Termos e Condições Mollie Invoicing

Estes termos de serviço (“Termos do Serviço de Faturação”) constituem um acordo legal entre ti e a organização ou entidade que representas (doravante designada por “Organização”, “tu” ou “teu/tua”) e a Mollie B.V. e os seus licenciadores (doravante designados por “Mollie”, “nós” ou “nosso/nossa”) para regular a utilização do Serviço de Faturação.

Os Termos do Serviço de Faturação estabelecem os termos e condições sob os quais te será permitido utilizar o Serviço de Faturação. O Acordo do Utilizador, que se aplica a ti na sua totalidade, permanece em vigor e é complementado por estes Termos do Serviço de Faturação. Em caso de conflito entre o Acordo do Utilizador e estes Termos do Serviço de Faturação, estes Termos do Serviço de Faturação prevalecerão, mas apenas no que diz respeito ao Serviço de Faturação e ao seu uso.

As seguintes definições aplicam-se em complemento às definições incluídas no Acordo do Utilizador ou em qualquer outro acordo entre a Mollie e a Organização:

Ao utilizares o Serviço de Faturação, concordas  com os seguintes termos:

1. Descrição do serviço

1.1 O serviço de faturação da Mollie é uma solução de faturação digital concebida para ajudar plataformas ou comerciantes a criar, personalizar, enviar e gerir faturas de forma eficiente através do Mollie Dashboard ou da Invoice API, permitindo a criação rápida de faturas, aplicação de IVA, alertas e rastreadores de pagamento automatizados e múltiplas opções de pagamento para os clientes (“Serviço de Faturação”).

2. Preçário

2.1 O Serviço de Faturação terá o preço estabelecido em conformidade com www.mollie.com/pricing ou conforme de outro modo acordado por escrito entre as partes. 

3. Informação pessoal e processamento de dados 

3.1 Ao utilizares o Serviço de Faturação, poderá ser exigido que forneças informações pessoais dos teus clientes e utilizadores à Mollie, e a Mollie poderá processar essas informações pessoais para permitir o funcionamento do Serviço de Faturação. Concedes à Mollie permissão e consentimento para utilizar as tuas informações pessoais, ou as dos teus clientes, e/ou disponibilizar informações pessoais tuas ou dos teus clientes a terceiros, na medida do necessário para permitir ou fornecer o Serviço de Faturação. Serás considerado “responsável pelo tratamento” de quaisquer informações pessoais utilizadas para gerar faturas e nós processaremos as informações pessoais como “subcontratante” em conformidade com o Anexo 1 (ACORDO DE PROCESSAMENTO DE DADOS PARA O SERVIÇO DE FATURAÇÃO MOLLIE) e a Declaração de Privacidade da Mollie disponível em www.mollie.com/legal/privacy.

3.2 Sem prejuízo de qualquer disposição em contrário, ao utilizares o Serviço de Faturação garantes que cumpres, e continuarás a cumprir, todo e qualquer requisito de proteção de dados, incluindo, sem limitação, o Regulamento Geral sobre a Proteção de Dados (“RGPD”) ou qualquer regulamento ou lei de proteção de dados equivalente aplicável à tua atividade comercial.

4. As tuas obrigações e responsabilidades

4.1 Não deves utilizar o Serviço de Faturação, nem permitir que este seja utilizado, de qualquer forma ilegal ou inadequada.

4.2 Deves aderir às leis e regulamentos atuais e futuros relativos a requisitos de faturação e/ou fiscais. A responsabilidade por garantir a exatidão e correção de uma fatura, incluindo as taxas de IVA aplicadas, recai exclusivamente sobre ti. Se a taxa de IVA aplicável da tua fatura não for suportada pelo Serviço de Faturação (por exemplo, devido a alterações nas taxas de IVA aplicáveis de um país), deves notificar-nos por escrito sem demora injustificada e nós iremos avaliar e, se necessário, ajustar a configurabilidade do Serviço de Faturação para suportar a nova taxa de IVA.

4.3 És responsável por tomar as precauções adequadas (regularmente e em conformidade com os riscos envolvidos) para proteger os dados e conteúdos introduzidos, carregados e armazenados no decurso da tua utilização do Serviço de Faturação, bem como para criar as tuas próprias cópias de segurança a fim de garantir a reconstituição dos dados e informações em caso de perda. Deves, na medida das tuas capacidades, impedir o acesso não autorizado de terceiros ao Serviço de Faturação.

4.4 Não terás direito (a menos que explicitamente acordado por escrito de outro modo):

• a disponibilizar o Serviço de Faturação sob qualquer forma a terceiros que não sejam os teus funcionários, agentes, subempreiteiros e outros utilizadores associados; ou

• a reproduzir, modificar ou realizar engenharia reversa de partes do Serviço de Faturação, bem como a desmontar, descompilar ou traduzir o mesmo.

