Mollie rēķinu noteikumi un nosacījumi

Šie pakalpojuma noteikumi (“Rēķinu pakalpojuma noteikumi”) veido juridisku vienošanos starp jums un organizāciju vai struktūru, ko pārstāvat (turpmāk tekstā — “Organizācija”, “jūs” vai “jūsu”), un Mollie B.V. un tās licenciāriem (turpmāk tekstā — “Mollie”, “mēs” vai “mūsu”), lai regulētu Rēķinu izrakstīšanas pakalpojuma izmantošanu.

Rēķinu pakalpojuma noteikumi nosaka noteikumus un nosacījumus, ar kādiem jums būs atļauts izmantot Rēķinu pakalpojumu. Lietotāja līgums, kas uz jums attiecas pilnā apmērā, paliek spēkā, un to papildina šie Rēķinu pakalpojuma noteikumi. Gadījumos, kad Lietotāja līgums ir pretrunā ar šiem Rēķinu pakalpojuma noteikumiem, šie Rēķinu pakalpojuma noteikumi ir svarīgāki, bet tikai attiecībā uz Rēķinu pakalpojumu un tā izmantošanu.

Papildus definīcijām, kas ietvertas Lietotāja līgumā vai jebkurā citā līgumā starp Mollie un Organizāciju, tiek piemērotas šādas definīcijas:

Izmantojot rēķinu pakalpojumu, jūs piekrītat  šādu noteikumu ievērošanai:

1. Pakalpojuma apraksts

1.1 Mollie rēķinu pakalpojums ir digitāls rēķinu izrakstīšanas risinājums, kas paredzēts, lai palīdzētu platformām vai tirgotājiem efektīvi izveidot, pielāgot, nosūtīt un pārvaldīt rēķinus, izmantojot Mollie Dashboard vai Invoice API, nodrošinot ātru rēķinu izveidi, PVN piemērošanu, automatizētus maksājumu atgādinājumus un izsekotājus, kā arī vairākas maksājumu iespējas klientiem (“Rēķinu pakalpojums”).

2. Cenas

2.1 Rēķinu pakalpojuma cena tiek noteikta saskaņā ar www.mollie.com/pricing vai kā citādi puses ir rakstveidā vienojušās. 

3. Personiskā informācija un datu apstrāde 

3.1 Lai izmantotu Rēķinu pakalpojumu, jums var tikt pieprasīts sniegt Mollie savu klientu un lietotāju personas datus, un Mollie var apstrādāt šos personas datus, lai nodrošinā scratch Rēķinu pakalpojuma darbību. Jūs piešķirat Mollie atļauju un piekrišanu izmantot savu personas informāciju vai jūsu klientu informāciju un/vai padarīt personas informāciju par jums vai jūsu klientiem pieejamu trešajām personām, ciktāl tas ir nepieciešams, lai nodrošinātu vai sniegtu Rēķinu pakalpojumu. Jūs tiekat uzskatīts par jebkuras rēķinu ģenerēšanai izmantotās personiskās informācijas “pārzini”, un mēs apstrādāsim personisko informāciju kā “apstrādātājs” saskaņā ar 1. pielikumu (DATU APSTRĀDES LĪGUMS MOLLIE RĒĶINU PAKALPOJUMAM) un Mollie Privātuma paziņojumu, kas pieejams vietnē www.mollie.com/legal/privacy.

3.2 Neatkarīgi no jebkādiem pretējiem noteikumiem, izmantojot Rēķinu pakalpojumu, jūs garantējat, ka ievērojat un turpināsiet ievērot visas datu aizsardzības prasības, tostarp, bez ierobežojuma, Vispārīgo datu aizsardzības regulu (“VDAR”) vai jebkuru līdzvērtīgu datu aizsardzības regulu vai tiesību aktus, kas piemērojami jūsu uzņēmējdarbībai.

4. Jūsu pienākumi un atbildība

4.1 Jūs nedrīkstat izmantot Rēķinu pakalpojumu vai atļaut to izmantot nelikumīgā vai nepiemērotā veidā.

4.2 Jums ir jāievēro pašreizējie un turpmākie tiesību akti un noteikumi attiecībā uz rēķinu un/vai nodokļu prasībām. Atbildība par rēķina precizitātes un pareizības nodrošināšanu, tostarp par piemērotajām PVN likmēm, gulstas tikai uz jums. Ja Rēķinu izrakstīšanas pakalpojums neatbalsta jūsu rēķinam piemērojamo PVN likmi (piemēram, sakarā ar izmaiņām valsts piemērojamajās PVN likmēs), jums par to nekavējoties rakstveidā jāpaziņo mums, un mēs izvērtēsim un, ja nepieciešams, pielāgosim Rēķinu izrakstīšanas pakalpojuma konfigurējamību, lai atbalstītu jauno PVN likmi.

4.3 Jūs esat atbildīgs par atbilstošu piesardzības pasākumu veikšanu (regulāri un saskaņā ar saistītajiem riskiem), lai nodrošinātu datus un saturu, kas ievadīts, augšupielādēts un uzglabāts Rēķinu pakalpojuma lietošanas laikā, kā arī lai izveidotu savas rezerves kopijas, lai nodrošinātu datu un informācijas atjaunošanu zuduma gadījumā. Jūs, cik vien spējat, novērsīsiet neautorizētu trešo personu piekļuvi Rēķinu pakalpojumam.

