Acord de procesare a datelor

Această ÎNȚELEGERE DE PROCENTARE A DATELOR (denumită în continuare „DPA”) inclusiv anexele sale descrie obligațiile Părților, inclusiv în conformitate cu legile aplicabile de protecție a datelor, cu privire la procesarea datelor cu caracter personal (așa cum este definit mai jos). DPA este încorporată în Acordul Utilizatorului.

Această DPA este între Organizație (denumită în continuare „Operatorul”)

și 

Mollie B.V., o societate cu răspundere limitată (besloten vennootschap) având sediul în Amsterdam, la Keizersgracht 126, 1015 CW Amsterdam, Olanda și înregistrată la Camera de Comerț olandeză sub numărul 30204462, (denumită în continuare „Mollie” sau „Procesatorul”)

și 

Mollie UK Ltd., o societate cu răspundere limitată având sediul în Londra, 7 Pancras Square, Londra N1C 4AG, Regatul Unit și înregistrată la Registrul Companiilor sub numărul 14013554, (denumită în continuare „Mollie” sau „Procesatorul”),

fiecare o „Parte” și împreună „Părțile”. 

Definiții 

În această DPA, termenii următori au semnificația stabilită mai jos. Termenii cu majuscule folosiți dar nedeclarați aici vor avea semnificația stabilită în Acord.

Acord: Acordul între Operator și Procesator pentru furnizarea de servicii („Acordul Utilizatorului”).

Reguli Corporative Obligatorii: Politicile de protecție a datelor personale la care aderă un operator sau procesator stabilit pe teritoriul unui Stat Membru pentru transferuri sau un set de transferuri de Date Personale către un operator sau procesator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi, sau grup de întreprinderi implicate într-o activitate economică comună.

Operator: Persoana fizică sau juridică, autoritate publică, agenție sau alt organism care, singură sau împreună cu alții, determină scopul și mijloacele de procesare a Datelor Personale.

Client: Clienții Organizației care doresc să plătească pentru produsele și/sau serviciile furnizate de Organizație prin Modulul de Plată al Mollie.

Încălcarea datelor: O încălcare a securității care duce la distrugerea, pierderea, modificarea accidentală sau ilegală, divulgarea neautorizată sau accesul la Datele Personale transmise, stocate sau procesate în alt mod. 

Întreaga Acord de Procesare a Datelor: Acest acord, inclusiv toate atașamentele.

Autoritatea de Supraveghere: Un organism guvernamental independent responsabil pentru supravegherea respectării legilor aplicabile referitoare la Procesarea Datelor Personale. În Olanda, aceasta este Autoritatea pentru Protecția Datelor.

Evaluarea Impactului asupra Protecției Datelor: O evaluare a impactului operațiunilor de procesare prevăzute asupra protecției Datelor Personale.

Legile de Protecție a Datelor: Toată legislația aplicabilă referitoare la protecția datelor și confidențialitate, inclusiv, dar fără a se limita la, Regulamentul General al Uniunii Europene privind Protecția Datelor, toate legile și reglementările locale care modifică sau înlocuiesc oricare dintre acestea, împreună cu orice legi naționale de implementare în orice Stat Membru al Spațiului Economic European (SEE), în măsura în care acestea se aplică, în orice altă țară, așa cum au fost modificate, abrogate, consolidate sau înlocuite de-a lungul timpului.

Persoana Vizată: Persoana fizică la care se referă Datele Personale (de exemplu, Clienții).

GDPR: Regulamentul General pentru Protecția Datelor (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește procesarea Datelor Personale și libera circulație a acestor date. 

Datele Personale: Orice informație referitoare la o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este aceea care poate fi identificată, direct sau indirect, în special prin referire la un identificator precum un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice. 

Procesare: Orice operațiune sau set de operațiuni care sunt efectuate asupra Datelor Personale sau seturilor de Date Personale, indiferent dacă realizate prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, diseminare sau altfel punerea la dispoziție, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. Această listă nu este exhaustivă. Termenii „procesează”, „procesează” și „procesat” vor fi interpretați în consecință. 