4.5 Tomaste conhecimento e concordas com as tuas obrigações estabelecidas no Anexo 1.

5. Licença e IP 

5.1 É-te concedido um direito não exclusivo, intransmissível, não sublicenciável, mundial, revogável e temporário de utilizar o Serviço de Faturação. O Serviço de Faturação ser-te-á disponibilizado exclusivamente numa base não exclusiva. A Mollie não será obrigada a fornecer outros serviços para além do Serviço de Faturação. Não são concedidos outros direitos de utilização em relação ao Serviço de Faturação.

5.2 És o único responsável pela gestão dos direitos dos utilizadores e deves garantir que todos os utilizadores cumprem as restrições contidas no Acordo do Utilizador da Mollie e nestes T&C ao utilizarem o Serviço de Faturação.

5.3 Toda a propriedade intelectual e direitos de utilização (que não a licença concedida ao abrigo do presente documento) em relação ao Serviço de Faturação, incluindo o código-fonte, bases de dados, funcionalidade, software, designs do website, áudio, vídeo, texto, fotografias e gráficos (“Direitos de IP”), pertencem inteiramente à Mollie.

5.4 Na medida em que te sejam fornecidos kits de desenvolvimento de software (“SDKs”), incluindo qualquer atualização dos mesmos ou suporte técnico, aplicar-se-ão as seguintes disposições especiais para os SDKs:

• É-te concedida uma licença não exclusiva, intransmissível, revogável e isenta de royalties para (i) instalar e utilizar o SDK apenas sob a forma de código de objeto para desenvolver programas constituídos por código compilado gerado com o SDK, ou qualquer parte dele, concebido para funcionar com o Produto; (ii) fazer um número limitado de cópias da documentação do SDK para serem utilizadas pelos teus funcionários ou consultores apenas para fins de desenvolvimento, e não para fins comerciais gerais ou para distribuição; e (iii) distribuir o SDK apenas sob a forma de código de objeto como componente do Produto;

• A Mollie tem o direito, mas não a obrigação, de fornecer qualquer suporte técnico ou outro para os SDKs;

• os SDKs incluem código que faz com que envies notificações automáticas de erro e concordas que a Mollie tem o direito perpétuo, irrevogável e irrestrito de utilizar essas informações para os seus fins comerciais, incluindo, sem limitação, para suporte e desenvolvimento de produtos;

• se utilizares os SDKs para executar aplicações desenvolvidas por ti ou por terceiros ou para aceder a dados, conteúdos ou recursos fornecidos por terceiros, concordas que a Mollie não é responsável por essas aplicações, dados, conteúdos ou recursos;

• os SDKs são licenciados “tal como estão”. Assume o risco da sua utilização; a Mollie renuncia a todas as garantias (sejam legais, expressas ou implícitas) e não fornece quaisquer garantias relativamente à tua utilização dos SDKs.

  
  

6. Responsabilidade civil e indemnização

6.1 A Mollie não é responsável por erros, atos, omissões ou incumprimentos decorrentes dos teus dados, definições ou utilização do Serviço de Faturação. És o único e último responsável por garantir que todos os dados utilizados para criar ou emitir faturas, incluindo as taxas de IVA aplicadas, cumprem as leis (fiscais) aplicáveis no respetivo país de utilização. A Mollie não tem o dever de verificar a exatidão, integridade ou correção de quaisquer dados ou definições (de IVA) configurados, fornecidos ou utilizados por ti através do Serviço de Faturação. Deves indemnizar e isentar a Mollie de todas as reclamações de terceiros, responsabilidades, danos, perdas, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes ou relacionados com a tua utilização do Serviço de Faturação, incluindo a configuração do IVA. 

6.2 Para evitar dúvidas, na medida em que a Mollie seja responsável por quaisquer danos, a nossa responsabilidade será limitada em conformidade com o Acordo do Utilizador.

Anexo 1: ACORDO DE PROCESSAMENTO DE DADOS

Este ACORDO DE PROCESSAMENTO DE DADOS (doravante “DPA”) incluindo os seus apêndices descreve as obrigações das Partes, inclusive ao abrigo das leis de proteção de dados aplicáveis, no que diz respeito ao processamento de dados pessoais (conforme definido abaixo). O DPA está incorporado no Acordo do Utilizador.

Este DPA é celebrado entre a Organização (doravante “Responsável pelo Tratamento”)

e 

Mollie B.V., uma sociedade de responsabilidade limitada (besloten vennootschap) com sede social em Amesterdão, na Keizersgracht 126, 1015 CW Amesterdão, Países Baixos, e registada na Câmara de Comércio Holandesa sob o número 30204462 (doravante “Mollie” ou “Subcontractante”)

e 

Mollie UK Ltd., uma sociedade de responsabilidade limitada com sede social em Londres, 7 Pancras Square, Londres N1C 4AG, Reino Unido, e registada na Companies House sob o número 14013554 (doravante “Mollie” ou “Subcontractante”),

cada uma individualmente designada por “Parte” e conjuntamente por “Parties”. 

