>> Vaata kõiki juriidilisi lepinguid

PayPali kasutaja ettevõtluseeskirjad

 

PayPal Groupi eesmärk on kohaldada ühtseid, piisavaid ja ülemaailmseid andmekaitse- ja privaatsusstandardeid kõigi kasutajate isikuandmete töötlemiseks kogu PayPal Groupis.  Need kasutaja ettevõtluseeskirjad kehtivad kõigile kasutaja isikuandmetele, mida töötlevad Groupi liikmed kogu maailmas.

Kasutajad kogu maailmas annavad oma isikuandmeid Groupi liikmetele, et kasutada Groupi teenuseid.  Enamikke kasutaja isikuandmeid kogutakse ja säilitatakse Ameerika Ühendriikides.  PayPali ülemaailmne äri nõuab kasutaja isikuandmete jagamist teiste PayPali üksustega Ameerika Ühendriikides ja kogu maailmas, kus PayPal on hetkel tegutseb või kavatseb tulevikus tegutsema hakata.

Praegu võib ligipääs kasutaja isikuandmetele olla järgmistes EMP riikides asuvatel töötajatel: Luksemburg, Belgia, Prantsusmaa, Saksamaa, Iirimaa, Itaalia, Holland, Poola, Hispaania ja Rootsi.

Töötajatel, kes praegu asuvad järgmistes ELi mittekuuluvates riikides, võib olla samuti ligipääs kasutaja isikuandmetele: Ameerika Ühendriigid, Taiwan, Türgi, Briti Neitsisaared, Austraalia, Kanada, Hiina, Hong Kong, India, Indoneesia, Iisrael Jaapan, Korea Vabariik, Malaisia, Mauritius, Filipiinid, Venemaa, Singapur, Šveits, Suurbritannia, Argentina, Brasiilia ja Mehhiko.

PayPal on pühendunud kasutajateabe piisavale kaitsele sõltumata isikuandmete asukohast ja kasutaja isikuandmete asjakohasest kaitsest, kui neid edastatakse väljaspool EMPd.

See riikide nimekiri võib ettevõtte äritegevuse laienemisel muutuda.

 

1. Eraelu puutumatuse juhtimisstruktuur ja kohustused

Kasutaja ettevõtluseeskirjad on õiguslikult siduvad PayPal (Europe) S.à r.l. & Cie, S.C.A. ("juhtiv kontserni liige") ja muude PayPal Groupi üksuste vahelise lepinguga ("IGA"). IGA nõuab, et kontserni liikmed järgiksid neid kasutaja ettevõtluseeskirju. Kontserni liikmed nõuavad, et nende töötajad järgiksid kasutaja isikuandmete töötlemisel neid kasutaja ettevõtluseeskirju.

PayPal Groupi ärijuhid ja kõrgema juhtkonna liikmed vastutavad nende kasutaja ettevõtluseeskirjade jõustamise eest, sealhulgas selle eest, et töötajad oleksid teadlikud käesolevatest kasutaja ettevõtluseeskirjadest ja järgiksid neid.

Vastavuse privaatsusjuht juhib PayPali privaatsusprogrammi. Ta on PayPal Holdings, Inc.-is kõrgema juhtkonna liige ja annab vastavuskontrolli eest aru otse vastutavale ametnikule või kõrgeimale juhtivtöötajale, kes juhib PayPali vastavuskontrolli funktsiooni.  Vastavuse privaatsusjuht on PayPali ülemaailmse privaatsuse tagamise meeskonna järelevaataja ja suhtleb teiste siseorganisatsioonide või -meeskondadega, nagu toimingute, infoturbe, vastavuse, riski ja siseauditi meeskonnad, et tagada ülemaailmselt järjekindel privaatsusalane side, tavad ja põhimõtted kogu PayPal Groupis. PayPali ülemaailmne privaatsuse tagamise meeskond arendab ja koordineerib oma vastavusstrateegia rakendamist kogu PayPal Groupis ja kontrollib toimingute vastavust nõuetele. PayPali ülemaailmsel privaatsuse tagamise meeskonnal on kogu PayPal Groupi piires otsesed ja kaudsed esindajad, kes muuhulgas aitavad tagada vastavust kasutaja ettevõtluseeskirjadele ja kohaldatavatele andmekaitseseadustele.

Seaduslik privaatsusjuht on PayPali ülemaailmse privaatsuse õigusabimeeskonna järelevaataja ja annab otse aru peamisele õigusametnikule või kõrgeimale juhtkonna liikmele, kes haldab PayPalis juriidilist funktsiooni.  Seaduslik privaatsusjuht määratleb ettevõtte kohustused, mis tulenevad kehtivatest andmekaitseseadustest ja käesolevatest kasutaja ettevõtluseeskirjadest. Seaduslik privaatsusjuht ja PayPali ülemaailmne privaatsuse õigusabimeeskond töötavad vastavuse privaatsusjuhi ja PayPali ülemaailmse privaatsuse tagamise meeskonnaga tihedas koostöös ning suhtlevad teiste siseorganisatsioonide ja -meeskondadega, nagu juriidilise, toimingute, infoturbe ja riski meeskondadega, et anda ülemaailmselt õigusalast nõu ja tõlgendada õiguslikke ja regulatiivseid mõjusid arenevates eraelu puutumatuse küsimustes kogu PayPal Groupis.

