Regulamin Mollie Invoicing

Niniejsze warunki korzystania z usług („Warunki Korzystania z Usługi Fakturowania”) stanowią umowę prawną pomiędzy Tobą a organizacją lub podmiotem, który reprezentujesz (zwaną/ym dalej „Organizacją”, „Tobą” lub „Twoim”), a Mollie B.V. i jej licencjodawcami (zwanymi dalej „Mollie”, „nas” lub „naszym”), regulującą korzystanie z Usługi Fakturowania.

Warunki Korzystania z Usługi Fakturowania określają postanowienia, na mocy których możesz korzystać z Usługi Fakturowania. Umowa użytkownika, która dotyczy Cię w całości, pozostaje w mocy i jest uzupełniona niniejszymi Warunkami Korzystania z Usługi Fakturowania. W przypadku konfliktu Umowy użytkownika z niniejszymi Warunkami Korzystania z Usługi Fakturowania, niniejsze Warunki Korzystania z Usługi Fakturowania będą miały pierwszeństwo, jednak wyłącznie w odniesieniu do Usługi Fakturowania i korzystania z niej.

Poniższe definicje mają zastosowanie oprócz definicji zawartych w Umowie użytkownika lub jakiejkolwiek innej umowie pomiędzy Mollie a Organizacją:

Korzystając z Usługi Fakturowania, zgadzasz się na następujące warunki:

1. Opis usługi

1.1 Oferowana przez Mollie usługa fakturowania to cyfrowe rozwiązanie do fakturowania zaprojektowane, aby pomóc platformom lub sprzedawcom efektywnie tworzyć, dostosowywać, wysyłać i zarządzać fakturami za pośrednictwem Mollie Dashboard lub Invoice API poprzez umożliwienie szybkiego tworzenia faktur, naliczania podatku VAT, automatycznych przypomnień o płatnościach i modułów śledzących oraz wielu opcji płatności dla klientów („Usługa Fakturowania”).

2. Cennik

2.1 Ceny Usługi Fakturowania będą ustalane zgodnie z informacjami na stronie www.mollie.com/pricing lub w inny sposób uzgodniony pisemnie między stronami. 

3. Dane osobowe i przetwarzanie danych 

3.1 W związku z korzystaniem z Usługi Fakturowania może być wymagane podanie Mollie danych osobowych Twoich klientów i użytkowników, a Mollie może przetwarzać te dane osobowe w celu umożliwienia działania Usługi Fakturowania. Udzielasz Mollie pozwolenia i zgody na korzystanie z Twoich danych osobowych lub danych Twoich klientów i/lub udostępnianie danych osobowych Twoich lub Twoich klientów stronom trzecim w zakresie, w jakim jest to niezbędne do umożliwienia lub świadczenia Usługi Fakturowania. Jesteś uznawany za „administratora” wszelkich danych osobowych używanych do generowania faktur, a my będziemy przetwarzać dane osobowe jako „podmiot przetwarzający” zgodnie z Załącznikiem 1 (UMOWA PRZETWARZANIA DANYCH DLA USŁUGI FAKTUROWANIA MOLLIE) oraz Oświadczeniem o ochronie prywatności Mollie dostępnym pod adresem www.mollie.com/legal/privacy.

3.2 Niezależnie od jakichkolwiek odmiennych postanowień, korzystając z Usługi Fakturowania, gwarantujesz, że przestrzegasz i będziesz przestrzegać wszelkich wymogów dotyczących ochrony danych, w tym bez ograniczeń Ogólnego rozporządzenia o ochronie danych („RODO”) lub jakichkolwiek równoważnych przepisów lub praw dotyczących ochrony danych mających zastosowanie do Twojej działalności gospodarczej.

4. Twoje obowiązki i odpowiedzialność

4.1 Nie możesz korzystać z Usługi Fakturowania ani pozwalać na korzystanie z niej w sposób nielegalny lub niewłaściwy.

4.2 Masz obowiązek przestrzegać obecnych i przyszłych przepisów prawa i regulacji dotyczących wymogów fakturowych i/lub podatkowych. Odpowiedzialność za zapewnienie dokładności i poprawności faktury, w tym zastosowanych stawek VAT, spoczywa wyłącznie na Tobie. Jeśli obowiązująca stawka VAT na Twojej fakturze nie jest obsługiwana przez Usługę Fakturowania (na przykład z powodu zmian obowiązujących stawek VAT w danym kraju), bezzwłocznie powiadomisz nas o tym na piśmie, a my ocenimy i, jeśli to konieczne, dostosujemy możliwości konfiguracji Usługi Fakturowania w celu obsługi nowej stawki VAT.

4.3 Odpowiadasz za podejmowanie odpowiednich środków ostrożności (regularnie i zgodnie z zaistniałym ryzykiem) w celu zabezpieczenia danych i treści wprowadzanych, przesyłanych i przechowywanych w trakcie korzystania z Usługi Fakturowania, a także za tworzenie własnych kopii zapasowych w celu zapewnienia odtworzenia danych i informacji w przypadku ich utraty. Masz obowiązek, dołożenia wszelkich starań, aby uniemożliwić osobom trzecim nieautoryzowany dostęp do Usługi Fakturowania.

4.4 Nie masz prawa (chyba że wyraźnie uzgodniono inaczej na piśmie):

• udostępniać Usługi Fakturowania w jakiejkolwiek formie osobom trzecim innym niż Twoi pracownicy, agenci, podwykonawcy i inni powiązani użytkownicy; lub

• reprodukować, modyfikować, dokonywać inżynierii wstecznej części, demontować, dekompilować ani tłumaczyć Usługi Fakturowania.