Definições 

Neste DPA, os seguintes termos têm o significado estabelecido abaixo. Os termos em maiúsculas utilizados mas não aqui definidos terão o significado estabelecido no Acordo.

Acordo
o acordo entre o Responsável pelo Tratamento e o Subcontractante para a prestação de serviços (“Acordo do Utilizador”).

Regras Corporativas Vinculativas
políticas de proteção de dados pessoais que são cumpridas por um responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro para transferências ou um conjunto de transferências de Dados Pessoais para um responsável pelo tratamento ou subcontratante num ou mais países terceiros dentro de um grupo de empresas ou grupo de empresas envolvidas numa atividade económica conjunta.

Responsável pelo Tratamento
a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, individualmente ou em conjunto com outros, determina as finalidades e os meios do Processamento de Dados Pessoais.

Cliente
Clientes da Organização que desejam pagar por produtos e/ou serviços fornecidos pela Organização através do Payment Module da Mollie.

Violação de Dados
uma violação de segurança que provoque a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a Dados Pessoais transmitidos, armazenados ou sujeitos a outro tipo de processamento. 

Acordo de Processamento de Dados
este acordo, incluindo todos os anexos.

Autoridade de Controlo
um organismo governamental independente responsável por supervisionar a conformidade com as leis aplicáveis relativas ao Processamento de Dados Pessoais. Nos Países Baixos, trata-se da Autoriteit Persoonsgegevens.

Avaliação de Impacto sobre a Proteção de Dados
uma avaliação do impacto das operações de processamento previstas na proteção de Dados Pessoais. 

Leis de Proteção de Dados
toda a legislação aplicável relativa à proteção de dados e privacidade, incluindo, sem limitação, o Regulamento Geral sobre a Proteção de Dados da UE, todas as leis e regulamentos locais que alterem ou substituam qualquer um deles, juntamente com quaisquer leis de execução nacionais em qualquer Estado-Membro do Espaço Económico Europeu (EEE), na medida em que seja aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído periodicamente. 

Titular dos Dados
a pessoa singular a quem os Dados Pessoais dizem respeito (por exemplo, Clientes).

RGPD
o Regulamento Geral sobre a Proteção de Dados (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados. 

Dados Pessoais
qualquer informação relativa a uma pessoa singular identificada ou identificável; é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como um nome, número de identificação, dados de localização, identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. 

Processamento
qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não, tais como recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição. Esta lista não é exaustiva. Os termos “processar”, “processa” e “processado” serão interpretados em conformidade. 

Subcontractante
uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que Processa Dados (Pessoais) em nome do Responsável pelo Tratamento.

Organização
a organização que utiliza o Payment Module da Mollie para fins que incluem, mas não se limitam a, venda de produtos e/ou serviços a Clientes.

Cláusulas Contratuais-Tipo
Cláusulas Contratuais-Tipo da Comissão Europeia para Subcontractantes de Dados (2010/87/UE) ou Decisão de Execução da Comissão (UE) 2021/914 de 4 de junho de 2021 sobre cláusulas contratuais-tipo para a transferência de dados pessoais para terceiros países nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (C/2021/3972).

Sub-subcontratante
qualquer terceira pessoa, entidade ou empresa contratada pelo Subcontractante para processar Dados Pessoais na prestação dos serviços ao abrigo do Acordo. 

SECÇÃO A FINALIDADE 

Artigo A.1 Âmbito

O Subcontractante concordou em prestar serviços ao Responsável pelo Tratamento em conformidade com os termos do Acordo do Utilizador. Ao prestar serviços, o Subcontractante irá Processar Dados Pessoais em nome do Responsável pelo Tratamento, conforme identificado neste DPA. O Subcontractante, enquanto instituição financeira, também processa Dados Pessoais agindo como responsável pelo tratamento de dados. 

As Partes reconhecem e concordam que, na medida em que a Mollie processa Dados Pessoais envolvidos em transações de pagamento para: i) executar o Acordo do Utilizador com o Responsável pelo Tratamento; ii) monitorizar, prevenir e detetar transações de pagamento fraudulentas; iii) cumprir obrigações legais ou regulamentares aplicáveis ao processamento e retenção de dados de pagamento às quais a Mollie está sujeita, incluindo triagem aplicável contra o branqueamento de capitais e cumprimento das obrigações de conhecimento do cliente (know-your-customer); e iv) melhorar os produtos e serviços da Mollie, a Mollie está a agir como responsável pelo tratamento de dados e tem a autoridade única e exclusiva para determinar os fins e os meios de processamento dos Dados Pessoais que recebe de ou através da prestação de serviços ao Responsável pelo Tratamento.

