Klauzolat kontraktuale standarde nga kontrolluesi për kontrolluesin

Këto klauzola kontraktuale standarde nga kontrolluesi për kontrolluesin ("KKS-të") janë pjesë e Marrëveshjes në fuqi të përdoruesit të PayPal ("Marrëveshja") midis jush, në cilësinë e shitësit ("ju" ose "Tregtari") dhe PayPal, dhe janë të përfshira në të përmes referencës. Në rast mospërputhjeje midis kushteve të këtyre KKS-ve dhe Marrëveshjes, mbizotërojnë kushtet e këtyre KKS-ve. Termat me germa kapitale, që përdoren por nuk përkufizohen në këtë KKS, kanë kuptimet e parashtruara në Marrëveshje.

Deri në masën e zbatueshme: (i) nënshkrimi i Marrëveshjes nga ana juaj do të konsiderohet si nënshkrimi dhe pranimi i Vendimit Zbatues të Komisionit Evropian (BE) 2021/914, datë 4 qershor 2021 "Për klauzolat kontraktuale standarde lidhur me transferimin e të dhënave personale te vendet e treta", sipas Rregullores (BE) 2016/679 ("Klauzolat e BE-së për Transferimin") nga Tregtari, si eksportuesi i të dhënave dhe në cilësinë e kontrolluesit; (ii) nënshkrimi i Marrëveshjes nga PayPal do të konsiderohet si nënshkrimi dhe pranimi i Klauzolave të BE-së për Transferimin nga ana e PayPal, si importuesi të dhënave dhe në cilësinë e kontrolluesit; dhe (iii) palët i nënshtrohen dispozitave të Modulit 1 të Klauzolave të BE-së për Transferimin.

Në rast se Komisioni Evropian rishikon dhe më pas publikon Klauzola të reja të BE-së për Transferimin (ose siç kërkohet apo zbatohet nga Komisioni Evropian), palët bien dakord që këto Klauzola të reja të BE-së për Transferimin do të zëvendësojnë klauzolat aktuale të BE-së për Transferimin dhe se do të marrin të gjitha masat e kërkuara për të siguruar zbatimin e Klauzolave të reja të BE-së për Transferimin.

Klauzolat e BE-së për Transferimin (Moduli 1) do të përfshihen në Marrëveshje përmes referencës dhe do të konsiderohen si të nënshkruara nga palët në momentin e hyrjes në fuqi të kësaj Marrëveshjeje, e cila i nënshtrohet pikave të mëposhtme: 

1. zbatohet opsioni 1 i klauzolës 17 (Legjislacioni në fuqi) dhe ligjet e Luksemburgut rregullojnë Klauzolat e BE-së për Transferimin; 

1. në përputhje me klauzolën 18 (Zgjedhja e forumit dhe juridiksionit), gjykatat e Luksemburgut do të zgjidhin çdo mosmarrëveshje që lind nga Klauzolat e BE-së për Transferimin; dhe 

2. palët bien dakord që detajet e kërkuara sipas shtojcës së Klauzolave të BE-së për Transferimin janë siç përcaktohen në Shtojcën 1.  

Pjesa 1

Shtojca e Klauzolave të BE-së për Transferimin

Shtojca 1.A. Sipas Klauzolave të BE-së për Transferimin, pikat e mëposhtme janë të zbatueshme, deri në masën e kërkuar

Eksportuesi i të dhënave

• Emri dhe adresa: Eksportuesi i të dhënave është tregtari dhe adresa është siç parashikohet në marrëveshje
• Emri, pozicioni dhe detajet e kontaktit të personit të kontaktit: siç parashikohet në marrëveshje
• Aktivitetet përkatëse për të dhënat e transferuara sipas klauzolës standarde kontraktuese: siç parashikohet në marrëveshje
• Nënshkrimi dhe data: referojuni asaj që parashikohet në këto KKS
• Roli (kontrolluesi/përpunuesi): kontrolluesi

Importuesi i të dhënave

• Emri dhe adresa: importuesi i të dhënave është anëtar i grupit PayPal që ofron shërbimet në përputhje me marrëveshjen dhe adresa është siç parashikohet në marrëveshje
• Emri, pozicioni dhe detajet e kontaktit të personit të kontaktit: siç parashikohet në marrëveshje
• Aktivitetet përkatëse për të dhënat e transferuara sipas klauzolës standarde kontraktuese: siç parashikohet në marrëveshje
• Nënshkrimi dhe data: referojuni asaj që parashikohet në këto KKS
• Roli (kontrolluesi/përpunuesi): kontrolluesi

Shtojca 1.B. Përshkrimi i transferimit

Subjektet e të dhënave, të dhënat personale të të cilëve transferohen
Të dhënat personale të transferuara i referohen kategorive të mëposhtme të subjekteve të të dhënave:

• Klientët, punëmarrësit dhe kontaktet e tjera të biznesit të eksportuesit të të dhënave.