4.4 Jums nav tiesību (ja vien rakstveidā nav skaidri vienojušies citādi):

• padarīt Rēķinu pakalpojumu pieejamu jebkādā veidā trešajām personām, kas nav jūsu darbinieki, aģenti, darbuzņēmēji un citi saistītie lietotāji; vai

• reproducēt, modificēt vai veikt reverso inženieriju tam, izjaukt, dekompilēt, tulkot Rēķinu pakalpojumu.

4.5 Jūs esat iepazinies ar savām saistībām, kas izklāstītas 1. pielikumā, un piekrītat tām.

5. Licence un IP 

5.1 Jums tiek piešķirtas neekskurzīvas, nenododamas, tālāk nelicencējamas, vispasaules, atsaucamas un pagaidu tiesības izmantot Rēķinu pakalpojumu. Rēķinu pakalpojums jums tiek darīts pieejams tikai uz neekskluzīva pamata. Mollie nav pienākuma sniegt citus pakalpojumus, izņemot Rēķinu pakalpojumu. Nekādas citas lietošanas tiesības attiecībā uz Rēķinu pakalpojumu netiek piešķirtas.

5.2 Jūs esat pilnībā atbildīgs par lietotāju tiesību pārvaldību, un jums ir jānodrošina, lai visi lietotāji, izmantojot Rēķinu pakalpojumu, ievērotu ierobežojumus, kas ietverti Mollie lietotāja līgumā un šajos noteikumos un nosacījumos.

5.3 Viss intelektuālais īpašums un lietošanas tiesības (izņemot šeit piešķirto licenci) attiecībā uz Rēķinu pakalpojumu, tostarp pirmkods, datubāzes, funkcionalitāte, programmatūra, tīmekļa vietņu dizains, audio, video, teksts, fotogrāfijas un grafika (“IP tiesības”), pilnībā paliek Mollie īpašumā.

5.4 Ciktāl jums tiek nodrošināti programmatūras izstrādes komplekti (“SDK”), tostarp jebkādi to atjauninājumi vai tehniskais atbalsts, tiek piemēroti šādi īpašie noteikumi attiecībā uz SDK:

• Jums tiek piešķirta neekskluzīva, nenododama, atsauca, bezhonorāra licence, lai (i) instalētu un izmantotu SDK tikai objekta koda formā, lai izstrādātu programmas, kas sastāv no apkopota koda, kas ģenerēts, izmantojot SDK, vai jebkuru tā daļu, kas paredzēta darbībai ar Produktu; (ii) izveidotu ierobežotu skaitu SDK dokumentācijas kopiju, ko jūsu darbinieki vai konsultanti var izmantot tikai izstrādes nolūkos, nevis vispārējiem biznesa nolūkiem vai izplatīšanai; un (iii) izplatītu SDK objekta koda formā tikai kā Produkta sastāvdaļu;

• Mollie ir tiesīga, bet ne obligāti spiesta sniegt jebkādu tehnisko vai citu atbalstu SDK;

• SDK satur kodu, kas nodrošina automātisku kļūdu paziņojumu nosūtīšanu no jūsu puses, un jūs piekrītat, ka Mollie ir pastāvīgas, neatsaucamas, neierobežotas tiesības izmantot šādu informāciju saviem biznesa nolūkiem, tostarp, bez ierobežojumiem, produktu atbalstam un izstrādei;

• ja izmantojat SDK, lai palaistu jūsu vai trešās puses izstrādātas lietojumprogrammas vai piekļūtu trešās puses sniegtajiem datiem, saturam vai resursiem, jūs piekrītat, ka Mollie nav atbildīga par šīm lietojumprogrammām, datiem, saturu vai resursiem;

• SDK tiek licencēti “tādi, kādi tie ir”. Jūs uzņematies risku par to lietošanu; Mollie atsakās no jebkādām garantijām vai galvojumiem (neatkarīgi no tā, vai tie ir likumā noteikti, izteikti vai netieši) un nesniedz nekādas garantijas vai galvojumus attiecībā uz jūsu SDK lietošanu.

  
  

6. Atbildība un zaudējumu atlīdzināšana

6.1 Mollie nav atbildīga par kļūdām, darbībām, bezdarbību vai noteikumu neievērošanu, kas izriet no jūsu datiem, iestatījumiem vai Rēķinu pakalpojuma izmantošanas. Jūs esat pilnībā un galu galā atbildīgs par to, lai visi dati, kas izmantoti rēķinu izveidei vai izrakstīšanai, tostarp piemērotās PVN likmes, atbilstu piemērojamajiem (nodokļu) tiesību aktiem attiecīgajā izmantošanas valstī. Mollie nav pienākuma pārbaudīt jebkādu datu vai (PVN) iestatījumu precizitāti, pilnīgumu vai pareizību, kurus jūs esat konfigurējis, iesniedzis vai izmantojis, izmantojot Rēķinu pakalpojumu. Jūs atlīdzināsiet un pasargāsiet Mollie no visām trešo personu prasībām, saistībām, zaudējumiem, kaitējumiem, izmaksām un izdevumiem (tostarp saprātīgām advokātu izmaksām), kas izriet no vai ir saistīti ar jūsu Rēķinu pakalpojuma izmantošanu, tostarp PVN konfigurāciju. 

6.2 Lai novērstu šaubas, ciktāl Mollie ir atbildīga par jebkādiem zaudējumiem, mūsu atbildība tiek ierobežota saskaņā ar Lietotāja līgumu.

1. pielikums: DATU APSTRĀDES LĪGUMS

Šis DATU APSTRĀDES LĪGUMS (turpmāk — “DAL”) , tostarp tā pielikumi, apraksta Pušu saistības, tostarp saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem, attiecībā uz personas datu (kā definēts tālāk) apstrādi. DAL ir iekļauts Lietotāja līgumā.

