آخر تحديث في 1 ديسمبر، 2021
آخر تحديث في 1 ديسمبر، 2021
يسري هذا "الملحق الخاص بحماية البيانات على PayPal لمنتجات معالجة البطاقات" (أي هذا "الملحق") على أي منتج أو خدمة أو عرض آخر يقدم فيه أحد أعضاء "مجموعة PayPal" ("PayPal") خدمات معالجة البطاقات و/أو بوابة الدفع و/أو الحماية ضد الاحتيال ("خدمات الدفع") إليك، باعتبارك التاجر (ويشار إليك باسم "التاجر" أو بضمير المخاطب). ولا ينطبق هذا "الملحق" على خدمات محفظة PayPal مثل عروض السداد لاحقاً عبر PayPal أو الدفع عبر PayPal. وسيشكل هذا "الملحق" جزءاً من الاتفاقية ذات الصلة المبرمة بين "التاجر" وPayPal التي تنظم تقديم PayPal "خدمات الدفع" إليك ("الاتفاقية") ويتم تضمين هذا "الملحق" بالإشارة إليه في الاتفاقية. وفي حال وجود أي تعارض بين شروط هذا "الملحق" و"الاتفاقية"، يتم العمل بشروط هذا "الملحق". وتحمل المصطلحات المستخدمة المحاطة بعلامتي تنصيص والتي لا يرد لها تعريف في هذا "الملحق" المعنى المبين في "الاتفاقية".
يسري هذا "الملحق" اعتباراً من التاريخ الأخير من بين كل من (1) تاريخ السريان المحدد في "الاتفاقية" أو (2) تاريخ السريان الوارد في الإخطار المنشور أو المُقدَّم إليك في ما يتعلق بهذا "الملحق". قد نعدّل هذا "الملحق" من وقت لآخر. وستكون النسخة المنقّحة سارية اعتباراً من وقت نشرنا لها على موقعنا الإلكتروني، ما لم يُذكر خلاف ذلك. وإذا أدت التغييرات التي أجريناها إلى الانتقاص من حقوقك أو زيادة مسؤولياتك، فسننشر إخطاراً على صفحة "تحديثات السياسة" على موقعنا الإلكتروني خلال الإطار الزمني الذي تشترطه "الاتفاقية". في حال عدم موافقتك على أي تغيير يتم إجراؤه على "الملحق"، يجوز لك التوقف عن استخدام "خدمات الدفع".
التعريفات
تحمل المصطلحات الآتية المعاني الواردة أدناه عند استخدامها في هذا "الملحق":
"المراقب " يعني الكيان الذي يحدد أغراض ووسائل معالجة "البيانات الشخصية"، أو في حال تعريف هذا المصطلح (أو المصطلحات التي تتناول مهام مشابهة) في "قانون حماية البيانات"، فسيكون لمصطلح "المراقب" المعنى المنصوص عليه في "قانون حماية البيانات" الساري.
"العميل" يشير إلى عملائك الذين يستخدمون "خدمات الدفع" والذين يعتبرون هم أصحاب البيانات لأغراض هذا "الملحق".
"بيانات العميل" تعني "البيانات الشخصية" التي (1) يقدمها "العميل" إلى "التاجر" والذي يقوم بدوره بنقلها إلى PayPal من خلال استخدام "خدمات الدفع" من قبل "التاجر"، و(2) قد يجمعها PayPal من جهاز "العميل" ومتصفحه من خلال استخدام "خدمات الدفع" من قبل "التاجر".
