Termeni și condiții pentru facturarea Mollie

Acești termeni ai serviciului („Termeni ai Serviciului de Facturare”) constituie un acord legal între dumneavoastră și organizația sau entitatea pe care o reprezentați (numită în continuare „Organizație”, „dumneavoastră” sau „vostru”) și Mollie B.V. și licențiatorii săi (numiți în continuare „Mollie”, „noi” sau „nostru”) pentru a reglementa utilizarea Serviciului de Facturare.

Termenii Serviciului de Facturare stabilesc termenii și condițiile prin care vi se va permite să utilizați Serviciul de Facturare. Acordul de utilizare, care vi se aplică în întregime, rămâne în vigoare și este completat de acești Termeni ai Serviciului de Facturare. În cazul în care Acordul de utilizare contravine acestor Termeni ai Serviciului de Facturare, acești Termeni ai Serviciului de Facturare vor prevala, dar numai în ceea ce privește Serviciul de Facturare și utilizarea acestuia.

Următoarele definiții se aplică în completarea definițiilor incluse în Acordul de utilizare sau în orice alt acord între Mollie și Organizație:

Prin utilizarea Serviciului de Facturare, sunteți de acord cu următorii termeni:

1. Descrierea serviciului

1.1 Serviciul de facturare al lui Mollie este o soluție digitală de facturare concepută pentru a ajuta platformele sau comercianții să creeze, să personalizeze, să trimită și să gestioneze facturile în mod eficient prin intermediul Tabloului de bord Mollie sau al Invoice API, prin permiterea creării rapide de facturi, aplicarea TVA-ului, memento-uri automate de plată și sisteme de urmărire, precum și opțiuni de plată multiple pentru clienți („Serviciul de Facturare”).

2. Tarife

2.1 Serviciul de Facturare va fi tarifat în conformitate cu www.mollie.com/pricing sau conform acordului scris între părți. 

3. Informații personale și prelucrarea datelor 

3.1 Prin utilizarea Serviciului de Facturare, vi se poate solicita să furnizați informații personale ale clienților și utilizatorilor dumneavoastră către Mollie, iar Mollie poate prelucra aceste informații personale pentru a permite funcționarea Serviciului de Facturare. Îi acordați lui Mollie permisiunea și consimțământul de a utiliza informațiile dumneavoastră personale sau cele ale clienților dumneavoastră și/sau de a pune la dispoziția unor terți informații personale despre dumneavoastră sau clienții dumneavoastră, în măsura în care acest lucru este necesar pentru a permite sau furniza Serviciul de Facturare. Sunteți considerat „operator” al oricăror informații personale utilizate pentru a genera facturi, iar noi vom prelucra informațiile personale în calitate de „persoană împuternicită de operator” în conformitate cu Anexa 1 (ACORD DE PRELUCRARE A DATELOR PENTRU SERVICIUL DE FACTURARE MOLLIE) și cu Declarația de confidențialitate Mollie disponibilă la www.mollie.com/legal/privacy.

3.2 Fără a aduce atingere oricărei dispoziții contrare, atunci când utilizați Serviciul de Facturare, garantați că respectați și veți continua să respectați toate cerințele privind protecția datelor, inclusiv, fără limitare, Regulamentul general privind protecția datelor („GDPR”) sau orice reglementare ori lege echivalentă privind protecția datelor aplicabilă activității dumneavoastră comerciale.

4. Obligațiile și responsabilitățile dumneavoastră

4.1 Nu trebuie să utilizați Serviciul de Facturare și nu trebuie să permiteți utilizarea acestuia în niciun mod ilegal sau necorespunzător.

4.2 Trebuie să respectați legile și reglementările actuale și viitoare în ceea ce privește cerințele privind facturile și/sau taxele. Responsabilitatea de a asigura acuratețea și corectitudinea unei facturi, inclusiv a cotelor de TVA aplicate, vă revine exclusiv dumneavoastră. În cazul în care cota de TVA aplicabilă facturii dumneavoastră nu este acceptată de Serviciul de Facturare (de exemplu, din cauza modificărilor cotelor de TVA aplicabile dintr-o țară), ne veți notifica în scris, fără întârzieri nejustificate, iar noi vom evalua și, dacă este necesar, vom ajusta posibilitatea de configurare a Serviciului de Facturare pentru a accepta noua cotă de TVA.

4.3 Sunteți responsabil pentru luarea măsurilor de precauție adecvate (în mod regulat și în conformitate cu riscurile implicate) pentru a securiza datele și conținuturile introduse, încărcate și stocate în cursul utilizării Serviciului de Facturare, precum și pentru a vă crea propriile copii de rezervă (backup) pentru a asigura reconstituirea datelor și a informațiilor în caz de pierdere. Veți preveni, în măsura posibilităților, accesul neautorizat al terților la Serviciul de Facturare.

4.4 Nu veți avea dreptul (cu excepția cazului în care s-a convenit în mod explicit altfel în scris):

• să puneți Serviciul de Facturare la dispoziția unor terți sub nicio formă, cu excepția angajaților, agenților, contractanților și a altor utilizatori asociați ai dumneavoastră; sau

• să reproduceți, să modificați, să faceți inginerie inversă pe părți din Serviciul de Facturare, să îl dezasamblați, să îl decompilați sau să îl traduceți.