Šis DAL ir noslēgts starp Organizāciju (turpmāk — “Pārzinis”)

un 

Mollie B.V., sabiedrību ar ierobežotu atbildību (besloten vennootschap), kuras juridiskā adrese ir Amsterdamā, Keizersgracht 126, 1015 CW Amsterdam, Nīderlande, un kura reģistrēta Nīderlandes Tirdzniecības palātā ar numuru 30204462 (turpmāk — “Mollie” vai “Apstrādātājs”)

un 

Mollie UK Ltd., sabiedrību ar ierobežotu atbildību, kuras juridiskā adrese ir Londonā, 7 Pancras Square, London N1C 4AG, Apvienotā Karaliste, un kura reģistrēta Uzņēmumu reģistrā (Companies House) ar numuru 14013554 (turpmāk — “Mollie” vai “Apstrādātājs”),

katra atsevišķi — “Puse” un kopā — “Puses”. 

Definīcijas 

Šajā DAL turpmāk minētajiem terminiem ir tālāk norādītā nozīme. Šeit lietotajiem terminiem ar lielo sākumburtu, kas šeit nav definēti, ir Līgumā noteiktā nozīme.

Līgums
līgums starp Pārzini un Apstrādātāju par pakalpojumu sniegšanu (“Lietotāja līgums”).

Saistošie uzņēmuma noteikumi
personas datu aizsardzības politika, kuru ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību kādas dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai nosūtīšanas kopumu pārzinim vai apstrādātājam vienā vai vairākās trešajās valstīs uzņēmumu grupas ietvaros vai kopīgā saimnieciskā darbībā iesaistītu uzņēmumu grupā.

Pārzinis
fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopā ar citām nosaka personas datu apstrādes nolūkus un līdzekļus.

Klients
Organizācijas klienti, kuri vēlas norēķināties par Organizācijas piegādātajiem produktiem un/vai sniegtajiem pakalpojumiem, izmantojot Mollie Maksājumu moduli.

Datu drošības pārkāpums
drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem. 

Datu apstrādes līgums
šis līgums, ieskaitot visus pielikumus.

Uzraudzības iestāde
neatkarīga valsts iestāde, kuras uzdevums ir uzraudzīt atbilstību piemērojamajiem tiesību aktiem, kas saistīti ar personas datu apstrādi. Nīderlandē tā ir Autoriteit Persoonsgegevens.

Novērtējums par ietekmi uz datu aizsardzību
novērtējums par paredzēto apstrādes darbību ietekmi uz personas datu aizsardzību. 

Datu aizsardzības tiesību akti
visi piemērojamie tiesību akti, kas saistīti ar datu aizsardzību un privātumu, tostarp, bez ierobežojumiem, ES Vispārīgā datu aizsardzības regula, visi vietējie tiesību akti un noteikumi, kas groza vai aizstāj jebkuru no tiem, kopā ar jebkuriem nacionālajiem īstenošanas tiesību aktiem jebkurā Eiropas Ekonomikas zonas (EEZ) dalībvalstī, ciktāl tie ir piemērojami jebkurā citā valstī, ar grozījumiem, atcelšanu, konsolidāciju vai aizstāšanu laika gaitā. 

Datu subjekts
fiziska persona, uz kuru attiecas personas dati (piemēram, klienti).

VDAR
Eiropas Parlamenta un Padomes Vispārīgā datu aizsardzības regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti. 

Personas dati
jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu; identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai specifiskiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem. 

Apstrāde
jebkura darbība vai darbību kopums, ko veic ar personas datiem vai personas datu kopām, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, uzglabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana. Šis saraksts nav izsmeļošs. Termini “apstrādāt”, “apstrādā” un “apstrādāts” tiks interpretēti atbilstoši. 

Apstrādātājs
fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas Pārziņa vārdā apstrādā (personas) datus.

Organizācija
organizācija, kas izmanto Mollie Maksājumu moduli tādiem nolūkiem kā, piemēram, bet ne tikai, produktu un/vai pakalpojumu pārdošana Klientiem.

Standarta līguma klauzulas
Eiropas Komisijas standarta līguma klauzulas datu apstrādātājiem (2010/87/ES) vai Komisijas Īstenošanas lēmums (ES) 2021/914 (2021. gada 4. jūnijs) par standarta līguma klauzulām personas datu nosūtīšanai uz trešajām valstīm saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (C/2021/3972).

Apakšapstrādātājs
jebkura trešā persona, struktūra vai uzņēmums, ko Apstrādātājs piesaistījis personas datu apstrādei, sniedzot pakalpojumus saskaņā ar Līgumu. 

A SADAĻA MĒRĶIS 

A.1 pants Darbības joma

Apstrādātājs ir piekritis sniegt pakalpojumus Pārzinim saskaņā ar Lietotāja līguma noteikumiem. Sniedzot pakalpojumus, Apstrādātājs apstrādās personas datus Pārziņa vārdā, kā noteikts šajā DAL. Apstrādātājs kā finanšu iestāde apstrādā arī personas datus, darbojoties kā datu pārzinis. 

