MIT RÜCKSICHT AUF NACHSTEHENDE GRÜNDE • Die Parteien möchten einen Vertrag über den Schutz personenbezogener Daten abschließen, der den Anforderungen der bestehenden Rechtsvorschriften zum Schutz personenbezogener Daten und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) entspricht.
• In Übereinstimmung mit der oben genannten Anforderung schließen die Parteien diesen Vertrag über die Datenverarbeitung, um ihre Rechte und Pflichten in Bezug auf den Schutz personenbezogener Daten schriftlich zu regeln.
HABEN DIE PARTEIEN FOLGENDES VEREINBART: 1. Definitionen
1.1 Sofern nicht anders angegeben, haben die Begriffe in diesem Vertrag über die Datenverarbeitung folgende Bedeutungen:
1.1.1. "DPA" bedeutet den vorliegenden Vertrag über die Datenverarbeitung und alle zusätzlichen Anhänge dazu, falls vorhanden;
1.1.2. "
Verordnung" bedeutet die Verordnung (EG) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung);
1.1.3. "
Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;
1.1.4. " Kategorien von betroffenen Personen":
- Privatpersonen, die zu den Kunden gehören;
- juristische Personen/Organisationen - Vorstände/Geschäftsführer, Unterzeichner, Gesellschafter, wirtschaftlich Berechtigte, Beteiligte, Kontaktpersonen;
- Karteninhaber - die an die Kunden des Verantwortlichen für die Datenverarbeitung Zahlungen leisten oder von diesen erhalten.
1.1.5. "Verantwortlicher für die Verarbeitung personenbezogener Daten" ist eine natürliche oder juristische Person, eine öffentliche Einrichtung, eine Behörde oder eine andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt; werden die Zwecke und Mittel einer solchen Verarbeitung durch EU-Recht oder das Recht eines Mitgliedstaats bestimmt, so können der Verantwortliche oder die spezifischen Kriterien für seine Bestimmung im EU-Recht oder im nationalen Recht festgelegt werden.
1.1.6. "Verarbeitung personenbezogener Daten" ist jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, der/die mit automatischen oder anderen Mitteln durchgeführt wird, beispielsweise das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Abrufen, das Konsultieren, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder andere Mittel, durch die Daten verfügbar gemacht, geordnet oder kombiniert, eingeschränkt, gelöscht oder vernichtet werden.
1.2. Der Merchant nach diesem DPA erteilt PAYNETICS die Erlaubnis, die vom Merchant erhaltenen personenbezogenen Daten im Rahmen der Transaktionsabwicklung und im Zusammenhang mit KYC/AML, Überwachungs- und Streitbeilegungsprozessen zu speichern und zu verarbeiten, um den Merchant-Vertrag für die Acquiring-Dienstleistungen und PAYNETICS rechtliche Verpflichtungen und berechtigte Interessen zu erfüllen, die eng mit der Acquiring-Tätigkeit als Ganzes verbunden sind.
1.3. Die Empfänger der personenbezogenen Daten sind die folgenden Unternehmen, Agenten, Subunternehmer und deren jeweilige Mitarbeiter: PSP/MSP, autorisierte Dritte, die mit dem PSP/MSP verbunden sind, Paynetics, equensWorldline (autorisierter Prozessor für Paynetics), internationale Kartensysteme (VISA und MasterCard), alle anderen Stellen, an die es vernünftigerweise notwendig sein kann, personenbezogene Daten offenzulegen und zu übermitteln (zum Beispiel: Strafverfolgungsbehörden, Behörden zur Bekämpfung von Terrorismus oder organisierter Kriminalität, Betrugsüberwachungsbehörden, Zentralbanken usw.).
1.4. Die Parteien stellen zur Verarbeitung ihre personenbezogenen Daten für die Dauer der Gültigkeit dieser DPA zur Verfügung und diese Daten werden gemäß Art.2.1 und Art. 8.3. gespeichert und verarbeitet.
