>> Vis alle juridiske aftaler

 

PayPal Virksomhedsregler

 

PayPal Group’s mål er at anvende ensartede, passende og globale databeskyttelses- og privatlivsstandarder, til håndtering af alle Personlige Oplysninger i hele PayPal Group.  Disse virksomhedsregler gælder for alle Personlige Oplysninger, der behandles af Gruppemedlemmer over hele verden.

Brugere over hele verden giver deres Personlige Oplysninger til Gruppemedlemmer, for at give mulighed for at udnytte de tjenester, som koncernen tilbyder.  De fleste Personlige Oplysninger indsamles og opbevares i USA.  PayPal’s globale forretning kræver, at Personlige Oplysninger deles med andre PayPal-enheder i USA og globalt, hvor PayPal i øjeblikket har, eller har til hensigt at have en tilstedeværelse.

I øjeblikket har medarbejdere i følgende EØS-lande adgang til Personlige Oplysninger: Luxembourg, Belgien, Frankrig, Tyskland, Irland, Italien, Holland, Polen, Spanien, Sverige og Storbritannien.

Medarbejdere, der i øjeblikket befinder sig i følgende tredjelande, kan også have adgang til Personlige Oplysninger: USA, Taiwan, Tyrkiet, Jomfruøerne (Storbritannien), Australien, Canada, Kina, Hongkong, Indien, Indonesien, Israel, Japan, Republikken Korea, Malaysia, Mauritius, Filippinerne, Rusland, Singapore, Schweiz, Argentina, Brasilien og Mexico.

PayPal er forpligtet til at beskytte brugeroplysningerne tilstrækkeligt, uanset hvor de Personlige Oplysninger befinder sig, og til at yde passende beskyttelse til de Personlige Oplysninger, ved overførsel uden for EØS-lande.

Denne liste over lande kan ændre sig, efterhånden som virksomhedens forretning udvides.

 

1. Struktur og ansvar for privatlivsstyring

Virksomhedsreglerne er juridisk bindende ved en aftale (”IGA”) mellem PayPal (Europe) S.à r.l. & Cie, S.C.A. (”Ledende Gruppemedlem") og andre PayPal Group-enheder.  IGA kræver, at Gruppemedlemmer overholder disse Virksomhedsregler. Gruppemedlemmer kræver, at deres medarbejdere overholder disse Virksomhedsregler, når de håndterer Personlige Oplysninger.

Erhvervsledere og seniorledelse i PayPal Group er ansvarlige for, at håndhæve overholdelse af disse Virksomhedsregler, herunder at sikre, at medarbejderne er opmærksomme på, og overholder disse Virksomhedsregler.

Den ledende overensstemmelses- og privatlivsansvarlige driver PayPal-privatlivsprogrammet. Han/hun har en ledende stilling inden for PayPal Holdings, Inc. og rapporterer direkte til den øverste overvågningsansvarlige eller den højeste øverste leder, der driver overensstemmelsesfunktionen i PayPal.  Den ledende overensstemmelses- og privatlivsansvarlige overvåger PayPal’s globale overensstemmelses- og privatlivsteam, og interagerer med andre interne organisationer eller teams, såsom drift, informationssikkerhed, overholdelse, risiko og intern revision for at sikre konsekvent privatlivskommunikation, praksis og politikker på tværs af PayPal Group globalt. PayPal’s globale overensstemmelses- og privatlivsteam udvikler og koordinerer gennemførelsen af deres strategi for overensstemmelse, på tværs af PayPal Group og verificerer driftsmæssig overensstemmelse.  PayPal’s globale overensstemmelses- og privatlivsteam har direkte og indirekte repræsentanter i hele PayPal-koncernen, som blandt andet bidrager til at sikre overensstemmelse af Virksomhedsreglerne, og gældende databeskyttelseslovgivning.

Den ledende juridiske- og privatlivsansvarlige fører tilsyn med PayPal’s globale juridiske- og privatlivsteam og rapporterer direkte til den øverste juridiske chef, eller den øverste leder, der fører den juridiske funktion hos PayPal.  Den ledende juridiske- og privatlivsansvarlige definerer virksomhedens forpligtelser i henhold til gældende databeskyttelseslovgivning og disse Virksomhedsregler. Den ledende juridiske- og privatlivsansvarlige og PayPal’s globale juridiske- og privatlivsteam arbejder i tæt koordinering med den ledende overensstemmelses- og privatlivsansvarlige og PayPal’s globale overensstemmelses- og privatlivsteam, og interagerer med andre interne organisationer og teams, såsom juridisk afdeling, drift, informationssikkerhed og risiko, for at give juridisk rådgivning og fortolke juridiske og lovgivningsmæssige konsekvenser for udviklende privatlivsspørgsmål, på tværs af PayPal Group globalt.

PayPal’s globale overensstemmelses- og privatlivsteam, samt PayPal’s globale juridiske- og privatlivsteam, udgør samlet set PayPal’s globale privatlivsteam.