"قوانين حماية البيانات" تعني أي قوانين وتشريعات وتوجيهات ومتطلبات تنظيمية وقواعد ممارسة معمول بها تسري على توفير "خدمات الدفع"، بما في ذلك أي تعديلات فيها وأي تشريعات أو أدوات مرتبطة بها (على سبيل المثال، "قانون خصوصية المستهلك في كاليفورنيا لعام 2018"، و"القانون المدني في كاليفورنيا المادة 1798.100 وما يليها من مواد"، و"اللائحة العامة لحماية البيانات (GDPR) (الاتحاد الأوروبي) رقم 2016/679"، و"قانون الخصوصية الأسترالي لعام 1988 (كومنولث)، و"قانون حماية المعلومات الشخصية والمستندات الإلكترونية (كندا)"، و"مرسوم (خصوصية) البيانات الشخصية (الفصل 486) (هونغ كونغ)"، و"القانون العام البرازيلي لحماية البيانات"، و"القانون الفيدرالي رقم 13,709/2018"، و"قانون حماية البيانات الشخصية لعام 2012 (سنغافورة)").
"مجموعة PayPal" تعني شركة PayPal, Inc. وجميع الشركات التي تملكها أو تسيطر عليها PayPal أو الشركات التي تخلفها بصورة مباشرة أو غير مباشرة من حين لآخر.
"البيانات الشخصية" تعني أي معلومات متعلقة بشخص طبيعي معرّف أو يمكن التعرّف عليه ("صاحب البيانات")؛ والشخص الطبيعي الذي يمكن التعرّف عليه هو الشخص الذي يمكن التعرّف عليه، بشكل مباشر أو غير مباشر، ولا سيما بالرجوع إلى معرِّف، كاسم مثلاً أو رقم تعريف أو بيانات موقع أو معرِّف هوية عبر الإنترنت، أو إلى عامل واحد أو أكثر من العوامل الخاصة بالهوية الجسمانية أو الفسيولوجية أو الوراثية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي.
"المعالجة" أو المصطلحات التي تتناول الوظائف المشابهة عند استخدامها في هذا "الملحق" تحمل المعنى المعرَّف في "قوانين حماية البيانات" المعمول بها.
PayPal بصفة مراقب
تمتثل PayPal لمتطلبات "قوانين حماية البيانات" السارية على "المراقبين" في ما يخص "معالجة بيانات العميل" بموجب هذا "الملحق" (بما في ذلك على سبيل المثال لا الحصر، عن طريق تنفيذ جميع تدابير الحماية المناسبة بشأن "معالجة بيانات العميل" والحفاظ عليها في جميع الأوقات)، ولن تقوم PayPal أو تسمح، عن علم، بأي إجراء يخص "بيانات العميل" قد يؤدي إلى خرق من "التاجر" لبنود "قوانين حماية البيانات". ولن تقوم PayPal بنقل "بيانات العميل" إلا للجهات الخارجية أو المعالجين الفرعيين أو أعضاء مجموعة PayPal الموقِّعين على اتفاقيات مكتوبة تحتوي على شروط حماية "بيانات العميل"، والتي لا تقل من حيث الحماية عن تلك الشروط الواردة في هذا "الملحق".
معالجة "بيانات العميل" في ما يخص "خدمات الدفع"
يقر الطرفان ويوافقان على أن "التاجر" و"PayPal" كليهما "مراقبان" مستقلان في ما يتعلق بجميع "بيانات العميل" التي تتم لها "المعالجة" في ما يخص "خدمات الدفع". وعلى هذا النحو، تقوم شركة PayPal بصورة مستقلة بتحديد الغرض من "معالجة" "بيانات العميل" هذه والوسائل المستخدمة فيها، ولا تقوم بدور "مراقب" مشترك مع "التاجر" في ما يخص "بيانات العميل" هذه.
يقر الطرفان ويوافقان على أنه يُسمح لشركة PayPal باستخدام "بيانات العميل" وبيانات معاملات الدفع وإعادة نسخها و"معالجتها" للأغراض المحدودة التالية:
إخطار التاجر للعملاء
يتعيّن على "التاجر" بذل جهود معقولة تجارياً بغرض (1) إخطار "العملاء" في إطار سياسة الخصوصية لديهم بأن شركة PayPal هي "مراقب" مستقل لغرض "معالجة بيانات العميل" على النحو الموضح في هذا "الملحق" و(2) تضمين رابط إلى "سياسة الخصوصية" في PayPal على www.paypal.com في "سياسة الخصوصية" لدى "التاجر".