As atividades de processamento, os Dados Pessoais e as categorias de Titulares dos Dados para os quais o Subcontractante processa Dados Pessoais em nome do Responsável pelo Tratamento estão identificados no Anexo A. 

SECÇÃO B OBRIGAÇÕES 

Artigo B.1 Obrigações do Responsável pelo Tratamento 

O Responsável pelo Tratamento é responsável pelos Dados Pessoais que o Subcontractante irá Processar e deve garantir a conformidade com todas as Leis de Proteção de Dados, incluindo requisitos relativos à transferência dos Dados Pessoais ao abrigo deste DPA e do Acordo do Utilizador. O Responsável pelo Tratamento garante que tem o direito de Processar os Dados Pessoais e possui o direito de nomear o Subcontractante para Processar os dados em nome do Responsável pelo Tratamento.

O Responsável pelo Tratamento concorda que, sem limitação das obrigações do Subcontractante ao abrigo deste DPA, o Responsável pelo Tratamento é o único responsável pela sua utilização dos serviços, incluindo (a) fazer um uso adequado dos serviços para garantir um nível de segurança adequado ao risco em relação aos Dados Pessoais; (b) proteger as credenciais de autenticação da conta, sistemas e dispositivos que o Responsável pelo Tratamento utiliza para aceder aos serviços; (c) proteger os sistemas e dispositivos do Responsável pelo Tratamento que utiliza com os serviços; e (d) manter as suas próprias cópias de segurança dos Dados Pessoais.

Artigo B.2 Obrigações do Subcontractante 

O Subcontractante compromete-se a: 

1. processar os Dados Pessoais apenas em conformidade com as instruções documentadas do Responsável pelo Tratamento e tomar as medidas necessárias para garantir que qualquer pessoa singular que atue sob a sua autoridade e que tenha acesso a Dados Pessoais não os processe a menos que receba instruções do Responsável pelo Tratamento;

2. informar prontamente o Responsável pelo Tratamento se algum das instruções relativas ao Processamento de Dados Pessoais que lhe foram fornecidas violar quaisquer Leis de Proteção de Dados aplicáveis ou as disposições estabelecidas neste DPA;

3. implementar procedimentos técnicos e organizacionais adequados para proteger os Dados Pessoais, tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares; e

4. sem demora injustificada, informar o Responsável pelo Tratamento se receber uma reclamação ou pedido relacionado com as obrigações de qualquer uma das Partes ao abrigo das Leis de Proteção de Dados relevantes para este DPA, incluindo qualquer reclamação de indemnização de um Titular dos Dados ou qualquer notificação, investigação ou outra ação de uma Autoridade de Controlo e fornecer ao Responsável pelo Tratamento todos os detalhes de tal investigação, reclamação ou pedido, a menos que tal seja proibido por lei ou a pedido da Autoridade de Controlo.
   
   

SECÇÃO C TRANSFERÊNCIAS E SUB-SUBCONTRATANTES

Artigo C.1 Transferência de Dados Pessoais 

Sempre que os Dados Pessoais relativos a um Titular dos Dados da UE sejam transferidos para fora do EEE, deverão ser processados por uma entidade: (i) localizada num país terceiro ou território reconhecido pela Comissão da UE como tendo um nível de proteção adequado; ou (ii) que esteja sujeita às Cláusulas Contratuais-Tipo da UE e/ou ao Acordo de Transferência Internacional de Dados do Reino Unido ou ao Adenda SCC do Reino Unido; ou (iii) que tenha outras salvaguardas adequadas legalmente reconhecidas em vigor, tais como as Regras Corporativas Vinculativas, que garantam o mesmo nível de proteção e salvaguardas deste DPA. 

Artigo C.2 Sub-subcontratantes 

O Responsável pelo Tratamento consente, pelo presente, a utilização por parte do Subcontractante de Sub-subcontratantes especificados no Anexo B. Esta lista poderá ser atualizada periodicamente pelo Subcontractante em conformidade com este DPA.

Antes de contratar um novo Sub-subcontratante para os serviços listados no Anexo A, o Subcontractante deverá notificar o Responsável pelo Tratamento que utiliza o referido serviço e conceder ao Responsável pelo Tratamento pelo menos dez (10) dias civis para se opor, exceto se o Subcontractante acreditar razoavelmente que contratar um novo Sub-subcontratante em regime de urgência é necessário para proteger a confidencialidade, integridade ou disponibilidade dos Dados Pessoais ou para evitar perturbações materiais nos serviços prestados. Nesse caso, o Subcontractante enviará a notificação assim que for razoavelmente praticável. Se, nos cinco (5) dias civis seguintes a essa notificação, o Responsável pelo Tratamento notificar por escrito o Subcontractante de que se opõe à nomeação de um novo Sub-subcontratante por este último com base em preocupações razoáveis com a proteção de dados, as partes discutirão essas preocupações de boa-fé e analisarão se podem ser resolvidas. As objeções a novos Sub-subcontratantes devem ser submetidas para privacy@mollie.com. 