Kategoritë e të dhënave personale të transferuara

• Emri, shuma për t'u tarifuar, data/ora, detajet e llogarisë bankare, detajet e kartës së pagesës, kodi CVC, kodi postar, kodi i shtetit, adresa, adresa e email-it, faksi, numri i telefonit, faqja e internetit, të dhënat e skadimit, detajet e transportit, statusi tatimor, identifikuesi unik i klientit, adresa e IP-së, vendndodhja dhe çdo të dhënë tjetër që PayPal merr sipas marrëveshjes.

Të dhënat sensitive (sipas rastit) dhe kufizimet ose masat mbrojtëse të zbatuara
Të dhënat personale të transferuara i referohen kategorive të mëposhtme të të dhënave sensitive:

• Nuk është e zbatueshme, përveçse kur tregtari konfiguron shërbimin për të regjistruar këto të dhëna.

Zbaton kufizimet dhe masat mbrojtëse:

• Nuk është e zbatueshme, përveçse kur tregtari konfiguron shërbimin për të regjistruar këto të dhëna.

Natyra e përpunimit

Siç përcaktohet në Marrëveshje.

Qëllimet e transferimit

Transferimi kryhet për qëllimet e mëposhtme:

• Performanca e shërbimeve që importuesi i të dhënave i ofron eksportuesit të të dhënave në përputhje me Marrëveshjen.
• Për të identifikuar aktivitetin mashtrues dhe rrezikun që është, ose mund të ndikojë në importuesin e të dhënave, eksportuesin e të dhënave ose klientë të tjerë të importuesit të të dhënave.
• Për të qenë në përputhje me ligjet dhe kërkesat e organeve ligjzbatuese, që janë të zbatueshme për importuesin e të dhënave.
• Siç përcaktohet në Deklaratën e Privatësisë të importuesit të të dhënave.

Periudha për të cilën do të mbahen të dhënat personale, ose, nëse kjo nuk është e mundur, kriteret e përdorura për përcaktimin e asaj periudhe

Importuesi i të dhënave ruan të dhënat personale vetëm për aq kohë sa është e nevojshme në lidhje me qëllimet përkatëse për të cilat është mbledhur (shiko qëllimet më sipër). Për të përcaktuar periudhën e përshtatshme të mbajtjes për të dhënat personale, importuesi i të dhënave merr në konsideratë sasinë, natyrën dhe ndjeshmërinë e të dhënave personale, rrezikun e mundshëm të dëmtimit nga përdorimi i paautorizuar ose zbulimi i të dhënave personale, qëllimet për të cilat përpunohen të dhënat personale dhe nëse qëllime të tilla mund të arrihen përmes mënyrave të tjera dhe kërkesave të zbatueshme ligjore, rregullatore, tatimore, kontabël ose të tjera.

Për transferimet te (nën-) përpunuesit, specifiko gjithashtu çështjen e temës, natyrën dhe kohëzgjatjen e përpunimit

Importuesi i të dhënave mund të ndajë të dhëna personale me ofruesit e shërbimeve të palëve të treta që kryejnë shërbime dhe funksione në drejtim të importuesit të të dhënave dhe në emër të tij. Këta ofrues shërbimesh të palëve të treta mund, për shembull, të ofrojnë një element të shërbimeve të ofruara sipas marrëveshjes si p.sh. verifikimin e klientit, përpunimin e transaksioneve ose mbështetjen e klientit ose ofrimin e një shërbimi për importuesin e të dhënave që mbështet shërbimet e ofruara sipas marrëveshjes si p.sh. magazinimit. Gjatë përcaktimit të kohëzgjatjes së përpunimit të ndërmarrë nga ofruesit e shërbimeve të palëve të treta, importuesi i të dhënave zbaton kriteret e parashikuara më sipër në këtë shtojcë1.B.

Shtojca 1.B. Autoriteti mbikëqyrës

Në përputhje me Klauzolën 13 (a) të Klauzolave të BE-së për Transferimin, autoriteti mbikëqyrës përgjegjës për garantimin e pajtueshmërisë me Rregulloren (BE) 2016/679 në lidhje me transferimin e të dhënave nga eksportuesi i të dhënave, siç tregohet në këto KKS, do të veprojë si autoriteti mbikëqyrës kompetent.

