Umowa o Przetwarzaniu Danych

Ta UMOWA O PRZETWARZANIU DANYCH (zwana dalej „DPA”) włącznie z jej załącznikami opisuje zobowiązania Stron, w tym zgodnie z obowiązującym prawem o ochronie danych, w odniesieniu do przetwarzania danych osobowych (jak zdefiniowano poniżej). DPA jest włączona do Umowy Użytkownika.

Ta DPA jest zawarta między Organizacją (zwaną dalej „Administratorem”)

i 

Mollie B.V., spółką z ograniczoną odpowiedzialnością (besloten vennootschap) z siedzibą w Amsterdamie, przy Keizersgracht 126, 1015 CW Amsterdam, Holandia, zarejestrowaną w Holenderskiej Izbie Handlowej pod numerem 30204462 (zwaną dalej „Mollie” lub „Procesorem”)

oraz 

Mollie UK Ltd., spółką z ograniczoną odpowiedzialnością z siedzibą w Londynie, przy 7 Pancras Square, Londyn N1C 4AG, Wielka Brytania, zarejestrowaną w Companies House pod numerem 14013554 (zwaną dalej „Mollie” lub „Procesorem”),

każda z nich „Strona” a wspólnie „Strony”. 

Definicje 

W tej DPA następujące terminy mają znaczenie określone poniżej. Terminy pisane wielką literą, ale nie zdefiniowane w niniejszym dokumencie, mają znaczenie określone w Umowie.

Umowa: Umowa między Administratorem a Procesorem na świadczenie usług („Umowa Użytkownika”).

Wiążące Reguły Korporacyjne: Polityki ochrony danych osobowych przestrzegane przez administratora lub procesora mającego siedzibę na terenie państwa członkowskiego w odniesieniu do transferów lub zestawu transferów Danych Osobowych do administratora lub procesora w jednym lub więcej państwach trzecich w ramach grupy przedsiębiorstw lub grupy przedsiębiorstw angażujących się we wspólną działalność gospodarczą.

Administrator: Osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, która samodzielnie lub wspólnie z innymi decyduje o celach i środkach Przetwarzania Danych Osobowych.

Klient: Klienci Organizacji, którzy chcą zapłacić za produkty i/lub usługi świadczone przez Organizację za pomocą Modułu Płatności Mollie.

Naruszenie Danych: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Umowa o Przetwarzaniu Danych: Ta umowa, w tym wszystkie załączniki.

Organ Nadzorczy: Niezależny organ rządowy odpowiedzialny za nadzorowanie zgodności z obowiązującymi przepisami dotyczącymi Przetwarzania Danych Osobowych. W Holandii to Autoriteit Persoonsgegevens.

Ocena Skutków dla Ochrony Danych: Ocena wpływu planowanych operacji przetwarzania na ochronę Danych Osobowych.

Przepisy o Ochronie Danych: Wszystkie obowiązujące przepisy dotyczące ochrony danych i prywatności, w tym, bez ograniczeń, EU General Data Protection Regulation, wszystkie lokalne przepisy i regulacje, które je zmieniają lub zastępują, razem z wszelkimi krajowymi przepisami implementacyjnymi w każdym państwie członkowskim Europejskiego Obszaru Gospodarczego (EEA), w zakresie, w jakim to stosowne, w każdym innym kraju, zmienione, uchylone, skonsolidowane lub zastąpione z czasem.

Podmiot Danych: Osoba fizyczna, której dotyczą Dane Osobowe (np. Klienci).

RODO: Ogólne Rozporządzenie o Ochronie Danych (EU) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem Danych Osobowych oraz w sprawie swobodnego przepływu takich danych. 

Dane Osobowe: Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to taka, którą można zidentyfikować, bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora takiego jak imię, numer identyfikacyjny, dane lokalizacyjne, identyfikator online lub do jednego lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, mentalnej, ekonomicznej, kulturowej lub społecznej tożsamości takiej osoby fizycznej. 

Przetwarzanie: Każda operacja lub zbiór operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, niezależnie od tego, czy są one wykonywane w sposób zautomatyzowany, taki jak zbieranie, rejestrowanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub zmiana, uzyskiwanie, konsultowanie, używanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub inny sposób udostępniania, dostosowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Ta lista nie jest wyczerpująca. Terminy „przetwarzać”, „przetwarzane” i „przetworzone” będą interpretowane odpowiednio. 