Den Europæiske Data Protection Officer i Luxembourg, udpeges af, og rapporterer til ledelsen i PayPal (Europe) S.à r.l. et Cie, S.C.A. Den Europæiske Data Protection Officer fungerer som den primære kontakt for EØS-databeskyttelsesmyndighederne og har blandt andet følgende opgaver: at informere og rådgive Gruppemedlemmer og deres medarbejdere, der behandler Personlige Oplysninger om deres forpligtelser i henhold til privatlivets lovgivning, for at sikre overholdelse af disse Virksomhedsregler, at arbejde sammen med PayPal Global Privacy Team for at overvåge overholdelse af lovgivningen om privatlivets fred og tilhørende politikker fra Gruppemedlemmer, og at yde juridisk rådgivning til Gruppemedlemmerne, når de anmoder om konsekvensanalyserne af databeskyttelsen og deres implementering.

 

2. Principper for behandling af Personlige Oplysninger

Gruppemedlemmer overholder følgende behandlingsprincipper for Personlige Oplysninger.

2.1 Formålsbegrænsning

Personlige Oplysninger behandles kun til specifikke, udtrykkelige og legitime formål.  Personlige Oplysninger kan i særdeleshed behandles til, at:

- Tilbyde og lette levering af tjenester efter brugernes anmodninger, herunder åbning af en konto;

- Forbedre tjenesterne og udvikle nye tjenester;

- Løse konflikter, håndtere retssager, fejlfinding, og yde kundeservice;

- Udføre risikostyring;

- Behandle transaktioner og indsamle gebyrer;

- Kontrollere kreditværdighed og solvens;

- Måle brugernes interesse for, og feedback og mening om tjenester, og til at informere brugere om online/offline tilbud, tjenester og opdateringer;

- Tilpasse brugeroplevelser;

- Opdage og beskytte mod fejl, bedrageri og anden kriminel aktivitet;

- Opfylde PayPal Group’s juridiske, kontraktmæssige eller lovmæssige forpligtelser;

- Håndhæve tjenestens vilkår og betingelser, og som ellers beskrevet til brugere på tidspunktet for indsamling, og i Tjenestens fortrolighedspolitik;

- Beskytte sikkerheden, integriteten og tilgængeligheden af tjenesterne og PayPal Group-netværket, og;

- Beskytte PayPal Group’s juridiske rettigheder og interesser, herunder men ikke begrænset til, etablering, udøvelse eller forsvar mod juridiske krav.

Behandling af Personlige Oplysninger til andre formål, er underlagt forudgående godkendelse fra PayPal’s globale juridiske- og privatlivsteam.  I tilfælde af tvivl, vil Gruppemedlemmer konsultere med PayPal’s globale juridiske- og privatlivsteam.

Personlige Oplysninger vil ikke blive viderebehandlet på en måde der er uforenelig med ovennævnte formål, medmindre der er et retsgrundlag for at gøre det, i henhold til gældende lovgivning fra Gruppemedlemmet i EØS, med ansvar for indsamling og/eller overførsel af Personlige Oplysninger.   

2.2 Datakvalitet og proportionalitet

Personlige Oplysninger skal være:

  • Nøjagtige, og om nødvendigt holdt opdaterede;
  • Tilstrækkelige, relevante, og ikke overdrevne i forhold til de formål hvortil de behandles; og
  • Ikke opbevares længere end nødvendigt for at nå de formål, hvortil de oprindeligt blev indsamlet eller viderebehandlet.  

Personlige Oplysninger som ikke længere er nødvendige til de formål, hvortil de blev behandlet, skal fjernes, slettes, destrueres eller anonymiseres, medmindre der er juridisk grundlag for yderligere behandling eller opbevaring, og hvis det kræves i henhold til gældende lovgivning.

2.3 Retsgrundlag for behandling

Gruppemedlemmer skal sikre, at brugeres Personlige Oplysninger behandles retfærdigt og lovligt, og især i henhold til mindst ét af de følgende juridiske grundlag:

  • Ubegrænset samtykke fra brugeren;
  • Behandling, der er nødvendig for udførslen af en kontrakt som brugeren er en del af, eller for at træffe foranstaltninger efter brugerens ønske, forud for indgåelse af en kontrakt;
  • Behandling, der er nødvendig for at overholde en juridisk forpligtelse hvori Gruppemedlemmer er omfattet;
  • Behandling, der er nødvendig for at beskytte brugeres vitale interesser;
  • Behandling, der er nødvendig for udførelsen af en opgave udført i offentlighedens interesse, eller i udøvelse af offentlig myndighed der tilhører Gruppemedlemmer, eller en tredjepart hvortil dataene er afsløret; eller
  • Behandling, der er nødvendig med henblik på de legitime interesser for Gruppemedlemmet, eller af tredjepart, eller parter, hvortil dataene offentliggøres, undtagen når sådanne interesser tilsidesættes af brugerens interesser for grundlæggende rettigheder og friheder.