PayPali ülemaailmne privaatsuse tagamise meeskond ja PayPali ülemaailmne privaatsuse õigusabimeeskond moodustavad üheskoos PayPali ülemaailmse privaatsusmeeskonna.

Luksemburgis asuva Euroopa andmekaitseametniku nimetab ametisse PayPal (Europe) S.à r.l. et Cie, S.C.A. ja ametnik annab selle juhtkonnale aru. Euroopa andmekaitseametnik on EMP andmekaitseasutuste peamine kontaktisik ning tal on muu hulgas järgmised kohustused: teavitada ja nõustada kontserni liikmeid ja nende isikuandmeid töötlevaid töötajaid nende privaatsust käsitlevatest õigusaktidest tulenevatest kohustustest, et tagada nende kasutajate ettevõtluseeskirjade järgimine; teha koostööd PayPali ülemaailmse privaatsusmeeskonnaga, et jälgida privaatsusalaste õigusaktide ja kontserni liikmetega seotud põhimõtete järgimist; ning anda rühma liikmetele õigusalast nõu andmekaitsemõju hinnangute ja nende rakendamise kohta, kui seda nõutakse.

 

2. Kasutaja isikuandmete töötlemise põhimõtted

Kontserni liikmed järgivad järgmisi kasutaja isikuandmete töötlemise põhimõtteid.

2.1 Eesmärgikohasus

Kasutaja isikuandmeid töödeldakse ainult konkreetsetel, selgetel ja õiguspärastel eesmärkidel.  Eelkõige võidakse kasutaja isikuandmeid töödelda, et:

- pakkuda ja hõlbustada kasutajate soovil teenuste osutamist, sealhulgas konto avamine;

- parandada olemasolevaid teenuseid ja arendada uusi teenuseid;

- lahendada vaidlusi, menetleda kohtuvaidlusi, lahendada probleeme ja osutada klienditeenindust;

- teostada riskijuhtimist;

- töödelda tehinguid ja koguda tasumisele kuuluvad tasusid;

- kontrollida krediidivõimelisust ja maksevõimet;

- mõõta kasutajate huvi teenuste vastu, anda tagasisidet ja avaldada arvamust ning teavitada kasutajaid võrgupõhistest ja -välistest pakkumistest, teenustest ja värskendustest;

- kohandada kasutajate kogemusi;

- avastada ja kaitsta vigade, pettuste ja muu kuritegevuse eest;

- täita PayPal Groupi juriidilisi, lepingulisi või regulatiivseid kohustusi;

- jõustada teenuse tingimusi selliselt, nagu on kirjeldatud kasutajatele kogumise ajal ja teenuse privaatsuspõhimõtetes;

- kaitsta teenuste ja PayPal Groupi võrgu turvalisust, terviklikkust ja kättesaadavust;

- kaitsta PayPal Groupi juriidilisi õigusi ja huve, muu hulgas õiguslike nõuete kehtestamist, kasutamist või kaitsmist.

Kasutaja isikuandmete töötlemiseks muudel eesmärkidel on vaja enne PayPali ülemaailmse privaatsuse õigusabimeeskonna nõusolekut.  Kahtluse korral konsulteerivad kontserni liikmed PayPali ülemaailmse privaatsuse õigusabimeeskonnaga.

Kasutaja isikuandmeid ei töödelda edasi viisil, mis ei ole kooskõlas eespool loetletud eesmärkidega, välja arvatud juhul, kui selleks on olemas õiguslik alus, mis on sätestatud Euroopa Majanduspiirkonna kontserni liikme kohaldatavas õiguses, kes vastutab kasutaja isikuandmete kogumise ja/või edastamise eest.  

2.2 Andmete kvaliteet ja proportsionaalsus

Kasutaja isikuandmed peavad olema:

  • täpsed ja vajaduse korral ajakohastatud;
  • adekvaatsed, asjakohased ja mitte ülemäärased nende eesmärkide suhtes, mille tõttu neid töödeldakse;
  • säilitatud mitte kauem, kui on vaja selle eesmärgi saavutamiseks, milleks neid algselt koguti või edasi töödeldi.  

Kasutaja isikuandmed, mida enam töötlemise eesmärkidel ei vajata, kustutatakse, hävitatakse või muudetakse anonüümseks, välja arvatud juhul, kui kohaldatava õigusega on edasiseks töötlemiseks või säilitamiseks nõutav õiguslik alus.

2.3 Töötlemise õiguslikud alused

Kontserni liikmed tagavad, et kasutaja isikuandmeid töödeldakse õiglaselt ja seaduslikult ning eelkõige vähemalt ühel järgmistest õiguslikest alustest:

  • kasutaja üheselt mõistetav nõusolek;
  • töötlemine, mis on vajalik lepingu täitmiseks, mille üks pool on kasutaja, või selleks, et võtta kasutaja soovil enne lepingu sõlmimist kasutusele meetmeid;
  • töötlemine, mis on vajalik kontserni liikmetele juriidiliste kohustuse täitmiseks;
  • töötlemine, mis on vajalik kasutaja eluliste huvide kaitseks;
  • töötlemine, mis on vajalik avalikes huvides oleva ülesande täitmiseks või kontserni liikmetele või kolmandale poolele, kellele avaldatakse andmed, antud avaliku võimu teostamiseks;
  • töötlemine, mis on vajalik õigustatud huvide saavutamiseks, mida taotleb kontserni liige või kolmas pool või pooled, kellele andmed avaldatakse, välja arvatud juhul, kui sellised huvid lükatakse ümber kasutaja põhiõiguste ja -vabaduste huvidega.