Procesor: Osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, która Przetwarza (Osobowe) Dane w imieniu Administratora.

Organizacja: Organizacja korzystająca z Modułu Płatności Mollie w celu, w tym, między innymi, sprzedaży produktów i/lub usług Klientom.

Standardowe Klauzule Umowne: Standardowe klauzule umowne dla Procesorów danych opracowane przez Komisję Europejską (2010/87/EU) lub Decyzja Wykonawcza Komisji (EU) 2021/914 z dnia 4 czerwca 2021 r. dotycząca standardowych klauzul umownych dotyczących transferu danych osobowych do krajów trzecich zgodnie z rozporządzeniem (EU) 2016/679 Parlamentu Europejskiego i Rady (C/2021/3972).
Podprocesor każda osoba trzecia, podmiot lub firma zaangażowana przez Procesora do przetwarzania Danych Osobowych w prowadzeniu usług zgodnie z Umową.

SEKCJA A: CEL 

Artykuł A.1 Zakres

Procesor zgodził się świadczyć usługi Administratorowi zgodnie z warunkami Umowy Użytkownika. Świadcząc usługi, Procesor będzie Przetwarzał Dane Osobowe w imieniu Administratora określone w tej DPA. Procesor jako instytucja finansowa również przetwarza Dane Osobowe działając jako administrator danych. 

Strony przyznają i zgadzają się, że w zakresie, w jakim Mollie przetwarza Dane Osobowe związane z transakcjami płatniczymi w celu: i) realizacji Umowy Użytkownika z Administratorem; ii) monitorowania, zapobiegania i wykrywania oszukańczych transakcji płatniczych; iii) spełniania wymogów prawnych lub regulacyjnych dotyczących przetwarzania i przechowywania danych płatniczych, do których Mollie jest zobowiązana, w tym odpowiednich przepisów o praniu pieniędzy oraz spełnianiu obowiązków dotyczących znajomości swojego klienta; i iv) poprawy produktów i usług Mollie, Mollie działa jako administrator danych i posiada wyłączną i jedyną władzę określania celów i środków przetwarzania Danych Osobowych, które otrzymuje od (lub poprzez świadczenie usług) Administratora.

Działania przetwarzania, Dane Osobowe i kategorie Podmiotów Danych, dla których Procesor przetwarza Dane Osobowe w imieniu Administratora, są określone w Załączniku A. 

SEKCJA B: ZOBOWIĄZANIA 

Artykuł B.1 Obowiązki Administratora 

Administrator jest odpowiedzialny za Dane Osobowe, które Procesor będzie Przetwarzał i zapewni zgodność ze wszystkimi Przepisami o Ochronie Danych, w tym wymogami dotyczącymi transferu Danych Osobowych na mocy tej DPA i Umowy Użytkownika. Administrator zapewnia, że ma prawo przetwarzać Dane Osobowe i posiada prawo do wyznaczenia Procesora do Przetwarzania danych w imieniu Administratora.

Administrator zgadza się, że bez ograniczania zobowiązań Procesora na mocy tej DPA, Administrator jest wyłącznie odpowiedzialny za wykorzystanie usług, w tym (a) odpowiednie korzystanie z usług w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka w odniesieniu do Danych Osobowych; (b) zabezpieczenie danych uwierzytelniających konta, systemów i urządzeń, z których Administrator korzysta, aby uzyskać dostęp do usług; (c) zabezpieczenie systemów i urządzeń Administratora wykorzystywanych przez niego w usługach; i (d) utrzymanie własnych kopii zapasowych Danych Osobowych.