B. Masat teknike dhe organizative, që përfshijnë masat teknike dhe organizative për të garantuar sigurinë e të dhënave.

1. Pseudonimizimi, enkriptimi dhe mbrojtja e të dhënave gjatë transmetimit.

Politikat e PayPal garantojnë pajtueshmëri me këtë parim dhe kërkojnë përdorimin e kontrolleve teknike për të parandaluar rrezikun e zbulimit të të dhënave personale. Për të gjitha të dhënat personale, PayPal përdor enkriptim në tranzit dhe enkriptim për të dhënat joaktive. Ne gjithashtu përdorim teknika standarde të pseudonimizimit të industrisë, të tilla si "tokenizimi" për të mbrojtur të dhënat personale, sipas rastit. PayPal disponon politika gjithëpërfshirëse që mundësojnë detyrime dhe procese kryesore për të mbrojtur të dhënat kur ato transferohen brenda ndërmarrjes dhe jashtë me palë të treta.

2. Menaxhimi i ndryshimit dhe vazhdimësia e biznesit.

Procesi i fortë i menaxhimit të ndryshimeve të PayPal mbron disponueshmërinë dhe qëndrueshmërinë e vazhdueshme të të dhënave dhe sistemeve gjatë gjithë ciklit të tyre të jetës duke siguruar që ndryshimet të planifikohen, miratohen, ekzekutohen dhe shqyrtohen në mënyrë të përshtatshme. Procesi i menaxhimit të vazhdimësisë së biznesit të kompanisë ofron një kornizë për ndërtimin e qëndrueshmërisë organizative me aftësinë e një përgjigje efektive që mbron interesat e palëve të tij kryesore të interesit.

3. Rikuperimi i fatkeqësive.

Programi i fuqishëm i rikuperimit të fatkeqësive të PayPal ka procese për rikuperimin e sistemeve të informacionit ose teknologjisë në rast të ndonjë përçarjeje të konsiderueshme, duke u fokusuar në sistemet e TI-së që mbështesin proceset kritike të biznesit dhe aktivitetet e klientëve. Infrastruktura e teknologjisë së PayPal është vendosur në qendra të shumëfishta të sigurta të të dhënave, me aftësi kryesore dhe dytësore, secila e pajisur me rrjet dhe infrastrukturë sigurie, aplikacione të dedikuara dhe servera të dhënash dhe hapësira ruajtëse.

4. Testimi i rregullt, vlerësimi dhe vlerësimi i efektivitetit të masave teknike dhe organizative.

PayPal planifikon, kryen dhe raporton rregullisht mbi rezultatet e programit të testimit të Kompanisë për të vlerësuar efikasitetin e masave teknologjike dhe organizative të saj. Programi menaxhohet përmes ekipit për rrezikun dhe pajtueshmërinë e ndërmarrjes, të cilët punojnë me palët e interesuara përkatëse për të marrë dhe vlerësuar informacionin e kërkuar për testimin, raportimin dhe korrigjimin sipas rastit.

5. Identifikimi dhe autorizimi i përdoruesit.

Proceset e menaxhimit të aksesit të PayPal kërkojnë që përdoruesit të hyjnë në rrjetin e korporatave duke përdorur një ID unike të llogarisë së korporatës dhe fjalëkalimin për identifikimin dhe autentifikimin e përdoruesit përpara se të aksesojnë ndonjë aplikacion tjetër të fushës së zbatimit. Zbatohen politika të automatizuara në lidhje me përbërjen e fjalëkalimit, gjatësinë, ndryshimin, ripërdorimin dhe bllokimin. Aksesi dhe miratimet e bazuara në role, të cilat janë të certifikuara çdo tre muaj, zbatohen në të gjitha sistemet e fushës së zbatimit për të zbatuar parimin më pak të privilegjuar.

6. Siguria fizike e vendndodhjeve ku përpunohen të dhënat personale.

Politikat dhe proceset e sigurisë globale dhe të sigurisë së PayPal parashtrojnë kërkesat e nevojshme për të lehtësuar proceset e sigurisë dhe tingujve të sigurisë, duke përfshirë sigurinë fizike, në përputhje me ligjet, rregulloret dhe kërkesat e partnerëve në fuqi. Theks i veçantë vihet në sistemet e sigurisë dhe masat mbrojtëse kur ndërtohen zona të veçanta ose të ndjeshme siç janë dhomat e postës, magazinimi i pajisjeve, zonat e transportit dhe marrjes, dhomat e kompjuterit / serverit, kasafortat e komunikimit ose zonat e klasifikuara të ruajtjes së informacionit në përputhje me trajtimin e sigurisë së informacionit të kompanisë standarde.

