>> Näytä kaikki oikeudelliset sopimukset

 

PayPal-käyttäjää koskevat konsernin säännöt

 

PayPal-konsernin tavoite on, että koko PayPal-konsernissa käytetään yhdenmukaisia, riittäviä ja kaiken kattavia tietoturva- ja tietosuojanormeja kaikessa Käyttäjän henkilötietojen käsittelyssä. Näitä Käyttäjää koskevia konsernin sääntöjä sovelletaan kaikkiin Käyttäjän henkilötietoihin, joita Konsernin osat käsittelevät eri puolilla maapalloa.

Käyttäjät ympäri maailman toimittavat Henkilötietonsa Konsernin osille, jotta voivat käyttää Konsernin tarjoamia palveluja. Suurin osa Käyttäjien henkilötiedoista kerätään ja säilytetään Yhdysvalloissa. PayPalin maailmanlaajuinen liiketoiminta edellyttää, että Käyttäjän henkilötietoja jaetaan muille PayPalin yksiköille Yhdysvalloissa ja maailmanlaajuisesti siellä, missä PayPalilla tällä hetkellä on toimintaa tai missä se aikoo toimia.

Tällä hetkellä seuraavissa ETA-maissa olevat Työntekijät voivat päästä käsittelemään Käyttäjän henkilötietoja: Luxemburg, Belgia, Ranska, Saksa, Irlanti, Italia, Alankomaat, Puola, Espanja, Ruotsi ja Iso-Britannia.

Tällä hetkellä seuraavissa muissa kuin EU-maissa olevat Työntekijät voivat myös päästä käsittelemään Käyttäjän henkilötietoja: Yhdysvallat, Taiwan, Turkki, Neitsytsaaret (Brittiläiset), Australia, Kanada, Kiina, Hongkong, Intia, Indonesia, Israel, Japani, Korean tasavalta, Malesia, Mauritius, Filippiinit, Venäjä, Singapore, Sveitsi, Argentiina, Brasilia ja Meksiko.

PayPal on sitoutunut suojaamaan käyttäjätietoja asianmukaisesti riittävästi riippumatta siitä, missä Henkilötietoja säilytetään, ja antamaan asianmukaisen suojauksen siirrettäessä Käyttäjän henkilötietoja, jos ne siirretään ETA-alueen ulkopuolelle.

Tämä luettelo maista voi muuttua yhtiön liiketoiminnan laajentuessa.

 

1. Tietosuojan hallinnan rakenne ja vastuut

Käyttäjää koskevat säännöt tekee oikeudellisesti sitoviksi sopimus ("IGA") jonka ovat solmineet PayPal (Europe) S.à r.l. & Cie, S.C.A. ("Konsernin johtava osa") ja muut PayPal-konsernin yksiköt. IGA edellyttää, että Konsernin osat noudattavat näitä Käyttäjää koskevia konsernin sääntöjä. Konsernin osat edellyttävät, että niiden Työntekijät noudattavat näitä Käyttäjä koskevia konsernin sääntöjä, kun käsittelevät Käyttäjän Henkilötietoja.

PayPal-konsernin yritysjohtajat ja ylempi johto ovat vastuussa näiden Käyttäjää koskevien konsernin sääntöjen mukaisuudesta, mukaan lukien sen varmistamisesta, että nämä Käyttäjää koskevat konsernin säännöt ovat Työntekijöiden tiedossa ja että niitä noudatetaan.

Vaatimustenmukaisuuden tietosuojavastaava johtaa PayPalin tietosuojaohjelmaa. Hänellä on johtava asema PayPal Holdings, Inc:ssä ja hän raportoi suoraan vaatimustenmukaisuusjohtajalle tai ylimmälle johtajalle, joka johtaa PayPalin vaatimustenmukaisuustoimintoja. Vaatimustenmukaisuuden tietosuojavastaava johtaa PayPalin maailmanlaajuista tietosuojan vaatimustenmukaisuustiimiä, ja on vuorovaikutuksessa muiden sisäisten organisaatioiden ja tiimien, kuten operatiivisen toiminnan, tietoturvan, vaatimustenmukaisuuden, riskien ja sisäisen tarkastuksen, kanssa voidakseen varmistaa yhtenäisen tietosuojaviestinnän, ‑käytännöt ja ‑toimintatavat PayPal-konsernissa ympäri maailman. PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuustiimi kehittää ja koordinoi vaatimustenmukaisuusstrategian toteuttamista koko PayPal-konsernissa ja varmistaa operatiivisen toiminnan vaatimustenmukaisuuden. PayPalin maailmanlaajuisella tietosuojan vaatimustenmukaisuustiimillä on kaikkialla PayPal-konsernissa suoria ja epäsuoria edustajia, jotka muun muassa auttavat varmistamaan Käyttäjää koskevien konsernin sääntöjen ja soveltuvien tietosuojalakien noudattamisen.