4.5 Ați luat cunoștință și sunteți de acord cu obligațiile dumneavoastră stabilite în Anexa 1.

5. Licență și PI 

5.1 Vi se acordă un drept neexclusiv, netransferabil, nesublicențiabil, valabil la nivel mondial, revocabil și temporar de a utiliza Serviciul de Facturare. Serviciul de Facturare vă va fi pus la dispoziție exclusiv pe o bază neexclusivă. Mollie nu va fi obligată să furnizeze alte servicii în afară de Serviciul de Facturare. Nu se acordă alte drepturi de utilizare în legătură cu Serviciul de Facturare.

5.2 Sunteți singurul responsabil pentru gestionarea drepturilor utilizatorilor și vă veți asigura că toți utilizatorii respectă restricțiile cuprinse în Acordul de utilizare Mollie și în acești Termeni și Condiții atunci când utilizează Serviciul de Facturare.

5.3 Toate drepturile de proprietate intelectuală și de utilizare (altele decât licența acordată prin prezenta) în legătură cu Serviciul de Facturare, inclusiv codul sursă, bazele de date, funcționalitatea, software-ul, designul site-ului web, materialele audio, video, textul, fotografiile și elementele grafice („Drepturi de PI”), rămân în întregime în proprietatea Mollie.

5.4 În măsura în care vă sunt furnizate kituri de dezvoltare software („SDK-uri”), inclusiv orice actualizare a acestora sau asistență tehnică, se vor aplica următoarele dispoziții speciale pentru SDK:

• Vi se acordă o licență neexclusivă, netransferabilă, revocabilă și scutită de redevențe pentru: (i) a instala și utiliza SDK-ul numai sub formă de cod obiect pentru a dezvolta programe constând în cod compilat generat cu ajutorul SDK-ului, sau orice parte a acestuia, concepute să funcționeze cu Produsul; (ii) a realiza un număr limitat de copii ale documentației SDK pentru a fi utilizate de angajații sau consultanții dumneavoastră numai în scopuri de dezvoltare, și nu în scopuri comerciale generale sau pentru distribuție; și (iii) a distribui SDK-ul numai sub formă de cod obiect ca o componentă a Produsului;

• Mollie are dreptul, dar nu și obligația, de a oferi asistență tehnică sau de altă natură pentru SDK-uri;

• SDK-urile includ cod care efectuează notificări automate de eroare ce urmează să fie trimise de dumneavoastră și sunteți de acord ca Mollie să aibă un drept perpetuu, irevocabil și nelimitat de a utiliza aceste informații în scopuri comerciale, inclusiv, dar fără a se limita la, pentru asistența și dezvoltarea produsului;

• dacă utilizați SDK-urile pentru a rula aplicații dezvoltate de dumneavoastră sau de un terț ori pentru a accesa date, conținut sau resurse furnizate de un terț, sunteți de acord că Mollie nu este responsabilă pentru respectivele aplicații, date, conținut sau resurse;

• SDK-urile sunt licențiate „ca atare”. Vă asumați riscul utilizării acestora; Mollie exclude orice garanții (fie statutare, exprese sau implicite) și nu oferă nicio garanție cu privire la utilizarea de către dumneavoastră a SDK-urilor.

  
  

6. Răspundere și despăgubiri

6.1 Mollie nu este răspunzătoare pentru erorile, actele, omisiunile sau nerespectarea prevederilor care decurg din datele, setările sau utilizarea de către dumneavoastră a Serviciului de Facturare. Sunteți singurul și în cele din urmă responsabil pentru a vă asigura că toate datele utilizate pentru crearea sau emiterea facturilor, inclusiv cotele de TVA aplicate, respectă legile (fiscale) aplicabile în țara de utilizare relevantă. Mollie nu are obligația de a verifica acuratețea, caracterul complet sau corectitudinea datelor sau a setărilor (de TVA) configurate, furnizate sau utilizate de dumneavoastră prin intermediul Serviciului de Facturare. Veți despăgubi și veți exonera Mollie de orice răspundere în legătură cu pretențiile unor terți, răspunderi, daune, pierderi, costuri și cheltuieli (inclusiv onorariile rezonabile ale avocaților) care decurg din sau sunt legate de utilizarea de către dumneavoastră a Serviciului de Facturare, inclusiv configurarea TVA. 

6.2 Pentru evitarea oricărui dubiu, în măsura în care Mollie este răspunzătoare pentru orice daune, răspunderea noastră va fi limitată în conformitate cu Acordul de utilizare.

Anexa 1: ACORD DE PRELUCRARE A DATELOR

Prezentul ACORD DE PRELUCRARE A DATELOR (în continuare „APD”), inclusiv anexele sale, descrie obligațiile Părților, inclusiv în temeiul legilor aplicabile privind protecția datelor, cu privire la prelucrarea datelor cu caracter personal (astfel cum sunt definite mai jos). APD este integrat în Acordul de utilizare.