4.5 Zapoznałeś się ze swoimi obowiązkami określonymi w Załączniku 1 i wyrażasz na nie zgodę.

5. Licencja i IP 

5.1 Otrzymujesz niewyłączne, niezbywalne, bez prawa do udzielania sublicencji, ogólnoświatowe, odwołalne i tymczasowe prawo do korzystania z Usługi Fakturowania. Usługa Fakturowania będzie udostępniana wyłącznie na zasadzie niewyłączności. Mollie nie ma obowiązku świadczenia usług innych niż Usługa Fakturowania. W odniesieniu do Usługi Fakturowania nie przyznaje się żadnych dalszych praw do korzystania.

5.2 Ponosisz wyłączną odpowiedzialność za zarządzanie uprawnieniami użytkowników i zapewnisz, że wszyscy użytkownicy będą przestrzegać ograniczeń zawartych w Umowie użytkownika Mollie oraz niniejszych Warunkach i Postanowieniach podczas korzystania z Usługi Fakturowania.

5.3 Wszelkie prawa własności intelektualnej i prawa do korzystania (inne niż licencja udzielona na mocy niniejszej umowy) w odniesieniu do Usługi Fakturowania, w tym kod źródłowy, bazy danych, funkcjonalność, oprogramowanie, projekty stron internetowych, materiały audio, wideo, teksty, zdjęcia i grafiki („Prawa IP”), pozostają w całości własnością Mollie.

5.4 W zakresie, w jakim otrzymujesz pakiety oprogramowania developerskiego („SDK”), w tym ich aktualizacje lub wsparcie techniczne, zastosowanie mają następujące postanowienia szczególne dotyczące SDK:

• Otrzymujesz niewyłączną, niezbywalną, odwołalną i bezpłatną licencję na (i) instalowanie i używanie SDK wyłącznie w postaci kodu obiektowego w celu tworzenia programów składających się ze skompilowanego kodu wygenerowanego przy użyciu SDK lub dowolnej jego części, zaprojektowanych do działania z Produktem; (ii) tworzenie ograniczonej liczby kopii dokumentacji SDK do użytku przez Twoich pracowników lub konsultantów wyłącznie do celów programistycznych, a nie do ogólnych celów biznesowych lub do dystrybucji; oraz (iii) dystrybucję SDK wyłącznie w postaci kodu obiektowego jako elementu Produktu;

• Mollie jest uprawniona, ale nie zobowiązana, do świadczenia jakiejkolwiek pomocy technicznej lub innego wsparcia dla SDK;

• SDK zawierają kod, który powoduje automatyczne wysyłanie przez Ciebie powiadomień o błędach, i zgadzasz się, że Mollie ma bezterminowe, nieodwołalne, nieograniczone prawo do korzystania z takich informacji do swoich celów biznesowych, w tym bez ograniczeń w celu wsparcia i rozwoju produktów;

• jeśli używasz SDK do uruchamiania aplikacji opracowanych przez Ciebie lub stronę trzecią bądź do uzyskiwania dostępu do danych, treści lub zasobów dostarczanych przez stronę trzecią, zgadzasz się, że Mollie nie ponosi odpowiedzialności za te aplikacje, dane, treści ani zasoby;

• SDK są licencjonowane w stanie, w jakim się znajdują („as is”). Ponosisz ryzyko związane z ich użytkowaniem; Mollie wyłącza wszelkie gwarancje i rękojmie (ustawowe, wyraźne lub dorozumiane) i nie udziela żadnych gwarancji ani rękojmi w odniesieniu do korzystania przez Ciebie z SDK.

  
  

6. Odpowiedzialność i zwolnienie z odpowiedzialności

6.1 Mollie nie ponosi odpowiedzialności za błędy, działania, zaniechania lub brak zgodności wynikające z Twoich danych, ustawień lub sposobu korzystania z Usługi Fakturowania. Ponosisz wyłączną i ostateczną odpowiedzialność za zapewnienie, że wszystkie dane użyte do tworzenia lub wystawiania faktur, w tym zastosowane stawki VAT, są zgodne z obowiązującymi przepisami (podatkowymi) w odpowiednim kraju użytkowania. Mollie nie ma obowiązku weryfikowania dokładności, kompletności ani poprawności jakichkolwiek danych ani ustawień (VAT) skonfigurowanych, dostarczonych lub używanych przez Ciebie za pośrednictwem Usługi Fakturowania. Zabezpieczysz Mollie i zwolnisz ją z odpowiedzialności z tytułu wszelkich roszczeń stron trzecich, zobowiązań, szkód, strat, kosztów i wydatków (w tym uzasadnionych honorariów adwokackich) wynikających z korzystania przez Ciebie z Usługi Fakturowania lub z nią związanych, w tym konfiguracji podatku VAT. 

6.2 Dla uniknięcia wątpliwości, w zakresie, w jakim Mollie ponosi odpowiedzialność za jakiekolwiek szkody, nasza odpowiedzialność będzie ograniczona zgodnie z Umową użytkownika.

Załącznik 1: UMOWA PRZETWARZANIA DANYCH

Niniejsza UMOWA PRZETWARZANIA DANYCH (dalej „DPA”) wraz z załącznikami opisuje obowiązki Stron, w tym wynikające z obowiązujących przepisów o ochronie danych, w odniesieniu do przetwarzania danych osobowych (zdefiniowanych poniżej). DPA stanowi integralną część Umowy użytkownika.