Lakiasiain tietosuojavastaava johtaa PayPalin maailmanlaajuista tietosuojan lakiasiain tiimiä ja raportoi suoraan lakiasianjohtajalle tai ylimmälle johtajalle, joka johtaa PayPalin lakiasiaintoimintoja. Lakiasiain tietosuojavastaava määrittää yhtiön velvollisuudet sovellettavien tietosuojalakien ja näiden Käyttäjää koskevien konsernin sääntöjen perusteella. Lakiasiain tietosuojavastaava ja PayPalin maailmanlaajuinen tietosuojan lakiasiaintiimi työskentelevät tiiviissä yhteistyössä vaatimustenmukaisuuden tietosuojavastaavan ja PayPalin maailmanlaajuisen vaatimustenmukaisuuden tietosuojatiimin kanssa, ja tekevät yhteistyötä muiden sisäisten organisaatioiden ja tiimien, kuten lakiasiain, operatiivisen toiminnan, tietoturvan ja riskienhallinnan kanssa, jotta voivat tarjota lakiasiain neuvontaa ja tulkita lakien ja asetusten vaikutuksia tietosuoja-asioiden kehitykseen PayPal-konsernissa ympäri maailman.

PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuustiimi ja PayPalin maailmanlaajuinen tietosuojan lakiasiaintiimi muodostavat yhdessä PayPalin maailmanlaajuisen tietosuojatiimin.

Euroopan tietosuojavastaavan (DPO) asemapaikka on Luxemburgissa ja hänet nimittää PayPal (Europe) S.à r.l. et Cie, S.C.A:n johto, jolle hän raportoi. Euroopan tietosuojavastaava on ETA-alueen tietosuojaviranomaisten ensisijainen yhteyshenkilö, ja hänen tehtäviinsä kuuluvat muun muassa seuraavat: Konsernin osien ja niiden henkilötietoja käsittelevien työntekijöiden neuvominen ja näille tiedottaminen näiden tietosuojalainsäädännön mukaisista velvollisuuksista, jotta Käyttäjää koskevien konsernin sääntöjen mukaisuus varmistuu; yhteistyö PayPalin maailmanlaajuisen tietosuojatiimin kanssa tietosuojalainsäädännön ja Konsernin osien siihen liittyvien käytäntöjen vaatimustenmukaisuuden valvonnassa; sekä pyydettäessä lakiasiainneuvonta Konsernin jäsenille koskien tietosuojan vaikutustenarviointia ja käyttöönottoa.

 

2. Käyttäjän henkilötietojen käsittelyn periaatteet

Konsernin osat noudattavat seuraavia Käyttäjän henkilötietojen Käsittelyperiaatteita.

2.1 Tarkoituksen rajoitus

Käyttäjän henkilötietoja voidaan käsitellä vain erityisiä, tarkkaan määritettyjä ja laillisia tarkoituksia varten. Käyttäjän henkilötietoja voidaan Käsitellä erityisesti seuraavia tarkoituksia varten:

- Palvelujen tarjoaminen ja niiden toimittamisen helpottaminen Käyttäjien pyynnöstä, mukaan lukien tilin avaaminen

- Palvelujen parantaminen ja uusien Palvelujen kehittäminen

- Valitusten ratkaiseminen, oikeusasioiden hallinta, ongelmien selvittäminen ja asiakaspalvelu

- Riskienhallinta

- Tapahtumien käsittely ja maksamattomien palkkioiden kerääminen

- Luottokelpoisuuden ja maksukyvyn tarkistaminen

- Käyttäjien Palvelua koskevan kiinnostuksen ja palautteen mittaaminen, ja Käyttäjille tiedottaminen tarjouksista, Palveluista ja päivityksistä verkossa ja sen ulkopuolella

- Käyttäjien kokemusten mukauttaminen

- Virheiden sekä petosten ja muun rikollisen toiminnan havaitseminen ja torjunta

- PayPal-konsernin lakeihin, sopimuksiin ja asetuksiin perustuvien velvoitteiden täyttäminen

- Palvelun käyttöehtojen toimeenpaneminen ja muut Käyttäjille keräyshetkellä ja Palvelun tietosuojakäytännössä kuvatut tarkoitukset

- Palvelun ja PayPal-konsernin verkoston suojauksen, eheyden ja saatavuuden suojaaminen

- PayPal-konsernin laillisten oikeuksien ja etujen suojaaminen, mukaan lukien, näihin kuitenkaan rajoittumatta, oikeudellisten vaateiden laatiminen tai esittäminen tai niitä vastaan puolustautuminen.