Procesator: O persoană fizică sau juridică, autoritate publică, agenție sau alt organism care procesează (Datele) Personale în numele Operatorului.

Organizație: Organizația care utilizează Modulul de Plată al Mollie în scopuri inclusiv, dar fără a se limita la, vânzarea de produse și/sau servicii către Clienți.

Clauze Contractuale Standard: Clauzele Contractuale Standard ale Comisiei Europene pentru Procesatori de Date (2010/87/UE) sau Decizia de Implementare a Comisiei (UE) 2021/914 din 4 iunie 2021 privind clauzele contractuale standard pentru transferul datelor personale către țări terțe conform Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (C/2021/3972).
Sub-procesator oricine terță persoană, entitate sau companie angajată de Procesator pentru a procesa Datele Personale în furnizarea serviciilor conform Acordului.

SECȚIUNEA A: SCOP 

Articolul A.1 Domeniu de aplicare

Procesatorul a convenit să furnizeze servicii Operatorului în conformitate cu termenii Acordului Utilizatorului. În furnizarea serviciilor, Procesatorul va procesa Datele Personale în numele Operatorului, așa cum este identificat în această DPA. Procesatorul, în calitate de instituție financiară, procesează de asemenea Datele Personale acționând ca operator de date. 

Părțile recunosc și sunt de acord că, în măsura în care Mollie procesează Datele Personale implicate în tranzacțiile de plată pentru: i) a executa Acordul Utilizatorului cu Operatorul; ii) a monitoriza, preveni și detecta tranzacțiile de plată frauduloase; iii) a respecta obligațiile legale sau de reglementare aplicabile procesării și retenției datelor de plată la care Mollie este supus, inclusiv screeningul anti-spălare de bani aplicabil și conformitatea cu obligațiile de cunoaștere a clientului; și iv) a îmbunătăți produsele și serviciile Mollie, Mollie acționează ca operator de date și are autoritatea exclusivă de a determina scopurile și mijloacele procesării Datelor Personale pe care le primește de la sau prin (furnizarea de servicii către) Operator.

Activitățile de procesare, Datele Personale și categoriile de Persoane Vizate pentru care Procesatorul procesează Datele Personale în numele Operatorului sunt identificate în Anexa A. 

SECȚIUNEA B: OBLIGAȚII 

Articolul B.1 Obligațiile Operatorului 

Operatorul este responsabil pentru Datele Personale pe care Procesatorul le va procesa și va asigura conformitatea cu toate Legile de Protecție a Datelor, inclusiv cerințele referitoare la transferul Datelor Personale în conformitate cu această DPA și Acordul Utilizatorului. Operatorul garantează că are dreptul de a procesa Datele Personale și deține dreptul de a numi Procesatorul, pentru a procesa datele în numele Operatorului.

Operatorul este de acord că, fără a limita obligațiile Procesatorului în cadrul acestei DPA, Operatorul este singurul responsabil pentru utilizarea sa a serviciilor, inclusiv (a) utilizarea adecvată a serviciilor pentru a asigura un nivel de securitate adecvat riscurilor referitoare la Datele Personale; (b) securizarea acreditivelor de autentificare ale contului, sistemelor și dispozitivelor pe care Operatorul le folosește pentru a accesa serviciile; (c) securizarea sistemelor și dispozitivelor Operatorului pe care le utilizează împreună cu serviciile; și (d) menținerea propriilor copii de rezervă ale Datelor Personale.

