Villkor och bestämmelser Mollie Invoicing
Dessa tjänstevillkor (”fakturatjänstevillkor”) utgör ett juridiskt avtal mellan dig och den organisation eller enhet som du representerar (hädanefter kallad ”Organisationen”, ”du” eller ”din”) och Mollie B.V. och dess licensgivare (hädanefter kallad ”Mollie”, ”vi” eller ”vår”) för att reglera användningen av Fakturatjänsten.
Fakturatjänstevillkoren anger villkoren för din användning av Fakturatjänsten. Användaravtalet, som tillämpas på dig i sin helhet, fortsätter att gälla och kompletteras av dessa Fakturatjänstevillkor. Om Användaravtalet strider mot dessa Fakturatjänstevillkor, ska dessa Fakturatjänstevillkor äga företräde, men endast i förhållande till Fakturatjänsten och dess användning.
Följande definitioner gäller utöver de definitioner som ingår i Användaravtalet eller något annat avtal mellan Mollie och Organisationen:
Faktura-API | avser ett applikationsprogrammeringsgränssnitt (API) som gör det möjligt för handlare eller plattformar att generera och hantera fakturor direkt från sina egna system i stället för via Mollie Dashboard. |
Genom att använda Fakturatjänsten godkänner du följande villkor:
1. Tjänstebeskrivning
1.1 Mollies fakturatjänst är en digital faktureringslösning utformad för att hjälpa plattformar eller handlare att effektivt skapa, anpassa, skicka och hantera fakturor via Mollie Dashboard eller Faktura-API genom att möjliggöra snabbt skapande av fakturor, momstillämpning, automatiserade betalningspåminnelser och spårare, samt flera betalningsalternativ för kunder (”Fakturatjänsten”).
2. Prissättning
2.1 Fakturatjänsten ska prissättas i enlighet med www.mollie.com/pricing eller enligt vad parterna annars skriftligen kommit överens om.
3. Personuppgifter och databehandling
3.1 Genom att använda Fakturatjänsten kan du behöva lämna personuppgifter om dina kunder och användare till Mollie, och Mollie kan behandla sådana personuppgifter för att Fakturatjänsten ska fungera. Du ger Mollie tillåtelse och samtycke till att använda dina personuppgifter, eller dina kunders, och/eller göra personuppgifter om dig eller dina kunder tillgängliga för tredje part, i den mån detta är nödvändigt för att möjliggöra eller tillhandahålla Fakturatjänsten. Du anses vara ”personuppgiftsansvarig” för alla personuppgifter som används för att generera fakturor, och vi kommer att behandla personuppgifter som ”personuppgiftsbiträde” i enlighet med Bilaga 1 (DATABEHANDLINGSAVTAL FÖR MOLLIE FAKTURA-TJÄNST) och Mollies integritetspolicy som finns på www.mollie.com/legal/privacy.
3.2 Oavsett eventuella motstridiga villkor garanterar du vid användning av Fakturatjänsten att du följer, och kommer att fortsätta att följa, alla dataskyddskrav, inklusive, utan begränsning, den allmänna dataskyddsförordningen (”GDPR”) eller motsvarande dataskyddslagstiftning eller lag som är tillämplig på din affärsverksamhet.
4. Dina skyldigheter och ansvarsområden
4.1 Du får inte använda Fakturatjänsten, eller tillåta att den används, på något olagligt eller olämpligt sätt.
4.2 Du ska följa nuvarande och framtida lagar och förordningar avseende faktura- och/eller skattekrav. Ansvaret för att säkerställa att en faktura är korrekt och riktig, inklusive tillämpade momssatser, vilar helt på dig. Om den tillämpliga momssatsen för din faktura inte stöds av Fakturatjänsten (till exempel på grund av ändringar i gällande momssatser i ett land), ska du meddela oss skriftligen utan oskäligt dröjsmål, och vi kommer att utvärdera och vid behov justera konfigurerbarheten för Fakturatjänsten för att stödja den nya momssatsen.
4.3 Du ansvarar för att vidta lämpliga försiktighetsåtgärder (regelbundet och i förhållande till de risker som är involverade) för att säkra de data och det innehåll som matas in, laddas upp och lagras under din användning av Fakturatjänsten, samt för att skapa egna säkerhetskopior för att säkerställa återställning av data och information i händelse av förlust. Du ska efter bästa förmåga förhindra obehörig åtkomst av tredje part till Fakturatjänsten.