Som en generel praksis, indsamler Gruppemedlemmer ikke følsomme Personlige Oplysninger.  Hvor en sådan indsamling er nødvendig, eller hvor brugerne frivilligt giver sådanne oplysninger, skal Gruppemedlemmer sikre, at brugeres følsomme Personlige Oplysninger kun behandles i henhold til mindst ét af de følgende grundlag:

  • Ubegrænset samtykke fra brugeren;
  • Behandling nødvendig for at beskytte brugerens eller en anden persons interesser, hvor brugeren fysisk eller juridisk ikke er i stand til at give sit samtykke;
  • Behandling vedrørerende Personlige Oplysninger, der tilsyneladende er offentliggjort af brugeren; eller
  • Behandling nødvendig for etablering, udøvelse eller forsvar af juridiske krav.

Når behandlingen omfatter automatiske beslutninger (”Automatiserede beslutninger”), skal Gruppemedlemmerne sørge for passende foranstaltninger til beskyttelse af brugerens legitime interesser, som f.eks. at give brugeren mulighed for at få en kundesupportrepræsentant til at gennemgå beslutningen individuelt, og tillade brugeren at give deres eget perspektiv. Kundesupportrepræsentanten skal eskalere sagen til Den Europæiske Data Protection Officer, hvis brugeren fortsat er uenig med en automatiseret beslutning. Hvor det er relevant, vil Den ledende juridiske- og privatlivsansvarlige konsulteres, og Den ledende overensstemmelses- og privatlivsansvarlige vil blive informeret.  

2.4 Gennemsigtighed

Ved indsamling af Personlige Oplysninger, skal Gruppemedlemmer informere brugere om:

  • Navn og adresse på det Gruppemedlem, der er ansvarlig for den oprindelige indsamling og behandling;
  • De kategorier af berørte Personlige Oplysninger;
  • De tilsigtede formål med behandlingen;
  • Kategorierne for Behandlere, og Tredjeparter der modtager de Personlige Oplysninger;
  • Uanset om svar på spørgsmålene er obligatoriske eller frivillige, samt de mulige konsekvenser af manglende svar;
  • Eksistensen af brugerrettigheder; og
  • I tilfælde af automatiseret beslutningstagning, den involverede logik.

Gruppemedlemmer kan levere oplysningerne i en service fortrolighedspolitik, der skal være tilgængelig via et link og/eller fremvist på en fremtrædende placering for hvert servicewebsted, eller applikation, og ved registrering.  Forpligtelsen om at informere brugere gælder ikke, hvis brugere allerede er klar over oplysningerne.  

Hvis levering af oplysningerne viser sig at være umulig eller er uforholdsmæssig vanskelig, kan Gruppemedlemmer undlade at give oplysningerne.  Dette ville kun være tilfældet for Personlige Oplysninger, der ikke er blevet opnået direkte fra brugeren. 

I særlige tilfælde, kan udlevering af specifikke oplysninger udskydes eller udelades, f.eks. i forbindelse med undersøgelser af fejlagtig adfærd eller overholdelse af gældende love, eller hvor tilvejebringelsen af oplysningerne kunne bringe undersøgelsens integritet i fare.

2.5 Fortrolighed og sikkerhed

Gruppemedlemmer bruger fysiske, tekniske og organisatoriske sikkerhedskontroller i forhold til mængden og følsomheden af Personlige Oplysninger, for at forhindre uautoriseret behandling, herunder men ikke begrænset til, uautoriseret adgang til, erhvervelse og brug af, tab, ødelæggelse eller skader på Personlige Oplysninger. Gruppemedlemmer bruger kryptering, firewalls, adgangskontrol, standarder og andre procedurer til beskyttelse af brugeroplysninger fra uautoriseret adgang.  Fysisk og logisk adgang til elektroniske og hard copy-filer er yderligere begrænset på baggrund af jobansvar og forretningsbehov.

2.6 Brugeres valg og rettigheder

Brugere kan få adgang til og rette i de fleste Personlige Oplysninger vedrørende dem selv, som Gruppemedlemmer opretholder ved hjælp af det relevante onlineværktøj eller selvbetjeningsproces, der stilles til rådighed for dem via Tjeneste-websted eller -applikation.

I alle tilfælde har brugerne ret til at indgive en anmodning om registreringsadgang for at se eller modtage en kopi af deres Personlige Oplysninger, der ikke er tilgængelige via Tjeneste-websted eller -applikation. Brugere skal kontakte kundesupport via anvisninger, der leveres via Tjeneste-websted eller -applikation. Gruppemedlemmer vil overholde anmodninger i de tidsrammer ordineret af gældende lov, medmindre gældende lovgivning indeholder en undtagelse til denne forpligtelse.  Brugere kan blive pålagt at fremlægge bevis for deres identitet, og kan være underlagt et servicegebyr, som tilladt i henhold til gældende lovgivning.

Brugere kan også anmode om rettelse af deres data, hvis de er ufuldstændige eller unøjagtige. Gruppemedlemmer vil overholde en sådan anmodning og informere brugere, når deres data er blevet ændret. Gruppemedlemmer vil underrette tredjeparter, hvis Personlige Oplysninger er blevet afsløret for enhver berigtigelse, medmindre dette viser sig umuligt eller indebærer en uforholdsmæssig indsats.

Ved overbevisende legitime grundlag kan brugere gøre indsigelse mod behandlingen af deres Personlige Oplysninger. Gruppemedlemmer vil overholde sådanne anmodninger, medmindre opbevaring af Personlige Oplysninger er påkrævet i henhold til gældende love, eller til at forsvare PayPal Group imod juridiske krav. Brugerne vil blive informeret om resultatet af deres anmodning og de foranstaltninger, som Gruppemedlemmerne træffer.