Niniejsza DPA została zawarta pomiędzy Organizacją (dalej „Administratorem”)

a 

Mollie B.V., spółką z ograniczoną odpowiedzialnością (besloten vennootschap) z siedzibą w Amsterdamie, pod adresem Keizersgracht 126, 1015 CW Amsterdam, Holandia, zarejestrowaną w holenderskiej Izbie Handlowej pod numerem 30204462 (dalej „Mollie” lub „Podmiot Przetwarzający”)

a 

Mollie UK Ltd., spółką z ograniczoną odpowiedzialnością z siedzibą w Londynie, pod adresem 7 Pancras Square, Londyn N1C 4AG, Wielka Brytania, zarejestrowaną w Companies House pod numerem 14013554 (dalej „Mollie” lub „Podmiot Przetwarzający”),

z osobną jako „Strona” i łącznie jako „Strony”. 

Definicje 

W niniejszej DPA poniższe terminy mają przypisane im niżej znaczenie. Terminy pisane wielką literą, które zostały użyte, lecz nie zostały zdefiniowane w niniejszym dokumencie, mają znaczenie nadane im w Umowie.

Umowa
umowa zawarta pomiędzy Administratorem a Podmiotem Przetwarzającym na świadczenie usług („Umowa użytkownika”).

Wiążące Reguły Korporacyjne
polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający mający siedzibę na terytorium państwa członkowskiego na potrzeby przekazywania lub serii przekazań danych osobowych do administratora lub podmiotu przetwarzającego w jednym lub kilku państwach trzecich w ramach grupy przedsiębiorstw lub grupy przedsiębiorstw prowadzących wspólną działalność gospodarczą.

Administrator
osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Klient
Klienci Organizacji chcący płacić za produkty i/lub usługi świadczone przez Organizację za pośrednictwem udostępnianego przez Mollie Checkout.

Naruszenie ochrony danych
naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieautoryzowanego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 

Umowa przetwarzania danych
niniejsza umowa wraz ze wszystkimi załącznikami.

Organ nadzorczy
niezależny organ publiczny odpowiedzialny za monitorowanie stosowania przepisów mających zastosowanie do przetwarzania danych osobowych. W Holandii jest to Autoriteit Persoonsgegevens.

Ocena skutków dla ochrony danych
ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych. 

Przepisy o ochronie danych
wszelkie obowiązujące przepisy dotyczące ochrony danych i prywatności, w tym w szczególności Ogólne rozporządzenie o ochronie danych UE (RODO), wszelkie lokalne przepisy i regulacje, które je zmieniają lub zastępują, wraz z wszelkimi krajowymi przepisami wdrażającymi w dowolnym państwie członkowskim Europejskiego Obszaru Gospodarczego (EOG), w zakresie, w jakim mają one zastosowanie, w każdym innym kraju, w brzmieniu okresowo zmienianym, uchylanym, ujednolicanym lub zastępowanym. 

Osoba, której dane dotyczą
osoba fizyczna, której dane osobowe dotyczą (np. Klienci).

RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. 

Dane Osobowe
wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. 

Przetwarzanie
operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Ta lista nie jest wyczerpująca. Terminy „przetwarzać”, „przetwarza” i „przetwarzane” będą interpretowane odpowiednio. 

Podmiot Przetwarzający
osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane (osobowe) w imieniu Administratora.

Organizacja
organizacja, która korzysta z udostępnianego przez Mollie Checkout do celów m.in. sprzedaży produktów i/lub usług Klientom.

Standardowe klauzule umowne
Standardowe Klauzule Umowne Komisji Europejskiej dla podmiotów przetwarzających dane (2010/87/UE) lub Decyzja Wykonawcza Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (C/2021/3972).

Dalszy podmiot przetwarzający
osoba trzecia, podmiot lub firma zaangażowana przez Podmiot Przetwarzający do przetwarzania danych osobowych w ramach świadczenia usług na podstawie Umowy. 

SEKCJA A CEL 

Artykuł A.1 Zakres

Podmiot Przetwarzający zgodził się świadczyć usługi na rzecz Administratora zgodnie z warunkami Umowy użytkownika. Świadcząc usługi, Podmiot Przetwarzający będzie przetwarzać Dane Osobowe w imieniu Administratora na zasadach określonych w niniejszej DPA. Podmiot Przetwarzający, jako instytucja finansowa, przetwarza Dane Osobowe również we własnym imieniu jako administrator danych. 

Strony przyjmują do wiadomości i zgadzają się, że w zakresie, w jakim Mollie przetwarza Dane Osobowe uczestniczące w transakcjach płatniczych w celu: i) wykonania Umowy użytkownika z Administratorem; ii) monitorowania, zapobiegania i wykrywania oszukańczych transakcji płatniczych; iii) wywiązania się z obowiązków prawnych lub regulacyjnych mających zastosowanie do przetwarzania i przechowywania danych dotyczących płatności, którym podlega Mollie, w tym mających zastosowanie procedur przeciwdziałania praniu pieniędzy oraz weryfikacji tożsamości klienta (know-your-customer); oraz iv) ulepszania produktów i usług Mollie, Mollie działa jako administrator danych i posiada wyłączne prawo do określania celów i sposobów przetwarzania Danych Osobowych, które otrzymuje od Administratora lub za jego pośrednictwem (świadcząc na jego rzecz usługi).