Üldiselt ei kogu kontserni liikmed kasutaja tundliku sisuga isikuandmeid. Kui selline kogumine on vajalik või kui kasutajad vabatahtlikult sellist teavet esitavad, tagavad kontserni liikmed, et kasutaja tundliku sisuga isikuandmeid töödeldakse ainult ühel järgmistest põhjustest:

  • kasutaja selgesõnaline nõusolek;
  • kasutaja või muu isiku eluliste huvide kaitseks vajalik töötlemine, kui kasutaja on füüsiliselt või juriidiliselt võimetu oma nõusolekut andma;
  • töötlemine on seotud kasutaja selgelt avalikustatud kasutaja isikuandmetega; või
  • töötlemine, mis on vajalik õigusnõuete koostamiseks, teostamiseks või kaitsmiseks.

Kui töötlemine hõlmab automaatset otsuste tegemist ("automaatsed otsused"), näevad kontserni liikmed ette sobivaid meetmeid kasutaja õiguslike huvide kaitseks, andes kasutajale näiteks võimaluse lasta klienditoe esindajal otsus eraldi üle vaadata ja võimaldada kasutajal oma seisukohta esitada. Klienditoe esindaja edastab küsimuse ELi andmekaitseametnikule, kui kasutaja ei ole automaatse otsusega jätkuvalt nõus. Vajaduse korral konsulteeritakse õigusliku privaatsusjuhiga ja teavitatakse vastavuse privaatsusjuhti.  

2.4 Läbipaistvus

Kasutaja isikuandmete kogumisel teavitavad kontserni liikmed kasutajaid järgmisest:

  • algse kogumise ja töötlemise eest vastutava kontserni liikme nimi ja aadress;
  • asjaomase kasutaja isikuandmete kategooriad;
  • töötlemise sihtotstarve;
  • kasutaja isikuandmete töötlejate ja kolmandate poolte saaja kategooriad;
  • kas vastused küsimustele on kohustuslikud või vabatahtlikud, samuti vastamata jätmise võimalikud tagajärjed;
  • kasutaja õiguste olemasolu; ja
  • automaatse otsuse tegemisel kasutatud loogika, kui see kasutusel on.

Kontserni liikmed võivad anda teenuse privaatsuspõhimõtetes sisalduvat teavet, mis on kättesaadav lingi kaudu ja/või kuvatakse iga teenuse veebisaidil või rakenduses silmapaistvas asukohas ja registreerimise ajal. Kasutajate teavitamise kohustus ei kehti, kui kasutajad on juba teabest teadlikud.

Kui teabe esitamine osutub võimatuks või tooks kaasa ebaproportsionaalseid jõupingutusi, võivad kontserni liikmed teabe esitamisest loobuda. See kehtib ainult kasutaja isikuandmete puhul, mis ei ole kasutajalt otse saadud. 

Erandlikel asjaoludel võib eriteabe esitamise edasi lükata või välja jätta, näiteks seoses ebaseadusliku käitumise uurimisega või kohaldatavate õigusaktide järgimisega või kui teabe esitamine võib ohustada uurimise terviklikkust.

2.5 Konfidentsiaalsus ja turvalisus

Kontserni liikmed kasutavad füüsilisi, tehnilisi ja organisatsioonilisi turvakontrolle, mis on proportsioonis kasutaja isikuandmete hulga ja tundlikkusega, et vältida volitamata töötlemist, muu hulgas volitamata ligipääsu kasutaja isikuandmetele, nende omandamist ja kasutamist, kaotamist, hävitamist või kahjustamist. Kontserni liikmed kasutavad krüptimist, tulemüüre, juurdepääsu kontrolle, standardeid ja muid protseduure, et kaitsta kasutajateavet volitamata juurdepääsu eest.Füüsilist ja loogilist ligipääsu elektroonilistele ja paberfailidele piiratakse veelgi vastavalt töökohustustele ja ärivajadustele.

2.6 Kasutajate valikud ja õigused

Kasutajad saavad juurdepääsu andmetele ja võivad parandada enamikku endaga seotud kasutaja isikuandmetest, mida kontserni liikmed säilitavad, kasutades sobivat veebitööriista või iseteenindusprotsessi, mis on neile teenuse veebisaidi või rakenduse kaudu kättesaadavaks tehtud.

Igal juhul on kasutajatel õigus esitada andmesubjektile juurdepääsutaotlus, et vaadata või saada oma isikuandmete koopiad, millele teenuse veebisaidi või rakenduse kaudu pole juurde pääseda. Kasutajad peaksid võtma teenuse veebisaidi või rakenduse juhiste kaudu ühendust klienditeenindusega. Kontserni liikmed vastavad taotlustele kohaldatava õigusega ettenähtud aja jooksul, välja arvatud juhul, kui kohaldatav õigus näeb ette sellise kohustuse erandit.Kasutajatelt võidakse nõuda oma isiku tõendamist ja nende suhtes võidakse kohaldada kohaldatava õigusega lubatud hooldustasu.

Kasutajad võivad taotleda ka oma andmete parandamist, kui need on puudulikud või ebatäpsed. Kontserni liikmed täidavad selle taotluse ja teavitavad kasutajaid, kui nende andmed on parandatud. Kontserni liikmed teatavad kolmandatele pooltele, kellele kasutaja andmed on avalikustatud, mis tahes parandustest, välja arvatud juhul, kui see osutub võimatuks või toob kaasa ebaproportsionaalseid jõupingutusi.