O Responsável pelo Tratamento reconhece que os Sub-subcontratantes são essenciais para a prestação dos serviços e que opor-se à utilização de um Sub-subcontratante pode impedir o Subcontractante de oferecer os serviços ao Responsável pelo Tratamento. Se as partes não conseguirem chegar a acordo mútuo sobre a resolução de tais preocupações, o Responsável pelo Tratamento poderá, como única e exclusiva solução, rescindir o DPA de forma unilateral e sem penalizações.

Todos os Sub-subcontratantes que processem Dados Pessoais na prestação de serviços ao Responsável pelo Tratamento devem cumprir as obrigações estabelecidas neste DPA. Antes de divulgar Dados Pessoais a qualquer Sub-subcontratante, o Subcontractante deverá proceder a uma diligência devida adequada para garantir que o Sub-subcontratante tem capacidade para fornecer o nível de proteção exigido por este DPA para os dados do Responsável pelo Tratamento 

e celebrar um acordo com esse Sub-subcontratante ao abrigo do qual este concorde em cumprir obrigações equivalentes às estabelecidas neste DPA. 

SECÇÃO D SEGURANÇA 

Artigo D.1 Medidas de segurança

O Subcontractante deve implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo, entre outras, conforme adequado:

1. a pseudonimização e encriptação de Dados Pessoais; 

2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de processamento; 

3. a capacidade de repor a disponibilidade e o acesso aos Dados Pessoais em tempo útil em caso de incidente físico ou técnico; e 

4. um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento. Ao avaliar o nível adequado 

de segurança, serão tidos em conta, em particular, os riscos apresentados pelo processamento, nomeadamente a destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou por outra via processados.

Artigo D.2 Notificação de Violação de Dados

O Subcontractante notificará o Responsável pelo Tratamento, sem demora injustificada, após a descoberta de qualquer destruição, perda, alteração acidental ou ilícita, ou divulgação ou acesso não autorizado a Dados Pessoais, na medida em que a Violação de Dados esteja apenas relacionada com o processamento de Dados Pessoais pelo Subcontractante na sua qualidade de subcontratante. Se e onde a Violação de Dados disser respeito a Dados Pessoais para os quais o Subcontractante seja considerado Responsável pelo Tratamento, conforme descrito na Declaração de Privacidade do Subcontractante, o Subcontractante reserva-se o direito de tratar a Violação de Dados como responsável pelo tratamento. 

O atraso no envio de uma notificação de Violação de Dados solicitada pelas autoridades policiais e/ou à luz das necessidades legítimas do Subcontractante de investigar ou sanar a situação antes de enviar a notificação não constituirá um atraso injustificado. Tais notificações descreverão, na medida do possível, os detalhes da Violação de Dados, incluindo as medidas tomadas para mitigar os riscos potenciais. Sem prejuízo das obrigações do Subcontractante ao abrigo desta Secção D.1, o Responsável pelo Tratamento é o único responsável pelo cumprimento das leis de notificação de Violação de Dados aplicáveis ao Responsável pelo Tratamento e pelo cumprimento de quaisquer obrigações de notificação a terceiros relacionadas com quaisquer Violações de Dados. A notificação de ou resposta do Subcontractante a uma Violação de Dados ao abrigo desta Secção D.1 não será interpretada como um reconhecimento pelo Subcontractante de qualquer falha ou responsabilidade relativamente à Violação de Dados.

Quaisquer custos incorridos na resolução da Violação de Dados e na implementação de medidas necessárias para prevenir tal Violação de Dados no futuro serão suportados pela Parte que incorre nos custos. 

SECÇÃO E AUDITORIA

Artigo E.1 Direito de Auditoria 

O Responsável pelo Tratamento terá o direito de solicitar, mediante aviso prévio razoável, relatórios de auditoria do Subcontractante relativos ao Processamento de Dados Pessoais no âmbito dos serviços prestados ao abrigo deste DPA.

Os relatórios de auditoria, conforme referidos nesta cláusula, incluirão, mas não se limitarão a, relatórios relacionados com as medidas de segurança, confidencialidade e proteção de dados implementadas pelo Subcontractante em ligação com o Processamento de Dados Pessoais. Estes relatórios também podem cobrir a conformidade com as Leis de Proteção de Dados relevantes.

Os pedidos de relatórios de auditoria devem ser feitos por escrito e enviados para privacy@mollie.com, especificando o âmbito e a finalidade do pedido. O Subcontractante confirmará a receção de tais pedidos de forma atempada.