المساعدة المتبادلة
يوافق الطرفان على التعاون مع بعضهما بالقدر اللازم بشكل معقول لتمكين الطرف الآخر من الاضطلاع بمسؤولياته بصورة ملائمة بصفته "مراقباً" مستقلاً بموجب "قوانين حماية البيانات". يوافق الطرفان على أنه إلى المدى الذي يتلقى فيه "التاجر" طلباً بالوصول إلى صاحب بيانات أو أي ممارسة من قبل أحد "العملاء" لحقوقه بموجب "قوانين حماية البيانات"، فإنه يجب على "التاجر" الاستجابة لطلب الوصول هذا المقدم من "العميل" على الفور. كما سيعمل "التاجر" على إبلاغ "العميل" بأنه يجوز له ممارسة حقوق صاحب البيانات في ما يخص "خدمات الدفع" مع PayPal وفقاً للتعليمات الموضحة في "بيان الخصوصية" المتاح في www.paypal.com. بالإضافة إلى ذلك، إذا قررت شركة PayPal وفقاً لتقديرها المطلق، في ما يتعلق بأي حادث أمني، بأنها يجب أن تقوم بإخطار "العملاء" المتضررين، وكانت شركة PayPal لا تمتلك معلومات الاتصال اللازمة التي تخص "العميل" المتضرر لإجراء مثل هذا الاتصال، فيجب على "التاجر" حينئذ بذل جهود معقولة تجارياً لتزويد PayPal بالمعلومات التي قد يمتلكها عن "العميل"، وذلك للغرض المحدود المتمثل في امتثال شركة PayPal لالتزامات الإشعار السارية والتي تخص "العملاء" المتضررين بموجب "قوانين حماية البيانات".
عمليات تحويل البيانات عبر الحدود
يوافق الطرفان على أنه يجوز لشركة PayPal تحويل "بيانات العميل" التي تمت "معالجتها" بموجب هذه "الاتفاقية" خارج البلد الذي تم جمعها فيه عند الضرورة وذلك لتقديم "خدمات الدفع". وإذا قامت شركة PayPal بتحويل "بيانات العميل" المؤمَّنة بموجب هذا "الملحق" إلى ولاية قضائية لم يصدر بشأنها قرار بالملاءمة من السلطة التنظيمية المعمول بها في البلد الذي تم جمع البيانات فيه، فستضمن شركة PayPal تنفيذ الضمانات الملائمة لتحويل "بيانات العميل" وفقًا لبنود "قوانين حماية البيانات" المعمول بها. على سبيل المثال، ولأغراض الامتثال للائحة العامة لحماية البيانات (GDPR)، فإننا نعتمد على "قواعد مؤسسية مُلزمة" وافقت عليها سلطات الإشراف المختصة وعلى آليات أخرى لتحويل البيانات لعمليات تحويل "بيانات العميل" إلى أعضاء "مجموعة PayPal" الآخرين.