Artykuł B.2 Obowiązki Procesora 

Procesor zobowiązuje się do: 

1. przetwarzania Danych Osobowych wyłącznie zgodnie z udokumentowanymi instrukcjami Administratora i podejmie niezbędne kroki, aby zapewnić, że każda osoba fizyczna działająca pod jego władzą, mająca dostęp do Danych Osobowych, nie Przetwarzała Danych Osobowych bez instrukcji Administratora;

2. natychmiastowego poinformowania Administratora, jeśli jakiekolwiek instrukcje dotyczące Przetwarzania Danych Osobowych przekazane Procesorowi przez Administratora naruszają jakiekolwiek obowiązujące Przepisy o Ochronie Danych lub postanowienia określone w tej DPA;

3. wdrążenia odpowiednich procedur technicznych i organizacyjnych w celu ochrony Danych Osobowych, uwzględniając stan techniczny, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, jak również ryzyko zmienności prawdopodobieństwa i nasilania się dla praw i swobód osób fizycznych; oraz

4. niezwłocznie poinformować Administratora, jeśli otrzyma skargę lub żądanie dotyczące zobowiązań którejkolwiek ze Stron na mocy obowiązujących Przepisów o Ochronie Danych istotnych dla tej DPA, w tym wszelkie roszczenie odszkodowawcze od Podmiotu Danych lub jakiekolwiek powiadomienie, dochodzenie lub inne działanie od Organu Nadzoru i dostarczyć Administratorowi pełne szczegóły takiego dochodzenia, skargi lub żądania, chyba że prawo lub prośba Organu Nadzoru zabrania tego.

SEKCJA C: TRANSFERY I PODPROCESORZY

Artykuł C.1 Transfer Danych Osobowych 

Gdzie Dane Osobowe związane z Podmiotem Danych z UE są przenoszone poza EOG, muszą być przetwarzane przez podmiot: (i) znajdujący się w kraju trzecim lub terytorium uznanym przez Komisję EU za mający odpowiedni poziom ochrony; lub (ii) który jest podmiotem Standardowych Klauzul Umownych UE i/lub UK International Data Transfer Agreement lub UK SCC’s Addendum; lub (iii) który ma inne prawnie uznane odpowiednie zabezpieczenia, takie jak Wiążące Reguły Korporacyjne, które gwarantują ten sam poziom ochrony i zabezpieczeń, co ta DPA. 

Artykuł C.2 Podprocesorzy 

Administrator niniejszym wyraża zgodę na korzystanie przez Procesora ze Podprocesorów określonych w Załączniku B. Lista ta może być aktualizowana przez Procesora od czasu do czasu zgodnie z tą DPA.

Procesor zapewni Administratorowi możliwość zgłoszenia sprzeciwu wobec każdego nowego Podprocesora, który będzie zaangażowany wyłącznie w zakres czynności przetwarzania danych określonych w Załączniku A. 

Przed zaangażowaniem nowego Podprocesora, Procesor powiadomi o tym Administratora i zapewni Administratorowi co najmniej dziesięć (10) dni kalendarzowych na zgłoszenie sprzeciwu, chyba że Procesor uzasadniony uważa, że zaangażowanie nowego Podprocesora w trybie przyspieszonym jest niezbędne do ochrony poufności, integralności lub dostępności Danych Osobowych lub aby uniknąć istotnych zakłóceń w świadczeniu usług. W takim przypadku Procesor przekaże taką informację tak szybko, jak to możliwe. Jeżeli, w ciągu pięciu (5) dni kalendarzowych od takiego powiadomienia, Administrator powiadomi Procesora na piśmie, że sprzeciwia się mianowaniu nowego Podprocesora przez Procesora na podstawie uzasadnionych obaw dotyczących ochrony danych, strony przedyskutują takie obawy w dobrej wierze i to, czy można je rozwiązać. Sprzeciwy wobec nowych Podprocesorów należy kierować na privacy@mollie.com. 

Administrator przyznaje, że Podprocesorzy są niezbędni do świadczenia usług i że sprzeciw wobec wykorzystania Podprocesora może uniemożliwić Procesorowi oferowanie usług Administratorowi. Jeśli strony nie będą w stanie wzajemnie uzgodnić rozwiązania takich obaw, Administrator, jako jedyne i wyłączne zadośćuczynienie, może zakończyć DPA dla wygody.

Wszyscy Podprocesorzy, którzy przetwarzają Dane Osobowe w świadczeniu usług dla Administratora, będą przestrzegali obowiązków określonych w tej DPA. Procesor, przed ujawnieniem Danych Osobowych każdemu Podprocesorowi, musi przeprowadzić odpowiednią należyte staranie, aby upewnić się, że Podprocesor jest w stanie zapewnić poziom ochrony wymagany przez niniejszą DPA i zawrzeć umowę z tym Podprocesorem, w której Podprocesor zobowiązuje się do przestrzegania zobowiązań równoważnych tym określonym w niniejszej DPA. 