A receção de relatórios de auditoria estará sujeita a dever de confidencialidade profissional. O Responsável pelo Tratamento apenas poderá utilizar os relatórios de auditoria para cumprir os requisitos de auditoria regulamentar do próprio Responsável pelo Tratamento e para confirmar que o Processamento de Dados Pessoais pelo Subcontractante cumpre este DPA. Os relatórios de auditoria não devem ser partilhados externamente.

SECÇÃO F AVALIAÇÕES DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E CONSULTAS PRÉVIAS

Artigo F.1 Assistência

O Subcontractante assistirá o Responsável pelo Tratamento na realização de uma avaliação do impacto do Processamento de Dados Pessoais (artigo 35.º do RGPD) e em quaisquer consultas com uma Autoridade de Controlo (artigo 36.º do RGPD), se e na medida em que for exigida a realização de uma avaliação ou consulta ao abrigo das Leis de Proteção de Dados e sempre que o Subcontractante esteja autorizado e/ou seja obrigado a cooperar.

SECÇÃO G DIREITOS DOS TITULARES DOS DADOS

Artigo G.1 Assistência

Se o Subcontractante receber um pedido de um Titular dos Dados relativamente a Dados Pessoais do Responsável pelo Tratamento, o Subcontractante aconselhará o Titular dos Dados a submeter o seu pedido ao Responsável pelo Tratamento e/ou encaminhará o pedido para o Responsável pelo Tratamento, sendo este responsável por responder a tal pedido.

A pedido do Responsável pelo Tratamento e a expensas deste, o Subcontractante fornecer-lhe-á a assistência que este possa razoavelmente requerer para cumprir as obrigações decorrentes das Leis de Proteção de Dados de responder a pedidos dos titulares dos dados para exercerem os seus direitos ao abrigo das referidas leis (por exemplo, direitos de acesso a dados, retificação, apagamento, limitação, portabilidade e oposição) nos casos em que o Responsável pelo Tratamento não possa razoavelmente satisfazer tais pedidos de forma independente através do seu acesso aos produtos e serviços do Subcontractante.

SECÇÃO H DISPOSIÇÕES DIVERSAS 

Artigo H.1 Confidencialidade 

O Subcontractante manterá confidenciais todos os Dados Pessoais e garantirá que todos os funcionários, agentes, diretores e subempreiteiros que tenham acesso ou estejam envolvidos no Processamento de Dados Pessoais estão cientes da natureza confidencial dos Dados Pessoais, estão contratualmente vinculados a manter a confidencialidade dos mesmos e estão informados e cumprem as obrigações deste DPA.

Artigo H.2 Responsabilidade civil

Toda e qualquer responsabilidade civil decorrente deste DPA será regida pelas disposições relevantes do Acordo do Utilizador, incluindo as limitações de responsabilidade. 

Sem prejuízo das disposições do Acordo do Utilizador, cada Parte só será responsável perante a outra Parte por quaisquer danos que cause a essa outra Parte por qualquer violação deste DPA. Estes danos deverão ser claramente demonstrados. O Subcontractante só será responsável pelos danos causados pelo processamento se não tiver cumprido as obrigações decorrentes das Leis de Proteção de Dados especificamente dirigidas aos subcontratantes de dados ou se tiver agido à margem ou contra as instruções legítimas do Responsável pelo Tratamento, conforme descrito neste DPA. Nesse contexto, o Subcontractante só será responsável se o Responsável pelo Tratamento provar que o Subcontractante é responsável pelo evento que deu origem ao dano.

O Responsável pelo Tratamento será o único responsável perante o Titular dos Dados, e o Titular dos Dados terá direito a receber indemnização, por quaisquer danos patrimoniais ou não patrimoniais que o Responsável pelo Tratamento ou o Subcontractante (ou o(s) seu(s) Sub-subcontratante(s)) causem ao Titular dos Dados ao violarem este DPA.

Artigo H.3 Vigência e Rescisão 

A vigência deste DPA coincidirá com o início do Acordo do Utilizador e/ou utilização do produto ou serviço específico incluído no Anexo A.

Este DPA extinguir-se-á automaticamente em conjunto com a rescisão do Acordo do Utilizador e/or da utilização do produto ou serviço específico incluído no Anexo A, consoante o que ocorrer primeiro.

Após a cessação deste DPA, o Subcontractante irá, a pedido do Responsável pelo Tratamento, devolver os Dados Pessoais a este ou a um Subcontractante por ele indicado, ou apagará os Dados Pessoais, a menos que o Subcontractante seja obrigado a conservar uma cópia em conformidade com qualquer legislação da União Europeia ou de qualquer Estado-Membro da União Europeia.

SECÇÃO I DISPOSIÇÕES FINAIS 

Artigo I.1 Integralidade do Acordo 

Este DPA constitui parte integrante do Acordo do Utilizador. Todos os direitos e obrigações decorrentes do Acordo do Utilizador são também aplicáveis a este DPA. O Anexo A constitui parte integrante deste DPA.