فيما يتعلق بتحويلات بياناتك إلى PayPal لعملائك الموجودين في الاتحاد الأوروبي و/أو سويسرا و/أو المنطقة الاقتصادية الأوروبية و/أو دولها الأعضاء أو المملكة المتحدة، يوافق كل منا على أنه (1) سيتم اعتبار توقيعك على "الاتفاقية" بأنه موافقة وتوقيع على القرار التنفيذي للمفوضية الأوروبية (الاتحاد الأوروبي) رقم 2021/914 بتاريخ 4 يونيو 2021 بشأن البنود التعاقدية القياسية لتحويل البيانات الشخصية إلى دول خارجية وفقًا للائحة العامة لحماية البيانات ("البنود المتعلقة بالتحويل بالاتحاد الأوروبي") من طرف "التاجر"، بصفته جهة تصدير البيانات وقائماً بدور المراقب، كما سيتم اعتباره بأنه موافقة وتوقيع على بنود حماية البيانات القياسية المحددة في التشريعات الصادرة عن وزير الخارجية بموجب المادة 17C(b) من قانون حماية البيانات لعام 2018 والذي يعدّ، في الوقت الحاضر، ساري المفعول في المملكة المتحدة ("البنود المتعلقة بالتحويل بالمملكة المتحدة")، بصفته جهة تصدير البيانات، وذلك إلى الحد الأقصى الذي ينطبق فيه ذلك؛ و(2) سيتم اعتبار توقيع PayPal على الاتفاقية بأنه موافقة وتوقيع على البنود المتعلقة بالتحويل بالاتحاد الأوروبي من طرف PayPal، بصفتها جهة استيراد البيانات وقائمة بدور المراقب، وسيتم اعتباره بأنه قبول وتوقيع على البنود المتعلقة بالتحويل بالمملكة المتحدة، بصفتها جهة استيراد البيانات، وذلك إلى الحد الأقصى الذي ينطبق فيه ذلك؛ و(3) يجب أن تخضع الأطراف لأحكام الوحدة 1 من البنود المتعلقة بالتحويل بالاتحاد الأوروبي. في حال قيام المفوضية الأوروبية أو وزير خارجية المملكة المتحدة (أو أي كيان آخر مفوّض في المملكة المتحدة) بمراجعة الإصدار الجديد من البنود المتعلقة بالتحويل بالاتحاد الأوروبي أو البنود المتعلقة بالتحويل بالمملكة المتحدة، على الترتيب، ونشرها فيما بعد (أو على الوجه المطلوب من قِبل، أو الذي تنفّذه، المفوضية الأوروبية أو وزير خارجية المملكة المتحدة (أو أي كيان آخر مفوّض في المملكة المتحدة))، يوافق الطرفان على أن الإصدار الجديد من البنود المتعلقة بالتحويل بالاتحاد الأوروبي أو البنود المتعلقة بالتحويل بالمملكة المتحدة، حسب الاقتضاء، سيحل محل الإصدار الحالي من البنود المتعلقة بالتحويل بالاتحاد الأوروبي أو بنود التحويل بالمملكة المتحدة، حسب الاقتضاء، وأن الطرفين يوافقان على اتخاذ كل هذه الإجراءات المطلوبة لتفعيل تنفيذ الإصدار الجديد من البنود المتعلقة بالتحويل بالاتحاد الأوروبي أو البنود المتعلقة بالتحويل بالمملكة المتحدة، حسب الاقتضاء. سيتم دمج البنود المتعلقة بالتحويل بالاتحاد الأوروبي (الوحدة 1) والبنود المتعلقة بالتحويل بالمملكة المتحدة في "الاتفاقية" كمرجع وسيتم اعتبارها نافذة حسب الأصول بين الطرفين عند دخول هذه "الاتفاقية" حيز التنفيذ مع مراعاة التفاصيل الآتية:
أ) البنود المتعلقة بالتحويل بالاتحاد الأوروبي
ب) البنود المتعلقة بالتحويل بالمملكة المتحدة
المرفق 1
"الملحق" بالبنود المتعلقة بالتحويل بالاتحاد الأوروبي و"الملحق B" بالبنود المتعلقة بالتحويل بالمملكة المتحدة
أ) يسري ما يلي، بقدر ما يكون مطلوباً، بموجب البنود المتعلقة بالتحويل بالاتحاد الأوروبي والبنود المتعلقة بالتحويل بالمملكة المتحدة
الملحق 1.A. قائمة الأطراف
جهة تصدير البيانات
جهة استيراد البيانات
الملحق 1.B. وصف التحويل
صاحب البيانات
تتعلق البيانات الشخصية التي يتم تحويلها بالفئات التالية من أصحاب البيانات:
جهة تصدير البيانات و"العملاء" والموظفون وجهات اتصال التجارية الأخرى لديها.
