentas; ir 

4. procesas, skirtas reguliariai testuoti, vertinti ir vertinti techninių ir organizacinių priemonių, skirtų užtikrinti apdorojimo saugumą, veiksmingumą. Vertinant tinkamą saugumo lygį, ypač atsižvelgiama į rizikas, susijusias su apdorojimu, ypač nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pokyčių, neįgalioto atskleidimo ar prieigos prie asmens duomenų, kuriuos perduodama, išsaugoma ar kitaip apdorojama.

   
   

D straipsnis Duomenų pažeidimo pranešimas

Apdorotojas privalo nedelsdamas pranešti Centriniam apie bet kurį atsitiktinį arba neteisėtą sunaikinimą, praradimą, pokyčius arba neįgaliotą atskleidimą ar prieigą prie Asmens Duomenų po to, kai tai buvo atrasta, jei Duomenų pažeidimas yra susijęs tik su Asmens Duomenų apdorojimu Apdorotoju kaip apdorotoju. Jei ir kur Duomenų pažeidimas susijęs su Asmens Duomenimis, kuriems Apdorotojas laikomas Centriniais, kaip aprašyta Apdorotojo Privatumo pareiškime, Apdorotojas pasilieka teisę traktuoti Duomenų pažeidimą kaip valdytoją. 

Įstatymų vykdymo institucijos ir/arba Apdorotojo būtinumo kreiptis reikalavimo per vėlavimas, susijęs su konkrečia reikiama informacija Fox & Moore Inc., ir/arba siekiant pradėti veiksmus, kurių bus imtasi prieš pranešant apie tai nereiškia, kad vėlavimas. Tokie pranešimai aprašys, tiek, kiek įmanoma, Duomenų pažeidimo detales, įskaitant žingsnius, imtus siekiant sumažinti galimus pavojus. Neatsižvelgiant į Apdorotojo įsipareigojimus pagal šį skyrių D.1, Centriniai yra tik atsakingi už teisės, numatomus pranešimuose apie duomenų pažeidimus, įskaitant bet kokius trečiųjų šalių pranešimo įsipareigojimus, susijusius su bet kokiais duomenų pažeidimas. Apdorotojo pranešimas apie bet kokį duomenų pažeidimą pagal šį skyrių D.1. nebus aiškinamas, kad Apdorotojas nusprendė dėl bet kokios kaltės ar atsakomybės dėl Duomenų pažeidimo.

Bet kokios išlaidos, kyla siekiant spręsti Duomenų pažeidimą ir įgyvendinti priemones, būtinas, siekiant išvengti tokių Duomenų pažeidimo ateityje, bus patirtos šalių, kurios patiria tuos kaštus.

E SKYRIUS: AUDITAS

E straipsnis Audito teisė 

Centrinis turės teisę kreiptis, priežasties iš anksto pranešdamas, auditoriaus pranešimus iš Apdorotojo, susijusių su Asmens Duomenų apdorojimu, pagal teikiamų paslaugų šią DPA.

Audito ataskaitos, nurodytos šiame skyriuje, apims, bet neapsiribos, pranešimais, susijusiais su saugumu, konfidencialumu ir duomenų apsaugos priemonėmis, kurias Apdorotojas taiko apdorojant Asmens Duomenis. Šios ataskaitos taip pat gali apimti atitiktį atitinkamiems Duomenų apsaugos įstatymams.

Prašymai audito ataskaitoms turi būti rašytinės ir siunčiamos adresu privacy@mollie.com, nurodant prašymo sritį ir tikslus. Apdorotojas nustatys, kad gauti tokius prašymus laiku.

Gautas audito ataskaitas reikės laikyti profesionalia konfidencialumo pareiga. Centriniai gali naudoti audito ataskaitas tik tam, kad būtų patenkinti Centrinio reguliavimo auditų reikalavimai ir patvirtintų, kad Apdorotojo asmens duomenų apdorojimas atitinka šį DPA. Audito ataskaitos nebebus dalinamos kitur.