Mõjuvatel õiguspärastel põhjustel võivad kasutajad oma kasutaja isikuandmete töötlemisele vastuväiteid esitada. Grupi liikmed järgivad neid taotlusi, välja arvatud juhul, kui kasutaja isikuandmete säilitamine on nõutav kehtiva seadusega või et kaitsta PayPal Groupi õiguslike nõuete eest. Kasutajaid teavitatakse nende taotluse tulemustest ja grupi liikmete rakendatud meetmetest.

Lisaks võivad kasutajad taotleda oma kontode sulgemist, järgides teenuse veebisaidi või rakenduse kaudu antud juhiseid. Kontserni liikmed eemaldavad või muudavad teenusest anonüümseks kasutaja teabe niipea, kui see on konto tegevuse põhjal mõistlik. Mõnel juhul võivad kontserni liikmed viivitada konto sulgemisega või säilitada kasutaja isikuandmeid uurimise läbiviimiseks või kui seda nõuab kohaldatav õigus. Kontserni liikmed võivad ka säilitada kasutajateavet suletud kontodelt, et tuvastada ja ennetada pettusi, koguda võlgnetavaid tasusid, lahendada vaidlusi ja probleeme, abistada mis tahes uurimist, hallata riske, jõustada teenuse tingimusi, täita juriidilisi või regulatiivseid nõudeid ning võtta muid muul viisil kohaldatava õigusega lubatud meetmeid. Andmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult siis, kui see on vajalik andmete kogumise või edasise töötlemise eesmärkide saavutamiseks, ning need kustutatakse pärast nende säilitamise põhjuse käsitlemist või lahendamist.

Kontserni liikmed võivad kasutaja isikuandmeid kasutada kasutajate teavitamiseks vastavalt nende huvidele ja kehtivatele seadustele, välja arvatud need kasutajad, kes on valinud teatud teateid mitte vastu võtta. Kasutajatele, kes ei soovi PayPal Groupilt turundusteateid saada, pakutakse kergesti juurdepääsetavaid vahendeid, et tõkestada edasine reklaam, näiteks oma kontoseadetes või e-kirjas või suhtluse lingil toodud juhiste järgi.

Kasutajad saavad kasutada ülaltoodud õigusi, võttes ühendust klienditoega.  Kui kasutaja isikut on raske kontrollida, võivad kontserni liikmed nõuda, et kasutaja esitaks täiendavaid isikut tõendavaid andmeid.

2.7 Isikuandmete avalikustamine

Kontserni liikmed võivad jagada kasutaja isikuandmeid tavapärase äritegevuse käigus ja ulatuses teiste kontserni liikmetega kogu maailmas jaos 2.1 määratletud eesmärkidel.

Vastavalt kohaldatavale õigusele, lepingutele või kohaldatavatele rahvusvahelistele konventsioonidele võivad kontserni liikmed jagada isikuandmeid õiguskaitse- ja reguleerivate asutustega, kui see on demokraatlikus ühiskonnas vajalik, et kaitsta riigi julgeolekut, kaitset, avalikku julgeolekut, kuritegude ennetamist, uurimist, avastamist ja nende eest vastutusele võtmist ning eelkõige, et järgida rahvusvahelistes ja/või riikide õigusaktides sätestatud sanktsioone, maksuaruandluse nõudeid või rahapesuvastaseid aruandlusnõudeid.

Kontserni liikmed ei müü ega rendi turunduse eesmärgil kasutaja isikuandmeid kolmandatele pooltele ilma kasutaja selgesõnalise, ühemõttelise ja teadliku nõusolekuta. Kontserni liikmed võivad avaldada kasutajateavet teistele kolmandatele pooltele vastavalt kasutaja juhistele või nõusolekule (kui see on lubatud kohaldatava õigusega).

Kasutaja isikuandmete edastamisel volitatud töötlejatele kohaldatakse töötlejatele enne töö alustamist ja kasutaja isikuandmete edastamist eraelu puutumatuse, andmekaitse ja infoturbe riski hindamine.  Hindamise ulatus sõltub kasutaja töödeldavate isikuandmete tundlikkusest. Volitatud töötlejad, sealhulgas volitatud töötlejana sekkuv kontserni liige, peavad sõlmima asjaomaste kontserni liikmetega lepingu, et tagada piisavad privaatsus-, andmekaitse- ja infoturbemeetmed. Selline leping sisaldab klausleid, millega tagatakse kasutaja isikuandmete ja turvameetmete asjakohane kasutamine, mis on vastavuses kasutaja isikuandmete hulga, laadi ja tundlikkusega.  Lepingulised tagatised peavad hõlmama vähemalt järgmisi aspekte:

  • seaduse järgimise ja kasutaja isikuandmete töötlemise nõuded ainult lepingu tingimuste kohaselt ja ainult asjaomaste rühmaliikmete juhiste kohaselt;
  • asjakohased tehnilised ja organisatsioonilised meetmed, mis on kohandatud vastavalt asjaomase kasutaja isikuandmete ja töötlemise tundlikkusele;
  • õigus auditeerida töötlejate vastavust lepingulistele tagatistele;
  • turvarikkumisest teatamise kohustused;
  • parandust käsitlevad sätted, kui volitatud töötleja ei täida oma juriidilisi või lepingulisi kohustusi.