Endvidere kan brugere anmode om at få deres konti lukket ved at følge instruktionerne via Tjeneste-websted eller -applikation. Gruppemedlemmer fjerner eller anonymiserer Personlige Oplysninger fra en tjeneste, så hurtigt som rimeligt muligt, baseret på kontoaktivitet.  I nogle tilfælde kan Gruppemedlemmer forsinke lukningen af en konto eller beholde Personlige Oplysninger til at foretage en efterforskning, eller hvor det kræves af gældende lovgivning. Gruppemedlemmer kan også beholde Personlige Oplysninger fra lukkede konti for at opdage og forhindre svig, indsamle gebyrer, løse tvister, fejlfinde problemer, hjælpe med eventuelle undersøgelser, styre risici, håndhæve servicevilkår og betingelser, overholde juridiske eller lovgivningsmæssige krav, og udføre handlinger, der ellers er tilladt i henhold til gældende lovgivning. Dataene vil blive opbevaret i en form, der tillader identifikation af registrerede, i en periode der ikke er længere end nødvendigt, for de formål hvortil dataene blev indsamlet, eller for hvilke de viderebehandles og vil blive slettet, når den underliggende årsag til opbevaring er blevet behandlet eller løst.

Med undtagelse af de brugere, der har valgt ikke at modtage bestemte meddelelser, kan Gruppemedlemmer bruge Personlige Oplysninger til at målrette kommunikation til brugere ud fra deres interesser i henhold til gældende lovgivning.  Brugere, der ikke ønsker at modtage marketing kommunikation fra PayPal Group, vil blive tilbudt let tilgængelige midler til at modsætte sig yderligere reklamer, f.eks. i deres kontoindstillinger, eller ved at følge vejledningen i en e-mail, eller et link i kommunikationen.

Brugere kan udøve ovenstående rettigheder ved at kontakte kundesupport.  Hvor brugerens identitet er svært at bekræfte, kan Gruppemedlemmer kræve, at brugeren indsender yderligere legitimationsoplysninger.

2.7 Oplysning af Personlige Oplysninger

Gruppemedlemmer kan dele Personlige Oplysninger i det normale forretningsbrug og omfang, med andre Gruppemedlemmer over hele verden, med det formål,der er angivet i afsnit 2.1.

I overensstemmelse med gældende lov, traktater eller gældende internationale konventioner kan Gruppemedlemmer dele Personlige Oplysninger med lovhåndhævende myndigheder og tilsynsmyndigheder når det er nødvendigt i et demokratisk samfund, for at beskytte den nationale sikkerhed, forsvar, offentlige sikkerhed, ved forebyggelse, efterforskning, afsløring og retsforfølgning af kriminelle lovovertrædelser, og især at overholde sanktioner som fastsat i internationale og/eller nationale enheder, krav til skatteregnskaber eller rapporteringskrav til bekæmpelse af hvidvaskning af penge.

Gruppemedlemmer sælger eller udlejer ikke Personlige Oplysninger til tredjeparter, til eget markedsføringsbrug, uden brugernes udtrykkelige entydige samtykke. Gruppemedlemmer kan udlevere brugeroplysninger til andre tredjeparter, i overensstemmelse med brugerens anvisninger eller samtykke (hvor det er tilladt i henhold til gældende lovgivning).

Ved overførsel af Personlige Oplysninger til Behandlere, vil Behandlerne blive udsat for en privatlivs-, databeskyttelses- og informationssikkerhedsrisikovurdering forud for igangsættelsen af arbejdet, og forud for overførsel af de Personlige Oplysninger.  Omfanget af vurderingen vil variere baseret på følsomheden af de behandlede Personlige Oplysninger. Behandlere, herunder et Gruppemedlem, der agerer som Behandler, skal indgå en aftale med de relevante Gruppemedlemmer for at tilvejebringe tilstrækkelige oplysninger om beskyttelse af Personlige Oplysninger, databeskyttelse og informationssikkerhed. En sådan aftale omfatter klausuler, der sikrer en passende brug af brugerens Personlige Oplysninger og sikkerhedsforanstaltninger i forhold til mængden, arten og følsomheden af de pågældende Personlige Oplysninger.  De kontraktmæssige garantier skal som minimum omfatte følgende forhold:

  • Krav til at overholde loven, og til kun at behandle Personlige Oplysninger i overensstemmelse med aftalens vilkår, og kun efter de berørte Gruppemedlemmers anvisninger;
  • Passende tekniske og organisatoriske tiltag tilpasset følsomheden af pågældende Personlige Oplysninger og gældende behandling;
  • En ret til at revidere Behandlerens overholdelse af kontraktmæssige garantier;
  • Anmeldelsesforpligtelser vedrørende sikkerhedsbrud; og
  • Bestemmelser om afhjælpning i tilfælde af, at Behandler ikke overholder sine lovmæssige eller kontraktmæssige forpligtelser.