فئات البيانات الشخصية التي يتم تحويلها
قد تتضمن البيانات الشخصية التي يتم تحويلها الفئات التالية من البيانات:
الاسم والمبلغ المقرر سحبه والتاريخ/الوقت وبيانات الحساب البنكي وبيانات بطاقة الدفع ورمز التحقق من البطاقة (CVC) والرمز البريدي ورمز الدولة والعنوان وعنوان البريد الإلكتروني والفاكس والهاتف والموقع الإلكتروني وبيانات انتهاء الصلاحية وبيانات الشحن والحالة الضريبية ومعرف العميل الفريد وعنوان IP والموقع وأي بيانات أخرى تتلقاها PayPal بموجب "الاتفاقية".
البيانات الحساسة (إذا كان ذلك مناسباً) والضمانات والتقييدات السارية
تختص البيانات الشخصية التي يتم تحويلها بالفئات التالية من البيانات الحساسة:
يطبق التقييدات والضمانات:
طبيعة المعالجة
أغراض التحويل (التحويلات)
يتم إجراء التحويل للأغراض الآتية:
الفترة التي سيتم فيها الاحتفاظ بالبيانات الشخصية، أو، إذا لم يكن ذلك ممكناً، المعايير المستخدمة لتحديد تلك الفترة
تحتفظ جهة استيراد البيانات بالبيانات الشخصية فقط طالما كان ذلك ضرورياً فيما يتعلق بالغرض (الأغراض) ذات الصلة التي تم جمعها من أجلها (يرجى الاطلاع على الأغراض أعلاه). ولتحديد فترة الاحتفاظ المناسبة بالبيانات الشخصية، تأخذ جهة استيراد البيانات في الاعتبار حجم البيانات الشخصية وطبيعتها وحساسيتها، والمخاطر المحتملة للضرر الناجم عن الاستخدام غير المصرح به للبيانات الشخصية أو الإفصاح عنها، والأغراض التي من أجلها تتم معالجة البيانات الشخصية وما إذا كان يمكن تحقيق تلك الأغراض من خلال وسائل أخرى، والمتطلبات القانونية أو التنظيمية أو الضريبية أو المحاسبية أو غيرها من المتطلبات المعمول بها.
لعمليات التحويل إلى جهات المعالجة (المعالجة الفرعية)، يتم أيضاً تحديد الموضوع والطبيعة ومدة المعالجة
يجوز لجهة استيراد البيانات مشاركة البيانات الشخصية مع موفري الخدمات الخارجيين الذين يؤدون الخدمات والوظائف بتوجيه من جهة استيراد البيانات وبالنيابة عنها. ويجوز لموفري الخدمات الخارجيين هؤلاء، على سبيل المثال، توفير عنصر من الخدمات المقدمة بموجب "الاتفاقية" مثل التحقق من العميل أو معالجة المعاملات أو دعم العملاء، أو تقديم خدمة إلى جهة استيراد البيانات التي تدعم الخدمات المقدمة بموجب الاتفاقية مثل التخزين. وعند تحديد مدة المعالجة التي يقوم بها موفرو الخدمات الخارجيون، تُطبق جهة استيراد البيانات المعايير الواردة أعلاه في هذا "الملحق 1.B."
الملحق 1.C. هيئة الإشراف
وفقًا للبند 13(أ) من البنود المتعلقة بالتحويل بالاتحاد الأوروبي، فإن هيئة الإشراف المسؤولة عن ضمان امتثال جهة تصدير البيانات للائحة التنظيمية (الاتحاد الأوروبي) 2016/679 فيما يتعلق بتحويل البيانات، كما هو موضح، سوف تعمل كهيئة إشراف مختصة.