4.4 Du har inte rätt (såvida inte annat uttryckligen skriftligen överenskommits):
att göra Fakturatjänsten tillgänglig i någon form för andra tredje parter än dina anställda, ombud, leverantörer och andra associerade användare; eller
att reproducera, modifiera, bakåtvända delar av, demontera, dekompilera eller översätta Fakturatjänsten.
4.5 Du har tagit del av och godkänner dina skyldigheter som anges i Bilaga 1.
5. Licens och IP
5.1 Du beviljas en icke-exklusiv, icke-överlåtbar, icke-underlicensierbar, global, återkallelig och tillfällig rätt att använda Fakturatjänsten. Fakturatjänsten ska göras tillgänglig för dig uteslutande på en icke-exklusiv basis. Mollie ska inte vara skyldigt att tillhandahålla andra tjänster än Fakturatjänsten. Inga ytterligare nyttjanderätter beviljas i förhållande till Fakturatjänsten.
5.2 Du är ensam ansvarig för att hantera användarrättigheter och du ska se till att alla användare följer de begränsningar som finns i Mollies Användaravtal och dessa allmänna villkor när de använder Fakturatjänsten.
5.3 Alla immateriella rättigheter och nyttjanderätter (andra än den licens som beviljas nedan) i förhållande till Fakturatjänsten, inklusive källkod, databaser, funktionalitet, programvara, webbplatsdesign, ljud, video, text, fotografier och grafik (”IP-rättigheter”), förblir helt och hållet Mollies egendom.
5.4 I den mån du tillhandahålls verktygssatser för programvaruutveckling (”SDK:er”), inklusive eventuella uppdateringar av dessa eller teknisk support, ska följande särskilda bestämmelser för SDK gälla:
Du beviljas en icke-exklusiv, icke-överlåtbar, återkallelig, royaltyfri licens att (i) installera och använda SDK:n endast i objektkodsform för att utveckla program som består av kompilerad kod genererad med hjälp av SDK:n, eller del därav, utformad för att fungera med Produkten; (ii) göra ett begränsat antal kopior av SDK-dokumentationen för att användas av dina anställda eller konsulter endast för utvecklingsändamål, och inte för allmänna affärsändamål eller för distribution; och (iii) distribuera SDK:n endast i objektkodsform som en komponent i Produkten;
Mollie har rätt men är inte skyldigt att tillhandahålla teknisk eller annan support för SDK:erna;
SDK:erna innehåller kod som gör att automatiska felmeddelanden skickas av dig, och du samtycker till att Mollie har en evig, oåterkallelig, obegränsad rätt att använda sådan information för sina affärsändamål, inklusive, utan begränsning, för produktsupport och produktutveckling;
om du använder SDK:erna för att köra applikationer som utvecklats av dig själv eller en tredje part, eller för att få tillgång till data, innehåll eller resurser som tillhandahålls av en tredje part, samtycker du till att Mollie inte är ansvarigt för dessa applikationer, data, innehåll eller resurser;
SDK:erna licensieras ”i befintligt skick”. Du bär risken för deras användning; Mollie friskriver sig från alla garantier (lagstadgade, uttryckliga eller underförstådda) och tillhandahåller inga garantier med avseende på din användning av SDK:erna.
6. Ansvar och skadeslöshet
6.1 Mollie ansvarar inte för fel, handlingar, underlåtenhet eller bristande efterlevnad som härrör från dina data, inställningar eller din användning av Fakturatjänsten. Du är ensam och slutgiltigt ansvarig för att se till att alla uppgifter som används för att skapa eller utfärda fakturor, inklusive tillämpade momssatser, överensstämmer med tillämpliga (skatte)lagar i det relevanta användarlandet. Mollie har ingen skyldighet att verifiera riktigheten, fullständigheten eller korrektheten hos data eller (moms)inställningar som konfigurerats, tillhandahållits eller använts av dig via Fakturatjänsten. Du ska hålla Mollie skadeslöst från alla anspråk från tredje part, skulder, skador, förluster, kostnader och utgifter (inklusive skäliga advokatkostnader) som härrör från eller relaterar till din användning av Fakturatjänsten, inklusive momskonfiguration.
6.2 För undvikande av tvivel gäller att i den mån Mollie är ansvarigt för eventuella skador ska vårt ansvar begränsas i enlighet med Användaravtalet.