Aftalerne skal indeholde bestemmelser om, at manglende overholdelse af vilkårene i aftalen kan resultere i suspension eller opsigelse af aftalen, blandt andre retsmidler, der er identificeret i aftalen.

Privatlivs-, databeskyttelses- og informationssikkerhedsvurderingen er ikke obligatorisk for Behandlere, der allerede har været underlagt en sådan vurdering, medmindre behandlingsaktiviteterne involverer højrisikoaktiviteter, under hensyntagen til arten og mængden af Personlige Oplysninger og typen af behandlingsaktiviteter.

Uanset ovenstående, hvor koncernmedlemmer overfører EØS Personlige Oplysninger til Tredjeparter eller til Behandlere, der ikke er Gruppemedlemmer: i) beliggende i lande, der ikke yder tilstrækkelig beskyttelse (i henhold til direktiv 95/46/EF), (ii) ikke er omfattet af godkendte bindende virksomhedsregler, eller (iii) ikke har andre ordninger, der ville opfylde EU’s tilstrækkelighedskrav, skal Gruppemedlemmet sikre, med hensyn til:

  • Tredjeparter, at de skal gennemføre passende kontraktkontrol, som f.eks. Kontraktklausuler, der er godkendt af Europa-Kommissionen, som giver beskyttelsesniveauer i overensstemmelse med disse Virksomhedsregler, eller alternativt sikrer, at overførslen (i) finder sted med det entydigt samtykke fra brugeren, (ii) er nødvendig for at indgå eller indgå en kontrakt indgået med brugeren, (iii) er nødvendig eller lovligt påkrævet af vigtige samfundsmæssige grunde eller (iv) er nødvendig for at beskytte brugerens vitale interesser;
  • Behandlere, at de skal gennemføre kontraktkontrol, som f.eks. Kontraktklausuler, der er godkendt af Europa-Kommissionen, og som giver niveauer af beskyttelse svarende til disse Virksomhedsregler.
     

3. Klager

Hvis brugerne mener, at deres Personlige Oplysninger er blevet behandlet i strid med Virksomhedsreglerne, kan de rapportere om bekymringer til kundeservicefunktionen ved det relevante gruppemedlem, via den relevante tjenestes hjemmeside, e-mail eller som anført i de gældende vilkår og betingelser.  Brugere kan generelt finde svar på de mest almindelige spørgsmål om privatliv og bekymringer, ved at skrive ordet ”privatliv” i den relevante tjenestes hjælpesektion, som normalt fører brugeren til en side eller politik, specifik for privatlivets fred.  ”Hjælp”-afsnittet for den relevante tjeneste er det entydige indgangspunkt for alle brugernes forespørgsler vedrørende deres privatliv eller behandlingen af deres Personlige Oplysninger, og giver brugeren mulighed for at kontakte kundesupport. 

Hvis der er tvivl om, hvilken kanal der skal bruges til at rapportere om privatlivets fred, kan brugerne sende en e-mail til Den Europæiske Data Protection Officer på: DPO@paypal.com.

Kundesupport undersøger og forsøger at løse problemer, der rejses af brugere. Medarbejdere, der er ansvarlige for at håndtere privatlivsrelaterede bekymringer, arbejder tæt sammen med PayPal’s globale privatlivsteam og svarer brugerne i overensstemmelse med PayPal's politikker, procedurer og vejledning.  Hvis brugerne mener, at deres bekymringer ikke er blevet behandlet tilstrækkeligt, eller hvis de ikke fik svar, kan de anmode om, at deres bekymring bliver eskaleret til Den Europæiske Data Protection Officer. Den ansvarlige for privatlivets fred vil blive konsulteret, og den ansvarlige for overensstemmelse vil blive informeret. Metoder til eskalering skal bestemmes ud fra arten og omfanget af bekymringen og skal videresendes til det relevante team uden forsinkelser.  Et svar på klagen skal gives til brugeren inden for en rimelig tidsramme og under alle omstændigheder inden for en frist på tre (3) måneder efter undersøgelsesdatoen, undtagen i usædvanlige omstændigheder eller ved komplekse spørgsmål, i hvilket tilfælde brugeren vil blive informeret om, at svaret vil tage længere tid end tre (3) måneder.

Klagehåndteringsmekanismen berører ikke brugernes ret til at indgive klager til kompetente databeskyttelsesmyndigheder eller domstole.

 

4. Tredjepartsrettigheder og ansvar

EØS-brugere, der har mistanke om brud på Virksomhedsreglerne uden for EØS, har ret til at kræve fuldbyrdelse af Virksomhedsreglerne som tredjepartsmodtagere i afsnit 2, 3, 4, 7 og 8 i Virksomhedsreglerne, før de kompetente databeskyttelsemyndigheder, før domstolene for ledergruppemedlemmet eller før domstolene for Gruppemedlemmet, der agerer som dataeksportør.  Disse håndhævelsesrettigheder er i tillæg til andre afhjælpende foranstaltninger eller rettigheder, der leveres af PayPal, eller som er tilgængelige i henhold til gældende lovgivning.