SEKCJA D: BEZPIECZEŃSTWO

Artykuł D.1 Środki bezpieczeństwa

Procesor wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka, w tym między innymi zgodnie z potrzebą:

1. pseudonimizację i szyfrowanie Danych Osobowych; 

2. zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; 

3. zdolność do przywrócenia dostępności i dostępu do Danych Osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego; oraz 

4. procedurę regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa Przetwarzania. Przy ocenie odpowiedniego 

   poziomu bezpieczeństwa należy w szczególności uwzględnić ryzyka związane z przetwarzaniem, w szczególności związane z przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieautoryzowanym ujawnieniem lub dostępem do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

   
   

Artykuł D.2 Powiadomienie o Naruszeniu Danych

Procesor niezwłocznie powiadomi Administratora o przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, zmianie lub nieuprawnionym ujawnieniu lub dostępie do Danych Osobowych po odkryciu, w zakresie, w jakim Naruszenie Danych odnosi się wyłącznie do przetwarzania Danych Osobowych przez Procesora w jego roli procesora. Jeśli i w przypadku, gdy Naruszenie Danych dotyczy Danych Osobowych, dla których Procesor jest uważany jako Administrator, zgodnie z Oświadczeniem o Prywatności Procesora, Procesor zastrzega sobie prawo do traktowania Naruszenia Danych jako administratora. 

Opóźnienie w wydaniu powiadomienia o Naruszeniu Danych na żądanie organów ścigania i/lub ze względu na uzasadnione potrzeby Procesora do zbadania lub naprawy sprawy przed wydaniem powiadomienia nie będzie stanowiło nadmiernego opóźnienia. Takie powiadomienia będą obejmować, w miarę możliwości, szczegóły dotyczące Naruszenia Danych, w tym kroki podjęte w celu złagodzenia potencjalnych ryzyk. Bez uszczerbku dla obowiązków Procesora na mocy tej Sekcji D.1, Administrator jest wyłącznie odpowiedzialny za przestrzeganie obowiązujących praw o powiadomieniach o Naruszeniu Danych dotyczących Administratora i wypełnianie wszelkich obowiązków dotyczących powiadomienia osób trzecich związanych z jakimikolwiek Naruszeniami Danych. Powiadomienie Procesora o Naruszeniu Danych lub reakcja na nie na mocy tej Sekcji D.1. nie będą interpretowane jako uznanie przez Procesora jakiejkolwiek winy lub odpowiedzialności w związku z Naruszeniem Danych.

Wszelkie koszty poniesione w ramach rozwiązania Naruszenia Danych oraz wdrożenia środków niezbędnych do zapobieżenia takiemu Naruszeniu Danych w przyszłości ponosi Strona, która poniosła koszty.

SEKCJA E: AUDIT

Artykuł E.1 Prawo do Audytu 

Administrator ma prawo wystąpić, po uzasadnionym powiadomieniu, o raporty audytowe od Procesora odnoszące się do Przetwarzania Danych Osobowych w ramach świadczenia usług zgodnie z niniejszą DPA.

Raporty audytowe, o których mowa w tej klauzuli, obejmują między innymi raporty dotyczące bezpieczeństwa, poufności i środków ochrony danych wdrożonych przez Procesora w związku z Przetwarzaniem Danych Osobowych. Mogą one również obejmować zgodność z odpowiednimi Przepisami o Ochronie Danych.

Wnioski o raporty audytowe należy składać na piśmie i przesyłać na adres privacy@mollie.com, określając zakres i cel wniosku. Procesor niezwłocznie potwierdzi otrzymanie takich wniosków.

Otrzymywanie raportów audytowych jest uzależnione od profesjonalnego obowiązku zachowania poufności. Administrator może używać raportów audytowych wyłącznie w celu spełnienia własnych wymogów regulacyjnych dotyczących audytu oraz potwierdzenia, że Przetwarzanie Danych Osobowych przez Procesora jest zgodne z niniejszą DPA. Raporty audytowe nie mogą być udostępniane na zewnątrz.