Czynności przetwarzania, Dane Osobowe oraz kategorie Osób, których dane dotyczą, dla których Podmiot Przetwarzający przetwarza Dane Osobowe w imieniu Administratora, zostały określone w Aneksie A. 

SEKCJA B OBOWIĄZKI 

Artykuł B.1 Obowiązki Administratora 

Administrator odpowiada za Dane Osobowe, które Podmiot Przetwarzający będzie przetwarzał, i zapewni zgodność z wszelkimi Przepisami o ochronie danych, w tym z wymogami dotyczącymi przekazywania Danych Osobowych na mocy niniejszej DPA oraz Umowy użytkownika. Administrator gwarantuje, że ma prawo przetwarzać Dane Osobowe oraz posiada prawo do wyznaczenia Podmiotu Przetwarzającego do przetwarzania danych w imieniu Administratora.

Administrator zgadza się, że bez ograniczania obowiązków Podmiotu Przetwarzającego wynikających z niniejszej DPA, Administrator ponosi wyłączną odpowiedzialność za korzystanie z usług, w tym za (a) odpowiednie korzystanie z usług w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z Danymi Osobowymi; (b) zabezpieczenie danych uwierzytelniających konto, systemów i urządzeń, z których korzysta Administrator w celu dostępu do usług; (c) zabezpieczenie systemów i urządzeń Administratora, z których korzysta wraz z usługami; oraz (d) utrzymywanie własnych kopii zapasowych Danych Osobowych.

Artykuł B.2 Obowiązki Podmiotu Przetwarzającego 

Podmiot Przetwarzający zobowiązuje się do: 

1. przetwarzania Danych Osobowych wyłącznie zgodnie z udokumentowanymi instrukcjami Administratora i podejmie niezbędne kroki w celu zapewnienia, że każda osoba fizyczna działająca z jego upoważnienia, która ma dostęp do Danych Osobowych, nie przetwarza ich bez instrukcji od Administratora;

2. niezwłocznego poinformowania Administratora, jeśli jakakolwiek instrukcja dotycząca przetwarzania Danych Osobowych przekazana Podmiotowi Przetwarzającemu przez Administratora narusza obowiązujące Przepisy o ochronie danych lub postanowienia niniejszej DPA;

3. wdrożenia odpowiednich procedur technicznych i organizacyjnych w celu ochrony Danych Osobowych, uwzględniając stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie i wadze; oraz

4. bez zbędnej zwłoki poinformowania Administratora o otrzymaniu skargi lub żądania związanego z obowiązkami którejkolwiek ze Stron wynikającymi z Przepisów o ochronie danych istotnych dla niniejszej DPA, w tym o wszelkich roszczeniach odszkodowawczych zgłoszonych przez Osobę, której dane dotyczą, lub o wszelkich zawiadomieniach, dochodzeniach czy innych działaniach ze strony Organu nadzorczego, oraz o przekazaniu Administratorowi pełnych szczegółów takiego dochodzenia, skargi lub żądania, chyba że jest to zabronione przez prawo lub na żądanie Organu nadzorczego.
   
   

SEKCJA C TRANSFERY I DALSZE PODMIOTY PRZETWARZAJĄCE

Artykuł C.1 Przekazywanie Danych Osobowych 

W przypadku, gdy Dane Osobowe dotyczące Osoby, której dane dotyczą z UE, są przekazywane poza obszar EOG, będą one przetwarzane przez podmiot: (i) mający siedzibę w państwie trzecim lub na terytorium uznanym przez Komisję UE za zapewniające odpowiedni stopień ochrony; lub (ii) podlegający Standardowym Klauzulom Umownym UE i/lub brytyjskiej umowie International Data Transfer Agreement lub brytyjskiemu aneksowi do standardowych klauzul umownych; lub (iii) posiadający inne prawnie uznane, odpowiednie zabezpieczenia, takie jak Wiążące Reguły Korporacyjne, które gwarantują taki sam poziom ochrony i zabezpieczeń jak niniejsza DPA. 

Artykuł C.2 Dalsze podmioty przetwarzające 

Administrator niniejszym wyraża zgodę na korzystanie przez Podmiot Przetwarzający z dalszych podmiotów przetwarzających wymienionych w Aneksie B. Lista ta może być okresowo aktualizowana przez Podmiotu Przetwarzającego zgodnie z niniejszą DPA.

Przed zaangażowaniem nowego dalszego podmiotu przetwarzającego do usług wymienionych w Aneksie A, Podmiot Przetwarzający powiadomi o tym Administratora korzystającego z danej usługi i da mu co najmniej dziesięć (10) dni kalendarzowych na zgłoszenie sprzeciwu, z wyjątkiem sytuacji, gdy Podmiot Przetwarzający uzasadnienie uważa, że zaangażowanie nowego dalszego podmiotu przetwarzającego w trybie przyspieszonym jest niezbędne do ochrony poufności, integralności lub dostępności Danych Osobowych bądź do uniknięcia istotnych zakłóceń w świadczonych usługach. W takim przypadku Podmiot Przetwarzający przekaże stosowne powiadomienie tak szybko, jak to możliwe. Jeśli w ciągu pięciu (5) dni kalendarzowych po otrzymaniu takiego powiadomienia Administrator poinformuje Podmiot Przetwarzający na piśmie, że sprzeciwia się wyznaczeniu nowego dalszego podmiotu przetwarzającego na podstawie uzasadnionych obaw dotyczących ochrony danych, strony w dobrej wierze przedyskutują te obawy oraz możliwości ich rozwiązania. Sprzeciwy wobec nowych dalszych podmiotów przetwarzających należy kierować na adres privacy@mollie.com. 