Bilaga 1: DATABEHANDLINGSAVTAL
Detta DATABEHANDLINGSAVTAL (hädanefter ”DPA”) inklusive dess bilagor beskriver parternas skyldigheter, inklusive under tillämpliga dataskyddslagar, med avseende på behandling av personuppgifter (enligt definitionen nedan). DPA:t är integrerat i Användaravtalet.
Detta DPA har ingåtts mellan Organisationen (hädanefter ”Personuppgiftsansvarig”)
och
Mollie B.V., ett aktiebolag (besloten vennootschap) med säte i Amsterdam på Keizersgracht 126, 1015 CW Amsterdam, Nederländerna, registrerat hos den nederländska handelskammaren under nummer 30204462 (hädanefter ”Mollie” eller ”Personuppgiftsbiträde”)
och
Mollie UK Ltd., ett aktiebolag med säte i London på 7 Pancras Square, London N1C 4AG, Storbritannien, registrerat på Companies House under nummer 14013554 (hädanefter ”Mollie” eller ”Personuppgiftsbiträde”),
var och en kallad ”Part” och gemensamt ”Parterna”.
Definitioner
I detta DPA har följande termer den innebörd som anges nedan. Definitioner med stor begynnelsebokstav som används men inte definieras här ska ha den innebörd som anges i Avtalet.
Avtalet
avtalet mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet för tillhandahållande av tjänster (”Användaravtalet”).
Bindande företagsbestämmelser (Binding Corporate Rules)
policyer för skydd av personuppgifter som följs av en personuppgiftsansvarig eller ett personuppgiftsbiträde etablerat inom en medlemsstats territorium för överföringar eller en serie överföringar av personuppgifter till en personuppgiftsansvarig eller ett personuppgiftsbiträde i ett eller flera tredjeländer inom en koncern eller grupp av företag som bedriver gemensam ekonomisk verksamhet.
Personuppgiftsansvarig
den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Kund
Kunder till Organisationen som vill betala för produkter och/eller tjänster tillhandahållna av Organisationen via Mollies Betalningsmodul.
Personuppgiftsincident (Data Breach)
en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Databehandlingsavtal
detta avtal, inklusive alla bilagor.
Tillsynsmyndighet
ett oberoende offentligt organ som ansvarar för att övervaka efterlevnaden av tillämpliga lagar rörande behandling av personuppgifter. I Nederländerna är detta Autoriteit Persoonsgegevens.
Konsekvensbedömning avseende dataskydd (Data Protection Impact Assessment)
en bedömning av konsekvenserna av den planerade behandlingen för skyddet av personuppgifter.
Dataskyddslagar
all tillämplig lagstiftning rörande dataskydd och integritet, inklusive, utan begränsning, EU:s allmänna dataskyddsförordning (GDPR), alla lokala lagar och förordningar som ändrar eller ersätter någon av dem, tillsammans med nationell lagstiftning för genomförande i valfri medlemsstat i Europeiska ekonomiska samarbetsområdet (EES), i den mån de är tillämpliga, i något annat land, såsom de ändras, upphävs, konsolideras eller ersätts från tid till annan.
Registrerad
den fysiska person som personuppgifterna rör (t.ex. Kunder).
GDPR
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning).
Personuppgifter
varje upplysning som avser en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift, en onlineidentifikator eller till ett eller flera specifika faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Behandling
en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanläggning, begränsning, radering eller förstöring. Denna lista är inte uttömmande. Termerna ”behandla”, ”behandlar” och ”behandlad” ska uttolkas i enlighet därmed.
Personuppgiftsbiträde
en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar (person)uppgifter för den personuppgiftsansvariges räkning.
Organisation
den organisation som använder Betalningsmodulen från Mollie för ändamål som inkluderar, men inte är begränsade till, försäljning av produkter och/eller tjänster till Kunder.
Standardavtalsklausuler
Europeiska kommissionens standardavtalsklausuler för personuppgiftsbiträden (2010/87/EU) eller kommissionens genomförandebeslut (EU) 2021/914 av den 4 juni 2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (C/2021/3972).
Underbiträde
varje tredje person, enhet eller företag som anlitas av Personuppgiftsbiträdet för att behandla personuppgifter vid tillhandahållandet av tjänsterna enligt Avtalet.