Puses atzīst un piekrīt, ka, ciktāl Mollies apstrādā personas datus, kas iesaistīti maksājumu darījumos, lai: i) izpildītu Lietotāja līgumu ar Pārzini; ii) uzraudzītu, novērstu un atklātu krāpnieciskus maksājumu darījumus; iii) izpildītu juridiskos vai reglamentējošos pienākumus, kas piemērojami maksājumu datu apstrādei un uzglabāšanai, kuri attiecas uz Mollie, tostarp piemērojamo noziedzīgi iegūtu līdzekļu legalizācijas novēršanas pārbaudi un atbilstību klienta izpētes pienākumiem; un iv) uzlabotu Mollie produktus un pakalpojumus, Mollie darbojas kā datu pārzinis un tam ir vienīgās un ekskluzīvās pilnvaras noteikt personas datu apstrādes nolūkus un līdzekļus, kurus tas saņem no Pārziņa vai ar tā starpniecību (sniedzot pakalpojumus Pārzinim).

Apstrādes darbības, personas dati un Datu subjektu kategorijas, kurām Apstrādātājs apstrādā personas datus Pārziņa vārdā, ir norādītas A pielikumā. 

B SADAĻA SAISTĪBAS 

B.1 pants Pārziņa saistības 

Pārzinis ir atbildīgs par personas datiem, kurus Apstrādātājs apstrādās, un nodrošina atbilstību visiem datu aizsardzības tiesību aktiem, tostarp prasībām, kas attiecas uz personas datu nosūtīšanu saskaņā ar šo DAL un Lietotāja līgumu. Pārzinis garantē, ka tam ir tiesības apstrādāt personas datus un tiesības iecelt Apstrādātāju apstrādāt datus Pārziņa vārdā.

Pārzinis piekrīt ka, neierobežojot Apstrādātāja saistības saskaņā ar šo DAL, Pārzinis ir pilnībā atbildīgs par pakalpojumu izmantošanu, tostarp par: (a) atbilstošu pakalpojumu izmantošanu, lai nodrošinātu personas datu riskam atbilstošu drošības līmeni; (b) konta autentifikācijas akreditācijas datu, sistēmu un ierīču drošību, ko Pārzinis izmanto, lai piekļūtu pakalpojumiem; (c) Pārziņa sistēmu un ierīču drošību, kuras tas izmanto kopā ar pakalpojumiem; un (d) savu personas datu rezerves kopiju uzturēšanu.

B.2 pants Apstrādātāja saistības 

Apstrādātājs apņemas: 

1. apstrādāt personas datus tikai saskaņā ar dokumentētiem Pārziņa norādījumiem un veic nepieciešamos pasākumus, lai nodrošinātu, ka jebkura fiziska persona, kas darbojas tā pakļautībā un kurai ir piekļuve personas datiem, neapstrādā personas datus, izņemot pēc Pārziņa norādījumiem;

2. nekavējoties informēt Pārzini, ja kāds no norādījumiem saistībā ar personas datu apstrādi, ko Pārzinis sniedzis Apstrādātājam, pārkāpj piemērojamos datu aizsardzības tiesību aktus vai šī DAL noteikumus;

3. ieviest atbilstošas tehniskās un organizatoriskās procedūras, lai aizsargātu personas datus, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apjomu, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām; un

4. bez nepamatotas kavēšanās informēt Pārzini, ja tas saņem sūdzību vai pieprasījumu saistībā ar kādas Puses saistībām saskaņā ar datu aizsardzības tiesību aktiem, kas attiecas uz šo DAL, tostarp jebkuru Datu subjekta kompensācijas prasību vai jebkuru Uzraudzības iestādes paziņojumu, izmeklēšanu vai citu darbību, un sniegt Pārzinim pilnīgu informāciju par šādu izmeklēšanu, sūdzību vai pieprasījumu, ja vien tas nav aizliegts ar likumu vai pēc Uzraudzības iestādes pieprasījuma.
   
   

C SADAĻA NOSŪTĪŠANA UN APAKŠAPSTRĀDĀTĀJI

C.1 pants Personas datu nosūtīšana 

Ja personas dati, kas attiecas uz ES Datu subjektu, tiek nosūtīti ārpus EEZ, tos apstrādā struktūra: (i) kas atrodas trešajā valstī vai teritorijā, kuru ES Komisija atzinusi par tādu, kas nodrošina pietiekamu aizsardzības līmeni; vai (ii) uz kuru attiecas ES standarta līguma klauzulas un/vai Apvienotās Karalistes Starptautiskais datu nosūtīšanas līgums vai Apvienotās Karalistes SLK papildinājums; vai (iii) kurai ir citi tiesiski atzīti atbilstoši aizsardzības pasākumi, piemēram, Saistošie uzņēmuma noteikumi, kas garantē tādu pašu aizsardzības līmeni un garantijas kā šis DAL. 

C.2 pants Apakšapstrādātāji 

Pārzinis ar šo piekrīt, ka Apstrādātājs izmanto B pielikumā norādītos Apakšapstrādātājus. Šo sarakstu Apstrādātājs laiku pa laikam var atjaunināt saskaņā ar šo DAL.

Pirms jauna Apakšapstrādātāja piesaistīšanas A pielikumā norādītajiem pakalpojumiem, Apstrādātājs paziņo par to Pārzinim, kurš izmanto minēto pakalpojumu, un dod Pārzinim vismaz desmit (10) kalendārās dienas laika iebildumu izteikšanai, izņemot gadījumus, kad Apstrādātājs pamatoti uzskata, ka jauna Apakšapstrādātāja piesaistīšana paātrinātā kārtībā ir nepieciešama, lai aizsargātu personas datu konfidencialitāti, integritāti vai pieejamību vai izvairītos no būtiska sniegto pakalpojumu pārtraukuma. Šādā gadījumā Apstrādātājs sniegs šādu paziņojumu, cik drīz vien tas ir praktiski iespējams. Ja piecu (5) kalendāro dienu laikā pēc šāda paziņojuma saņemšanas Pārzinis rakstveidā paziņo Apstrādātājam, ka Pārzinis iebilst pret to, ka Apstrādātājs ieceļ jaunu Apakšapstrādātāju, pamatojoties uz pamatotām datu aizsardzības bažām, puses labticīgi apspriedīs šīs bažas un to, vai tās var atrisināt. Iebildumi pret jauniem Apakšapstrādātājiem jāiesniedz uz privacy@mollie.com. 