Muude lepingus määratletud õiguskaitsevahendite hulgas peavad lepingud sisaldama sätteid, millega tagatakse, et lepingu tingimuste täitmata jätmine võib kaasa tuua lepingu peatamise või lõpetamise.

Eraelu puutumatuse, andmekaitse ja infoturbe hindamine ei ole kohustuslik volitatud töötlejatele, kelle suhtes on selline hindamine juba tehtud, välja arvatud juhul, kui töötlemistoimingutega kaasneb kõrge riskiga tegevus, võttes arvesse isikuandmete laadi ja hulka ning asjaomaste töötlemistoimingute liiki.

Olenemata eespool nimetatust, kui kontserni liikmed edastavad EMP kasutaja isikuandmeid kolmandatele isikutele või volitatud töötlejatele, kes ei ole kontserni liikmed ja i) kes asuvad riikides, mis ei taga piisavat kaitsetaset (direktiivi 95/46/EÜ tähenduses), ii) kes ei ole hõlmatud heakskiidetud siduvate ettevõtluseeskirjadega või iii) kellel ei ole muid ELi piisavusnõuetele vastavaid kokkuleppeid, siis tagab kontserni liige seoses:

  • kolmandate isikutega, et nad rakendavad asjakohaseid lepingulisi kontrolle, näiteks Euroopa Komisjoni poolt heaks kiidetud lepingu tüüpe, mis tagavad käesolevatele kasutaja ettevõtluseeskirjadele vastava kaitsetaseme, või teise võimalusena tagab, et üleandmine i) toimub kasutaja ühemõttelisel nõusolekul, ii) on vajalik kasutajaga sõlmitud lepingu sõlmimiseks või täitmiseks, iii) on vajalik või õiguslikult vajalik olulistel avaliku huviga seotud põhjustel või iv) on vajalik kasutaja eluliste huvide kaitsmiseks;
  • töötlejatega, et nad rakendavad lepingulisi kontrolle, näiteks Euroopa Komisjoni poolt heaks kiidetud lepingutüüpe, mis tagavad käesolevatele kasutaja ettevõtluseeskirjadele vastava kaitsetaseme.
     

3. Kaebuste esitamise mehhanism

Kui kasutajad usuvad, et nende isikuandmeid on töödeldud kasutaja ettevõtluseeskirju rikkudes, võivad nad vastava kontserni liikme klienditeenindusega vastava teenuse veebisaidi kaudu, e-posti teel või kohaldatavates tingimustes märgitud muul moel ühendust võtta.  Kasutajad leiavad üldiselt vastused kõige levinumatele privaatsusküsimustele ja -muredele, trükkides vastava teenuse spikrijaotisse sõna "privaatsus", mis tavaliselt suunab kasutaja privaatsusega seotud lehele või eeskirjade juurde.  Asjaomase teenuse jaotis "spikker" on unikaalne sisendpunkt kõigi kasutajate päringutele, mis on seotud nende privaatsuse või kasutajateabe töötlemisega, ning annab kasutajale võimaluse võtta ühendust klienditoega. 

Kui tekib kahtlus, millist kanalit kasutada eraelu puutumatusega seotud probleemide korral teatamiseks, saavad kasutajad võtta ühendust Euroopa andmekaitseinspektoriga veebis.

Klienditugi uurib kasutajate tõstatatud probleeme ja püüab neid lahendada. Privaatsusega seotud probleemide lahendamise eest vastutavad töötajad teevad tihedat koostööd PayPali ülemaailmse privaatsusmeeskonnaga ja vastavad kasutajatele PayPali eeskirjade, protseduuride ja juhiste kohaselt.  Kui kasutajad usuvad, et nende muresid ei ole piisavalt käsitletud või kui nad ei saanud vastust, võivad nad taotleda, et nende mure edastataks Euroopa andmekaitseametnikule. Konsulteeritakse juriidilise privaatsusjuhiga ning teavitatakse ka vastavuse privaatsusjuhti. Edastamisteed määratakse kindlaks probleemi laadi ja ulatuse alusel ning need edastatakse viivituseta asjaomasele meeskonnale.  Vastus kaebusele esitatakse kasutajale mõistliku aja jooksul ja igal juhul kolme (3) kuu jooksul pärast järelepärimise kuupäeva, välja arvatud ebatavalistes olukordades või keerulistes küsimustes, millisel juhul teavitatakse kasutajat, et vastusega läheb kauem kui kolm (3) kuud.

Kaebust töötlev mehhanism ei piira kasutajate õigust esitada kaebusi pädevatele andmekaitseasutustele või -kohtutele.

 

4. Kolmanda poole soodustatud õigused ja vastutus

EMP kasutajatel, kes kahtlustavad kasutaja ettevõtluseeskirjade rikkumist väljaspool EMPd, on õigus nõuda kasutaja ettevõtluseeskirjade täitmist kolmandate soodustatud isikutena kasutaja ettevõtlusreeglite paragrahvide 2, 3, 4, 7 ja 8 alusel ning tehes seda pädevates andmekaitseasutustes, juhtkontserni liikme kohtutes või andmeeksportijana tegutseva kontserni liikme kohtutes. Need jõustamisõigused lisanduvad muudele õiguskaitsevahenditele või õigustele, mida PayPal on ette näinud või mis on kohaldatava õiguse alusel kättesaadavad.