AVSNITT A ÄNDAMÅL
Artikel A.1 Omfattning
Personuppgiftsbiträdet har gått med på att tillhandahålla tjänster till den Personuppgiftsansvarige i enlighet med villkoren i Användaravtalet. Vid tillhandahållandet av tjänsterna kommer Personuppgiftsbiträdet att behandla personuppgifter på uppdrag av den Personuppgiftsansvarige enligt vad som anges i detta DPA. Personuppgiftsbiträdet behandlar även, i egenskap av finansiellt institut, personuppgifter som personuppgiftsansvarig.
Parterna bekräftar och godkänner att i den mån Mollie behandlar personuppgifter involverade i betalningstransaktioner för att: i) verkställa Användaravtalet med den Personuppgiftsansvarige; ii) övervaka, förhindra och upptäcka bedrägliga betalningstransaktioner; iii) uppfylla rättsliga eller regulatoriska skyldigheter som gäller för behandling och lagring av betalningsdata som Mollie omfattas av, inklusive tillämplig screening mot penningtvätt och uppfyllande av skyldigheter kring kundkännedom (KYC); samt iv) förbättra Mollies produkter och tjänster, agerar Mollie som personuppgiftsansvarig och har ensam och exklusiv rätt att bestämma ändamålen och medlen för behandlingen av de personuppgifter som tas emot från eller genom (tillhandahållande av tjänster till) den Personuppgiftsansvarige.
De behandlingsaktiviteter, personuppgifter och kategorier av registrerade för vilka Personuppgiftsbiträdet behandlar personuppgifter på uppdrag av den Personuppgiftsansvarige anges i Bilaga A.
AVSNITT B SKYLDIGHETER
Artikel B.1 Den Personuppgiftsansvariges skyldigheter
Den Personuppgiftsansvarige ansvarar för de personuppgifter som Personuppgiftsbiträdet ska behandla och ska säkerställa efterlevnad av alla dataskyddslagar, inklusive krav avseende överföring av personuppgifter enligt detta DPA och Användaravtalet. Den Personuppgiftsansvarige garanterar att den har rätt att behandla personuppgifterna och att den har rätt att utse Personuppgiftsbiträdet att behandla uppgifterna på uppdrag av den Personuppgiftsansvarige.
Den Personuppgiftsansvarige samtycker till att, utan begränsning av Personuppgiftsbiträdets skyldigheter enligt detta DPA, den Personuppgiftsansvarige är ensam ansvarig för sin användning av tjänsterna, inklusive att (a) göra lämplig användning av tjänsterna för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för personuppgifterna; (b) skydda kontots autentiseringsuppgifter, system och enheter som den Personuppgiftsansvarige använder för att få åtkomst till tjänsterna; (c) säkra den Personuppgiftsansvariges system och enheter som används med tjänsterna; och (d) underhålla sina egna säkerhetskopior av personuppgifter.
Artikel B.2 Personuppgiftsbiträdets skyldigheter
Personuppgiftsbiträdet åtar sig att:
endast behandla personuppgifterna i enlighet med dokumenterade instruktioner från den Personuppgiftsansvarige, och ska vidta nödvändiga åtgärder för att säkerställa att varje fysisk person som utför arbete under dess överinseende och som har tillgång till personuppgifter, inte behandlar personuppgifterna utom på instruktion från den Personuppgiftsansvarige;
omedelbart informera den Personuppgiftsansvarige om någon av instruktionerna gällande behandlingen av personuppgifter som tillhandahålls till Personuppgiftsbiträdet av den Personuppgiftsansvarige strider mot tillämpliga dataskyddslagar eller bestämmelserna i detta DPA;
vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt risken för varierande sannolikhet och allvar för fysiska personers rättigheter och friheter; och
utan dröjsmål informera den Personuppgiftsansvarige om det mottar ett klagomål eller en begäran relaterad till någondera parts skyldigheter enligt dataskyddslagar som är relevanta för detta DPA, inklusive eventuella skadeståndsanspråk från en registrerad eller eventuellt meddelande, utredning eller annan åtgärd från en tillsynsmyndighet, samt förse den Personuppgiftsansvarige med fullständiga detaljer om sådan utredning, klagomål eller begäran, såvida det inte är förbjudet enligt lag eller på begäran av tillsynsmyndigheten.