SEKCJA F: OCENY SKUTKÓW DLA OCHRONY DANYCH I KONSULTACJE PRZED WDROŻENIEM

Artykuł F.1 Wsparcie

Procesor zapewni wsparcie Administratorowi przy przeprowadzaniu oceny wpływu Przetwarzania Danych Osobowych (artykuł 35 RODO) i przy wszelkich konsultacjach z Organem Nadzorczym (artykuł 36 RODO), jeśli i w zakresie, w jakim ocena lub konsultacja jest wymagana do przeprowadzenia na mocy Przepisów o Ochronie Danych i gdzie Procesor jest upoważniony i/lub zobowiązany do współpracy.

SEKCJA G: PRAWA PODMIOTU DANYCH

Artykuł G.1 Wsparcie

Jeśli Procesor otrzyma wniosek od Podmiotu Danych w odniesieniu do Danych Osobowych Administratora, Procesor doradzi Podmiotowi Danych złożenie ich wniosku do Administratora i/lub przekaże wniosek do Administratora, a Administrator będzie odpowiedzialny za odpowiedź na wszelkie takie wnioski.

Na żądanie Administratora i na jego koszt, Procesor dostarczy Administratorowi takie wsparcie, jakie może być mu racjonalne potrzebne, aby spełnić obowiązki wynikające z Przepisów o Ochronie Danych w zakresie odpowiedzi na wnioski podmiotów danych dotyczące wykonywania ich praw wynikających z Przepisów o Ochronie Danych (np. prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu) w przypadkach, gdy Administrator nie może w racjonalny sposób spełnić takich wniosków samodzielnie poprzez swoje dostęp do produktów i usług Procesora.

SEKCJA H: RÓŻNE 

Artykuł H.1 Poufność 

Procesor zobowiązany jest do zachowania poufności wszystkich Danych Osobowych oraz do zapewnienia, że wszyscy pracownicy, agenci, funkcjonariusze i kontrahenci mający dostęp do lub uczestniczący w Przetwarzaniu Danych Osobowych są świadomi poufnego charakteru Danych Osobowych i są zobowiązani umownie do zachowania tajemnicy Danych Osobowych oraz są świadomi i przestrzegają zobowiązań wynikających z tej DPA.

Artykuł H.2 Odpowiedzialność

Wszelkie i wszelkie zobowiązania wynikające z tej DPA będą regulowane odpowiednimi postanowieniami Umowy Użytkownika, w tym ograniczeniami odpowiedzialności. 

Bez uszczerbku dla postanowień Umowy Użytkownika, każda ze Stron ponosi odpowiedzialność jedynie wobec drugiej Strony za wszelkie szkody, jakie wyrządziła innej Stronie w wyniku jakiegokolwiek naruszenia tej DPA. Te szkody muszą być wyraźnie wykazane. Procesor ponosi odpowiedzialność tylko za szkody spowodowane przetwarzaniem, gdy nie spełnił obowiązków wynikających z Przepisów o Ochronie Danych specjalnie skierowanych do procesorów danych lub gdy działał poza lub sprzecznie z prawnie uzasadnionymi instrukcjami Administratora opisanymi w niniejszej DPA. W tym kontekście Procesor będzie odpowiedzialny tylko wtedy, gdy Administrator udowodni, że Procesor jest odpowiedzialny za zdarzenie powodujące szkodę.

Administrator będzie wyłącznie odpowiedzialny wobec Podmiotu Danych, a Podmiot Danych będzie uprawniony do otrzymania odszkodowania za wszelkie szkody materialne lub niematerialne, które przyczyniły się do Podmiotu Danych przez naruszenie tej DPA przez Administratora lub Procesora (lub jego Podprocesorów).

Artykuł H.3 Okres i zakończenie 

Okres obowiązywania tej DPA zbiega się z rozpoczęciem Umowy Użytkownika i/lub korzystaniem z konkretnego produktu lub usługi określonego w Załączniku A.

Ta DPA zakończy się automatycznie wraz z zakończeniem Umowy Użytkownika i/lub korzystaniem z konkretnego produktu lub usługi określonego w Załączniku A, w zależności od tego, które z nich nastąpi jako pierwsze.