Selv om det ikke er nødvendigt, opfordres EØS-brugere til først at rapportere deres bekymring direkte til Gruppemedlemmet i stedet for databeskyttelsesmyndighederne eller domstole.  Dette muliggør et effektivt og hurtigt svar fra PayPal Group, og minimerer mulige forsinkelser fra databeskyttelsesmyndigheder eller domstole.

PayPal Europe S.à r.l. et Cie, S.C.A., et luxembourgsk aktieselskab accepterer ansvar for og indvilliger i, at overvåge Gruppemedlemmets overholdelse af Virksomhedsreglerne.  Ledergruppemedlemmet forpligter sig til (i) at træffe de nødvendige foranstaltninger for at afhjælpe et brud begået af Gruppemedlemmer uden for EØS; og (ii) at betale erstatning til EØS-brugere, der er tildelt af databeskyttelsesmyndigheden eller luxembourgske domstole for eventuelle skader, der direkte skyldes brud på Virksomhedsreglerne af Gruppemedlemmer uden for EØS, hvis det relevante Gruppemedlem ikke er i stand til eller uvilligt vil betale kompensationen eller overholde loven. 

Ledergruppemedlemmet anerkender og accepterer, at der bæres bevisbyrden med hensyn til en påstået overtrædelse af Virksomhedsreglerne.

Ledergruppemedlemmet (eller andet Gruppemedlem) er ikke ansvarlig, hvis det med rimelighed demonstreres, på baggrund af de foreliggende kendsgerninger og under hensyntagen til brugerens kommentarer, at ikke-EØS-Gruppemedlemmet ikke har overtrådt Virksomhedsreglerne, eller ikke er ansvarlig for nogen skade, som brugeren hævder.

 

5. Træning

Gruppemedlemmer vil sikre, at alle medarbejdere, der behandler Personlige Oplysninger, samt de medarbejdere, der er involveret i udformningen af værktøjer, der skal bruges til at indsamle eller behandle Personlige Oplysninger, modtager informationer om beskyttelse af personlige oplysninger, samt informationssikkerhedstræning for at understrege og informere medarbejdere om behovet at beskytte og sikre Personlige Oplysninger, i overensstemmelse med disse Virksomhedsregler. 

Medarbejdere er forpligtet til at gennemføre online overensstemmelsestræning, der er centreret omkring Kodekset om forretningsadfærd & etik, som indeholder et afsnit om databeskyttelse på årsbasis.  Nye medarbejdere er forpligtet til at gennemføre overensstemmelsestræning ved starten på deres ansættelse.

Ud over denne online overensstemmelsestræning udfører PayPal’s globale privatlivsteam og Den Europæiske Data Protection Officer, træning i privatliv- og informationssikkerhedsbevidsthed for at understrege og informere medarbejdere om behovet for at beskytte og sikre Personlige Oplysninger. Sådanne træninger gennemføres årligt eller hyppigere, hvis omstændighederne kræver det.

Den træning som medarbejderne modtager, skal tilpasses deres adgangsniveau til Personlige Oplysninger, og der skal ydes supplerende træning til medarbejdere med større adgang. 

Gruppemedlemmer skal informere medarbejdere om, at undladelse af at overholde disse Virksomhedsregler kan resultere i disciplinære handlinger, og andre handlinger tilladt i henhold til gældende lovgivning.  En kopi af disse Virksomhedsregler og andre relevante privatlivs- og sikkerhedsrelaterede politikker og procedurer, er til enhver tid til rådighed for medarbejdere på virksomhedens Intranet. Virksomhedsreglerne er også inkluderet i Kodekset for forretningsadfærd & etik, som alle medarbejdere skal gennemgå og acceptere at overholde. 

 

6. Revision og overvågning

For at hjælpe til at sikre overholdelsen af disse Virksomhedsregler, gennemgår PayPal’s globale overensstemmelses- og privatlivsteam løbende Personlige Oplysninger og aktiviteter. Disse aktiviteter koordineres i tæt samråd med Den Europæiske Data Protection Officer.

Det Interne Revisionsteam er en uafhængig og objektiv rådgiver til ledelsen og bestyrelsen, som igennem revisionsudvalget kommunikerer revisionsresultaterne til bestyrelsen, de ansvarlige for privatlivets fred og Den Europæiske Data Protection Officer. 

Det Interne Revisionsteam kan gennemføre en gennemgang af aktiviteter eller praksis, der regelmæssigt identificeres af PayPal’s globale privatlivsteam. Det Interne Revisionsteam, de ansvarlige for privatlivets fred og Den Europæiske Data Protection Officer, skal om nødvendigt kræve, at en handlingsplan udføres for at sikre overholdelse med BCR’erne. I det omfang interne koncerner ikke løser problemer tilstrækkeligt, kan koncernen udpege uafhængige eksterne revisorer til videre beslutning.

Den Europæiske Data Protection Officer, PayPal’s globale overensstemmelses- og privatlivsteam, eller det Interne Revisionsteam og eksterne revisorer, udvikler detaljerede revisionsplaner og tidsplaner baseret på risikoen for Behandling.

Resultater for private revisionsspor vil være tilgængelige for kompetente DPA'er.  PayPal forbeholder sig retten til at redigere dele af revisionsrapporterne for at sikre fortrolige oplysninger om proprietære eller andre fortrolige oplysninger. 