F SKYRIUS: DUOMENŲ APSAUGOS POVEIKIO VERTINIMAI IR ANKSTINĖS KONSULTACIJOS

F straipsnis Pagalba

Apdorotojas padės Centriniam atlikti Asmens Duomenų apdorojimo poveikio vertinimą (35 straipsnis GDPR) ir bet kokius konsultacijas su Stebėjimo institucija (36 straipsnis GDPR), tik tuo atveju, jei ir tiek, kiek reikalavima ar konsultacija atliekama pagal Atitinkamus Duomenų apsaugos įstatymus, ir kur Apdorotojas gali ir (arba) privalo bendradarbiauti.

G SKYRIUS: DUOMENŲ SUBJEKTŲ TEISĖS

G straipsnis Pagalba

Jei Apdorotojas gauna prašymą iš Duomenų Subjekto, susijusį su Centriniu Asmens Duomenimis, Apdorotojas patars Duomenų subjektui pateikti savo prašymą Centriniams ir (arba) perduos prašymą Centriniams, o Centriniams bus atsakingas už atsakymą į tokį prašymą.

Praėjus Centrinių prašymui ir Centrinių sąskaita, Apdorotojas pateiks Centriniams tokią pagalbą, kurios gali būti pagrįstai reikia, kad atitiktų įsipareigojimus pagal Duomenų apsaugos įstatymus reaguoti į prašymus iš duomenų subjektų, kad galėtų pasinaudoti savo teisių teisėmis pagal Duomenų apsaugos įstatymus (pvz., teisės prieigos, taisymo, ištrynimo, apribojimų, perkeliamumo ir prieštaravimo) atvejais, kai Centrinių negali pagrįstai įvykdyti tokių prašymų nepriklausomai per savo prieigą prie Apdorotojo produktų ir paslaugų.

H SKYRIUS: ĮVAIRUS 

H straipsnis Konfidencialumas 

Apdorotojas turės laikytis konfidencialumo visų Asmens Duomenų ir užtikrins, kad visi darbuotojai, atstovai, pareigūnai ir rangovai, turintys prieigą arba dalyvaujantys Apdorotojų atliekamuose Asmens Duomenų procese, būtų informuoti apie konfidencialų Asmens Duomenų pobūdį ir kad jie yra sutartimi įsipareigojami laikytis Asmens Duomenų konfidencialumo ir sužinotų apie ir vykdytų šiame DPA nurodytus įsipareigojimus.

H straipsnis Atsakomybė

Bet kokia ir visa atsakomybė, kylanti iš šio DPA, bus reglamentuojama Vartotojo sutarties nuostatomis, įskaitant atsakomybės apribojimus. 

Nepaisant Vartotojo sutarties nuostatų, kiekviena Šalis bus atsakinga tik kitai Šaliai už bet kokius nuostolius, kuriuos ji padaro kitai Šaliai pažeidžiant bet kokią šio DPA. Šie nuostoliai turės būti aiškiai įrodytos. Apdorotojas bus atsakingas tik už žalą, padarytą apdorojimu, kai jis nesilaiko būtent duomenų apsaugos įstatymuose nurodytų įsipareigojimų, arba kai jis veiks už Centrinio teisėtus nurodymus, kaip apibūdinta šiame DPA kontekste. Šiuo atveju Apdorotojas bus atsakingas tik tuo atveju, jei Centriniu įrodys, kad Apdorotojas yra atsakingas už įvykį, dėl kurio kilo žala.

Centrinis bus vienintelis atsakingas Duomenų Subjektui, o Duomenų Subjektas turės teisę gauti kompensaciją už bet kokius materialius ar nematerialius nuostolius, kuriuos Centriniu arba Apdorotojas (arba jo Podapdorotojai) padarys Duomenų subjektui pažeidžiant šį DPA.

H straipsnis Terminai ir nutraukimas 

Šio DPA galiojimo laikotarpis bus lygiagretus Vartotojo sutarties ir / ar konkretus produkto ar paslaugos, kaip nurodyta A priede, pradžiai.

Šis DPA automatiškai nutrauks kartu su Vartotojo sutarties ir / ar konkretaus produkto ar paslaugos, kaip nurodyta A priede, nutraukimu, kas pirmiausia bus nutraukta.