الملحق ثانياً. التدابير الفنية والتنظيمية بما في ذلك التدابير الفنية والتنظيمية لضمان أمن البيانات
تضمن سياسات PayPal الامتثال لهذا المبدأ وتتطلب استخدام الضوابط الفنية لمنع مخاطر الإفصاح عن البيانات الشخصية. وتستخدم PayPal التشفير لجميع البيانات الشخصية أثناء النقل وفي حالة السكون. كما نستخدم أيضاً تقنيات إخفاء الهوية القياسية في المجال، مثل استخدام الرموز المميزة لحماية البيانات الشخصية عند الاقتضاء. وتمتلك PayPal سياسات شاملة من شأنها توفير الالتزامات والعمليات الأساسية لحماية البيانات عند تحويلها داخل الشركة وخارجها مع جهات خارجية.
توفر عملية إدارة التغيير القوية في PayPal الحماية للمرونة والتوافر المستمر للبيانات والأنظمة طوال دورة حياتها من خلال ضمان التخطيط للتغييرات واعتمادها وتنفيذها ومراجعتها بشكل مناسب. توفر عملية إدارة استمرارية الأعمال في "الشركة" إطاراً لبناء المرونة التنظيمية مع القدرة على تحقيق استجابة فعالة تحمي مصالح أصحاب المصلحة الأساسيين.
يشتمل برنامج PayPal القوي للتعافي من الكوارث على عمليات لاسترداد أنظمة التكنولوجيا أو المعلومات في حال حدوث أي تعطل كبير، أو في أنظمة تكنولوجيا المعلومات التي تدعم العمليات التجارية الحيوية وكذلك أنشطة العملاء. يتم إيداع بنية التكنولوجيا التحتية في PayPal في مراكز بيانات متعددة آمنة، ذات قدرة رئيسية وثانوية، مع تزويد كل منها بالبنية التحتية للحماية والشبكة، وخوادم قواعد البيانات والتطبيقات المخصصة، وسعة التخزين.
تعمل PayPal بشكل دوري على وضع خطط ومباشرة التنفيذ وإعداد تقارير بشأن نتائج برنامج الاختبار الموضوع من قِبل "الشركة" وذلك لتقدير وتقييم كفاءة تدابيرها التكنولوجية والتنظيمية. تتم إدارة البرنامج من خلال فريق المخاطر والامتثال بالمؤسسة والذي يعمل مع أصحاب المصلحة المعنيين للحصول على المعلومات اللازمة للاختبار ورفع التقارير والتصحيح حسب الضرورة وتقييم تلك المعلومات.
تتطلب عمليات إدارة الوصول في PayPal من المستخدمين تسجيل الدخول إلى شبكة الشركة باستخدام معرف حساب فريد على شبكة الشركة وكلمة مرور للتعرف على هوية المستخدم ومصادقته قبل الدخول إلى أي تطبيقات أخرى داخل النطاق. ويتم تطبيق سياسات تلقائية التشغيل بخصوص تكوين كلمة المرور وطولها وتغييرها وإعادة استخدامها وقفلها. ويتم تطبيق الوصول والموافقات القائمة على الدور، والتي يتم التصديق عليها كل ربع عام، في جميع الأنظمة داخل النطاق لتنفيذ المبدأ الأقل امتيازاً.
تحدّد سياسات وعمليات PayPal العالمية للسلامة والحماية المتطلبات اللازمة لتسهيل عمليات سلامة الأصوات وحمايتها، بما في ذلك الحماية المادية، وفقاً للقوانين والتشريعات ومتطلبات الشركاء المعمول بها. وينصب تركيز خاص على ضمانات وأنظمة الحماية عند إنشاء مناطق خاصة أو حساسة مثل غرف البريد أو مساحات تخزين المعدات أو مناطق الشحن والاستلام أو غرف الكمبيوتر/الخوادم أو خزائن الاتصالات أو مناطق تخزين المستندات/المعلومات المصنفة وفقاً لمعيار التعامل مع حماية المعلومات لدى "الشركة".
لقد حدّدت PayPal وعرّفت أنواع وسمات تسجيل الأحداث ومراقبتها. حيث تقوم "الشركة" بجلب عدة أنواع من السجلات وتجميعها في نظام مراقبة الحماية المركزي. ويتم تطبيق التحكم القياسي في إدارة التكوين لضمان جلب السجلات من الأنظمة، ومن ثم إعادة توجيهها إلى نظام مراقبة الحماية المركزي لدينا. وتنص سياسات PayPal والعمليات الداعمة على أنه يجب تنفيذ تكوين النظام والحدود المتشددة عبر جميع الأنظمة.