 

7. Forholdet mellem Virksomhedsregler og national lovgivning

Med varierende lovkrav i hele verden, der vedrører databeskyttelse, fastlægger Virksomhedsreglerne et ensartet sæt krav til at sikre den korrekte behandling af brugernes Personlige Oplysninger. Selvom Virksomhedsreglerne skaber et grundlæggende krav som Gruppemedlemmer skal overholde, vil Gruppemedlemmer overholde gældende love, der kan pålægge en strengere standard end dem, der er fastsat i disse Virksomhedsregler.

Intet i disse Virksomhedsregler påvirker Gruppemedlemmernes forpligtelser i henhold til gældende banklovgivning, især i forbindelse med bankhemmeligheder.   Hvis gældende lov er i strid med disse Virksomhedsregler, da det kan forhindre et Gruppemedlem i at opfylde sine forpligtelser i henhold til Virksomhedsreglerne, og har en væsentlig indvirkning på de garantier, der er fastsat deri, skal Gruppemedlemmet straks underrette Den Europæiske Data Protection Officer, undtagen hvor det er forbudt at levere sådanne oplysninger af en retshåndhævende myndighed eller lov.  Den Europæiske Data Protection Officer, de ansvarlige for privatlivets fred og Ledergruppemedlemmet fastlægger en passende handlingsplan, og rådfører sig i tilfælde af tvivl, med den kompetente databeskyttelsesmyndighed.

 

8. Gensidig bistand og samarbejde med databeskyttelsesmyndigheder

Gruppemedlemmer samarbejder og hjælper hinanden med at håndtere anmodninger eller klager fra brugere med hensyn til disse Virksomhedsregler.

Gruppemedlemmer vil svare flittigt og hensigtsmæssigt på anmodninger fra databeskyttelsesmyndigheder om Virksomhedsreglerne.  Hvis en medarbejder modtager en sådan anmodning fra en databeskyttelsesmyndighed, skal han eller hun straks underrette Den Europæiske Data Protection Officer.   

Gruppemedlemmer vil samarbejde med henvendelser og acceptere revisioner fra kompetente databeskyttelsesmyndigheder i EØS, med hensyn til overholdelse af disse Virksomhedsregler, og vil respektere deres beslutninger i overensstemmelse med gældende lovgivning og behørige procesrettigheder.   

 

9. Opdateringer af indholdet af disse Virksomhedsregler, og en liste over forbundne medlemmer

PayPal forbeholder sig ret til at ændre disse Virksomhedsregler hvis det er nødvendigt, for eksempel, for at overholde ændringer i gældende love, reguleringer, regler, PayPal praksis, procedurer og organisationsstruktur, eller krav pålagt af relevante databeskyttelsesmyndigheder.

PayPal’s globale juridiske- og privatlivsteam (under ledelse af Den ledende juridiske- og privatlivsansvarlige), vil foreslå eventuelle nødvendige ændringer af disse Virksomhedsregler. PayPal’s globale overensstemmelses- og privatlivsteam (under ledelse af Den ledende overensstemmelses- og privatlivsansvarlige) og Den Europæiske Data Protection Officer skal godkende alle ændringer til Virksomhedsreglerne, og skal følge alle ændringer af Virksomhedsreglerne, samt enhver ændring i listen over Gruppemedlemmer. Gruppemedlemmer aflægger rapport til de relevante databeskyttelsesmyndigheder om ændringer i Virksomhedsreglerne for formel godkendelse og efter lovvalg.

Ledergruppemedlemmet vil konsultere databeskyttelsesmyndigheden vedrørende væsentlige ændringer i Virksomhedsreglerne, der vil påvirke databeskyttelsesoverensstemmelse eller driften af Virksomhedsreglerne.  Ledergruppemedlemmet vil kommunikere væsentlige ændringer til Virksomhedsreglerne, og ændringer til listen over Gruppemedlemmer mindst en gang om året til databeskyttelsesmyndigheden.  PayPal’s globale privatlivsteam vil samarbejde med Den Europæiske Data Protection Officer, der i særdeleshed vil koordinere svar og straks adressere kommentarer, forslag eller indvendinger mod de ændringer der fremhæves af Lederdatabeskyttelsesmyndigheden, på vegne af PayPal. Eventuelle kommentarer, forslag eller indsigelser fra andre databeskyttelsesmyndigheder vil blive meddelt Den Europæiske Data Protection Officer af databeskyttelsesmyndigheden, som vil handle på vegne af de andre databeskyttelsesmyndigheder.  

Ændringer i Virksomhedsreglerne gælder for alle Gruppemedlemmer på ikrafttrædelsesdatoen for implementering.  Gruppemedlemmer vil underrette brugerne om væsentlige ændringer i Virksomhedsreglerne til brugerne i overensstemmelse med brugerens servicepræferencer, enten via masse-e-mail eller ved webstedsplacering, med en klar advarsel til brugere forud for, at Virksomhedsreglerne er ændret. Gruppemedlemmerne skal indsende de reviderede Virksomhedsreglerne på udvalgte eksterne websteder eller applikationer, der er tilgængelige for brugere.  Revisioner i Virksomhedsreglerne er effektive inden for en to måneders periode efter at Gruppemedlemmer har meddelt brugere og indsender de reviderede Virksomhedsregler.