Pārzinis atzīst, ka Apakšapstrādātāji ir būtiski pakalpojumu sniegšanai un ka iebildumi pret Apakšapstrādātāja izmantošanu var traucēt Apstrādātājam piedāvāt pakalpojumus Pārzinim. Ja pusēm neizdodas savstarpēji vienoties par šādu bažu atrisināšanu, Pārzinis kā vienīgo un ekskluzīvo tiesiskās aizsardzības līdzekli var izbeigt DAL ērtuma labad.

Visiem Apakšapstrādātājiem, kuri apstrādā personas datus, sniedzot pakalpojumus Pārzinim, ir jāievēro šajā DAL noteiktie pienākumi. Apstrādātājam pirms personas datu izpaušanas jebkuram Apakšapstrādātājam ir jāveic atbilstoša uzticamības pārbaude, lai nodrošinātu, ka Apakšapstrādātājs spēj nodrošināt Pārzinim nepieciešamo aizsardzības līmeni 

personas datiem, ko pieprasa šis DAL, un jānoslēdz līgums ar šo Apakšapstrādātāju, saskaņā ar kuru Apakšapstrādātājs piekrīt ievērot saistības, kas ir līdzvērtīgas šajā DAL noteiktajām saistībām. 

D SADAĻA DROŠĪBA 

D.1 pants Drošības pasākumi

Apstrādātājs ievieš atbilstošus tehniskos un organizatoriskos pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, tostarp attiecīgā gadījumā, cita starpā:

1. personas datu pseidonimizāciju un šifrēšanu; 

2. spēju nodrošināt apstrādes sistēmu un pakalpojumu pastāvīgu konfidencialitāti, integritāti, pieejamību un noturību; 

3. spēju savlaicīgi atjaunot personas datu pieejamību un piekļuvi tiem fiziska vai tehniska incidenta gadījumā; un 

4. procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, novērtēšanai un izvērtēšanai, lai garantētu apstrādes drošību. Novērtējot atbilstošu 

drošības līmeni, īpaši ņem vērā riskus, ko rada apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

D.2 pants Paziņošana par datu drošības pārkāpumu

Apstrādātājs pēc atklāšanas bez nepamatotas kavēšanās paziņo Pārzinim par jebkādu nejaušu vai nelikumīgu iznīcināšanu, nozaudēšanu, pārveidošanu vai neatļautu izpaušanu vai piekļuvi personas datiem, ciktāl datu drošības pārkāpums ir saistīts tikai ar personas datu apstrādi, ko veic Apstrādātājs savā kā apstrādātāja statusā. Ja datu drošības pārkāpums attiecas uz personas datiem, par kuriem Apstrādātājs tiek uzskatīts par Pārzini, kā aprakstīts Apstrādātāja Privātuma paziņojumā, Apstrādātājs patur tiesības vērsties pret datu drošības pārkāpumu kā pārzinis. 

Kavēšanās ar paziņojuma sniegšanu par datu drošības pārkāpumu, ko pieprasījušas tiesībaizsardzības iestādes un/vai ņemot vērā Apstrādātāja leģitīmās vajadzības izmeklēt vai novērst šo jautājumu pirms paziņojuma sniegšanas, nav uzskatāma par nepamatotu kavēšanos. Šādos paziņojumos, cik vien iespējams, tiks aprakstīta informācija par datu drošības pārkāpumu, tostarp pasākumi, kas veikti potenciālo risku mazināšanai. Neierobežojot Apstrādātāja saistības saskaņā ar šo D.1 sadaļu, Pārzinis ir pilnībā atbildīgs par atbilstību datu drošības pārkāpumu paziņošanas tiesību aktiem, kas piemērojami Pārzinim, un trešo personu paziņošanas saistību izpildi saistībā ar jebkādiem datu drošības pārkāpumiem. Apstrādātāja sniegtais paziņojums par datu drošības pārkāpumu vai atbilde uz to saskaņā ar šo D.1 sadaļu netiks interpretēta kā Apstrādātāja atzīšanās vainā vai atbildībā attiecībā uz datu drošības pārkāpumu.

Jebkuras izmaksas, kas radušās, novēršot datu drošības pārkāpumu un ieviešot pasākumus, kas nepieciešami, lai novērstu šādu datu drošības pārkāpumu nākotnē, sedz tā Puse, kurai šīs izmaksas rodas. 

E SADAĻA REVĪZIJA

E.1 pants Tiesības veikt revīziju 

Pārzinim ir tiesības pēc saprātīga paziņojuma pieprasīt no Apstrādātāja revīzijas ziņojumus par personas datu apstrādi šajā DAL paredzēto pakalpojumu jomā.

Revīzijas ziņojumi, kā minēts šajā punktā, ietver, bet neaprobežojas ar ziņojumiem, kas saistīti ar drošības, konfidencialitātes un datu aizsardzības pasākumiem, ko Apstrādātājs ieviesis saistībā ar personas datu apstrādi. Šie ziņojumi var attiekties arī uz atbilstību attiecīgajiem datu aizsardzības tiesību aktiem.