Po zakończeniu tej DPA, Procesor zapewni, na żądanie Administratora, zwrócenie Danych Osobowych Administratorowi lub Procesorowi wskazanemu przez Administratora, lub usunięcie Danych Osobowych, chyba że Procesor jest zobowiązany do przechowywania kopii zgodnie z jakimkolwiek prawem Unii Europejskiej lub jakiegokolwiek państwa członkowskiego Unii Europejskiej.

SEKCJA I: POSTANOWIENIA KOŃCOWE 

Artykuł I.1 Całość Umowy 

Ta DPA stanowi część Umowy Użytkownika. Wszystkie prawa i obowiązki wynikające z Umowy Użytkownika dotyczą również tej DPA. Załącznik A stanowi integralną część tej DPA.

Artykuł I.2 Zmiana jedynie za zgodą 

Żadna zmiana tej DPA nie jest ważna, jeśli nie jest na piśmie i nie jest podpisana przez upoważnionych przedstawicieli każdej ze Stron. 

Artykuł I.3 Rozdzielność 

Każde z postanowień niniejszej DPA jest odrębne i rozdzielne, a jeśli jakiekolwiek postanowienie lub część postanowienia zostanie uznane za niewykonalne, niezgodne z prawem lub nieważne w całości lub w części przez dowolny sąd, organ regulacyjny lub inną kompetentną władzę, w takim zakresie zostanie uznane za nieistniejące w tej DPA, a wykonalność, legalność i ważność pozostałych postanowień tej DPA nie będzie wpływać. Strony zgadzają się dążyć do zastąpienia nieważnego lub niewykonalnego postanowienia równoznacznym postanowieniem, które jak najpełniej osiąga ten sam efekt, jaki osiągnęłoby nieważne lub niewykonalne postanowienie. Z wyjątkiem zmian wprowadzonych przez tę DPA, Umowa Użytkownika pozostaje niezmieniona i w pełni obowiązuje.

Artykuł I.4 Prawo do przepisania 

Strony mogą przenosić tę DPA jedynie zgodnie z Umową Użytkownika (klauzula 8.9). 

Artykuł I.5 Prawo Właściwe 

Ta DPA będzie regulowana i interpretowana zgodnie z prawem Holandii. Każda Strona wyraża zgodę na wyłączną jurysdykcję sądów w Amsterdamie, aby rozstrzygać wszelkie spory wynikające z tej DPA. W przypadku, gdy jakikolwiek sąd lub organ administracyjny właściwej jurysdykcji uzna jakiekolwiek postanowienie tej DPA za nieważne, niewykonalne lub niezgodne z prawem, inne postanowienia tej DPA będą w pełnej mocy.

ZAŁĄCZNIK A - SPECYFIKACJA PRZETWARZANIA DANYCH OSOBOWYCH 

1. CEL PRZETWARZANIA

Przetwarzanie Danych Osobowych jest bezpośrednio związane ze świadczeniem usług zapewnionych zgodnie z Umową Użytkownika.

Celami przetwarzania są:

• Umożliwienie wysyłania faktur do Klientów Administratora za pośrednictwem produktów i usług Mollie 

2. KATEGORIE PODMIOTÓW DANYCH 

Procesor będzie Przetwarzał Dane Osobowe następujących kategorii Podmiotów Danych dla Administratora:

• Klienci Administratora (tj. płacący (konsumenci, klienci biznesowi))

3. RODZAJE DANYCH OSOBOWYCH 

Procesor będzie Przetwarzał następujące rodzaje Danych Osobowych dla Administratora:

• Podstawowe dane kontaktowe (w tym pełne imię i nazwisko, numer telefonu (biuro), adres e-mail (biznesowy), adres zamieszkania/firma)

• Szczegóły faktury (zawarte przez Administratora)

Procesor nie będzie przetwarzał szczególnych kategorii Danych Osobowych (zgodnie z art. 9 RODO). 

4. ŚRODKI BEZPIECZEŃSTWA 

Kontekst 

Jako instytucja finansowa, kontrole bezpieczeństwa i procedury operacyjne Mollie stworzone dla naszych aplikacji, systemów i procesów IT są poddawane przeglądowi przez Holenderski Bank Centralny (DNB), który z kolei korzysta z wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) dla standardów technicznych, których posiadacze licencji powinni przestrzegać. 