 

10. Offentliggørelse

Virksomhedsreglerne offentliggøres, og et link skal stilles til rådighed på Tjenestewebsted- eller applikationer.  Brugere kan anmode om en kopi fra Den Europæiske Data Protection Officer (PayPal), PayPal (Europe) S.à.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg eller ved at skrive til os på DPO@paypal.com.

 

11. Endelige bestemmelser

Gyldighedsdato: 25. Maj 2018

Kontakt: Brugere kan rejse eventuelle spørgsmål eller bekymringer i forhold til disse Virksomhedsregler ved at kontakte:

Den Europæiske Data Protection Officer (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Definitioner

Gruppemedlemmer skal fortolke brugerens Virksomhedsreglerne på en måde, der er mest i overensstemmelse med de grundlæggende begreber i principperne i EU-direktiv 95/46/EF, eller ethvert erstatningsdirektiv eller -reglement. 

Med henblik på disse Virksomhedsregler, gælder følgende definitioner:

Bestyrelse betyder bestyrelsesmedlemmernes ledelse.

Datatilsynsmyndigheder de offentlige myndigheder, der er ansvarlige for overvågning og håndhævelse af applikationen inden for deres respektive område af de nationale love, der er vedtaget af EØS-medlemsstaterne - i henhold til EU’s databeskyttelsesdirektiv (95/46/EF).

EØS betyder Det Europæiske Økonomiske Samarbejdsområde, der i øjeblikket består af EU-medlemsstaterne, Island, Liechtenstein og Norge.

Medarbejder betyder medarbejdere, arbejdstagere, praktikanter og andet personale, herunder ansættelses- eller vikaransatte, alternativ arbejdsstyrke eller entreprenører af et Gruppemedlem, uanset om de er ansat eller engageret helt eller delvist og uanset beskæftigelsestype eller engagement.

Den Europæiske Data Protection Officer (DPO) betyder den medarbejder, der udpeges af og rapporterer til ledelsen for Ledergruppemedlemmet, og også fungerer som medlem af PayPal’s globale juridiske- og privatlivsteam. Den Europæiske DPO, der befinder sig i Luxembourg.

Gruppemedlem betyder en PayPal Group-enhed, der har udført en kopi af IGA.

IGA betyder intern koncernaftale

Lederdatabeskyttelsesmyndighed betyder “Commission nationale pour la protection des données” (“CNPD”) i Luxembourg.

Ledergruppemedlem betyder PayPal (Europe) S.à r.l. & Cie, S.C.A., et luxembourgsk aktieselskab.

PayPal’s globale privatlivsteam betyder det koordinerede PayPal’s globale overensstemmelses- og privatlivsteam og PayPal’s globale juridiske- og privatlivsteam.

PayPal’s globale overensstemmelses- og privatlivsteam betyder medlemmer af overensstemmelsesorganisationen, der specifikt beskæftiger sig med overensstemmelse og drift af PayPal-privatlivsprogrammet.

PayPal’s globale juridiske- og privatlivsteam betyder medlemmer af juridisk afdeling, der specifikt beskæftiger sig med privatlivets fred og databeskyttelse.

PayPal Group betyder PayPal Holdings, Inc. (“PayPal”) og enhver enhed direkte eller indirekte kontrolleret af PayPal, der behandler brugeroplysninger, hvor kontrol betyder ejerskab af mere end halvtreds procent (50%) af stemmeret til at vælge selskabets direktører eller mere end halvtreds procent (50%) af ejerandelen i virksomheden.

Personlige Oplysninger betyder enhver information vedrørende en identificeret eller identificerbar fysisk person; en identificerbar person er en, der direkte eller indirekte kan identificeres ved henvisning til et identifikationsnummer eller en eller flere faktorer, der er specifikke for hans/hendes fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sociale identitet.

Behandle betyder enhver handling eller et sæt handlinger, der udføres for Personlige Oplysninger, uanset om det sker automatisk, såsom indsamling, optagelse, organisering, lagring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse, formidling eller på anden måde tilgængeliggøre, justering eller kombinering, blokering, sletning eller destruktion.

Behandler betyder enhver fysisk eller juridisk person, der behandler Personlige Oplysninger på vegne af et Gruppemedlem.

Følsomme Personlige Oplysninger betyder Personlige Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, oplysninger om strafbare handlinger, eller oplysninger om helbredsforhold og seksuelle forhold.

Tjeneste betyder et websted, et program eller et andet produkt eller en tjeneste, der tilbydes af en PayPal-gruppe til brug af en bruger.

Tredjepart enhver fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ end Bruger, Gruppemedlem, Behandler, og de personer, der er autoriseret af Gruppemedlemmet eller Behandler, såsom Medarbejdere, har autorisation til at behandle Personlige Oplysninger.

Bruger betyder tidligere og eksisterende kunder, kundeemner, investorer, samarbejdspartnere og handlende.

Personlige Oplysninger betyder Personlige Oplysninger vedrørende brugere.