Käyttäjän henkilötietojen käsittely muihin tarkoituksiin edellyttää PayPalin maailmanlaajuisen tietosuojan lakiasiain tiimin ennakkohyväksyntää. Epävarmassa tilanteessa Konsernin osien tulee pyytää neuvoa PayPalin maailmanlaajuisen tietosuojan lakiasiain tiimiltä.

Käyttäjän henkilötietoja ei Käsitellä tavalla, joka ei ole yllä lueteltujen tarkoitusten mukainen, jollei tälle ole ETA-alueella Käyttäjän henkilötietojen keräämisestä tai siirtämisestä vastaavaan Konsernin osaan sovellettavan lain mukaista oikeudellista perustetta.   

2.2 Tiedon laatu ja suhteellisuus

Käyttäjän henkilötietoja koskevat seuraavat:

  • Niiden on oltava tarkkoja ja tarvittaessa niitä pitää päivittää.
  • Niiden on oltava asianmukaisia ja olennaisia eikä liiallisia suhteessa tarkoituksiin, joita varten niitä Käsitellään.
  • Niitä ei saa säilyttää kauemmin, kuin mitä niiden alkuperäiset keräys- tai Käsittelytarkoitukset edellyttävät.  

Käyttäjän henkilötietoja, joita ei enää tarvita Käsittelynsä tarkoituksiin, tulee poistaa, tuhota, hävittää tai anonymisoida, paitsi jos edelleen Käsittelylle on oikeusperuste tai sovellettava lainsäädäntö edellyttää säilyttämistä.

2.3 Käsittelyn oikeudelliset perusteet

Konsernin osien on varmistettava, että Käyttäjän henkilötietoja Käsitellään oikeudenmukaisesti ja laillisesti ja että niitä Käsitellään erityisesti vähintään yhden seuraavista oikeudellisista perusteista pohjalta:

  • Käyttäjän yksiselitteinen suostumus
  • Sopimuksen, jonka osapuoli Käyttäjä on, täytäntöönpano tai Käyttäjän pyynnön vaatimat vaiheet ennen sopimuksen solmimista edellyttävät Käsittelyä
  • Konsernin osia koskevan oikeudellisen velvoitteen vaatimustenmukaisuus edellyttää Käsittelyä
  • Käyttäjän keskeisten etujen turvaaminen edellyttää Käsittelyä
  • Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai Konsernin osille tai tiedot saavalle Kolmannelle osapuolelle kuuluvan julkisen vallan käyttämistä varten
  • Käsittely on tarpeen Konsernin osan tai tiedot saavien Kolmansien osapuolten oikeutettujen etujen turvaamista varten, paitsi jos Käyttäjän perusoikeuksiin ja ‑vapauksiin perustuvat edut menevät tällaisten etujen edelle.

Yleinen käytäntö on, että Konsernin osat eivät kerää Käyttäjän arkaluontoisia henkilötietoja. Jos niiden kerääminen on pakollista tai jos Käyttäjät luovuttavat tällaisia tietoja vapaaehtoisesti, Konsernin osien on varmistettava, että Käyttäjän arkaluontoisia henkilötietoja Käsitellään ainoastaan vähintään yhden seuraavan perusteen pohjalta:

  • Käyttäjän nimenomainen suostumus
  • Käsittely on tarpeen Käyttäjän tai muun henkilön keskeisten etujen suojaamiseksi, kun Käyttäjä on fyysisesti tai juridisesti estynyt antamaan suostumustaan
  • Käsittely koskee Käyttäjän henkilötietoja, jotka Käyttäjä on nimenomaisesti saattanut julkisiksi
  • Käsittely on tarpeen oikeudellisen vaateen perustelemiseksi, esittämiseksi tai puolustamiseksi tuomioistuimessa.