Kuigi see ei ole nõutav, julgustatakse EMP kasutajaid kõigepealt teatama oma murest otse kontserni liikmele, mitte andmekaitseasutustele või kohtutele. See võimaldab tõhusat ja kiiret vastust PayPal Groupilt ja vähendab võimalikke viivitusi andmekaitseasutuste või kohtumenetluste poolt.

PayPal (Europe) S.à r.l. et Cie, S.C.A., Luksemburgi piiratud vastutusega äriühing võtab vastutuse ja nõustub tegema järelevalvet, et kontserni liige järgib kasutaja ettevõtte reegleid.  Juhtkontserni liige kohustub i) võtma vajalikke meetmeid, et kõrvaldada rühma liikmete poolt väljaspool EMPd toime pandud rikkumine; ja ii) maksma EMP kasutajatele hüvitist, mille on määranud juhtiv andmekaitseamet või Luksemburgi kohtud, mis on otseselt tingitud kasutaja ettevõtluseeskirjade rikkumisest kontserni liikmete poolt väljaspool EMPd, kui asjaomane kontserni liige ei saa või ei soovi hüvitist maksta või tellimust täita. 

Juhtkontserni liige tunnistab ja nõustub, et ta kannab seoses kasutaja ettevõtluseeskirjade väidetava rikkumisega tõendamiskohustust.

Juhtgrupp (või mõni teine kontserni liige) ei vastuta, kui ta olemasolevate faktide põhjal ja kasutaja märkusi arvesse võttes tõendab, et EMP-väline kontserni liige ei ole kasutaja ettevõtluseeskirju rikkunud või ei vastuta kasutaja väidetava kahju eest.

 

5. Koolitus

Kontserni liikmed tagavad, et kõik kasutaja isikuandmeid töötlevad töötajad ja töötajad, kes on seotud kasutaja isikuandmete kogumiseks või töötlemiseks kasutatavate tööriistade väljatöötamisega, saavad privaatsuse ja infoturbealase teadlikkuse koolituse, et rõhutada ja teavitada töötajaid vajadusest kaitsta ja turvata kasutaja isikuandmeid kooskõlas kasutaja ettevõtluskirjadega. 

Töötajad peavad igal aastal läbima veebipõhise nõuetele vastavuse koolituse, mis keskendub ärikäitumis- ja eetikakoodeksile, mis sisaldab andmekaitset käsitlevat jaotist.  Uued töötajad peavad pärast tööle asumist läbima veebipõhise nõuetele vastavuse koolituse.

Lisaks sellele veebipõhisele nõuetele vastavuse koolitusele viivad PayPali globaalse privaatsuse meeskond ja Euroopa andmekaitseametnik läbi eraelu puutumatuse ja infoturbe alase teadlikkuse koolitused, et rõhutada ja teavitada töötajaid vajadusest isikuandmeid kaitsta ja turvata. Selliseid koolitusi korraldatakse igal aastal või sagedamini, kui asjaolud seda nõuavad.

Töötajatele pakutavat koolitust kohaldatakse vastavalt nende ligipääsutasemele seoses kasutajate isikuandmetega ning suurema ligipääsutasemega töötajad saavad täiendavaid koolitusi. 

Kontserni liikmed teavitavad töötajaid sellest, et käesolevate kasutaja ettevõtluseeskirjade eiramine võib kaasa tuua distsiplinaartoimingud ja muud kohaldatava seadusega lubatud toimingud.  Nende kasutaja ettevõtluseeskirjade ja muude asjakohaste privaatsuse ja turvalisusega seotud eeskirjade ja protseduuride koopia on töötajatele igal ajal ettevõtte sisevõrgu kaudu kättesaadav. Kasutaja ettevõtluseeskirjad on lisatud ka ärikäitumis- ja eetikakoodeksisse, mida kõik töötajad peavad läbi vaatama ja nõustuma järgima. 

 

6. Auditid ja järelevalve

Nende kasutaja ettevõtluseeskirjade järgimise tagamiseks vaatab PayPali ülemaailmse privaatsuse tagamise meeskond pidevalt üle isikuandmete töötlemise tegevused ja tavad. Neid tegevusi koordineeritakse tihedas koostöös Euroopa andmekaitseametnikuga.

Siseauditi meeskond on juhatuse ja direktorite nõukogu sõltumatu ja objektiivne nõustaja, kes edastab auditikomitee kaudu auditi tulemused direktorite nõukogule, privaatsusjuhile ja Euroopa andmekaitseametnikule. 

Siseauditi meeskond võib ülemaailmse privaatsusmeeskonna tuvastatud tegevused või tavad regulaarselt läbi vaadata. Siseauditi meeskond, privaatsusjuhid ja Euroopa andmekaitseametnik nõuavad vajaduse korral tegevuskava täitmist, et tagada vastavus ettevõtte siduvate reeglitega. Kui siserühmad ei lahenda küsimusi nõuetekohaselt, võib kontsern määrata edasiseks lahendamiseks sõltumatud välisaudiitorid.

Euroopa andmekaitseametnik, PayPali ülemaailmse privaatsuse tagamise meeskond või siseauditi meeskonnad ja välisaudiitorid töötavad välja üksikasjalikud auditiplaanid ning -kavad, mis põhinevad töötlemise riskil.