Articolul B.2 Obligațiile Procesatorului 

Procesatorul se angajează să: 

1. proceseze Datele Personale numai în conformitate cu instrucțiunile documentate de la Operator și va lua măsurile necesare pentru a se asigura că orice persoană fizică acționând sub autoritatea sa care are acces la Datele Personale nu procesează Datele Personale decât la instrucțiunile Operatorului;

2. informeze prompt Operatorul dacă vreo dintre instrucțiunile referitoare la Procesarea Datelor Personale furnizate Procesatorului de către Operator, încalcă orice Legi de Protecție a Datelor aplicabile sau prevederile stabilite în această DPA;

3. implementeze proceduri tehnice și organizaționale adecvate pentru a proteja Datele Personale, având în vedere starea de artă, costurile de implementare și natura, domeniul, contextul și scopurile procesării, precum și riscul de variabilitate a probabilității și gravității pentru drepturile și libertățile persoanelor fizice; și

4. fără întârziere nejustificată să informeze Operatorul dacă primește o plângere sau o cerere referitoare la obligațiile fiecărei Părți în conformitate cu Legile de Protecție a Datelor relevante pentru această DPA, inclusiv orice cerere de compensație din partea unei Persoane Vizate sau orice notificare, investigație sau altă acțiune din partea unei Autorități de Supraveghere și să furnizeze Operatorului toate detaliile unei asemenea investigații, plângeri sau cereri, cu excepția cazului în care nu este permis de lege sau la cererea Autorității de Supraveghere.

SECȚIUNEA C: TRANSFERURI ȘI SUB-PROCESATORI

Articolul C.1 Transferul Datelor Personale 

Acolo unde Datele Personale referitoare la o Persoană Vizată din UE sunt transferate în afara SEE, acestea vor fi procesate de către o entitate: (i) situată într-o țară sau teritoriu recunoscut de Comisia UE ca având un nivel adecvat de protecție; sau (ii) care este supusă Clauzelor Contractuale Standard ale UE și/sau Acordului Internațional de Transfer de Date în Regatul Unit sau Anexei SCC ale Regatului Unit; sau (iii) care are alte măsuri adecvate recunoscute legal în vigoare, cum ar fi Reguli Corporative Obligatorii, care garantează același nivel de protecție și măsuri ca această DPA. 

Articolul C.2 Sub-procesatori 

Operatorul consimte prin prezenta utilizarea Sub-procesatorilor de către Procesator, specificați în Anexa B. Această listă poate fi actualizată de către Procesator periodice în conformitate cu această DPA.

Procesatorul va oferi Operatorului posibilitatea de a se opune fiecărui nou Sub-procesator care va fi implicat exclusiv pentru domeniul activităților de procesare a datelor așa cum este identificat în Anexa A. 

Înainte de a angaja un nou Sub-procesator, Procesatorul va notifica Operatorul cu privire la aceasta și va oferi Operatorului cel puțin zece (10) zile calendaristice pentru a se opune, cu excepția cazului în care Procesatorul consideră în mod rezonabil că angajarea unui nou Sub-procesator pe o bază accelerată este necesară pentru a proteja confidențialitatea, integritatea sau disponibilitatea Datelor Personale sau pentru a evita o perturbare materială a serviciilor furnizate. În acest caz, Procesatorul va da o astfel de notificare cât mai curând posibil. Dacă, în termen de cinci (5) zile calendaristice de la notificare, Operatorul notifică Procesatorul în scris că se opune numirii unui nou Sub-procesator pe baza unor îngrijorări rezonabile de protecție a datelor, părțile vor discuta cu bună credință aceste preocupări și dacă pot fi rezolvate. Obiecțiile la noi Sub-procesatori vor fi trimise la privacy@mollie.com. 

Operatorul recunoaște că Sub-procesatorii sunt esențiali pentru furnizarea serviciilor și că obiectarea față de utilizarea unui Sub-procesator poate împiedica Procesatorul să ofere serviciile Operatorului. Dacă părțile nu sunt capabile să ajungă la un acord reciproc asupra unei soluții pentru aceste preocupări, Operatorul, ca singur și exclusiv remediu, poate termina DPA din conveniență.

Toți Sub-procesatorii care procesează Datele Personale în furnizarea serviciilor Operatorului vor respecta obligațiile stabilite în această DPA. Procesatorul va efectua, înainte de divulgarea Datelor Personale către orice Sub-procesator, o diligență adecvată pentru a se asigura că Sub-procesatorul este capabil să ofere nivelul de protecție a Datelor 

Personale cerut de această DPA și va încheia un acord cu acel Sub-procesator în temeiul căruia Sub-procesatorul se angajează să respecte obligațiile echivalente cu cele stabilite în această DPA. 