Nutraukus šį DPA, Apdorotojas, Centrinių prašymu, grąžins Asmens Duomenis Centriniams arba Centrinių paskirtam Apdorotojui arba ištrins Asmens Duomenis, nebent Apdorotojas privalo išlaikyti kopiją, pagal bet kurį ES įstatymą arba bet kurį ES valstybės nario įstatymą.

I SKYRIUS: GALUTINĖS NUOSTATOS 

I straipsnis Visas susitarimas 

Šis DPA yra Vartotojo sutarties dalis. Visos teisės ir pareigos, kylančios iš Vartotojo sutarties, taip pat taikomos šiam DPA. A priedas sudaro šio DPA neatsiejamą dalį.

I straipsnis Pakeitimas tik susitarimu 

Jokia šio DPA variacija nebus galiojanti, nebent tai būtų raštu pasirašyta kiekvienos Šalies įgaliotų atstovų. 

I straipsnis Atšalinimas 

Kiekviena šio DPA nuostata yra atskira ir atskiriama, ir jei bet kuri nuostata, arba jos dalis bus laikoma neįgyvendinama, neteisėta arba negaliojančia, visomis ar iš dalies visiškai bet kuria teisminė ar reguliavimo institucija ar kita kompetentinga institucija, tai bus laikoma šiuo atveju, kad ji nėra šiame DPA dalis, o likusio šio DPA įgyvendinamumas, teisėtumas ir galiojimas nebus paveiktas. Šalys sutinka bandyti pakeisti bet kurią negaliojančią ar neįgyvendinamą nuostatą galiojančia ar įgyvendinama nuostata, kuri kuo labiau pasiekia tokį patį poveikį, kaip ir tai, kas būtų buvę pasiekta pagal negaliojančią ar neįgyvendinamą nuostatą. Išskyrus šiuo DPA įgyvendintus pakeitimus, Vartotojo sutartis išlieka nepakitusi ir visos galios ir nuostatų galios.

I straipsnis Teisė perleisti 

Šalys gali perkelti šį DPA tik laikantis Vartotojo sutarties (8.9 straipsnis). 

I straipsnis Galiojanti teisė 

Šis DPA yra reglamentuojamas ir aiškinamas pagal Nyderlandų įstatymus. Kiekviena Šalis sutinka su Amsterdamų teismų išimtine jurisdikcija spręsti bet kokius ginčus, kylančius dėl šio DPA. Jeigu bet kuri kompetentinga jurisdikcijos institucija ar administracinis organas pripažįsta bet kurią šio DPA nuostatą negaliojančia, neįgyvendinama ar neteisėta, likusios šio DPA nuostatos lieka galiojančios ir veikiančios.

A PRIEDAS - ASMENINIŲ DUOMENŲ APDOROJIMO SPECIFIKACIJA 

1. APDOROJIMO TIKSLAS

Asmens Duomenų apdorojimas tiesiogiai susijęs su Vartotojo sutartyje teikiamomis paslaugomis.

Apdorojimo tikslai yra:

• Palengvinti sąskaitų išrašymą Centrinių Klientams per Mollie produktus ir paslaugas 

2. DUOMENŲ SUBJEKTŲ KATEGORIJOS 

Apdorotojas apdoros Asmens Duomenis iš šių Duomenų subjekto kategorijų Centriniams:

• Centrinių klientai (t. y. mokėtojai (vartotojai, verslo klientai))

3. ASMENS DUOMENŲ RŪŠYS 

Apdorotojas apdoros šiuos Asmens Duomenų tipus Centriniams:

• Pagrindiniai kontaktiniai duomenys (apima visą vardą, (ofiso) telefono numerį, (verslo) elektroninio pašto adresą, gyvenamosios / įmonės adresą)

• Sąskaitų detalės (kaip nurodė Centrinių)

Nebus apdorojamos jokios specialios Asmens Duomenų kategorijos (kaip apibrėžta 9 straipsnyje GDPR). 

4. SAUGUMO PRIEMONĖS 

Kontekstas 

Kaip finansinis institutas, saugumo kontrolės ir veikimo procedūros, kurias Mollie sukūrė savo programoms, sistemoms ir IT procesams, yra patikrinamos Nyderlandų Centrinės banko (DNB), kuris, savo ruožtu, naudoja Europos Bankininkystės Autoriteto (EBA) nurodymus techninėms standartams, kurių licencijavimo turėtojai turi laikytis. 