Artigo I.2 Alteração apenas por Acordo 

Nenhuma alteração a este DPA será válida a menos que seja feita por escrito e assinada por representantes autorizados de cada Parte. 

Artigo I.3 Divisibilidade 

Cada uma das disposições de presente DPA é distinta e divisível, e se qualquer disposição, ou parte de uma disposição, for considerada inexequível, ilegal ou nula, no todo ou em parte, por qualquer tribunal, autoridade reguladora ou outra autoridade competente, será considerada, nessa medida, não fazer parte deste DPA, não sendo afetada a exequibilidade, legalidade e validade das restantes disposições do mesmo. As Partes concordam em tentar substituir qualquer disposição inválida ou inexequível por uma disposição válida ou exequível que atinja, na medida do possível, o mesmo efeito que seria

alcançado pela disposição inválida ou inexequível. Salvo quanto às alterações introduzidas pelo presente DPA, o Acordo do Utilizador permanece inalterado e em pleno vigor e efeito.

Artigo I.4 Direito de Cessão 

As Partes só podem transferir este DPA em conformidade com o Acordo do Utilizador (cláusula 8.9). 

Artigo I.5 Lei Aplicável 

Este DPA será regido e interpretado em conformidade com as leis dos Países Baixos. Cada Parte aceita a jurisdição exclusiva dos tribunais de Amesterdão para dirimir quaisquer litígios decorrentes do presente DPA. Caso qualquer tribunal ou organismo administrativo de jurisdição competente considere qualquer disposição deste DPA inválida, inexequível ou ilegal, as restantes disposições deste DPA permanecerão em pleno vigor e efeito. 

ANEXO A – ESPECIFICAÇÃO DO PROCESSAMENTO DE DADOS PESSOAIS 

1. FINALIDADE DO PROCESSAMENTO

O processamento de Dados Pessoais está diretamente relacionado com a prestação dos serviços fornecidos ao abrigo do Acordo do Utilizador.

As finalidades do processamento são:

• Diferendos

  • Facilitar a gestão e resolução de diferendos entre o Responsável pelo Tratamento e os seus Clientes através dos produtos e serviços da Mollie.

  • Fornecer ao Responsável pelo Tratamento as ferramentas e informações necessárias para responder a reclamações de diferendos, tais como estornos ou pedidos de esclarecimento de pagamentos.

• Faturação

  •  Facilitar o envio de faturas aos Clientes do Responsável pelo Tratamento através dos produtos e serviços da Mollie 

2. CATEGORIAS DE TITULARES DOS DADOS 

O Subcontractante irá Processar Dados Pessoais das seguintes categorias de Titulares dos Dados para o Responsável pelo Tratamento:

• Clientes do Responsável pelo Tratamento: Os ordenantes (consumidores ou clientes empresariais) que iniciam um pagamento, consulta ou diferendo.

Diferendos

• Terceiros Destinatários: Pessoas singulares identificadas nos registos de entrega ou nos comprovativos de transação que podem não ser o ordenante (por exemplo, uma pessoa que recebe um presente numa morada de envio).

• Representantes Autorizados / Pessoal do Responsável pelo Tratamento: Pessoal do comerciante cujos nomes, dados de contacto ou assinaturas possam constar de provas de diferendos, registos de comunicações ou pedidos de assistência.

• Prestadores de Serviços Terceiros: Pessoas singulares cujos dados possam constar de provas fornecidas por sub-subcontratantes ou parceiros (por exemplo, nomes de motoristas de entrega numa assinatura de comprovativo de entrega).

Faturação

• Dados da fatura (conforme incluídos pelo Responsável pelo Tratamento)

3. TIPOS DE DADOS PESSOAIS 

O Subcontractante irá Processar os seguintes tipos de Dados Pessoais para o Responsável pelo Tratamento:

• Dados de Identidade e Contacto: Nome completo, endereço de email, número de telefone e endereço de faturação do Ordenante.

• Metadados da Transação: ID da transação, número do pedido, montante, moeda, data/hora e o método de pagamento específico utilizado (por exemplo, Cartão de Crédito, Klarna, iDEAL).

• Dados de Cumprimento e Logística: 

  • Dados de Envio: Morada de envio (rua, número de porta, código postal, cidade, país).

  • Informações de Rastreio: Nome da transportadora, números de rastreio e registos do estado do trânsito/entrega em tempo real.

  • Comprovativo de Entrega: Assinaturas digitais, carimbos temporais de entrega e provas fotográficas de entrega (por exemplo, embalagem à porta).

• Provas de Diferendo (Dados Não Estruturados): 

  • Ficheiros Carregados: Quaisquer dados pessoais contidos em documentos carregados manualmente pelo Responsável pelo Tratamento (por exemplo, faturas em PDF, registos de chat de apoio ao cliente, capturas de ecrã do WhatsApp ou correspondência por email).