تروج PayPal لفلسفة أمنية قوية على مستوى الشركة. حيث يتولى "كبير مسؤولي حماية المعلومات" لدينا الإشراف على حماية المعلومات على مستوى مؤسستنا العالمية. وفي إطار "برنامج المؤسسة لإدارة المخاطر والامتثال"، يتم تصميم "برنامج الإشراف على التكنولوجيا وحماية المعلومات" لدينا لدعم "الشركة" في إدارة مخاطر التكنولوجيا وحماية المعلومات وتحديد تهديدات حماية المعلومات والوقاية منها واكتشافها والاستجابة لها والتعافي منها. كما تصدّق PayPal على عملياتها ومنتجاتها وتضمنها من خلال مجموعة متنوعة من برامج المؤسسة، ومنها (1) عمليات التدقيق والتقييمات لالتزامات PayPal الفنية وفق معايير الصناعة، بما في ذلك على سبيل المثال لا الحصر، ISO 27001، معايير صناعة بطاقات الدفع (PCI) المعمول بها (DSS، وPIN، وP2PE، وما إلى ذلك) والمعهد الأمريكي للمحاسبين العامّين المعتمدين (AICPA) SOC-1 وSOC-2، و(2) "عملية تحديد التحكم في المخاطر (RCIP)" التي تضمن المشاركة المبكرة وتوفر نهج قياسي لقياس المخاطر المرتبطة بتطوير وإصدار المنتجات وحلولها وإدارة تلك المخاطر ومراقبتها، و(3) تقييمات تأثير الخصوصية التي يتم دمجها في المراحل الأولى من عمليات تطوير المنتجات والبرامج، و(4) برنامج إدارة شاملة تابع لجهة خارجية، يوفر الضمان من خلال الإدارة المستمرة للمخاطر طوال دورة حياة عملية ارتباط مع جهة خارجية.
تقتضي سياساتنا، من خلال الضوابط الفنية، أن تكون عناصر البيانات التي يتم جلبها وإنشاؤها هي تلك العناصر الملائمة وذات الصلة والمقتصرة على ما هو ضروري فيما يتعلق بالأغراض التي تتم معالجتها من أجلها. وتضمن عمليات تقييم تأثير الخصوصية في PayPal الامتثال لهذه السياسات.
تضمن سياسة الوصول والجودة في PayPal أن جميع البيانات الشخصية صحيحة وكاملة ومحدّثة، مما يتيح للمستخدمين الأفراد إمكانية الوصول إلى النظام لتصحيح تفاصيل بياناتهم وتعديلها (على سبيل المثال، العنوان وتفاصيل الاتصال وما إلى ذلك)، ولتقديم خدمة توفر حقهم في التصحيح، وذلك حيثما يتم تلقي طلب للتصحيح من صاحب البيانات. ويراقب برنامج حوكمة البيانات لدينا جودة البيانات والمشاكل والمعالجات، حسب الضرورة. كما نشترط تصنيف جميع البيانات وفقاً لقيمتها التجارية مع فترات احتفاظ معينة لها، والتي تستند إلى متطلبات PayPal القانونية والتنظيمية والمتعلقة بحفظ السجلات التجارية. وعند انتهاء صلاحية فترة الاحتفاظ بالبيانات والمعلومات، يتم التخلص منها أو حذفها أو إتلافها.