Prezentul APD este încheiat între Organizație (în continuare „Operator”)

și 

Mollie B.V., o societate cu răspundere limitată (besloten vennootschap) cu sediul social în Amsterdam, la Keizersgracht 126, 1015 CW Amsterdam, Țările de Jos, înregistrată la Camera de Comerț Olandeză sub numărul 30204462 (în continuare „Mollie” sau „Persoana împuternicită de operator”)

și 

Mollie UK Ltd., o societate cu răspundere limitată cu sediul social în Londra, 7 Pancras Square, Londra N1C 4AG, Regatul Unit, înregistrată la Companies House sub numărul 14013554 (în continuare „Mollie” sau „Persoana împuternicită de operator”),

fiecare numită o „Parte” și în mod colectiv „Părțile”. 

Definiții 

În prezentul APD, următorii termeni au înțelesul stabilit mai jos. Termenii scriși cu majusculă utilizați, dar nedefiniți în prezentul document, vor avea înțelesul stabilit în Acord.

Acord
acordul dintre Operator și Persoana împuternicită de operator pentru furnizarea de servicii („Acordul de utilizare”).

Reguli Corporatiste Obligatorii
politici de protecție a datelor cu caracter personal respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru pentru transferuri sau un set de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe țări terțe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună.

Operator
persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal.

Client
clienții Organizației care doresc să plătească pentru produsele și/sau serviciile furnizate de Organizație prin intermediul Modulului de Plată al Mollie.

Încălcarea Securității Datelor
o încălcare a securității care duce la distrugerea, pierderea, modificarea accidentală sau ilegală, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate în alt mod. 

Acord de Prelucrare a Datelor
prezentul acord, inclusiv toate anexele.

Autoritate de Supraveghere
un organism public independent responsabil cu supravegherea respectării legilor aplicabile referitoare la Prelucrarea Datelor cu Caracter Personal. În Țările de Jos, aceasta este Autoriteit Persoonsgegevens.

Evaluarea Impactului asupra Protecției Datelor
o evaluare a impactului operațiunilor de prelucrare avute în vedere asupra protecției Datelor cu Caracter Personal. 

Legile privind Protecția Datelor
toate actele legislative aplicabile referitoare la protecția datelor și viața privată, inclusiv, fără limitare, Regulamentul general al UE privind protecția datelor, toate legile și reglementările locale care modifică sau înlocuiesc oricare dintre acestea, împreună cu orice legi naționale de punere în aplicare în orice stat membru al Spațiului Economic European (SEE), în măsura în care sunt aplicabile, în orice altă țară, astfel cum sunt modificate, abrogate, consolidate sau înlocuite periodic. 

Persoana Vizată
persoana fizică la care se referă Datele cu Caracter Personal (de exemplu, Clienții).

GDPR
Regulamentul general privind protecția datelor (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. 

Date cu Caracter Personal
orice informație privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a respectivei persoane fizice. 

Prelucrare
orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea. Această listă nu este exhaustivă. Termenii „a prelucra”, „prelucrează” și „prelucrat” vor fi interpretați în consecință. 

Persoană împuternicită de operator
o persoană fizică sau juridică, autoritate publică, agenție sau alt organism care prelucrează date (cu caracter personal) în numele Operatorului.

Organizație
organizația care utilizează Modulul de Plată al lui Mollie în scopuri care includ, dar nu se limitează la, vânzarea de produse și/sau servicii către Clienți.

Clauze Contractuale Standard
Clauzele contractuale standard ale Comisiei Europene pentru persoanele împuternicite de operator (2010/87/UE) sau Decizia de punere în aplicare (UE) 2021/914 a Comisiei din 4 iunie 2021 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (C/2021/3972).

Sub-împuternicit
orice terță persoană, entitate sau companie angajată de Persoana împuternicită de operator pentru a prelucra Date cu Caracter Personal în cadrul furnizării serviciilor în temeiul Acordului. 

SECȚIUNEA A SCOP 

Articolul A.1 Domeniul de aplicare

Persoana împuternicită de operator a fost de acord să furnizeze servicii Operatorului în conformitate cu termenii Acordului de utilizare. În furnizarea de servicii, Persoana împuternicită de operator va prelucra Date cu Caracter Personal în numele Operatorului, astfel cum sunt identificate în prezentul APD. Persoana împuternicită de operator, în calitate de instituție financiară, prelucrează de asemenea Date cu Caracter Personal acționând ca operator de date. 

Părțile recunosc și sunt de acord că, în măsura în care Mollie prelucrează Date cu Caracter Personal implicate în tranzacțiile de plată pentru: i) a executa Acordul de utilizare cu Operatorul; ii) a monitoriza, preveni și detecta tranzacțiile de plată frauduloase; iii) a se conforma obligațiilor legale sau de reglementare aplicabile prelucrării și reținerii datelor de plată la care este supusă Mollie, inclusiv verificările aplicabile împotriva spălării banilor și respectarea obligațiilor de cunoaștere a clientelei (know-your-customer); și iv) a îmbunătăți produsele și serviciile Mollie, Mollie acționează în calitate de operator de date și are autoritatea unică și exclusivă de a determina scopurile și mijloacele de prelucrare a Datelor cu Caracter Personal pe care le primește de la sau prin intermediul (furnizării de servicii către) Operator.

Activitățile de prelucrare, Datele cu Caracter Personal și categoriile de Persoane Vizate pentru care Persoana împuternicită de operator prelucrează Date cu Caracter Personal în numele Operatorului sunt identificate în Anexa A. 