Revīzijas ziņojumu pieprasījumi jāsagatavo rakstveidā un jānosūta uz privacy@mollie.com, norādot pieprasījuma darbības jomu un mērķi. Apstrādātājs savlaicīgi apstiprina šādu pieprasījumu saņemšanu.

Uz revīzijas ziņojumu saņemšanu attiecas profesionālās konfidencialitātes pienākums. Pārzinis var izmantot revīzijas ziņojumus tikai mērķiem, lai izpildītu Pārziņa reglamentējošās revīzijas prasības un apstiprinātu, ka Apstrādātāja veiktā personas datu apstrāde atbilst šim DAL. Revīzijas ziņojumi netiek izplatīti ārēji.

F SADAĻA NOVĒRTĒJUMI PAR IETEKMI UZ DATU AIZSARDZĪBU UN IEPRIEKŠĒJAS APSPRIEŠANĀS

F.1 pants Palīdzība

Apstrādātājs palīdz Pārzinim veikt novērtējumu par ietekmi uz personas datu apstrādi (VDAR 35. pants) un veikt apspriešanos ar Uzraudzības iestādi (VDAR 36. pants), ja un ciktāl novērtējums vai apspriešanās ir jāveic saskaņā ar datu aizsardzības tiesību aktiem un ja Apstrādātājam ir atļauts un/vai tam ir pienākums sadarboties.

G SADAĻA DATU SUBJEKTA TIESĪBAS

G.1 pants Palīdzība

Ja Apstrādātājs saņem Datu subjekta pieprasījumu saistībā ar Pārziņa personas datiem, Apstrādātājs ieteiks Datu subjektam iesniegt savu pieprasījumu Pārzinim un/vai pārsūtīs pieprasījumu Pārzinim, un Pārzinis būs atbildīgs par atbildes sniegšanu uz jebkuru šādu pieprasījumu.

Pēc Pārziņa pieprasījuma un uz Pārziņa rēķina Apstrādātājs sniegs Pārzinim tādu palīdzību, kāda tam var būt pamatoti nepieciešama, lai izpildītu no datu aizsardzības tiesību aktiem izrietošās saistības atbildēt uz datu subjektu pieprasījumiem īsteno savas tiesības saskaņā ar datu aizsardzības tiesību aktiem (piemēram, tiesības piekļūt datiem, labot, dzēst datus, ierobežot apstrādi, nodrošināt datu pārnesamību un iebilst pret apstrādi) gadījumos, kad Pārzinis nevar pamatoti patstāvīgi izpildīt šādus pieprasījumus, piekļūstot Apstrādātāja produktiem un pakalpojumiem.

H SADAĻA CITI NOTEIKUMI 

H.1 pants Konfidencialitāte 

Apstrādātājs saglabā konfidenciālus visus personas datus un nodrošina, ka visi darbinieki, aģenti, amatpersonas un darbuzņēmēji, kuriem ir piekļuve personas dadiem vai kuri ir iesaistīti to apstrādē, apzinās personas datu konfidenciālo raksturu un ir līgumiski saistīti saglabāt personas datu konfidencialitāti, kā arī ir informēti par šā DAL saistībām un ievēro tās.

H.2 pants Atbildība

Jebkura atbildība, kas izriet no šī DAL, tiks regulēta saskaņā ar attiecīgajiem Lietotāja līguma noteikumiem, tostarp atbildības ierobežojumiem. 

Neatkarīgi no Lietotāja līguma noteikumiem, katra Puse ir atbildīga pret otru Pusi tikai par tiem zaudējumiem, ko tā rada otrai Pusei, pārkāpjot šo DAL. Šiem zaudējumiem jābūt skaidri pierādāmiem. Apstrādātājs ir atbildīgs tikai par apstrādes radītajiem zaudējumiem, ja tas nav ievērojis datu aizsardzības tiesību aktos noteiktos pienākumus, kas īpaši adresēti datu apstrādātājiem, vai ja tas ir rīkojies ārpus Pārziņa likumīgajiem norādījumiem vai pretēji tiem, kā aprakstīts šajā DAL. Šajā kontekstā Apstrādātājs ir atbildīgs tikai tad, ja Pārzinis pierāda, ka Apstrādātājs ir atbildīgs par notikumu, kas izraisīja zaudējumus.

Pārzinis ir pilnībā atbildīgs pret Datu subjektu, un Datu subjektam ir tiesības saņemt kompensāciju par jebkādiem materiāliem vai nemateriāliem zaudējumiem, ko Pārzinis vai Apstrādātājs (vai tā Apakšapstrādātājs(-i)) rada Datu subjektam, pārkāpjot šo DAL.

H.3 pants Darbības termiņš un izbeigšana 

Šī DAL darbības termiņš sakrīt ar Lietotāja līguma spēkā stāšanos un/vai konkrētā produkta vai pakalpojuma izmantošanu, kā norādīts A pielikumā.

Šis DAL tiek izbeigts automātiski līdz ar Lietotāja līguma izbeigšanu un/vai konkrētā produkta vai pakalpojuma izmantošanas pārtraukšanu, kā norādīts A pielikumā, atkarībā no tā, kurš no tiem tiek izbeigts pirmais.

Pēc šī DAL izbeigšanas Apstrādātājs pēc Pārziņa pieprasījuma atdod personas datus Pārzinim vai Pārziņa norādītam apstrādātājam, vai dzēš personas datus, ja vien Apstrādātājam nav pienākums saglabāt kopiju saskaņā ar Eiropas Savienības vai jebkuras Eiropas Savienības dalībvalsts tiesību aktiem.