SECȚIUNEA D: SECURITATE

Articolul D.1 Măsuri de securitate

Procesatorul va implementa măsuri tehnice și organizaționale adecvate pentru a asigura un nivel de securitate adecvat riscurilor, inclusiv între altele, după cum este adecvat:

1. pseudonimizarea și criptarea Datelor Personale; 

2. abilitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continuă a sistemelor și serviciilor de procesare; 

3. abilitatea de a restaura disponibilitatea și accesul la Datele Personale într-un mod oportun în cazul unui incident fizic sau tehnic; și 

4. un proces de testare, evaluare și evaluare regulată a eficacității măsurilor tehnice și organizaționale pentru asigurarea securității Procesării. În evaluarea nivelului adecvat de securitate, se va ține cont în special de riscurile prezentate de procesare, în special din distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la Datele Personale transmise, stocate sau procesate în alt mod.

   
   

Articolul D.2 Notificarea Încălcării Datelor

Procesatorul va notifica Operatorul fără întârziere nejustificată despre orice distrugere accidentală sau ilegală, pierdere, modificare sau divulgare neautorizată sau acces la Datele Personale după descoperire, în măsura în care Încălcarea Datelor se referă doar la procesarea Datelor Personale de către Procesator în calitatea sa de procesator. Dacă și în măsura în care Încălcarea Datelor se referă la Datele Personale pentru care Procesatorul este considerat Operator așa cum este descris în Declarația de Confidențialitate a Procesatorului Privacy Statement, Procesatorul își rezervă dreptul de a trata Încălcarea Datelor ca operator.

O întârziere în notificarea unei Încălcări a Datelor solicitată de forțele de ordine și/sau în lumina necesităților legitime ale Procesatorului de a investiga sau de a remedia problema înainte de a oferi notificarea nu va constitui o întârziere nejustificată. Astfel de notificări vor descrie, în măsura posibilului, detaliile Încălcării Datelor, incluzând pașii întreprinși pentru a atenua riscurile potențiale. Fără a aduce atingere obligațiilor Procesatorului în cadrul acestei Secțiuni D.1, Operatorul este singur responsabil pentru respectarea legilor privind notificarea Încălcărilor Datelor aplicabile Operatorului și îndeplinirea oricăror obligații de notificare față de terți legate de orice Încălcări ale Datelor. Notificarea de către Procesator sau răspunsul la o Încălcare a Datelor în baza acestei Secțiuni D.1. nu va fi interpretată ca o recunoaștere din partea Procesatorului a vreo vina sau responsabilitate în legătură cu Încălcarea Datelor.

Orice costuri suportate pentru rezolvarea Încălcării Datelor și implementarea măsurilor necesare pentru a preveni o astfel de Încălcare a Datelor în viitor vor fi suportate de partea care suportă costurile.

SECȚIUNEA E: AUDIT

Articolul E.1 Dreptul de Audit 

Operatorul va avea dreptul să solicite, cu o notificare rezonabilă, rapoarte de audit de la Procesator referitoare la Procesarea Datelor Personale în cadrul serviciilor furnizate sub această DPA.

Rapoartele de audit, așa cum se face referire în această clauză, vor include, dar nu se vor limita la, rapoarte legate de măsurile de securitate, confidențialitate și protecție a datelor implementate de Procesator în legătură cu Procesarea Datelor Personale. Aceste rapoarte pot acoperi de asemenea conformitatea cu Legile de Protecție a Datelor relevante.

Solicitările pentru rapoarte de audit vor fi făcute în scris și trimise la privacy@mollie.com, specificând domeniul și scopul solicitării. Procesatorul va confirma primirea acestor solicitări într-un termen rezonabil.

Primirea rapoartelor de audit va fi supusă unui dever profesional de confidențialitate. Operatorul poate folosi rapoartele de audit doar în scopul îndeplinirii cerințelor de audit reglementare ale Operatorului și pentru a confirma că Procesarea Datelor Personale de către Procesator este conformă cu această DPA. Rapoartele de audit nu vor fi partajate extern.