AVSNITT C ÖVERFÖRINGAR OCH UNDERBITRÄDEN
Artikel C.1 Överföring av personuppgifter
När personuppgifter som rör en registrerad inom EU överförs utanför EES, ska de behandlas av en enhet: (i) som är belägen i ett tredjeland eller territorium som av EU-kommissionen erkänts ha en adekvat skyddsnivå; eller (ii) som omfattas av EU:s standardavtalsklausuler och/eller Storbritanniens International Data Transfer Agreement eller tillägg till brittiska standardavtalsklausuler; eller (iii) som har andra lagligt erkända och lämpliga skyddsåtgärder på plats, såsom bindande företagsbestämmelser, som garanterar samma skyddsnivå och garantier som detta DPA.
Artikel C.2 Underbiträden
Den Personuppgiftsansvarige samtycker härmed till Personuppgiftsbiträdets användning av de underbiträden som anges i Bilaga B. Denna lista kan uppdateras av Personuppgiftsbiträdet från tid till annan i enlighet med detta DPA.
Innan ett nytt underbiträde anlitas för de tjänster som anges i Bilaga A ska Personuppgiftsbiträdet meddela den Personuppgiftsansvarige som använder tjänsten om detta och ge den Personuppgiftsansvarige minst tio (10) kalenderdagar på sig att göra invändningar, förutom då Personuppgiftsbiträdet rimligen anser att ett snabbt anlitande av ett nytt underbiträde är nödvändigt för att skydda personuppgifternas konfidentialitet, integritet eller tillgänglighet eller för att undvika väsentliga avbrott i de tillhandahållna tjänsterna. I så fall kommer Personuppgiftsbiträdet att lämna sådant meddelande så snart det är praktiskt möjligt. Om den Personuppgiftsansvarige inom fem (5) kalenderdagar efter ett sådant meddelande skriftligen meddelar Personuppgiftsbiträdet att den invänder mot Personuppgiftsbiträdets utseende av ett nytt underbiträde baserat på rimliga dataskyddsskäl, kommer parterna i god tro att diskutera dessa skäl och huruvida de kan lösas. Invändningar mot nya underbiträden ska skickas till privacy@mollie.com.
Den Personuppgiftsansvarige bekräftar att underbiträden är nödvändiga för att tillhandahålla tjänsterna och att en invändning mot användningen av ett underbiträde kan förhindra Personuppgiftsbiträdet från att erbjuda tjänsterna till den Personuppgiftsansvarige. Om parterna inte kan enas om en gemensam lösning på sådana invändningar, kan den Personuppgiftsansvarige, som sin enda och exklusiva gottgörelse, säga upp DPA:t.
Alla underbiträden som behandlar personuppgifter vid tillhandahållandet av tjänster till den Personuppgiftsansvarige ska följa de skyldigheter som anges i detta DPA. Personuppgiftsbiträdet ska, innan personuppgifter lämnas ut till något underbiträde, utföra nödvändig granskning för att säkerställa att underbiträdet kan tillhandahålla den skyddsnivå för den Personuppgiftsansvarige
som krävs enligt detta DPA, samt ingå ett avtal med det underbiträdet i vilket underbiträdet samtycker till att följa skyldigheter som motsvarar de som anges i detta DPA.
AVSNITT D SÄKERHET
Artikel D.1 Säkerhetsåtgärder
Personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inklusive bland annat, i tillämpliga fall:
pseudonymisering och kryptering av personuppgifter;
förmågan att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna;
förmågan att återställa tillgängligheten och tillträdet till personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och
ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet. Vid bedömningen av den lämpliga
säkerhetsnivån ska särskild hänsyn tas till de risker som behandlingen innebär, särskilt från oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Artikel D.2 Anmälan av personuppgiftsincident
Personuppgiftsbiträdet ska utan onödigt dröjsmål underrätta den Personuppgiftsansvarige efter att ha upptäckt en oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller åtkomst till personuppgifter, i den mån personuppgiftsincidenten endast är relaterad till Personuppgiftsbiträdets behandling av personuppgifter i sin egenskap av biträde. Om och i den mån personuppgiftsincidenten rör personuppgifter för vilka Personuppgiftsbiträdet anses vara personuppgiftsansvarig enligt vad som beskrivs i Personuppgiftsbiträdets Integritetspolicy, förbehåller sig Personuppgiftsbiträdet rätten att hantera personuppgiftsincidenten som personuppgiftsansvarig.