SECȚIUNEA B OBLIGAȚII 

Articolul B.1 Obligațiile Operatorului 

Operatorul este responsabil pentru Datele cu Caracter Personal pe care Persoana împuternicită de operator le va prelucra și se va asigura de respectarea tuturor Legilor privind Protecția Datelor, inclusiv a cerințelor legate de transferul Datelor cu Caracter Personal în temeiul acestui APD și al Acordului de utilizare. Operatorul garantează că are dreptul de a prelucra Datele cu Caracter Personal și deține dreptul de a desemna Persoana împuternicită de operator să prelucreze datele în numele Operatorului.

Operatorul este de acord că, fără limitarea obligațiilor Persoanei împuternicite de operator în conformitate cu prezentul APD, Operatorul este singurul responsabil pentru utilizarea serviciilor de către acesta, inclusiv (a) utilizarea corespunzătoare a serviciilor pentru a asigura un nivel de securitate adecvat riscului în ceea ce privește Datele cu Caracter Personal; (b) securizarea datelor de autentificare a contului, a sistemelor și a dispozitivelor pe care Operatorul le folosește pentru a accesa serviciile; (c) securizarea sistemelor și dispozitivelor Operatorului pe care le folosește cu serviciile; și (d) menținerea propriilor copii de rezervă ale Datelor cu Caracter Personal.

Articolul B.2 Obligațiile Persoanei împuternicite de operator 

Persoana împuternicită de operator se angajează: 

1. să prelucreze Datele cu Caracter Personal numai în conformitate cu instrucțiunile documentate de la Operator și va lua măsurile necesare pentru a se asigura că orice persoană fizică ce acționează sub autoritatea sa și are acces la Datele cu Caracter Personal nu prelucrează respectivele date decât la instrucțiunile Operatorului;

2. să informeze prompt Operatorul dacă oricare dintre instrucțiunile privind Prelucrarea Datelor cu Caracter Personal furnizate Persoanei împuternicite de operator de către Operator încalcă oricare dintre Legile privind Protecția Datelor aplicabile sau dispozițiile stabilite în prezentul APD;

3. să implementeze proceduri tehnice și organizaționale adecvate pentru a proteja Datele cu Caracter Personal, ținând cont de stadiul actual al tehnologiei, de costurile implementării și de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice; și

4. să informeze Operatorul, fără întârzieri nejustificate, dacă primește o reclamație sau o solicitare referitoare la obligațiile oricăreia dintre Părți în temeiul Legilor privind Protecția Datelor relevante pentru prezentul APD, inclusiv orice cerere de despăgubire din partea unei Persoane Vizate sau orice notificare, investigație ori altă acțiune din partea unei Autorități de Supraveghere și să furnizeze Operatorului detalii complete despre o astfel de investigație, reclamație sau solicitare, cu excepția cazului în care legea o interzice sau la solicitarea Autorității de Supraveghere.
   
   

SECȚIUNEA C TRANSFERURI ȘI SUB-ÎMPUTERNICIȚI

Articolul C.1 Transferul Datelor cu Caracter Personal 

În cazul în care Datele cu Caracter Personal referitoare la o Persoană Vizată din UE sunt transferate în afara SEE, acestea vor fi prelucrate de o entitate: (i) situată într-o țară terță sau teritoriu recunoscut de Comisia UE ca având un nivel adecvat de protecție; sau (ii) care face obiectul Clauzelor Contractuale Standard ale UE și/sau al Acordului de transfer internațional de date al Regatului Unit ori al Anexei SCC a Regatului Unit; sau (iii) care dispune de alte garanții adecvate recunoscute din punct de vedere legal, cum ar fi Regulile Corporatiste Obligatorii, care garantează același nivel de protecție și garanții ca și prezentul APD. 

Articolul C.2 Sub-împuterniciții 

Operatorul își exprimă prin prezenta consimțământul pentru utilizarea de către Persoana împuternicită de operator a Sub-împuterniciților specificați în Anexa B. Această listă poate fi actualizată periodic de către Persoana împuternicită de operator, în conformitate cu prezentul APD.

Înainte de a angaja un nou Sub-împuternicit pentru serviciile enumerate în Anexa A, Persoana împuternicită de operator va notifica Operatorul care utilizează serviciul respectiv și îi va oferi acestuia o perioadă de cel puțin zece (10) zile calendaristice pentru a formula obiecții, cu excepția cazului în care Persoana împuternicită de operator consideră în mod justificat că angajarea unui nou Sub-împuternicit în regim de urgență este necesară pentru a proteja confidențialitatea, integritatea sau disponibilitatea Datelor cu Caracter Personal ori pentru a evita perturbarea semnificativă a serviciilor furnizate. În acest caz, Persoana împuternicită de operator va transmite notificarea respectivă cât mai curând posibil. Dacă, în termen de cinci (5) zile calendaristice de la primirea unei astfel de notificări, Operatorul notifică în scris Persoana împuternicită de operator că se opune numirii unui nou Sub-împuternicit de către aceasta, pe baza unor motive rezonabile privind protecția datelor, părțile vor discuta aceste preocupări cu bună-credință pentru a vedea dacă pot fi soluționate. Obiecțiile la noii Sub-împuterniciți vor fi trimise la adresa privacy@mollie.com. 