1.5. Der Merchant darf sich nicht irreführend als Mitglied eines Kartensystems präsentieren.
2. Laufzeit und Kündigung des Vertrages 2.1. Dieser DPA bleibt über die Dauer des Merchant-Vertrags hinaus bestehen, indem er für eine Dauer von 5 (fünf) Jahren ab dem Datum der Beendigung des Merchant-Vertrages in Kraft bleibt.
3. Grundlagen 3.1. Der Verantwortliche für die Datenverarbeitung verpflichtet sich, alle gesetzlichen Anforderungen an den Schutz personenbezogener Daten einzuhalten.
3.2. Der Verantwortliche für die Datenverarbeitung verpflichtet sich, personenbezogene Daten in Übereinstimmung mit dem Zweck und den Bedingungen zu verarbeiten, die im Merchant-Vertrag und diesem DPA festgelegt sind.
3.3. Der Verantwortliche für die Datenverarbeitung verpflichtet sich, die personenbezogenen Daten nicht für andere Zwecke als die angegebenen und in Übereinstimmung mit dem Merchant-Vertrag und diesem DPA zu verwenden.
3.4. Die Parteien gewähren sich gegenseitig Zugang zu allen Informationen, die für den Nachweis der Erfüllung der Datenschutzverpflichtungen erforderlich sind.
4. Technische und organisatorische Maßnahmen 4.1. Der Verantwortliche für die Datenverarbeitung verpflichtet sich, alle notwendigen technischen und organisatorischen Maßnahmen zu treffen, um den Schutz der Verarbeitung von personenbezogenen Daten zu gewährleisten.
4.2. Der Verantwortliche für die Datenverarbeitung verpflichtet sich, bei der Benachrichtigung von Aufsichtsbehörden und interessierten Parteien im Falle einer Datenverletzung mitzuwirken, um die gesetzlichen Anforderungen an den Schutz der personenbezogenen Daten zu erfüllen.
4.3. Der Verantwortliche für die Datenverarbeitung garantiert, dass:
- alle seine Mitarbeiter entsprechend ihrer Verantwortung nach dem geltenden geltendem Datenschutzrecht geschult sind;
- auf der Grundlage von personenbezogenen Daten zusammengefasste, anonymisierte Daten erstellt werden können;
- die betroffenen Personen anhand der personenbezogenen Daten nicht identifizierbar sind.
5. Verstoß gegen die Sicherheit von personenbezogenen Daten 5.1. Der Verantwortliche für die Datenverarbeitung ist verpflichtet, den Merchant unverzüglich und schriftlich über eine Verletzung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten oder einer der in diesem DPA genannten Pflichten im Falle einer Verletzung personenbezogener Daten zu informieren.
5.2. Der Verantwortliche für die Datenverarbeitung muss den Merchant unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem er von der Datenverletzung Kenntnis erhalten hat, informieren. Dabei hat er die Art und das Ausmaß der Verletzung mitzuteilen und Maßnahmen zum Schutz vor künftigen Verletzungen zu empfehlen.
6. Rückgabe und Löschung von personenbezogenen Daten 6.1. Nach Ablauf der Frist gemäß Art. 2.1 bzw. Art. 8.3 des DPA sind die Parteien verpflichtet, alle personenbezogenen Daten und ihre vorhandenen Kopien zurückzugeben bzw. zu vernichten und dies den anderen Parteien zu bescheinigen, sofern ihre Aufbewahrung nicht gesetzlich vorgeschrieben ist.
7. Übermittlung von personenbezogenen Daten 7.1. Die Parteien vereinbaren, dass die Übermittlung und Offenlegung von personenbezogenen Daten weltweit erfolgen kann und dass die Übermittlung von personenbezogenen Daten außerhalb des EWR nur auf der Grundlage von entweder:
7.1.1. Entscheidung der Europäischen Kommission, dass ein Dritter ein angemessenes Schutzniveau bietet ("Angemessenes-Schutzniveau-Entscheidung").