SECȚIUNEA F: EVALUĂRI PRIVIND IMPACTUL ASUPRA PROTECȚIEI DATELOR ȘI CONSULTAȚII PREALABILE

Articolul F.1 Asistență

Procesatorul va asista Operatorul în efectuarea unei evaluări a impactului Procesării Datelor Personale (articolul 35 GDPR) și cu orice consultări cu o Autoritate de Supraveghere (articolul 36 GDPR), dacă și în măsura în care o evaluare sau consultare este necesară pentru a fi realizată în conformitate cu Legile de Protecție a Datelor și în cazul în care Procesatorul este autorizat și/sau obligat să coopereze.

SECȚIUNEA G: DREPTURILE PERSOANELOR VIZATE

Articolul G.1 Asistență

Dacă Procesatorul primește o cerere de la o Persoană Vizată în legătură cu Datele Personale ale Operatorului, Procesatorul va sfătui Persoana Vizată să își trimită cererea către Operator și/sau va redirecționa cererea către Operator, iar Operatorul va fi responsabil pentru a răspunde oricărei astfel de cereri.

La cererea Operatorului și pe cheltuiala Operatorului, Procesatorul va oferi Operatorului o asistență pe care acesta o poate solicita în mod rezonabil pentru a respecta obligațiile în virtutea Legilor de Protecție a Datelor pentru a răspunde cererilor din partea persoanelor vizate de a-și exercita drepturile în conformitate cu Legile de Protecție a Datelor (de exemplu, drepturile de acces la date, rectificare, ștergere, restricție, portabilitate și opoziție) în cazurile în care Operatorul nu poate îndeplini în mod rezonabil aceste cereri independent prin accesul său la produsele și serviciile Procesatorului.

SECȚIUNEA H: DIVERSE 

Articolul H.1 Confidențialitate 

Procesatorul va păstra confidențialitatea tuturor Datelor Personale și va asigura că toți angajații, agenți, ofițeri și contractori care au acces la sau sunt implicați în procesarea Datelor Personale sunt conștienți de natura confidențială a Datelor Personale și sunt obligați contractual să păstreze confidențialitatea Datelor Personale și sunt informați și respectă obligațiile acestei DPA.

Articolul H.2 Responsabilitate

Orice și toate responsabilitățile care decurg din această DPA vor fi guvernate de dispozițiile relevante ale Acordului Utilizatorului, inclusiv limitările de responsabilitate. 

Nu aducând atingere prevederilor Acordului Utilizatorului, fiecare Parte va fi responsabilă față de cealaltă Parte pentru orice daune cauzate celeilalte Părți prin orice încălcare a acestei DPA. Aceste daune vor trebui să fie demonstrat clar. Procesatorul va fi responsabil doar pentru daunele cauzate de procesare în cazul în care nu a respectat obligațiile Legilor de Protecție a Datelor în mod specific destinate procesatorilor de date sau în cazul în care a acționat în afara sau contrar instrucțiunilor legale ale Operatorului așa cum este descris în această DPA. În acest context, Procesatorul va fi responsabil doar dacă Operatorul dovedește că Procesatorul este responsabil pentru evenimentul care a dat naștere daunei.

Operatorul va fi singurul responsabil față de Persoana Vizată, iar Persoana Vizată va avea dreptul să primească compensații pentru orice daune materiale sau nemateriale cauzate Persoanei Vizate de către Operator sau Procesator (sau Sub-procesatorii acestuia) prin încălcarea acestei DPA.

Articolul H.3 Durata și Rezilierea 

Durata acestei DPA va coincide cu începerea Acordului Utilizatorului și/sau utilizarea produsului sau serviciului specific inclus în Anexa A.

Această DPA va înceta automat împreună cu rezilierea Acordului Utilizatorului și/sau utilizarea produsului sau serviciului specific inclus în Anexa A, oricare ar fi reziliat primul.

La rezilierea acestei DPA, Procesatorul, la cererea Operatorului, va returna Datele Personale{