Eraelu puutumatuse auditi leiud on pädevatele andmekaitseasutustele kättesaadavad. PayPal jätab endale õiguse eemaldada auditi aruannetest osi, et tagada ärisaladuse alla kuuluva või muu ettevõtte konfidentsiaalse teabe konfidentsiaalsus. 

 

7. Kasutaja ettevõtluseeskirjade ja riigi õiguse vaheline seos

Erinevate andmekaitsega seotud õiguslike nõuetega kogu maailmas kehtestavad kasutaja ettevõtluseeskirjad järjepidevad nõuded, mis aitavad tagada kasutaja isikuandmete asjakohase töötlemise. Kuigi kasutaja ettevõtluseeskirjad loovad kontserni liikmetele põhinõude, järgivad kontserni liikmed kohaldatavaid seadusi, mis võivad kehtestada rangema standardi kui need, mis on sätestatud käesolevates ettevõtluseeskirjades.

Mitte miski nendes kasutaja ettevõtluseeskirjades ei mõjuta kontserni liikmete kohustusi, mis tulenevad kohaldatavatest pangandusseadustest, eelkõige seoses pangasaladusega. Kui kohaldatav õigus on vastuolus nende kasutaja ettevõtluseeskirjadega, kuna see võib takistada kontserni liikmel täitmast kasutaja ettevõtluseeskirjadest tulenevaid kohustusi ja mõjutada selles sätestatud tagatisi oluliselt, teavitab kontserni liige sellest viivitamata Euroopa andmekaitseametnikku, välja arvatud juhul, kui sellise teabe esitamine on õiguskaitseasutuse või seaduse poolt keelatud. Euroopa andmekaitseametnik, eraelu puutumatuse juhid ja juhtkontserni liige määravad kindlaks asjakohase tegevussuuna ja konsulteerivad kahtluse korral pädeva andmekaitseasutusega.

 

8. Vastastikune abi ja koostöö andmekaitseasutustega

Kontserni liikmed teevad koostööd ja abistavad üksteist kasutajate taotluste või kaebuste käsitlemisel seoses kasutaja ettevõtluseeskirjadega.

Kontserni liikmed vastavad usinalt ja asjakohaselt andmekaitseasutuste taotlustele kasutaja ettevõtluseeskirjade kohta.  Kui töötaja saab sellise taotluse andmekaitseasutuselt, peab ta sellest viivitamata teavitama Euroopa andmekaitseametnikku.   

Kontserni liikmed teevad koostööd juurdlustega ja aktsepteerivad EMP pädevate andmekaitseasutuste auditeid käesolevate kasutaja ettevõtluseeskirjade järgimise osas ning järgivad nende otsuseid kooskõlas kohaldatava õiguse ja nõuetekohase protsessi õigustega.   

 

9. Nende kasutaja ettevõtluseeskirjade sisu ja seotud liikmete nimekirja ajakohastused

PayPal jätab endale õiguse muuta neid kasutaja ettevõtluseeskirju vastavalt vajadusele, näiteks selleks, et järgida asjaomaste andmekaitseasutuste kehtestatud muudatusi kehtivates seadustes, eeskirjades, määrustes, PayPali tavades, menetlustes ja organisatsiooni struktuuris või nõuetes.

PayPali ülemaailmne privaatsuse õigusabimeeskond (juriidilise privaatsusjuhi eestvedamisel) teeb ettepaneku teha vajalikke muudatusi nendes kasutaja ettevõtluseeskirjades. PayPali ülemaailmse privaatsuse tagamise meeskond (vastavuse privaatsusjuhi eestvedamisel) ja Euroopa andmekaitseametnik peavad heaks kiitma kõik kasutaja ettevõtluseeskirjade muudatused ja jälgima neid ning kontserni tegema liikmete nimekirja muudatusi. Kontserni liikmed teatavad asjaomastele andmekaitseasutustele kasutaja ettevõtluseeskirjade muudatustest, et need saaks ametlikuks heaks kiita ja vastaksid kohaldatavale õigusele.

Juhtkontserni liige konsulteerib juhtiva andmekaitseasutusega kasutaja ettevõtluseeskirjade oluliste muudatuste osas, mis võivad mõjutada andmekaitse nõuete täitmist või kasutaja ettevõtluseeskirjade toimimist.  Juhtkontserni liige edastab vähemalt kord aastas peamisele andmekaitseasutusele kasutaja ettevõtluseeskirjade olulised muudatused ja ka kontserni liikmete nimekirja muudatused.  PayPali ülemaailmse privaatsuse meeskond teeb koostööd, et toetada Euroopa andmekaitseametnikku, kes eelkõige koordineerib vastuseid ja esitab viivitamata märkusi, ettepanekuid või vastuväiteid muudatustele, mille juhtiv andmekaitseasutus tõstatas PayPali nimel. Teiste andmekaitseasutuste esitatud märkused, ettepanekud või vastuväited edastab Euroopa andmekaitseametnikule juhtiv andmekaitseasutus, kes tegutseb teiste andmekaitseasutuste nimel.  