لقد طوّرت PayPal مجموعة من السياسات والمبادئ الخاصة بحماية المعلومات والتكنولوجيا وحوكمة البيانات وإدارة الجهات الخارجية والخصوصية التي تتوافق مع معايير المجال والمصممة لجذب تعاون أصحاب المصالح وشراكتهم في التوعية والامتثال لتلك السياسات والضوابط في جميع أنحاء المؤسسة لضمان المشاركة والمساءلة من أكبر إلى أصغر مسؤول عبر المؤسسة. ويحدد كل برنامج مسؤوليات المحاسبة عن القرارات والعمليات والضوابط المتعلقة بالبيانات متداخلة الوظائف. وبصفتها مراقباً للبيانات، تتحمل PayPal المسؤولية عن الامتثال للمواد ذات الصلة التي تحمل التزاماً بالمحاسبة في إطار اللائحة العامة لحماية البيانات (GDPR) وغيرها من القوانين المعمول بها لحماية البيانات، وتوضّح تلك المواد، من خلال تنفيذ سياسة برنامج خصوصية وبنية تحكم مؤسسية وتقنية ضمنية من عدة مستويات لضمان الامتثال على نطاق الشركة لقانون الخصوصية ولائحتها التنفيذية وسياستها وإجراءاتها. ويشمل هذان العنصران القدرة على إظهار الامتثال لقوانين حماية البيانات من خلال: 1) ثقافة قوية للامتثال، 2) هيكل حوكمة مؤسسي للمخاطر والامتثال يشمل لجان الإدارة، والأدوار الرقابية، وتقارير الخصوصية، 3) مساءلة مهام العمل عن الامتثال لبرنامج الخصوصية بما في ذلك إنشاء الضوابط والعمليات التجارية وتوثيقها وصيانتها، 4) قسم خصوصية عالمي ضمن "تنظيم الامتثال المؤسسي" للإشراف على امتثال العمل لبرنامج الخصوصية وتحديد السياسات والمعايير والإجراءات والأدوات التي يتم تنظيم تشغيلها بواسطة مهام العمل، 5) الاتصالات بالمؤسسة من خلال وظيفة الخصوصية العالمية لتعزيز الوعي بالخصوصية وفهمها، 6) "إطار عمل إدارة الامتثال والمخاطر المؤسسية" لضمان استخدام عمليات متسقة تشمل تقييمات تأثير الخصوصية، ومراقبة الخصوصية واختبارها، وإدارة مشاكل الخصوصية، والتدريب على الخصوصية، وخطة الخصوصية السنوية، وأخيراً 7) إعداد التقارير والتحليل للجان الإدارة التي تشرف على "برنامج الخصوصية".
تطبّق PayPal برنامجاً لضمان استيفاء حقوق صاحب البيانات، بما في ذلك الوصول إليها وتصحيحها ومسحها. ويتم استيفاء طلبات مسح البيانات ما لم يكن لدى PayPal التزام قانوني أو تنظيمي أو سبب تجاري مشروع آخر للاحتفاظ بها. تضمن سياسات PayPal حدوث المسح على مدار دورة حياة العميل.
لدى PayPal برنامج إدارة شامل تابع لجهة خارجية، يوفر الضمان من خلال الإدارة المستمرة للمخاطر طوال دورة حياة الارتباط بجهة خارجية. ولدينا ضوابط تعاقدية مطبقة لمطالبة جهات المعالجة التابعة لنا وجهات المعالجة الفرعية التابعة لهم بتطبيق معايير شاملة لحماية البيانات وخصوصيتها عبر جميع مراحل سلسلة المعالجة. ويجب على جميع جهات المعالجة الفرعية طلب موافقتنا المسبقة قبل مشاركتهم.
ب) ينطبق ما يلي على البنود المتعلقة بالتحويل بالمملكة المتحدة فقط
المستلِمون
لا يجوز الإفصاح عن البيانات الشخصية التي يجري تحويلها إلا للمستلمين الآتين فقط:
معلومات تسجيل حماية البيانات لمُصدر البيانات (عند الاقتضاء)
غير معمول بها.
معلومات إضافية مفيدة (حدود التخزين والمعلومات الأخرى ذات الصلة)
على النحو المنصوص عليه في "الاتفاقية" وما ورد أعلاه في هذا المرفق 1.