Administrator przyjmuje do wiadomości, że dalsze podmioty przetwarzające są niezbędne do świadczenia usług, a zgłoszenie sprzeciwu wobec korzystania z dalszego podmiotu przetwarzającego może uniemożliwić Podmiotowi Przetwarzającemu oferowanie usług na rzecz Administratora. Jeśli strony nie dojdą do porozumienia w kwestii rozwiązania tych obaw, jedynym i wyłącznym środkiem prawnym przysługującym Administratorowi jest rozwiązanie umowy DPA z zachowaniem prawa do wypowiedzenia w dowolnym momencie.

Wszyscy dalsi podmioty przetwarzające, którzy przetwarzają Dane Osobowe w ramach świadczenia usług na rzecz Administratora, mają obowiązek przestrzegać zobowiązań określonych w niniejszej DPA. Przed ujawnieniem Danych Osobowych jakiemukolwiek dalszemu podmiotowi przetwarzającemu, Podmiot Przetwarzający przeprowadzi odpowiednie badanie due diligence, aby upewnić się, że dalszy podmiot przetwarzający jest w stanie zapewnić poziom ochrony Danych Osobowych Administratora

wymagany przez niniejszą DPA, oraz zawrze z tym dalszym podmiotem przetwarzającym umowę, na mocy której zobowiąże się on do przestrzegania obowiązków równoważnych tym określonym w niniejszej DPA. 

SEKCJA D BEZPIECZEŃSTWO 

Artykuł D.1 Środki bezpieczeństwa

Podmiot Przetwarzający wdroży odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym w odpowiednich przypadkach m.in.:

1. pseudonimizację i szyfrowanie Danych Osobowych; 

2. zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania; 

3. zdolność do szybkiego przywrócenia dostępności Danych Osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; oraz 

4. procedurę regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Przy ocenie odpowiedniego

stopnia bezpieczeństwa uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieautoryzowanego dostępu do Danych Osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Artykuł D.2 Zgłaszanie naruszeń ochrony danych

Podmiot Przetwarzający powiadomi Administratora bez zbędnej zwłoki o każdym przypadkowym lub niezgodnym z prawem zniszczeniu, utracie, modyfikacji lub nieuprawnionym ujawnieniu bądź dostępie do Danych Osobowych po ich wykryciu, o ile to Naruszenie ochrony danych dotyczy wyłącznie przetwarzania Danych Osobowych przez Podmiot Przetwarzający w charakterze podmiotu przetwarzającego. Jeśli i w zakresie, w jakim Naruszenie ochrony danych dotyczy Danych Osobowych, dla których Podmiot Przetwarzający jest uznawany za Administratora, jak opisano w Privacy Statement Podmiotu Przetwarzającego, Podmiot Przetwarzający zastrzega sobie prawo do traktowania tego Naruszenia ochrony danych jako administrator. 

Opóźnienie w przekazaniu powiadomienia o Naruszeniu ochrony danych, wynikające z żądania organów ścigania i/lub uzasadnionej potrzeby zbadania lub naprawienia problemu przez Podmiot Przetwarzający przed przekazaniem powiadomienia, nie będzie uznawane za zbędną zwłokę. Powiadomienia takie będą opisywać, w miarę możliwości, szczegóły Naruszenia ochrony danych, w tym działania podjęte w celu ograniczenia potencjalnego ryzyka. Bez uszczerbku dla obowiązków Podmiotu Przetwarzającego wynikających z niniejszej Sekcji D.1, Administrator ponosi wyłączną odpowiedzialność za przestrzeganie przepisów o powiadamianiu o naruszeniu ochrony danych mających zastosowanie do Administratora oraz za realizację wszelkich obowiązków związanych z powiadamianiem stron trzecich w związku z wszelkimi Naruszeniami ochrony danych. Powiadomienie lub reakcja Podmiotu Przetwarzającego na Naruszenie ochrony danych na mocy niniejszej Sekcji D.1 nie będzie interpretowane jako uznanie winy lub odpowiedzialności przez Podmiot Przetwarzający w związku z tym Naruszeniem.

Wszelkie koszty poniesione w związku z usunięciem Naruszenia ochrony danych oraz wdrożeniem środków niezbędnych do zapobieżenia takiemu Naruszeniu w przyszłości zostaną pokryte przez Stronę, która te koszty ponosi. 

SEKCJA E AUDYT

Artykuł E.1 Prawo do audytu 

Administrator ma prawo zażądać, z zachowaniem uzasadnionego uprzedzenia, raportów z audytu od Podmiotu Przetwarzającego, dotyczących przetwarzania Danych Osobowych w zakresie usług świadczonych na mocy niniejszej DPA.

Raporty z audytu, o których mowa w niniejszym punkcie, obejmują m.in. raporty dotyczące bezpieczeństwa, poufności oraz środków ochrony danych wdrożonych przez Podmiot Przetwarzający w związku z przetwarzaniem Danych Osobowych. Raporty te mogą również obejmować kwestie zgodności z właściwymi Przepisami o ochronie danych.

Wnioski o sporządzenie raportów z audytu należy składać na piśmie pod adres privacy@mollie.com, określając zakres i cel wniosku. Podmiot Przetwarzający potwierdzi otrzymanie takich wniosków w terminie.