Co więcej, ponieważ Mollie (również) działa jako administrator danych osobowych, Mollie jest regulowane przez inne przepisy określające standardy bezpieczeństwa i ochrony danych, egzekwowane przez dodatkowe władze - w szczególności RODO i jego regulatora w Holandii (Autoriteit Persoonsgegevens). 

Dodatkowo, systemy przetwarzające dane koszykowe szczególnie są systemami zgodnymi z poziomem 1 PCI DSS, co oznacza, że ta konkretna aplikacja oraz procedury jej rozwijania i utrzymywania podlegają środkom ochrony danych określonym przez Radę PCI, a zgodność z tymi wymogami jest oceniana przez zewnętrzną firmę corocznie.

Ogólne Środki

Wszystkie aplikacje, systemy i procedury z nimi związane podlegają Polityce Bezpieczeństwa Informacji Mollie. Najważniejsze elementy tej i innych polityk istotnych dla zakresu świadczonych usług to:

• Przesiewanie pracowników

• Program szkoleń bezpieczeństwa dla deweloperów

• Program świadomości bezpieczeństwa

• Podział obowiązków

• Zarządzanie zmianami

• Zarządzanie podatnościami

• Zarządzanie incydentami

• Zarządzanie odporności i tworzenia kopii zapasowych

• Silne egzekwowanie kontroli dostępu (IAM i IGA)

• Przeglądy autoryzacji użytkowników

• Standardy klasyfikacji systemów

• Standardy klasyfikacji danych i polityka danych

• Oparte na najlepszych praktykach branżowych standardy bezpiecznej konfiguracji, egzekwowanie polityki (utwardzanie)

• Fizyczna i logiczna segregacja sieci

• Standardy bezpiecznego szyfrowania

• Zarządzanie kluczami szyfrowania

• Szyfrowanie (podczas przesyłu, w spoczynku na współdzielonych środowiskach infrastrukturalnych, takich jak chmura)

• Zarządzanie ryzykiem stron trzecich

• Monitorowanie dostępności i błędów

• Bezpieczny cykl życia rozwoju

  • Modelowanie zagrożeń podczas istotnych zmian i nowych funkcji

  • Zarządzanie zależnościami i skanowanie znanych podatności

  • Statyczna analiza bezpieczeństwa kodu

  • Wewnętrzne i zewnętrzne skanowanie podatności

• Koordynowane zgłaszanie podatności (CVD) i program nagród za znalezienie błędów

• Program inteligencji o zagrożeniach (np. uczestnictwo w holenderskim PI-ISAC, centrum wymiany informacji i analizy instytucji płatniczych, monitorowanie ciemnej sieci)

• Współpraca z zarządzanymi usługami bezpieczeństwa (MSSP) w zakresie działań, analizy i dochodzeń kryminalistycznych bezpieczeństwa

• Zarządzanie informacjami bezpieczeństwa i zdarzeniami (SIEM)

• Bezpieczeństwo końcówek pracowników

• Bezpieczeństwo poczty elektronicznej

Platforma Mollie

Oprócz ogólnych środków bezpieczeństwa opisanych powyżej, aplikacja Platformy Mollie jest objęta następującymi środkami bezpieczeństwa - wynikającymi z wdrożenia naszych ogólnych polityk bezpieczeństwa lub jako środek zaradczy w odpowiedzi na ryzyko uznane w ocenie ryzyka specyficznego dla aplikacji:

• Dwuskładnikowa kontrola dostępu

• Testy penetracyjne osób trzecich

• Zarządzanie incydentami bezpieczeństwa

• Łagodzenie ataków DDoS

• Reakcja na incydenty bezpieczeństwa

• Monitorowanie dostępności

• Bezpieczne przechowywanie poświadczeń

• Nadmiarowa infrastruktura

• Plan awaryjny odbudowy

• Ograniczanie i blokowanie przepływności

• Ścisła Polityka Bezpieczeństwa Treści

• Captcha

• Zabezpieczenie aplikacji webowej zaporą ogniową

ZAŁĄCZNIK B - PRZEGLĄD PODPROCESORÓW