7.1.2. Liegt keine Entscheidung über ein angemessenes Schutzniveau vor, kann die Übermittlung unter der Voraussetzung erfolgen, dass geeignete Schutzvorkehrungen getroffen werden und dass es anwendbare Rechte und wirksame Rechtsbehelfe zum Schutz von Personen gibt.
7.1.3. Ist schließlich eine Übermittlung personenbezogener Daten an einen Dritten geplant, der keinem angemessenen Schutzniveau unterliegt, und sind keine angemessenen Garantien vorhanden, kann eine Übermittlung auf der Grundlage einer Reihe von Ausnahmen für bestimmte Situationen erfolgen, beispielsweise wenn die betroffene Person der vorgeschlagenen Übermittlung ausdrücklich zugestimmt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat.
7.2. Personenbezogene Daten können, sofern das erforderlich ist, für folgende Zwecke verwendet und/oder mit Dritten geteilt werden:
- Abrechnungszwecke;
- Produktentwicklung und -erstellung;
- KYC-Verifizierungsdienste;
- Transaktionsprüfung;
- Transaktionsüberwachung;
- Bearbeitung von Streitfällen;
- Zu Test- oder Produktverbesserungszwecken;
- Zur Beantwortung von Anfragen von Behörden;
8. Änderung und Kündigung dieses DPA-Vertrages 8.1. Der DPA wird für die Laufzeit gemäß in Art. 2.1 abgeschlossen.
8.2. Der DPA kann gekündigt werden:
- im gegenseitigen Einvernehmen, das schriftlich zum Ausdruck gebracht wird;
- bei Nichteinhaltung der Verpflichtungen einer der beiden Parteien und bei einem Verstoß gegen die Allgemeine Regelung; in diesem Fall hat jede Partei das Recht, die Aufsichtsbehörde über den begangenen Verstoß zu informieren.
8.3. Vorbehaltlich des Art. 2.1 des vorliegenden DPA werden in den Fällen gemäß Art. 8.2 die bereits übermittelten personenbezogenen Daten für einen Zeitraum von 5 (fünf) Jahren ab dem Datum der Beendigung des DPA aus einem der oben genannten Gründe gespeichert und verarbeitet werden.
8.4. Dieser Vertrag über die Datenverarbeitung kann von den Parteien nur im gegenseitigen Einvernehmen schriftlich geändert werden.
9. Kontaktmöglichkeiten für Datenschutzanfragen Paynetics - über unser Website-Kontakt-/Anfrageformular unter
www.paynetics.digital - telefonisch, unter der auf unserer Website veröffentlichten Kontaktnummer (+359 2 806 5615)
- per E-Mail -
dpo@paynetics.digital - per Post, an die Postadresse - bul. James Bourchier 76A, Hill Tower, Sofia, PO 1407, Bulgaria.
10. Zusätzliche Bestimmungen 10.1. Dem Merchant stehen unter Berücksichtigung der jeweils erbrachten Leistungen alle Rechte auf Daten zu, einschließlich des Rechts des Merchants auf Beschwerde bei einer Behörde und ggf. des Rechts auf Löschung und/oder Berichtigung personenbezogener Daten und Datenübertragbarkeit.
10.2. Alle strittigen Fragen, die sich auf Klauseln dieses Vertrages über die Datenverarbeitung beziehen, sind einvernehmlich und schriftlich zu regeln. Wenn keine Einigung erzielt wird, kann die betroffene Partei den Streitfall an das zuständige bulgarische Gericht weiterleiten. Es gilt bulgarisches materielles und prozessuales Recht mit Ausnahme der kollisionsrechtlichen Bestimmungen.
Dieser Vertrag wurde in zwei identischen Exemplaren unterzeichnet, eines für jede der Parteien, und gilt ab dem Datum des Merchant-Vertrages.