Ett dröjsmål med att lämna ett meddelande om personuppgiftsincident som begärts av brottsbekämpande myndigheter och/eller mot bakgrund av Personuppgiftsbiträdets legitima behov av att utreda eller åtgärda ärendet innan meddelande lämnas ska inte utgöra ett onödigt dröjsmål. Sådana meddelanden kommer, i den mån det är möjligt, att beskriva detaljerna kring personuppgiftsincidenten, inklusive de åtgärder som vidtagits för att mildra de potentiella riskerna. Utan att det påverkar Personuppgiftsbiträdets skyldigheter enligt detta avsnitt D.1, är den Personuppgiftsansvarige ensam ansvarig för att följa de lagar om anmälan av personuppgiftsincidenter som gäller för den Personuppgiftsansvarige samt för att uppfylla eventuella skyldigheter att underrätta tredje part i samband med personuppgiftsincidenter. Personuppgiftsbiträdets underrättelse om eller svar på en personuppgiftsincident enligt detta avsnitt D.1 ska inte tolkas som ett erkännande från Personuppgiftsbiträdets sida av fel eller ansvar med avseende på personuppgiftsincidenten.
Alla kostnader som uppstår för att åtgärda personuppgiftsincidenten och för att genomföra åtgärder som är nödvändiga för att förhindra en sådan personuppgiftsincident i framtiden ska bäras av den part som drabbas av kostnaderna.
AVSNITT E REVISION
Artikel E.1 Rätt till revision
Den Personuppgiftsansvarige ska ha rätt att efter skäligt varsel begära revisionsrapporter från Personuppgiftsbiträdet rörande behandlingen av personuppgifter inom ramen för de tjänster som tillhandahålls under detta DPA.
Revisionsrapporter, som avses i denna klausul, ska inkludera, men är inte begränsade till, rapporter relaterade till säkerhets-, konfidentialitets- och dataskyddsåtgärder som genomförts av Personuppgiftsbiträdet i samband med behandlingen av personuppgifter. Dessa rapporter kan även omfatta efterlevnad av relevanta dataskyddslagar.
Begäran om revisionsrapporter ska göras skriftligen och skickas till privacy@mollie.com, med angivande av begärans omfattning och syfte. Personuppgiftsbiträdet ska bekräfta mottagandet av sådana begäranden i rätt tid.
Mottagandet av revisionsrapporter ska omfattas av yrkesmässig tystnadsplikt. Den Personuppgiftsansvarige får endast använda revisionsrapporterna för att uppfylla sina lagstadgade revisionskrav och för att bekräfta att Personuppgiftsbiträdets behandling av personuppgifter sker i enlighet med detta DPA. Revisionsrapporterna får inte delas externt.
AVSNITT F KONSEKVENSBEDÖMNINGAR AVSEENDE DATASKYDD OCH FÖRHANDSSAMRÅD
Artikel F.1 Bistånd
Personuppgiftsbiträdet ska bistå den Personuppgiftsansvarige med att utföra en bedömning av konsekvenserna av behandlingen av personuppgifter (artikel 35 i GDPR) och vid samråd med en tillsynsmyndighet (artikel 36 i GDPR), om och i den mån en bedömning eller ett samråd krävs enligt dataskyddslagar och där Personuppgiftsbiträdet har tillåtelse och/eller är skyldigt att samarbeta.
AVSNITT G REGISTRERADES RÄTTIGHETER
Artikel G.1 Bistånd
Om Personuppgiftsbiträdet tar emot en begäran från en registrerad gällande den Personuppgiftsansvariges personuppgifter, ska Personuppgiftsbiträdet råda den registrerade att skicka sin begäran till den Personuppgiftsansvarige och/eller vidarebefordra begäran till den Personuppgiftsansvarige, och den Personuppgiftsansvarige ska ansvara för att besvara en sådan begäran.
På den Personuppgiftsansvariges begäran och på dennes bekostnad ska Personuppgiftsbiträdet tillhandahålla den Personuppgiftsansvarige det bistånd som rimligen kan krävas för att uppfylla skyldigheter enligt dataskyddslagar att besvara begäranden från registrerade som vill utöva sina rättigheter enligt dataskyddslagar (t.ex. rätt till registerutdrag, rättelse, radering, begränsning, dataportabilitet och invändning) i de fall där den Personuppgiftsansvarige inte rimligen kan uppfylla sådana begäranden självständigt via sin tillgång till Personuppgiftsbiträdets produkter och tjänster.