I SADAĻA NOBEIGUMA NOTEIKUMI 

I.1 pants Pilnīga vienošanās 

Šis DAL ir Lietotāja līguma sastāvdaļa. Visas tiesības un pienākumi, kas izriet no Lietotāja līguma, ir piemērojami arī šim DAL. A pielikums ir neatņemama šī DAL sastāvdaļa.

I.2 pants Grozījumi tikai ar Pušu vienošanos 

Nekādi šī DAL grozījumi nav spēkā, ja vien tie nav sagatavoti rakstveidā un tos nav parakstījuši katras Puses pilnvarotie pārstāvji. 

I.3 pants Noteikumu nošķiramība 

Katrs no šā DAL noteikumiem ir atsevišķs un nošķirams, un, ja kāds noteikums vai noteikuma daļa tiek atzīta par neizpildāmu, nelikumīgu vai spēkā neesošu pilnībā vai daļēji no jebkuras tiesas, regulatīvās iestādes vai citas kompetentas iestādes puses, tā tādā mērā tiek uzskatīta par neesošu šā DAL sastāvdaļu, un tas neietekmē šā DAL atlikušās daļas izpildāmību, likumību un spēkā esamību. Puses vienojas mēģināt aizstāt jebkuru spēkā neesošu vai neizpildāmu noteikumu ar spēkā esošu vai izpildāmu noteikumu, kas maksimāli sasniedz to pašu rezultātu, kāds tiktu

sasniegts ar spēkā neesošo vai neizpildāmo noteikumu. Izņemot grozījumus, kas ieviesti ar šo DAL, Lietotāja līgums paliek nemainīgs un pilnībā spēkā esošs.

I.4 pants Tiesību nodošana 

Puses drīkst nodot šo DAL tikai saskaņā ar Lietotāja līgumu (8.9. punkts). 

I.5 pants Piemērojamā likumdošana 

Šo DAL regulē un interpretē saskaņā ar Nīderlandes tiesību aktiem. Katra Puse piekrīt rīkoties saskaņā ar ekskluzīvu Amsterdamas tiesu jurisdikciju, lai atrisinātu jebkurus strīdus, kas izriet no šī DAL. Ja kāda kompetentas jurisdikcijas tiesa vai administratīvā iestāde atzīst kādu šī DAL noteikumu par spēkā neesošu, neizpildāmu vai nelikumīgu, pārējie šī DAL noteikumi paliek pilnībā spēkā. 

ANNEX A – PERSONAS DATU APSTRĀDES SPECIFIKĀCIJA 

1. APSTRĀDES MĒRĶIS

Personas datu apstrāde ir tieši saistīta ar pakalpojumu sniegšanu saskaņā ar Lietotāja līgumu.

Apstrādes mērķi ir:

• Strīdi

  • Atvieglot strīdu pārvaldību un izšķiršanu starp Pārzini un tā Klientiem, izmantojot Mollie produktus un pakalpojumus.

  • Nodrošināt Pārzini ar nepieciešamajiem rīkiem un informāciju, lai reaģētu uz strīdu prasībām, piemēram, maksājumu atsaukumiem vai maksājumu pieprasījumiem.

• Rēķinu izrakstīšana

  •  Atvieglot rēķinu nosūtīšanu Pārziņa Klientiem, izmantojot Mollie produktus un pakalpojumus 

2. DATU SUBJEKTU KATEGORIJAS 

Apstrādātājs Pārziņa vārdā apstrādās šādu kategoriju Datu subjektu personas datus:

• Pārziņa klienti: maksātāji (patērētāji vai biznesa klienti), kuri veic maksājumu, pieprasījumu vai uzsāk strīdu.

Strīdi

• Trešo personu saņēmēji: personas, kas identificētas piegādes ierakstos vai darījumu pierādījumos un kuras var nebūt maksātājs (piemēram, persona, kas saņem dāvanu piegādes adresē).

• Pārziņa pilnvarotie pārstāvji / darbinieki: tirgotāja personāls, kura vārdi, kontaktinformācija vai paraksti var parādīties strīda pierādījumos, saziņas žurnālos vai atbalsta pieteikumos.

• Trešo personu pakalpojumu sniedzēji: personas, kuru dati var būt ietverti pierādījumos, ko snieguši apakšapstrādātāji vai partneri (piemēram, piegādes vadītāju vārdi uz piegādes apliecinājuma paraksta).

Rēķinu izrakstīšana

• Rēķina informācija (kā norādījis Pārzinis)

3. PERSONAS DATU VEIDI 

Apstrādātājs Pārziņa vārdā apstrādās šādus personas datu veidus:

• Identitātes un kontaktinformācija: maksātāja vārds, uzvārds, e-pasta adrese, tālruņa numurs un norēķinu adrese.

• Darījuma metadati: darījuma ID, pasūtījuma numurs, summa, valūta, datums/laiks un konkrētais izmantotais maksājuma veids (piemēram, kredītkarte, Klarna, iDEAL).

• Izpildes un loģistikas dati: 

  • Piegādes informācija: piegādes adrese (iela, mājas numurs, pasta indekss, pilsēta, valsts).

  • Izsekošanas informācija: pārvadātāja nosaukums, izsekošanas numuri un reāllaika tranzīta/piegādes statusa žurnāli.

  • Piegādes apliecinājums: digitālie paraksti, piegādes laika zīmogi un piegādes fotopierādījumi (piemēram, sūtījums pie durvīm).

• Strīda pierādījumi (nestrukturēti dati): 

  • Augšupielādētie fails: jebkuri personas dati, kas ietverti dokumentos, kurus Pārzinis augšupielādējis manuāli (piemēram, PDF rēķini, klientu atbalsta tērzēšanas žurnāli, WhatsApp ekrānuzņēmumi vai e-pasta sarakste).