• Identificadores Técnicos: Endereços IP, impressões digitais do dispositivo e metadados do navegador recolhidos no momento da transação (utilizados para verificar a localização e identidade do cliente com vista a combater a fraude).

As categorias de Dados Pessoais enumeradas acima refletem o âmbito pretendido de Processamento ao abrigo do presente Acordo. Nos casos em que Dados Pessoais que não pertençam a estas categorias sejam partilhados incidentalmente ou integrados em dados não estruturados ou documentos carregados, o Subcontractante tratará tais dados com o devido cuidado e aplicará medidas técnicas e organizacionais adequadas.

4. MEDIDAS DE SEGURANÇA 

Contexto 

Sendo uma instituição financeira, os controlos de segurança e procedimentos de funcionamento que a Mollie criou para as nossas aplicações, sistemas e processos de TI estão sujeitos a revisão pelo Banco Central Holandês (DNB), que, por sua vez, utiliza as orientações da Autoridade Bancária Europeia (EBA) para as normas técnicas a que os titulares de licenças devem aderir. 

Além disso, como a Mollie (também) funciona como responsável pelo tratamento de dados pessoais, a Mollie é igualmente regulada por outra legislação que estabelece normas de segurança e proteção de dados, aplicada por autoridades adicionais - nomeadamente o RGPD e a sua autoridade reguladora nos Países Baixos (Autoriteit Persoonsgegevens). 

Por outro lado, os sistemas que processam especificamente dados de cartões são sistemas em conformidade com o nível 1 do PCI DSS, o que significa que esta aplicação específica e os procedimentos para o seu desenvolvimento e manutenção estão sujeitos às medidas de proteção de dados definidas pelo PCI Council, cuja conformidade é avaliada anualmente por uma entidade externa. 

Medidas Gerais

Todas as aplicações, sistemas e procedimentos relacionados com os mesmos estão sujeitos à Política de Segurança de Informação da Mollie. Os pontos fortes desta e de outras políticas relevantes para o âmbito dos serviços prestados são:

• Triagem de colaboradores

• Programa de formação em segurança para programadores

• Programa de sensibilização para a segurança

• Segregação de funções

• Gestão de alterações

• Gestão de vulnerabilidades

• Gestão de incidentes

• Gestão de resiliência e cópias de segurança

• Aplicação rigorosa do controlo de acessos (IAM e IGA)

• Revisões das autorizações dos utilizadores

• Normas de classificação de sistemas

• Normas de classificação de dados e política de dados

• Normas de configuração segura com base nas melhores práticas da indústria, aplicação de políticas (robustecimento)

• Segregação física e lógica do ambiente de rede

• Normas de encriptação segura

• Gestão de chaves de encriptação

• Encriptação (em trânsito, em repouso para ambientes de infraestrutura partilhados, como a cloud)

• Gestão do risco de terceiros

• Monitorização de disponibilidade e de erros

• Ciclo de vida de desenvolvimento seguro

  • Modelação de ameaças em alterações significativas e novas funcionalidades

  • Gestão de dependências e deteção de vulnerabilidades conhecidas

  • Análise estática de segurança do código

  • Varredura de vulnerabilidades internas e externas

Programa coordenado de divulgação de vulnerabilidades (CVD) e de recompensas por deteção de erros (bug bounty)

Programa de inteligência sobre ameaças (por exemplo, participação no PI-ISAC holandês, centro de partilha e análise de informações sobre instituições de pagamento, monitorização da dark web)

Colaboração com prestadores de serviços geridos de segurança (MSSP) para operações de segurança, análise e investigações forenses

Informação de Segurança e Gestão de Eventos (SIEM)

Segurança dos terminais de trabalho do pessoal

Segurança de email

Plataforma Mollie

Para além das medidas gerais de segurança acima descritas, a aplicação Plataforma Mollie está abrangida pelas seguintes medidas de segurança - resultantes da implementação das nossas políticas gerais de segurança ou como medida de atenuação para fazer face a um risco identificado na avaliação de riscos específicos da aplicação:

• Controlo de acesso com dupla autenticação (MFA)

• Testes de intrusão por parte de entidades externas (pentests)

• Gestão de eventos de incidentes de segurança

• Mitigação de ataques DDoS

• Resposta a incidentes de segurança

• Monitorização de disponibilidade

• Armazenamento seguro de credenciais

• Infraestrutura redundante

• Recuperação de desastres e failover

• Limitação de taxa e bloqueio

• Política rigorosa de segurança de conteúdos (CSP)

• Captcha

• Web application firewall
  
  

ANEXO B – VISÃO GERAL DOS SUB-SUBCONTRATANTES

Aplicável aos utilizadores do produto Diferendos

Aplicável aos utilizadores do Produto de Faturação