Operatorul recunoaște că Sub-împuterniciții sunt esențiali pentru furnizarea serviciilor și că formularea unei obiecții la utilizarea unui Sub-împuternicit poate împiedica Persoana împuternicită de operator să ofere serviciile către Operator. Dacă părțile nu reușesc să ajungă de comun acord la o soluționare a acestor probleme, Operatorul poate, ca singură și exclusivă cale de atac, să rezilieze APD fără penalități.

Toți Sub-împuterniciții care prelucrează Date cu Caracter Personal în cadrul furnizării de servicii către Operator trebuie să respecte obligațiile stabilite în prezentul APD. Înainte de divulgarea Datelor cu Caracter Personal către orice Sub-împuternicit, Persoana împuternicită de operator va efectua un audit de diligență adecvat pentru a se asigura că Sub-împuternicitul este capabil să ofere nivelul de protecție necesar pentru datele Operatorului

stabilit în prezentul APD și va încheia un acord cu respectivul Sub-împuternicit, prin care acesta din urmă este de acord să respecte obligații echivalente cu cele stabilite în prezentul APD. 

SECȚIUNEA D SECURITATE 

Articolul D.1 Măsuri de securitate

Persoana împuternicită de operator va implementa măsuri tehnice și organizaționale adecvate pentru a asigura un nivel de securitate corespunzător riscului, incluzând, printre altele, după caz:

1. pseudonimizarea și criptarea Datelor cu Caracter Personal; 

2. capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența continue ale sistemelor și serviciilor de prelucrare; 

3. capacitatea de a restabili în timp util disponibilitatea Datelor cu Caracter Personal și accesul la acestea în cazul unui incident fizic sau tehnic; și 

4. un proces pentru testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizaționale pentru a garanta securitatea prelucrării. În evaluarea nivelului adecvat

de securitate, se va ține seama în special de riscurile prezentate de prelucrare, generate mai ales, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la Datele cu Caracter Personal transmise, stocate sau prelucrate în alt mod.

Articolul D.2 Notificarea încălcării securității datelor

Persoana împuternicită de operator va notifica Operatorul, fără întârzieri nejustificate după descoperire, cu privire la orice distrugere accidentală sau ilegală, pierdere, modificare sau divulgare neautorizată ori acces la Datele cu Caracter Personal, în măsura în care Încălcarea Securității Datelor este legată exclusiv de prelucrarea Datelor cu Caracter Personal de către Persoana împuternicită de operator în calitatea sa de împuternicit. În cazul în care Încălcarea Securității Datelor vizează Date cu Caracter Personal pentru care Persoana împuternicită de operator este considerată Operatorul, astfel cum este descris în Declarația de confidențialitate a Persoanei împuternicite de operator, aceasta își rezervă dreptul de a trata Încălcarea Securității Datelor în calitate de operator. 

O întârziere în transmiterea unei notificări privind o Încălcare a Securității Datelor, solicitată de organele de aplicare a legii și/sau în temeiul nevoilor legitime ale Persoanei împuternicite de operator de a investiga sau remedia problema înainte de a transmite notificarea, nu constituie o întârziere nejustificată. Aceste notificări vor descrie, în măsura posibilului, detaliile Încălcării Securității Datelor, inclusiv măsurile luate pentru a atenua riscurile potențiale. Fără a aduce atingere obligațiilor Persoanei împuternicite de operator din prezenta Secțiune D.1, Operatorul este singurul responsabil pentru respectarea legilor privind notificarea Încălcării Securității Datelor aplicabile Operatorului și pentru îndeplinirea oricăror obligații de notificare a terților legate de orice Încălcări ale Securității Datelor. Notificarea sau răspunsul Persoanei împuternicite de operator la o Încălcare a Securității Datelor în conformitate cu prezenta Secțiune D.1 nu vor fi interpretate ca o recunoaștere de către Persoana împuternicită de operator a vreunei culpe sau răspunderi cu privire la Încălcarea Securității Datelor.

Orice costuri suportate pentru remedierea Încălcării Securității Datelor și pentru implementarea măsurilor necesare pentru prevenirea unei astfel de încălcări în viitor vor fi suportate de Partea care generează respectivele costuri. 

SECȚIUNEA E AUDIT

Articolul E.1 Dreptul de audit 

Operatorul are dreptul de a solicita, în baza unei notificări rezonabile, rapoarte de audit de la Persoana împuternicită de operator referitoare la Prelucrarea Datelor cu Caracter Personal în cadrul serviciilor furnizate în temeiul prezentului APD.

Rapoartele de audit, așa cum sunt menționate în această clauză, vor include, dar fără a se limita la, rapoarte referitoare la securitatea, confidențialitatea și măsurile de protecție a datelor implementate de Persoana împuternicită de operator în legătură cu Prelucrarea Datelor cu Caracter Personal. Aceste rapoarte pot acoperi, de asemenea, conformitatea cu Legile privind Protecția Datelor aplicabile.

Solicitările de rapoarte de audit se vor face în scris și se vor trimite la adresa privacy@mollie.com, specificând scopul și domeniul de aplicare al solicitării. Persoana împuternicită de operator va confirma primirea unor astfel de solicitări în timp util.