Otrzymanie raportów z audytu podlega zawodowemu obowiązkowi zachowania poufności. Administrator może korzystać z raportów z audytu wyłącznie w celu spełnienia wymogów regulacyjnych dotyczących audytu Administratora oraz upewnienia się, że przetwarzanie Danych Osobowych przez Podmiot Przetwarzający jest zgodne z niniejszą DPA. Raporty z audytu nie będą udostępniane na zewnątrz.

SEKCJA F OCENY SKUTKÓW DLA OCHRONY DANYCH I UPRZEDNIE KONSULTACJE

Artykuł F.1 Współpraca

Podmiot Przetwarzający będzie wspierać Administratora przy przeprowadzaniu oceny skutków przetwarzania Danych Osobowych (art. 35 RODO) oraz w konsultacjach z Organem nadzorczym (art. 36 RODO), jeśli i w zakresie, w jakim przeprowadzenie takiej oceny lub konsultacji jest wymagane na mocy Przepisów o ochronie danych oraz tam, gdzie Podmiot Przetwarzający może i/lub ma obowiązek współpracować.

SEKCJA G PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Artykuł G.1 Współpraca

Jeśli Podmiot Przetwarzający otrzyma wniosek od Osoby, której dane dotyczą, w odniesieniu do Danych Osobowych Administratora, Podmiot Przetwarzający zaleci Osobie, której dane dotyczą, przesłanie wniosku bezpośrednio do Administratora i/lub przekaże ten wniosek Administratorowi, przy czym Administrator będzie odpowiedzialny za odpowiedź na każdy taki wniosek.

Na wniosek i na koszt Administratora, Podmiot Przetwarzający udzieli Administratorowi takiego wsparcia, jakiego ten może uzasadnienie wymagać w celu wywiązania się z obowiązków wynikających z Przepisów o ochronie danych, polegających na odpowiadaniu na wnioski osób, których dane dotyczą, dotyczące wykonywania ich praw (np. prawo dostępu do danych, sprostowania, usunięcia, ograniczenia, przenoszenia danych i sprzeciwu) w przypadkach, gdy Administrator nie może samodzielnie zrealizować takich wniosków poprzez swój dostęp do produktów i usług Podmiotu Przetwarzającego.

SEKCJA H POSTANOWIENIA RÓŻNE 

Artykuł H.1 Poufność 

Podmiot Przetwarzający zachowa w poufności wszelkie Dane Osobowe oraz zapewni, że wszyscy pracownicy, agenci, kadra kierownicza i podwykonawcy mający dostęp do przetwarzania Danych Osobowych lub biorący w nim udział są świadomi poufnego charakteru Danych Osobowych i są umownie zobowiązani do zachowania ich w poufności, a także zostali poinformowani o obowiązkach wynikających z niniejszej DPA i ich przestrzegają.

Artykuł H.2 Odpowiedzialność

Wszelka odpowiedzialność wynikająca z niniejszej DPA podlega odpowiednim postanowieniom Umowy użytkownika, w tym ograniczeniom odpowiedzialności. 

Niezależnie od postanowień Umowy użytkownika, każda ze Stron odpowiada wobec drugiej Strony wyłącznie za szkody, które jej wyrządzi w wyniku naruszenia niniejszej DPA. Szkody te muszą zostać wyraźnie wykazane. Podmiot Przetwarzający odpowiada za szkodę powstałą w wyniku przetwarzania wyłącznie w przypadku, gdy nie dopełnił obowiązków nałożonych specjalnie na podmioty przetwarzające przez Przepisy o ochronie danych lub działał poza zgodnymi z prawem instrukcjami Administratora bądź wbrew nim, jak opisano w niniejszej DPA. W tym kontekście Podmiot Przetwarzający będzie ponosić odpowiedzialność tylko wtedy, gdy Administrator udowodni, że Podmiot Przetwarzający odpowiada za zdarzenie, które wywołało szkodę.

Administrator ponosi wyłączną odpowiedzialność wobec Osoby, której dane dotyczą, a Osoba ta jest uprawniona do otrzymania odszkodowania za wszelkie szkody majątkowe lub niemajątkowe wyrządzone jej przez Administratora lub Podmiot Przetwarzający (bądź jego dalszych podmiotów przetwarzających) w wyniku naruszenia niniejszej DPA.

Artykuł H.3 Okres obowiązywania i rozwiązanie umowy 

Okres obowiązywania niniejszej DPA pokrywa się z momentem wejścia w życie Umowy użytkownika i/lub rozpoczęciem korzystania z określonego produktu lub usługi, zgodnie z załącznikiem Aneks A.

Niniejsza DPA wygasa automatycznie wraz z rozwiązaniem Umowy użytkownika i/lub zaprzestaniem korzystania z określonego produktu lub usługi, o których mowa w Aneksie A, w zależności od tego, które z tych zdarzeń nastąpi wcześniej.

Po rozwiązaniu niniejszej DPA, Podmiot Przetwarzający – na żądanie Administratora – zwróci Dane Osobowe Administratorowi lub wyznaczonemu przez niego Podmiotowi Przetwarzającemu bądź usunie te Dane Osobowe, chyba że Podmiot Przetwarzający ma obowiązek zachować ich kopię na mocy prawa Unii Europejskiej lub państwa członkowskiego Unii Europejskiej.

SEKCJA I POSTANOWIENIA KOŃCOWE 

Artykuł I.1 Całość Porozumienia 

Niniejsza DPA stanowi część Umowy użytkownika. Wszystkie prawa i obowiązki wynikające z Umowy użytkownika mają zastosowanie również do niniejszej DPA. Aneks A stanowi integralną część niniejszej DPA.