7. Regjistrimi dhe konfigurimi i ngjarjeve.

PayPal ka përshkruar dhe përcaktuar llojet dhe atributet e regjistrimit dhe monitorimit të ngjarjeve. Kompania mbledh dhe grumbullon disa lloje të regjistrave në sistemin e centralizuar të monitorimit të sigurisë. Kontrolli standard i menaxhimit të konfigurimit është i vendosur për të siguruar që regjistrat të mblidhen nga sistemet dhe më pas të përcillen në sistemin tonë të centralizuar të monitorimit të sigurisë. Politikat dhe proceset mbështetëse të PayPal përcaktojnë se konfigurimi i sistemit dhe linjat bazë të forcimit duhet të zbatohen në të gjitha sistemet.

8. Qeverisja dhe menaxhimi i TI-së; Certifikimi dhe sigurimi i proceseve dhe produkteve.

PayPal promovon një filozofi të fortë sigurie në të gjithë kompaninë. Zyrtari ynë kryesor i sigurisë së informacionit mbikëqyr sigurinë e informacionit në të gjithë ndërmarrjen tonë globale. Si pjesë e programit tonë të menaxhimit të rrezikut dhe përputhshmërisë së ndërmarrjeve, programi ynë i mbikëqyrjes së teknologjisë dhe sigurisë së informacionit është krijuar për të mbështetur kompaninë në menaxhimin e rreziqeve të sigurisë së teknologjisë dhe informacionit dhe identifikimin, mbrojtjen, zbulimin, reagimin dhe rikuperimin nga kërcënimet e sigurisë së informacionit. PayPal certifikon dhe siguron proceset dhe produktet e tij përmes një larmie programesh të ndërmarrjeve, duke përfshirë (i) auditimet dhe vlerësimet e detyrimeve standarde të industrisë teknike të PayPal, duke përfshirë por pa u kufizuar në, ISO 27001, standardet e zbatueshme të industrisë së kartave të pagesave (PCI) (DSS, PIN, P2PE, etj.) dhe Instituti Amerikan i Kontabilistëve Publikë të Certifikuar (AICPA) SOC-1 dhe SOC-2, (ii) Procesi i Identifikimit të Kontrollit të Riskut (RCIP) i cili siguron angazhim të hershëm dhe një qasje standarde për matjen, menaxhimin dhe monitorimin e rrezikut që lidhet me zhvillimin dhe lëshimin e zgjidhjeve të produkteve, (iii) vlerësimet e ndikimit të privatësisë të cilat janë të integruara në fazat e hershme të proceseve të zhvillimit të produktit dhe softuerit dhe (iv) një program gjithëpërfshirës të menaxhimit të palëve të treta, i cili ofron siguri përmes menaxhimit të vazhdueshëm të rreziqeve gjatë gjithë ciklit të jetës së një angazhimi me një palë të tretë.

9. Minimizimi i të dhënave.

Politikat tona kërkojnë, përmes kontrolleve teknike, që elementet e të dhënave të mbledhura dhe të gjeneruara të jenë ato adekuate, të rëndësishme dhe të kufizuara në atë që është e nevojshme në lidhje me qëllimet për të cilat ato përpunohen. Proceset e vlerësimit të ndikimit të privatësisë në PayPal sigurojnë pajtueshmëri me këto politika.

10. Cilësia dhe mbajtja e të dhënave.

Politika e aksesit dhe cilësisë së PayPal siguron që të gjitha të dhënat personale të jenë të sakta, të plota dhe të përditësuara, duke u mundësuar përdoruesve individualë të aksesojnë sistemin për të korrigjuar dhe modifikuar të dhënat e tyre (p.sh. adresën, detajet e kontaktit etj.), dhe, kur një kërkesë për korrigjim është marrë nga një subjekt i të dhënave, për të ofruar një shërbim i cili u jep të drejtën e tyre për korrigjim. Programi ynë i qeverisjes së të dhënave monitoron cilësinë e të dhënave, çështjet dhe rregullimet, sipas nevojës. Ne kërkojmë që të gjitha të dhënat të klasifikohen sipas vlerës së tyre të biznesit me periudhat e caktuara të mbajtjes, e cila bazohet në kërkesat ligjore, rregullatore dhe të mbajtjes së regjistrave të biznesit të PayPal. Pas skadimit të periudhës së mbajtjes, të dhënat dhe informacionet hidhen, fshihen ose shkatërrohen.