Primirea rapoartelor de audit va face obiectul obligației profesionale de confidențialitate. Operatorul poate utiliza rapoartele de audit numai în scopul îndeplinirii cerințelor sale de audit de reglementare și pentru a confirma că Prelucrarea Datelor cu Caracter Personal de către Persoana împuternicită de operator respectă prezentul APD. Rapoartele de audit nu vor fi transmise extern.

SECȚIUNEA F EVALUĂRI ALE IMPACTULUI ASUPRA PROTECȚIEI DATELOR ȘI CONSULTĂRI PREALABILE

Articolul F.1 Asistență

Persoana împuternicită de operator va asista Operatorul în realizarea unei evaluări a impactului prelucrării Datelor cu Caracter Personal (articolul 35 din GDPR) și în consultările cu o Autoritate de Supraveghere (articolul 36 din GDPR), dacă și în măsura în care o astfel de evaluare sau consultare este necesară conform Legilor privind Protecția Datelor și unde Persoanei împuternicite de operator îi este permis și/sau solicitat să colaboreze.

SECȚIUNEA G DREPTURILE PERSOANELOR VIZATE

Articolul G.1 Asistență

Dacă Persoana împuternicită de operator primește o solicitare de la o Persoană Vizată în legătură cu Datele cu Caracter Personal ale Operatorului, Persoana împuternicită de operator va îndruma Persoana Vizată să trimită solicitarea către Operator și/sau va redirecționa solicitarea către Operator, iar Operatorul va fi responsabil pentru a răspunde la o astfel de solicitare.

La solicitarea Operatorului și pe cheltuiala acestuia, Persoana împuternicită de operator va oferi Operatorului asistența pe care acesta o poate solicita în mod rezonabil pentru a se conforma obligațiilor ce îi revin în temeiul Legilor privind Protecția Datelor de a răspunde solicitărilor persoanelor vizate de a-și exercita drepturile în conformitate cu Legile privind Protecția Datelor (de exemplu, dreptul de acces la date, rectificare, ștergere, restricționare, portabilitate și opoziție) în cazurile în care Operatorul nu poate îndeplini în mod rezonabil astfel de solicitări în mod independent prin intermediul accesului său la produsele și serviciile Persoanei împuternicite de operator.

SECȚIUNEA H MISCELANEE 

Articolul H.1 Confidențialitate 

Persoana împuternicită de operator va păstra confidențialitatea tuturor Datelor cu Caracter Personal și se va asigura că toți angajații, agenții, funcționarii și contractanții care au acces la Prelucrarea Datelor cu Caracter Personal sau sunt implicați în aceasta cunosc caracterul confidențial al Datelor cu Caracter Personal și sunt obligați prin contract să le păstreze confidențialitatea, precum și că sunt informați și respectă obligațiile din prezentul APD.

Articolul H.2 Răspundere

Toată răspunderea care decurge din prezentul APD va fi guvernată de dispozițiile relevante din Acordul de utilizare, inclusiv limitările de răspundere. 

Fără a aduce atingere dispozițiilor Acordului de utilizare, fiecare Parte va fi răspunzătoare față de cealaltă Parte doar pentru daunele pe care le cauzează celeilalte Părți prin orice încălcare a prezentului APD. Aceste daune trebuie să fie demonstrate în mod clar. Persoana împuternicită de operator va fi răspunzătoare pentru prejudiciul cauzat de prelucrare doar în cazul în care nu a respectat obligațiile prevăzute de Legile privind Protecția Datelor adresate în mod specific persoanelor împuternicite de operator sau în care a acționat în afara sau contrar instrucțiunilor legale ale Operatorului, astfel cum sunt descrise în prezentul APD. În acest context, Persoana împuternicită de operator va fi răspunzătoare doar dacă Operatorul dovedește că aceasta este responsabilă pentru evenimentul care a generat dauna.

Operatorul va fi singurul răspunzător față de Persoana Vizată, iar Persoana Vizată va avea dreptul de a primi despăgubiri pentru orice daune materiale sau morale pe care Operatorul sau Persoana împuternicită de operator (sau Sub-împuternicitul/sub-împuterniciții acesteia) le cauzează Persoanei Vizate prin încălcarea prezentului APD.

Articolul H.3 Termen și reziliere 

Termenul prezentului APD va coincide cu începerea valabilității Acordului de utilizare și/sau utilizarea produsului ori serviciului specific inclus în Anexa A.

Prezentul APD va înceta automat odată cu încetarea Acordului de utilizare și/sau a utilizării produsului ori serviciului specific inclus în Anexa A, oricare dintre acestea încetează prima.

La încetarea prezentului APD, Persoana împuternicită de operator, la cererea Operatorului, va returna Datele cu Caracter Personal către Operator sau către o Persoană împuternicită de operator desemnată de acesta, ori le va șterge, cu excepția cazului în care Persoana împuternicită are obligația de a păstra o copie în conformitate cu legislația Uniunii Europene sau a oricărui stat membru al Uniunii Europene.