Artykuł I.2 Zmiany wyłącznie na mocy Umowy 

Żadna zmiana niniejszej DPA nie będzie ważna, chyba że zostanie sporządzona na piśmie i podpisana przez upoważnionych przedstawicieli każdej ze Stron. 

Artykuł I.3 Rozdzielność postanowień 

Każde z postanowień niniejszej DPA jest odrębne i podzielne, a jeśli którekolwiek postanowienie lub część postanowienia zostanie uznane za niewykonalne, nielegalne lub nieważne w całości lub w części przez jakikolwiek sąd, organ regulacyjny bądź inny właściwy organ, w tym zakresie będzie ono traktowane tak, jakby nie stanowiło części niniejszej DPA, co nie wpłynie na wykonalność, legalność ani ważność pozostałej części niniejszej DPA. Strony zgadzają się podjąć próbę zastąpienia nieważnego lub niewykonalnego postanowienia ważnym i wykonalnym przepisem, który w jak największym stopniu pozwala osiągnąć zamierzony cel,

jaki miałoby nieważne lub niewykonalne postanowienie. Z wyjątkiem zmian wprowadzonych przez niniejszą DPA, Umowa użytkownika pozostaje bez zmian i zachowuje pełną moc i skuteczność.

Artykuł I.4 Prawo do cesji 

Strony mogą dokonać cesji niniejszej DPA wyłącznie zgodnie z Umową użytkownika (punkt 8.9). 

Artykuł I.5 Prawo właściwe 

Niniejsza DPA podlega prawu holenderskiemu i zgodnie z nim będzie interpretowana. Każda ze Stron wyraża zgodę na wyłączną właściwość sądów w Amsterdamie w celu rozstrzygania wszelkich sporów wynikających z niniejszej DPA. Gdyby jakikolwiek sąd lub organ administracyjny o właściwej jurysdykcji uznał którekolwiek postanowienie niniejszej DPA za nieważne, niewykonalne lub niezgodne z prawem, pozostałe postanowienia niniejszej DPA pozostaną w pełnej mocy i skuteczności. 

ANEKS A – SPECYFIKACJA PRZETWARZANIA DANYCH OSOBOWYCH 

1. CEL PRZETWARZANIA

Przetwarzanie Danych Osobowych jest bezpośrednio związane ze świadczeniem usług przewidzianych w Umowie użytkownika.

Celami przetwarzania są:

• Disputes

  • Ułatwianie zarządzania sporami i ich rozstrzygania pomiędzy Administratorem a jego Klientami za pośrednictwem produktów i usług Mollie.

  • Dostarczanie Administratorowi niezbędnych narzędzi i informacji do reagowania na roszczenia sporne, takie jak obciążenia zwrotne (chargeback) lub zapytania dotyczące płatności.

• Invoicing

  •  Ułatwianie wysyłania faktur do Klientów Administratora za pośrednictwem produktów i usług Mollie 

2. KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ 

Podmiot Przetwarzający będzie przetwarzał Dane Osobowe następujących kategorii Osób, których dane dotyczą, na rzecz Administratora:

• Klienci Administratora: Płatnicy (konsumenci lub klienci biznesowi), którzy inicjują płatność, zapytanie lub spór.

Disputes

• Odbiorcy będący osobami trzecimi: Osoby zidentyfikowane w dokumentach dostawy lub dowodach transakcji, które mogą nie być płatnikiem (np. osoba otrzymująca prezent pod adresem wysyłki).

• Upoważnieni przedstawiciele / personel Administratora: Personel sprzedawcy, którego nazwiska, dane kontaktowe lub podpisy mogą pojawiać się w dowodach sporu, rejestrach komunikacji lub zgłoszeniach do pomocy technicznej.

• Zewnętrzni dostawcy usług: Osoby, których dane mogą być zawarte w dowodach dostarczonych przez dalszych podmiotów przetwarzających lub partnerów (np. nazwiska kierowców dostawczych na podpisem potwierdzającym odbiór przesyłki).

Invoicing

• Szczegóły faktury (zamieszczone przez Administratora)

3. RODZAJE DANYCH OSOBOWYCH 

Podmiot Przetwarzający będzie przetwarzał następujące rodzaje Danych Osobowych na rzecz Administratora:

• Dane tożsamości i kontaktowe: Imię i nazwisko, adres e-mail, numer telefonu oraz adres rozliczeniowy Płatnika.

• Metadane transakcji: Identyfikator transakcji (ID), numer zamówienia, kwota, waluta, data/godzina oraz konkretna użyta metoda płatności (np. karta kredytowa, Klarna, iDEAL).

• Dane dotyczące realizacji i logistyki: 

  • Szczegóły wysyłki: Adres dostawy (ulica, numer domu, kod pocztowy, miasto, kraj).

  • Informacje o śledzeniu: Nazwa przewoźnika, numery śledzenia oraz rejestry statusu tranzytu/doręczenia w czasie rzeczywistym.

  • Dowód doręczenia: Podpisy cyfrowe, znaczniki czasu doręczenia oraz fotograficzne potwierdzenie doręczenia (np. przesyłka pod drzwiami).

• Dowody sporu (dane nieustrukturyzowane): 

  • Przesłane pliki: Wszelkie dane osobowe zawarte w dokumentach ręcznie przesłanych przez Administratora (np. faktury PDF, zapisy czatów z działem wsparcia, zrzuty ekranu z WhatsApp lub korespondencja e-mail).