• Tehniskie identifikatori: IP adreses, ierīces pirkstu nospiedumi un pārlūkprogrammas metadati, kas savākti darījuma veikšanas laikā (izmantoti, lai pārbaudītu klienta atrašanās vietu un identitāti cīņai pret krāpšanu).

Iepriekš minētās personas datu kategorijas atspoguļo paredzēto apstrādes apjomu saskaņā ar šo Līgumu. Ja personas dati, kas neietilpst šajās kategorijās, tiek nejauši kopīgoti vai iekļauti nestrukturētos datos vai augšupielādētos dokumentos, Apstrādātājs rīkojas ar šādiem datiem ar pienācīgu rūpību un piemēro piemērotus tehniskos un organizatoriskos pasākumus.

4. DROŠĪBAS PASĀKUMI 

Konteksts 

Kā finanšu iestādes drošības kontroles un darbības procedūras, ko Mollie ir izveidojusi mūsu lietojumprogrammām, sistēmām un IT procesiem, ir pakļautas Nīderlandes Centrālās bankas (DNB) pārbaudei, kas savukārt izmanto Eiropas Banku iestādes (EBA) vadlīnijas attiecībā uz tehniskajiem standartiem, kas licenču turētājiem būtu jāievēro. 

Turklāt, tā kā Mollie (arī) darbojas kā personas datu pārzinis, Mollie darbību regulē arī citi tiesību akti, kas nosaka drošības un datu aizsardzības standartus, kurus nodrošina papildu iestādes – jo īpaši VDAR un tās regulators Nīderlandē (Autoriteit Persoonsgegevens). 

Turklāt sistēmas, kas apstrādā karšu datus, ir 1. līmeņa PCI DSS saderīgas sistēmas, kas nozīmē, ka uz šo konkrēto lietojumprogrammu un tās izstrādes un uzturēšanas procedūrām attiecas PCI padomes izstrādātie datu aizsardzības pasākumi, kuru atbilstību Mollie katru gadu novērtē ārēja puse. 

Vispārīgie pasākumi

Uz visām lietojumprogrammām, sistēmām un ar tām saistītajām procedūrām attiecas Mollie informācijas drošības politika. Svarīgākie elementi no šīs un citām politikām, kas ir svarīgi sniegto pakalpojumu jomai, ir:

• Darbinieku pārbaude

• Izstrādātāju drošības apmācību programma

• Drošības izpratnes programma

• Pienākumu sadale

• Izmaiņu pārvaldība

• Ievainojamību pārvaldība

• Incidentu pārvaldība

• Noturības un rezerves kopiju pārvaldība

• Stingra piekļuves kontroles izpilde (IAM un IGA)

• Lietotāju autorizācijas pārskati

• Sistēmu klasifikācijas standarti

• Datu klasifikācijas standarti un datu politika

• Drošas konfigurācijas standarti, pamatojoties uz nozares labāko praksi, politikas izpildi (cietināšanu)

• Fiziskās un loģiskās tīkla vides nošķiršana

• Droši šifrēšanas standarti

• Šifrēšanas atslēgu pārvaldība

• Šifrēšana (pārsūtot un uzglabājot koplietojamās infrastruktūras vidēs, piemēram, mākonī)

• Trešo pušu riska pārvaldība

• Pieejamības un kļūdu uzraudzība

• Drošs izstrādes dzīves cikls

  • Draudu modelēšana būtisku izmaiņu un jaunu funkciju gadījumā

  • Atkarību pārvaldība un zināmu ievainojamību skenēšana

  • Statiskā koda drošības analīze

  • Iekšējā un ārējā ievainojamību skenēšana

• Koordinēta ievainojamību izpaušana (CVD) un kļūdu meklēšanas (bug bounty) programma

• Draudu informācijas programma (piemēram, dalība Nīderlandes PI-ISAC, maksājumu iestāžu informācijas apmaiņas un analīzes centrā, tumšā tīmekļa uzraudzība)

• Sadarbošanās ar pārvaldītu drošības pakalpojumu sniedzēju (MSSP) drošības operācijām, analīzei un tiesu ekspertīzes izmeklēšanai

• Drošības informācijas un notikumu pārvaldība (SIEM)

• Darbinieku galiekārtu drošība

• E-pasta drošība

Mollie platforma

Papildus iepriekš izklāstītajiem vispārējiem drošības pasākumiem uz Mollie Platform lietojumprogrammu attiecas šādi drošības pasākumi, kas izriet vai nu no mūsu vispārējo drošības politiku īstenošanas, vai kā mazināšanas pasākums, lai novērstu risku, kas atzīts lietojumprogrammai raksturīgajā riska novērtējumā:

• Divu faktoru piekļuves kontrole

• Trešo pušu ielaušanās testi

• Drošības incidentu notikumu pārvaldība

• DDoS mazināšana

• Reaģēšana uz drošības incidentiem

• Pieejamības uzraudzība

• Droša akreditācijas datu uzglabāšana

• Redundanta infrastruktūra

• Katastrofu seku novēršanas pārejas nodrošināšana

• Ātruma ierobežošana un bloķēšana

• Stingra satura drošības politika (Content-Security-Policy)

• Captcha

• Tīmekļa lietojumprogrammu ugunsmūris
  
  

B PIELIKUMS – APAKŠAPSTRĀDĀTĀJU PĀRSKATS

Piemērojams Strīdu (Disputes) produkta lietotājiem

Piemērojams Rēķinu izrakstīšanas produkta lietotājiem