SECȚIUNEA I DISPOZIȚII FINALE 

Articolul I.1 Întregul acord 

Prezentul APD face parte din Acordul de utilizare. Toate drepturile și obligațiile care decurg din Acordul de utilizare sunt aplicabile, de asemenea, prezentului APD. Anexa A constituie o parte integrantă a prezentului APD.

Articolul I.2 Modificare numai prin acord 

Nicio variație a prezentului APD nu este valabilă decât dacă este redactată în scris și semnată de reprezentanții autorizați ai fiecărei Părți. 

Articolul I.3 Divizibilitate 

Fiecare dintre dispozițiile acestui APD este distinctă și divizibilă, iar în cazul în care o dispoziție sau o parte a unei dispoziții este considerată inopozabilă, ilegală sau nulă în tot sau în parte de către orice instanță, autoritate de reglementare ori altă autoritate competentă, aceasta va fi considerată, în această măsură, ca nefiind parte a acestui APD, iar opozabilitatea, legalitatea și valabilitatea restului acestui APD nu vor fi afectate. Părțile convin să încerce să înlocuiască orice dispoziție nevalidă sau inopozabilă cu o dispoziție validă sau opozabilă care realizează în cea mai mare măsură posibilă același efect ca cel care

ar fi fost obținut prin dispoziția nevalidă sau inopozabilă. Cu excepția modificărilor implementate prin prezentul APD, Acordul de utilizare rămâne neschimbat și în deplină vigoare și efect.

Articolul I.4 Dreptul de cesiune 

Părțile pot transfera prezentul APD numai în conformitate cu Acordul de utilizare (clauza 8.9). 

Articolul I.5 Legea aplicabilă 

Prezentul APD va fi guvernat și interpretat în conformitate cu legile din Țările de Jos. Fiecare Parte consimte la competența exclusivă a instanțelor din Amsterdam pentru soluționarea oricăror dispute care decurg din prezentul APD. În cazul în care vreo instanță sau organism administrativ de jurisdicție competentă constată că vreo dispoziție a prezentului APD este invalidă, inopozabilă sau ilegală, celelalte dispoziții ale acestui APD vor rămâne în deplină vigoare și efect. 

ANEXA A – SPECIFICAȚII PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL 

1. SCOPUL PRELUCRĂRII

Prelucrarea Datelor cu Caracter Personal este direct legată de furnizarea serviciilor oferite în temeiul Acordului de utilizare.

Scopurile prelucrării sunt:

• Dispute

  • Facilitarea gestionării și soluționării disputelor dintre Operator și Clienții săi prin intermediul produselor și serviciilor Mollie.

  • Furnizarea către Operator a instrumentelor și informațiilor necesare pentru a răspunde la cererile de dispută, cum ar fi rambursările sau solicitările de informații despre plată.

• Facturare

  •  Facilitarea trimiterii facturilor către Clienții Operatorului prin intermediul produselor și serviciilor Mollie 

2. CATEGORII DE PERSOANE VIZATE 

Persoana împuternicită de operator va prelucra Date cu Caracter Personal din următoarele categorii de Persoane Vizate în numele Operatorului:

• Clienții Operatorului: Plătitorii (consumatori sau clienți comerciali) care inițiază o plată, o solicitare de informații sau o dispută.

Dispute

• Destinatari terți: Persoane identificate în documentele de livrare sau în dovezile de tranzacție care pot să nu fie plătitorul (de exemplu, o persoană care primește un cadou la o adresă de expediere).

• Reprezentanți autorizați / Personal ai Operatorului: Personalul comerciantului ale cărui nume, date de contact sau semnături pot apărea în dovezile de dispută, jurnalele de comunicare sau tichetele de asistență.

• Furnizori terți de servicii: Persoane ale căror date pot fi conținute în dovezile furnizate de sub-împuterniciți sau parteneri (de exemplu, numele șoferilor de livrare pe o semnătură de dovadă a livrării).

Facturare

• Detalii factură (așa cum au fost incluse de către Operator)

3. TIPURI DE DATE CU CARACTER PERSONAL 

Persoana împuternicită de operator va prelucra următoarele tipuri de Date cu Caracter Personal în numele Operatorului:

• Date de identitate și de contact: Numele complet, adresa de e-mail, numărul de telefon și adresa de facturare a Plătitorului.

• Metadate de tranzacție: ID-ul tranzacției, numărul comenzii, suma, moneda, data/ora și metoda specifică de plată utilizată (de exemplu, Card de Credit, Klarna, iDEAL).

• Date privind onorarea și logistica: 

  • Detalii de expediere: Adresa de expediere (stradă, număr casă, cod poștal, oraș, țară).

  • Informații de urmărire: Numele transportatorului, numerele de urmărire și jurnalele de stare a tranzitului/livrării în timp real.

  • Dovada livrării: Semnături digitale, marcaje temporale pentru livrare și dovezi fotografice ale livrării (de exemplu, coletul la ușă).

• Dovezi privind disputa (date nestructurate): 

  • Fișiere încărcate: Orice date cu caracter personal conținute în documentele încărcate manual de Operator (de exemplu, facturi în format PDF, jurnale de chat de asistență clienți, capturi de ecran de pe WhatsApp sau corespondență prin e-mail).