AVSNITT H ÖVRIGT
Artikel H.1 Sekretess
Personuppgiftsbiträdet ska hålla alla personuppgifter konfidentiella och ska säkerställa att alla anställda, ombud, tjänstemän och underleverantörer som har tillgång till eller är involverade i behandlingen av personuppgifter är medvetna om personuppgifternas konfidentiella natur, är kontraktuellt bundna att hålla personuppgifterna konfidentiella samt är informerade om och följer skyldigheterna i detta DPA.
Artikel H.2 Ansvar
Allt ansvar som uppstår till följd av detta DPA ska regleras av relevanta bestämmelser i Användaravtalet, inklusive ansvarsbegränsningar.
Oavsett bestämmelserna i Användaravtalet ska vardera part endast vara ansvarig gentemot den andra parten för skador som den orsakar den andra parten genom överträdelse av detta DPA. Dessa skador ska påvisas tydligt. Personuppgiftsbiträdet ska endast vara ansvarigt för skada som orsakats av behandlingen om det inte har uppfyllt de skyldigheter i dataskyddslagarna som specifikt riktar sig till personuppgiftsbiträden, eller om det har agerat utom eller i strid med den Personuppgiftsansvariges lagliga instruktioner enligt beskrivningen i detta DPA. I det sammanhanget är Personuppgiftsbiträdet endast skadeståndsskyldigt om den Personuppgiftsansvarige bevisar att Personuppgiftsbiträdet är ansvarigt för den händelse som gav upphov till skadan.
Den Personuppgiftsansvarige ska vara ensamt ansvarig gentemot den registrerade, och den registrerade ska ha rätt till ersättning för eventuella materiella eller immateriella skador som den Personuppgiftsansvarige eller Personuppgiftsbiträdet (eller dess underbiträde(n)) orsakar den registrerade genom att bryta mot detta DPA.
Artikel H.3 Löptid och uppsägning
Löptiden för detta DPA ska sammanfalla med ikraftträdandet av Användaravtalet och/eller användningen av den specifika produkt eller tjänst som ingår i Bilaga A.
Detta DPA ska upphöra att gälla automatiskt i samband med att Användaravtalet och/eller användningen av den specifika produkt eller tjänst som ingår i Bilaga A upphör, beroende på vilket som inträffar först.
Vid uppsägning av detta DPA ska Personuppgiftsbiträdet, på den Personuppgiftsansvariges begäran, återlämna personuppgifterna till den Personuppgiftsansvarige eller till ett personuppgiftsbiträde som utsetts av den Personuppgiftsansvarige, eller radera personuppgifterna, såvida inte Personuppgiftsbiträdet är skyldigt att behålla en kopia i enlighet med lagstiftning inom Europeiska unionen eller i en av Europeiska unionens medlemsstater.
AVSNITT I SLUTBESTÄMMELSER
Artikel I.1 Hela avtalet
Detta DPA utgör en del av Användaravtalet. Alla rättigheter och skyldigheter som härrör från Användaravtalet är också tillämpliga på detta DPA. Bilaga A utgör en integrerad del av detta DPA.
Artikel I.2 Ändringar endast genom skriftlig överenskommelse
Ingen ändring av detta DPA ska vara giltig såvida den inte sker skriftligen och undertecknas av behöriga representanter för respektive part.
Artikel I.3 Avskiljbarhet
Var och en av bestämmelserna i detta DPA är fristående och avskiljbara, och om någon bestämmelse eller del av en bestämmelse förklaras ogiltig, olaglig eller ogenomförbar helt eller delvis av någon domstol, tillsynsmyndighet eller annan behörig myndighet, ska den i den utsträckningen anses inte utgöra en del av detta DPA, och verkställbarheten, lagligheten och giltigheten för resten av detta DPA ska inte påverkas. Parterna är överens om att försöka ersätta en ogiltig eller ogenomförbar bestämmelse med en giltig eller genomförbar bestämmelse som i största möjliga utsträckning uppnår samma effekt som skulle
ha uppnåtts med den ogiltiga eller ogenomförbara bestämmelsen. Förutom de ändringar som genomförs genom detta DPA förblir Användaravtalet oförändrat och i full kraft och effekt.
Artikel I.4 Överlåtelserätt
Parterna får endast överlåta detta DPA i linje med Användaravtalet (klausul 8.9).