11. Përgjegjësia.

PayPal ka zhvilluar një sërë politikash dhe parimesh për sigurinë e informacioneve, teknologjinë, administrimin e të dhënave, menaxhimin e të dhënave të palëve të treta dhe privatësinë e tyre, të cilat janë në përputhje me standardet e industrisë dhe të projektuara për të angazhuar bashkëpunimin dhe partneritetin midis palëve të interesuara në ndërgjegjësimin dhe pajtueshmërinë me këto politika dhe kontrolle në të gjithë organizatën për të garantuar pjesëmarrje dhe përgjegjësi nga lart poshtë. Çdo program përcakton përgjegjësitë për të dhënat ndër-funksionale që lidhen me vendimet, proceset dhe kontrollet. Në cilësinë e kontrolluesit të të dhënave, PayPal është përgjegjës dhe demonstron pajtueshmërinë me nenet përkatëse që mbartin një detyrim llogaridhënieje sipas GDPR-së dhe me ligjet e tjera në fuqi për mbrojtjen e të dhënave përmes zbatimit të një politike të programit të privatësisë dhe ka një strukture themelore hierarkike të kontrollit organizativ dhe teknik për të siguruar pajtueshmërinë në mbarë ndërmarrjen me ligjin, rregulloren, politikën dhe procedurat për privatësinë. Këtu përfshihet aftësia për të demonstruar pajtueshmërinë me ligjet për mbrojtjen e të dhënave përmes: 1) një kulture të fortë të pajtueshmërisë, 2) një strukture qeverisjeje për rrezikun dhe pajtueshmërinë e ndërmarrjes, e cila përfshin komitetet e menaxhimit, detyrat e mbikëqyrjes, raportimin lidhur me privatësisë, 3) përgjegjësisë së funksionit të biznesit për pajtueshmërinë me programin e privatësisë duke përfshirë përcaktimin, dokumentimin dhe mirëmbajtjen e proceseve dhe kontrolleve të biznesit, 4) një departamenti gjithëpërfshirës të privatësisë brenda Organizatës për Pajtueshmërinë e Ndërmarrjes për të mbikëqyrur pajtueshmërinë e biznesit me programin e privatësisë dhe për të përcaktuar politikat, standardet, procedurat dhe mjetet të cilat janë operacionalizuar nga funksionet e biznesit, 5) komunikimeve me ndërmarrjen nga funksioni i privatësisë globale për të promovuar ndërgjegjësimin dhe të kuptuarit e privatësisë, 6) Kuadrit për Menaxhimin e Rrezikut dhe të Pajtueshmërisë së Ndërmarrjes për të garantuar përdorimin e proceseve të qëndrueshme duke përfshirë vlerësimet e ndikimit të privatësisë, monitorimin dhe testimin e privatësisë, menaxhimin e çështjeve të privatësisë, trajnimin për privatësinë, planin vjetor të privatësisë dhe 7) raportimit dhe analizës te komitetet e menaxhimit të cilat mbikëqyrin Programin e Privatësisë.

12. Të drejtat e subjektit të të dhënave.

PayPal ka një program në dispozicion për të siguruar që të drejtat e subjektit të të dhënave janë përmbushur, duke përfshirë aksesin, korrigjimin dhe fshirjen. Kërkesat për fshirjen e të dhënave përmbushen nëse PayPal nuk ka një detyrim ligjor, rregullator ose arsye të tjera të ligjshme biznesi për t'i mbajtur ato. Politikat e PayPal sigurojnë që fshirja të ndodhë gjatë gjithë ciklit të jetës së klientit.

13. Përpunuesit.

PayPal ka një program gjithëpërfshirës të menaxhimit të palëve të treta, i cili ofron siguri përmes menaxhimit të vazhdueshëm të rreziqeve gjatë gjithë ciklit të jetës së një angazhimi me një palë të tretë. Ne kemi në dispozicion kontrolle kontraktuale për të kërkuar që përpunuesit tanë dhe nënpërpunuesit e tyre të vendosin standarde gjithëpërfshirëse të sigurisë së të dhënave dhe privatësisë në të gjithë zinxhirin e përpunimit. Të gjithë nënpërpunuesit duhet të kërkojnë miratimin tonë paraprak para se të angazhohen.