Kasutaja ettevõtluseeskirjade muudatused kehtivad kõigi kontserni liikmete suhtes rakendamise jõustumiskuupäeval.  Kontserni liikmed annavad kasutajate ettevõtluseeskirjade olulistest muudatustest kasutajatele teada vastavalt kasutaja teenuse eelistustele kas massiliste e-posti või veebisaidile postitamise teel, andes kasutajatele enne tähtaega selge hoiatuse, et kasutaja eeskirjad on muutunud. Kontserni liikmed postitavad muudetud kasutaja ettevõtluseeskirju valitud välistele veebisaitidele või kasutajatele kättesaadavatesse rakendustesse.  Kasutaja ettevõtluseeskirjade parandused jõustuvad kahe kuu jooksul pärast seda, kui kontserni liikmed on kasutajaid teavitanud ja postitanud muudetud kasutaja ettevõtluseeskirjad.

 

10. Avaldamine

Kasutaja ettevõtluseeskirjad avaldatakse ja link tehakse kättesaadavaks teenuse veebilehel või rakendustes.  Kasutajad võivad taotleda koopiat Euroopa andmekaitseametnikult (DPO), PayPalilt (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg või veebis.

 

11. Lõppsätted

Jõustumiskuupäev: 25. mai 2018

Kontakt: kasutajad võivad tõstatada küsimusi või muresid seoses oma kasutaja ettevõtluseeskirjadega, võttes ühendust:

Euroopa andmekaitseametnikuga (DPO)

PayPal (Europe) S.à.r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Mõisted

Kontserni liikmed tõlgendavad kasutaja ettevõtluseeskirju viisil, mis on kõige paremini kooskõlas ELi direktiivi 95/46/EÜ põhimõtete või mis tahes asendava direktiivi või määruse põhimõistetega. 

Käesolevates kasutaja ettevõtluseeskirjades kasutatakse järgmisi mõisteid:

direktorite nõukogu on juhtkontserni liikme juhatus.

Andmekaitseasutused on riigiasutused, kes vastutavad EMP liikmesriikide poolt ELi andmekaitsedirektiivi (95/46/EÜ) kohaselt vastu võetud riigisiseste õigusaktide kohaldamise järelevalve ja jõustamise eest oma territooriumil.

EMP on Euroopa Majanduspiirkond, mis koosneb praegu ELi liikmesriikidest, Islandist, Liechtensteinist ja Norrast.

Töötajad on kontserni liikme töötajad, töötajad, praktikandid ja muud töötajad, sealhulgas tingimuslikud või ajutised töötajad, asendustööjõud või kontserni liikme alltöövõtjad, olenemata töö või töölevõtmise liigist.

Euroopa andmekaitseametnik on töötaja, kelle nimetab ametisse juhtiva kontserni liikme juhtkond ja kes annab aru juhtiva kontserni liikme juhtkonnale ning kes tegutseb ka PayPali ülemaailmse privaatsuse õigusmeeskonna liikmena. Euroopa andmekaitseametnik asub Luxembourgis.

Kontserni liige on PayPali kontserni üksus, mis täidab IGA koopiat.

IGA on kontsernisisene leping (Intra-Group Agreement)

Juhtiv andmekaitseasutus tähendab Luxembourgis asuvat komisjoni “Commission nationale pour la protection des données”.

Juhtkontserni liige tähendab PayPal (Europe) S.à r.l. & Cie, S.C.A., Luksemburgi osaühing.

PayPali ülemaailmne privaatsusmeeskond on koordineeritud PayPali ülemaailmne privaatsuse tagamise meeskond ja PayPali ülemaailmne privaatsuse õigusabimeeskond.

PayPali ülemaailmne privaatsuse tagamise meeskond tähendab, et nõuetele vastavuse organisatsiooni liikmed tegelevad konkreetselt PayPali privaatsusprogrammi nõuetele vastavuse ja toimimisega. 

PayPal ülemaailmne privaatsuse õigusabimeeskond on õigusosakonna liikmed, kes tegelevad konkreetselt privaatsuse ja andmekaitsega.

PayPal Group tähendab PayPal Holdings, Inc. ("PayPal") ja mis tahes üksusi, mida kontrollib otseselt või kaudselt PayPal, mis töötleb kasutaja andmeid, kusjuures kontroll tähendab omandiõigust üle viiekümne protsendi (50%) hääleõigusest äriühingu juhtide valimiseks või rohkem kui viiskümmend protsenti (50%) osalusest äriühingus.

Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta; tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige identifitseerimisnumbri või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identiteedile omase teguri alusel.

Protsess on isikuandmetega tehtav automaatne või mitteautomaatne toiming või toimingute kogum, nagu kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, taastamine, päringute teostamine, kasutamine, edastamine, levitamine või muul viisil kättesaadavaks tegemine, ühitamine või ühendamine, blokeerimine, kustutamine või hävitamine.

Volitatud töötleja on füüsiline või juriidiline isik, kes töötleb isikuandmeid kontserni liikme nimel.

Tundliku sisuga isikuandmed on isikuandmed, mis paljastavad rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, ametiühingusse kuulumist, kuritegudega seotud teabe või tervist või seksuaalelu käsitlevat teavet.

Teenus on veebisait, rakendus või muu toode või teenus, mida PayPal Group pakub kasutajale kasutamiseks.

Kolmas pool on füüsiline või juriidiline isik, avaliku ametiasutus, amet või muu organ peale kasutaja, kontserni liikme, volitatud töötleja ja isikute, kellel on kontserni liikme või volitatud töötleja otseses alluvuses õigus isikuandmeid töödelda.

Kasutaja on varasemad ja olemasolevad kliendid, väljavaated, investorid, äripartnerid ja kaupmehed.

Kasutaja isikuandmed on kasutajatega seotud isikuandmed.