Artikel I.5 Tillämplig lag
Detta DPA ska regleras av och tolkas i enlighet med nederländsk lag. Vardera part samtycker till att domstolarna i Amsterdam ska ha exklusiv behörighet att lösa eventuella tvister som härrör från detta DPA. Om en domstol eller ett administrativt organ med behörig jurisdiktion skulle finna att någon bestämmelse i detta DPA är ogiltig, ogenomförbar eller olaglig, ska de övriga bestämmelserna i detta DPA förbli i full kraft och effekt.
BILAGA A – SPECIFIKATION AV BEHANDLING AV PERSONUPPGIFTER
ÄNDAMÅL MED BEHANDLINGEN
Behandling av personuppgifter är direkt relaterad till tillhandahållandet av de tjänster som levereras under Användaravtalet.
Ändamålen med behandlingen är:
Tvister
Underlätta hantering och lösning av tvister mellan den Personuppgiftsansvarige och dess kunder via Mollies produkter och tjänster.
Förse den Personuppgiftsansvarige med nödvändiga verktyg och information för att svara på tvisteanspråk, såsom kortreklamationer (chargebacks) eller betalningsförfrågningar.
Fakturering
Underlätta skickande av fakturor till den Personuppgiftsansvariges kunder via Mollies produkter och tjänster
KATEGORIER AV REGISTRERADE
Personuppgiftsbiträdet kommer att behandla personuppgifter för följande kategorier av registrerade för den Personuppgiftsansvariges räkning:
Kunder till den Personuppgiftsansvarige: Betalarna (konsumenter eller företagskunder) som initierar en betalning, förfrågan eller tvist.
Tvister
Tredjepartsmottagare: Individer som identifieras i leveransdokument eller transaktionsbevis, vilka inte nödvändigtvis är betalaren (t.ex. en person som tar emot en gåva på en tillhandahållen leveransadress).
Auktoriserade representanter/personal hos den Personuppgiftsansvarige: Personal hos säljaren vars namn, kontaktuppgifter eller namnteckningar kan förekomma i tvistebevis, kommunikationsloggar eller supportärenden.
Externa tjänsteleverantörer: Individer vars uppgifter kan finnas i bevis som tillhandahålls av underbiträden eller partners (t.ex. leveransförares namn på en leveransbekräftelse).
Fakturering
Fakturadetaljer (enligt vad den Personuppgiftsansvarige inkluderar)
TYPER AV PERSONUPPGIFTER
Personuppgiftsbiträdet kommer att behandla följande typer av personuppgifter för den Personuppgiftsansvariges räkning:
Identitets- och kontaktuppgifter: Fullständigt namn, e-postadress, telefonnummer och faktureringsadress för betalaren.
Transaktionsmetadata: Transaktions-ID, ordernummer, belopp, valuta, datum/tid och den specifika betalningsmetod som använts (t.ex. kreditkort, Klarna, iDEAL).
Leverans- och logistikuppgifter:
Leveransdetaljer: Leveransadress (gata, husnummer, postnummer, postort, land).
Spårningsinformation: Transportörens namn, spårningsnummer och statusloggar i realtid för transport/leverans.
Leveransbevis: Digitala signaturer, tidsstämplar för leverans samt fotografiska bevis på leveransen (t.ex. paket vid dörren).
Tvistebevis (ostrukturerade data):
Uppladdade filer: Alla personuppgifter som finns i dokument som laddats upp manuellt av den Personuppgiftsansvarige (t.ex. PDF-fakturor, chattsamtalsloggar från kundtjänst, skärmdumpar från WhatsApp eller e-postkorrespondens).
Tekniska identifierare: IP-adresser, enhetsfingeravtryck och webbläsarmetadata som samlas in vid tidpunkten för transaktionen (används för att verifiera kundens plats och identitet för att bekämpa bedrägerier).
Kategorierna av personuppgifter som listas ovan speglar den avsedda omfattningen av behandlingen under detta Avtal. Om personuppgifter som faller utanför dessa kategorier oavsiktligt delas eller bäddas in i ostrukturerade data eller uppladdade dokument, ska Personuppgiftsbiträdet hantera sådana uppgifter med lämplig omsorg samt tillämpa lämpliga tekniska och organisatoriska åtgärder.
SÄKERHETSÅTGÄRDER
Sammanhang
I egenskap av finansiellt institut är de säkerhetskontroller och driftprocedurer som Mollie har skapat för våra applikationer, system