• Identyfikatory techniczne: Adresy IP, odciski palców urządzeń i metadane przeglądarki zbierane w momencie transakcji (używane do weryfikacji lokalizacji i tożsamości klienta w celu zwalczania oszustw).

Wymienione powyżej kategorie Danych Osobowych odzwierciedlają planowany zakres Przetwarzania na mocy niniejszej Umowy. W przypadku, gdy Dane Osobowe spoza tych kategorii zostaną przypadkowo udostępnione lub wbudowane w nieustrukturyzowane dane lub przesłane dokumenty, Podmiot Przetwarzający będzie traktować takie dane z należytą starannością i zastosuje odpowiednie środki techniczne i organizacyjne.

4. ŚRODKI BEZPIECZEŃSTWA 

Kontekst 

Jako instytucja finansowa, kontrole bezpieczeństwa i procedury operacyjne utworzone przez Mollie dla naszych aplikacji, systemów i procesów IT podlegają ocenie przez Holenderski Bank Centralny (DNB), który z kolei korzysta z wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) w zakresie standardów technicznych, których powinni przestrzegać posiadacze licencji. 

Ponadto, ponieważ Mollie działa (również) jako administrator danych osobowych, podlega również innym przepisom określającym standardy bezpieczeństwa i ochrony danych, egzekwowanym przez dodatkowe organy – w szczególności RODO i jego organ regulacyjny w Holandii (Autoriteit Persoonsgegevens). 

Dodatkowo systemy przetwarzające dane kart płatniczych są systemami zgodnymi ze standardem PCI DSS Poziom 1, co oznacza, że ta konkretna aplikacja oraz procedury jej rozwoju i utrzymania podlegają środkom ochrony danych określonym przez Radę PCI, a zgodność z nimi jest co roku oceniana przez niezależny podmiot zewnętrzny. 

Ogólne środki

Wszystkie aplikacje, systemy oraz związane z nimi procedury podlegają Polityce Bezpieczeństwa Informacji Mollie. Główne elementy tej oraz innych polityk istotnych dla zakresu świadczonych usług to:

• Weryfikacja pracowników

• Program szkoleniowy z zakresu bezpieczeństwa dla programistów

• Program budowania świadomości bezpieczeństwa

• Rozdział obowiązków

• Zarządzanie zmianami

• Zarządzanie podatnościami

• Zarządzanie incydentami

• Zarządzanie odpornością i kopiami zapasowymi

• Rygorystyczne egzekwowanie kontroli dostępu (IAM oraz IGA)

• Przeglądy autoryzacji użytkowników

• Standardy klasyfikacji systemów

• Standardy klasyfikacji danych i polityka danych

• Standardy bezpiecznej konfiguracji oparte na najlepszych praktykach branżowych, wdrażanie polityk (utwardzanie systemów)

• Fizyczna i logiczna segmentacja środowiska sieciowego

• Standardy bezpiecznego szyfrowania

• Zarządzanie kluczami szyfrującymi

• Szyfrowanie (w trakcie przesyłu oraz w spoczynku dla współdzielonych środowisk infrastruktury, takich jak chmura)

• Zarządzanie ryzykiem związanym z dostawcami zewnętrznymi

• Monitorowanie dostępności i błędów

• Bezpieczny cykl życia oprogramowania

  • Modelowanie zagrożeń przy istotnych zmianach i nowych funkcjach

  • Zarządzanie zależnościami i skanowanie pod kątem znanych podatności

  • Statyczna analiza bezpieczeństwa kodu

  • Wewnętrzne i zewnętrzne skanowanie podatności

• Skoordynowane ujawnianie podatności (CVD) i program bug bounty

• Program badania zagrożeń (np. uczestnictwo w holenderskim PI-ISAC, centrum wymiany i analizy informacji o instytucjach płatniczych, monitorowanie dark webu)

• Współpraca z dostawcą zarządzanych usług bezpieczeństwa (MSSP) w zakresie operacji bezpieczeństwa, analiz i dochodzeń śledczych

• System zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM)

• Bezpieczeństwo urządzeń końcowych pracowników

• Bezpieczeństwo poczty e-mail

Platforma Mollie

Oprócz ogólnych środków bezpieczeństwa opisanych powyżej, aplikacja Platformy Mollie objęta jest następującymi szczególnymi środkami bezpieczeństwa – wynikającymi z wdrożenia naszych ogólnych polityk bezpieczeństwa bądź stanowiącymi środki łagodzące w celu przeciwdziałania ryzyku zidentyfikowanemu w ocenie ryzyka specyficznego dla aplikacji:

• Uwierzytelnianie dwuskładnikowe (2FA)

• Testy penetracyjne przeprowadzane przez firmy zewnętrzne

• Zarządzanie zdarzeniami i incydentami bezpieczeństwa

• Ochrona przed atakami DDoS

• Reagowanie na incydenty bezpieczeństwa

• Monitorowanie dostępności

• Bezpieczne przechowywanie danych uwierzytelniających

• Zdublowana infrastruktura

• Zapasowe procedury odzyskiwania sprawności (failover)

• Ograniczanie liczby zapytań i blokowanie (rate limiting)

• Rygorystyczna polityka bezpieczeństwa treści (Content-Security-Policy)

• Captcha

• Zapora sieciowa aplikacji internetowych (WAF)
  
  

ANEKS B – PRZEGLĄD DALSZYCH PODMIOTÓW PRZETWARZAJĄCYCH

Dotyczy użytkowników produktu Disputes

Dotyczy użytkowników produktu Invoicing