Be to, kad Mollie (taip pat) veikia kaip asmens duomenų valdytojas, Mollie reglamentuojama kitų teisės aktų, nustatančių standartus saugumo ir duomenų apsaugos, dėl ko taip pat yra papildomos institucijos. - Pavyzdžiui, BDAR ir jo reguliuotojo Nyderlanduose (Autoriteit Persoonsgegevens). 

Be to, sistemos, apdorojančios kortelių duomenis, yra pirmo lygio PCI DSS atitinkančios sistemos, tai reiškia, kad ši konkreti aplikacija ir jos kūrimo ir priežiūros procedūros yra patikrinamos duomenų apsaugos priemonės, kurias nustato PCI Taryba, o Mollie, kasmet vertinami nepriklausoma šalis.

Bendros priemonės

Visos aplikacijos, sistemos ir su jomis susijusios procedūros yra patikrinamos Mollie Informacijos Saugumo Politikoje. Šių ir kitų politikų, kurios yra svarbios teikiamų paslaugų apimties, akcentai yra:

• Darbuotojų atranka

• Programuotojų saugumo mokymo programa

• Saugumo informuotumo programa

• Pareigų atskyrimas

• Pakeitimų valdymas

• Pavojingų situacijų valdymas

• Incidentų valdymas

• Atsparumo ir atsarginių kopijų valdymas

• Stiprus prieigos kontrolės užtikrinimas (IAM ir IGA)

• Vartotojų leidimų peržiūra

• Sistemų klasifikacijos standartai

• Duomenų klasifikacijos standartai ir duomenų politika

• Saugios konfigūracijos standartai, pagrįsti geriausiomis pramonės praktikomis, politikos įgyvendinimas (sustiprinimas)

• Fizinio ir loginio tinklo aplinkos atskyrimas

• Saugios šifravimo standartai

• Šifravimo raktų valdymas

• Šifravimas (perduodant, laikant dalijamose infrastruktūros aplinkose, pvz., debesyje)

• Trečiųjų šalių rizikos valdymas

• Prieinamumo ir klaidų stebėjimas

• Saugi diegimo gyvavimo ciklo metu

  • Grėsmės modeliavimas esant reikšmingiems pokyčiams ir naujoms savybėms

  • Priklausomybių valdymas ir žinomos pažeidžiamybės skenavimas

  • Statinis kodo saugumo analizė

  • Vidaus ir išorinis pažeidžiamumų skenavimas

• Koordinuota pažeidžiamumo skelbimo (CVD) ir klaidų programa

• Grėsmės žvalgybos programa (pvz., dalyvavimas Nyderlandų PI-ISAC, Pinigų instituto informacijos dalijimosi ir analizės centras, tamsaus žiniatinklio stebėjimas)

• Valdomos saugumo paslaugos teikėjo (MSSP) bendradarbiavimas saugumo operacijoms, analizei ir forensikoms

• Saugumo informacijos ir įvykių valdymas (SIEM)

• Darbuotojų galinių taškų saugumas

• El. pašto saugumas

Mollie platforma

Be aukščiau išdėstytų bendrų saugumo priemonių, Mollie platformos aplikacija yra padengta šiais saugumo priemonėmis - arba dėl mūsų bendrų saugumo politikų įgyvendinimo, arba kaip sumažinanti priemonė, skirta spręsti atpažintą programinės įrangos riziką:

• 2-Faktorinė prieigos kontrolė

• Trečiųjų šalių pateikimas testavimui

• Saugumo incidentų valdymas

• DDoS mitigavimas

• Saugumo incidentų atsakas

• Stebėjimo prieinamumas

• Saugi tapatybė

• Redunancijos infrastruktūra

• Avarinis atkūrimas

• Normos apribojimas ir užrakinimas

• Griežta turinio saugumo politika

• Captcha

• Interneto programinės įrangos ugniasienė

B PRIEDAS - PODPRAWY APŽVALGA