• Identificatori tehnici: Adrese IP, amprente ale dispozitivului (device fingerprints) și metadate ale browserului colectate în momentul tranzacției (folosite pentru a verifica locația și identitatea clientului în scopul combaterii fraudei).

Categoriile de Date cu Caracter Personal enumerate mai sus reflectă domeniul de aplicare prevăzut al prelucrării în temeiul acestui Acord. În cazul în care Datele cu Caracter Personal care nu se încadrează în aceste categorii sunt partajate sau inserate accidental în date nestructurate ori în documente încărcate, Persoana împuternicită de operator va trata aceste date cu diligența necesară și va aplica măsuri tehnice și organizaționale adecvate.

4. MĂSURI DE SECURITATE 

Context 

În calitate de instituție financiară, controalele de securitate și procedurile de operare pe care Mollie le-a creat pentru aplicațiile, sistemele și procesele noastre IT sunt supuse revizuirii de către Banca Centrală a Țărilor de Jos (DNB), care la rândul său folosește îndrumările Autorității Bancare Europene (EBA) pentru standardele tehnice pe care deținătorii de licențe ar trebui să le respecte. 

În plus, întrucât Mollie funcționează (de asemenea) ca operator al datelor cu caracter personal, Mollie este reglementată și de alte legi ce prevăd standarde de securitate și de protecție a datelor, aplicate de autorități suplimentare – în special GDPR și autoritatea sa de reglementare din Țările de Jos (Autoriteit Persoonsgegevens). 

Sistemele care prelucrează în mod special datele cardurilor sunt sisteme conforme cu nivelul 1 al standardului PCI DSS, ceea ce înseamnă că această aplicație specifică și procedurile de dezvoltare și întreținere a acesteia sunt supuse măsurilor de protecție a datelor stabilite de Consiliul PCI, conformitatea cu acestea fiind evaluată anual de o parte externă. 

Măsuri generale

Toate aplicațiile, sistemele și procedurile legate de acestea fac obiectul Politicii de securitate a informațiilor Mollie. Aspectele cele mai importante din această politică și din alte politici relevante pentru scopul serviciilor furnizate sunt:

• Verificarea angajaților (screening)

• Programul de instruire privind securitatea pentru dezvoltatori

• Programul de conștientizare privind securitatea

• Separarea responsabilităților (segregation of duties)

• Managementul schimbărilor (change management)

• Managementul vulnerabilităților

• Managementul incidentelor

• Managementul rezilienței și al备份-ului

• Aplicarea riguroasă a controlului accesului (IAM și IGA)

• Evaluări ale autorizării utilizatorilor

• Standarde de clasificare a sistemelor

• Standarde de clasificare a datelor și politica de date

• Standarde de configurare securizate bazate pe cele mai bune practici din industrie, aplicarea politicilor (hardening)

• Segregarea fizică și logică a mediilor de rețea

• Standarde sigure de criptare

• Gestionarea cheilor de criptare

• Criptare (în tranzit și în repaus pentru medii de infrastructură partajată, cum ar fi cloud)

• Gestionarea riscurilor asociate terților

• Monitorizarea disponibilității și a erorilor

• Ciclu de viață securizat al dezvoltării software

  • Modelarea amenințărilor (threat modelling) la apariția unor schimbări majore și noi funcționalități

  • Gestionarea dependențelor și scanarea vulnerabilităților cunoscute

  • Analiză statică a securității codului

  • Scanare internă și externă a vulnerabilităților

• Programul de divulgare coordonată a vulnerabilităților (CVD) și programul de recompensare a descoperirii de erori (bug bounty)

• Programul de informații despre amenințări (threat intelligence, de exemplu, participarea la PI-ISAC olandez, centrul de partajare și analiză a informațiilor din instituțiile de plată, monitorizarea dark web)

• Colaborarea cu un furnizor de servicii de securitate administrată (MSSP) pentru operațiuni de securitate, analize și investigații criminalistice

• Managementul informațiilor și evenimentelor de securitate (SIEM)

• Securitatea echipamentelor terminale ale personalului (endpoints)

• Securitatea e-mailului

Platforma Mollie

Pe lângă măsurile generale de securitate prezentate mai sus, aplicația Platformei Mollie este acoperită de următoarele măsuri de securitate – fie ca urmare a implementării politicilor noastre generale de securitate, fie ca măsură de atenuare pentru a aborda un risc recunoscut în evaluarea riscurilor specifice aplicației:

• Controlul accesului prin autentificare cu 2 factori (2FA)

• Teste de penetrare efectuate de terți

• Sistem de management al evenimentelor și incidentelor de securitate

• Atenuarea atacurilor DDoS

• Răspuns la incidentele de securitate

• Monitorizarea disponibilității

• Stocarea securizată a datelor de identificare (credentials)

• Infrastructură redundantă

• Procedură de recuperare în caz de dezastru (failover disaster recovery)

• Limitarea ratei de acces și blocare (rate limiting and locking)

• Politică strictă privind securitatea conținutului (Content-Security-Policy)

• Cod Captcha

• Firewall pentru aplicații web
  
  

ANEXA B – PREZENTARE GENERALĂ A SUB-ÎMPUTERNICIȚILOR

Aplicabilă utilizatorilor produsului Dispute

Aplicabilă utilizatorilor produsului Facturare