Kun Käsittelyn kuuluu automaattista päätöksentekoa ("Automatisoituja päätöksiä"), Konsernin osien on soveltuvin toimenpitein suojattava Käyttäjän oikeutetut edut, esimerkiksi tarjoamalla Käyttäjälle mahdollisuuden tuoda päätös asiakaspalvelun edustajan erilliseen tarkistukseen ja antamalla Käyttäjälle mahdollisuus kertoa oma näkemyksensä. Asiakaspalvelun edustajan tulee eskaloida asia EU:n tietosuojavastaavalle, jos Käyttäjä on edelleen eri mieltä Automaattisesta päätöksestä. Tarvittaessa lakiasiain tietosuojavastaavalta pyydetään neuvoa ja vaatimustenmukaisuuden tietosuojavastaavalle ilmoitetaan asiasta.  

2.4 Avoimuus

Kun Käyttäjien henkilötietoja kerätään, Konsernin osien on ilmoitettava Käyttäjille seuraavat tiedot:

  • Alkuperäisestä keräämisestä ja Käsittelystä vastaavan Konsernin osan nimi ja osoite
  • Kyseisten Käyttäjän henkilötietojen luokat
  • Käsittelyn aiotut käyttötarkoitukset
  • Käyttäjän henkilötiedot saavien Käsittelijöiden ja Kolmansien osapuolten luokat
  • Kysymyksiin vastaamisen pakollisuus tai vapaaehtoisuus sekä vastaamatta jättämisen mahdolliset seuraukset
  • Käyttäjän oikeuksien voimassaolo
  • Jos automaattisesta päätöksentekoa käytetään, sen logiikka.

Konsernin osat voivat antaa tiedot Palvelun tietosuojakäytännössä, johon pääsee klikkaamalla linkkiä, tai joka esitetään näkyvällä paikalla Palvelun jokaisessa verkkosivustossa ja sovelluksessa sekä rekisteröitymisen aikana. Velvoite tiedottaa Käyttäjille ei ole voimassa, jos Käyttäjät ovat jo saaneet kyseiset tiedot.  

Jos tietojen toimittaminen osoittautuu mahdottomaksi tai aiheuttaisi suhteetonta vaivaa, Konsernin osat voivat pidättäytyä tietojen toimittamisesta. Tämä koskee vain Käyttäjän henkilötietoja, joita ei ole saatu suoraan Käyttäjältä. 

Poikkeuksellisessa tilanteessa tarkkojen tietojen antamista voidaan lykätä tai se voidaan jättää tekemättä, esimerkiksi tutkittaessa luvatonta toimintaa tai sovellettavien lakien niin edellyttäessä tai jos tietojen antaminen voisi vaarantaa tutkimuksen loukkaamattomuuden.

2.5 Luottamuksellisuus ja suojaus

Konsernin osat käyttävät Käyttäjän henkilötietojen määrän ja arkaluontoisuuden mukaisesti mitoitettuja fyysisiä, teknisiä ja organisatorisia suojaustoimia torjuakseen valtuuttamattoman Käsittelyn, mukaan lukien, niihin kuitenkaan rajoittumatta, Käyttäjän henkilötietojen valtuuttamaton saanti, hankinta ja käyttö, häviäminen, tuhoaminen ja vahingoittaminen. Konsernin osat käyttävät salausta, palomuureja, kulunvalvontaa, standardeja ja muita toimia Käyttäjän tietojen suojaamiseen luvattomalta käytöltä. Fyysiselle ja loogiselle pääsylle sähköisiin ja tulostettuihin tiedostoihin asetetaan lisärajoituksia työtehtävien ja yrityksen tarpeiden perusteella.

2.6 Käyttäjien valinnat ja oikeudet

Käyttäjät pääsevät käsiksi ja voivat korjata suurinta osaa itseään koskevista Konsernin osien ylläpitämistä Käyttäjän henkilötiedoista käyttämällä asiaankuuluvaa verkkotyökalua tai itsepalveluprosessia, jonka he saavat käyttöönsä Palvelun verkkosivustolla tai sovelluksessa.

Kaikissa tapauksissa Käyttäjillä on oikeus lähettää rekisteröidyn henkilön käyttöpyyntö tarkastella tai saada kopio Käyttäjän henkilötiedoistaan, joita ei voi käyttää Palvelun verkkosivustolla tai sovelluksessa. Käyttäjien tulee ottaa yhteyttä asiakaspalveluun Palvelun verkkosivuston tai sovelluksen kautta toimitettujen ohjeiden avulla. Konsernin osat noudattavat pyyntöjä sovellettavan lain mukaisten määräaikojen kuluessa, paitsi jos sovellettavassa laissa määrätään poikkeuksesta näihin velvoitteisiin. Käyttäjiä saatetaan vaatia todistamaan henkilöllisyyteensä ja heiltä saatetaan veloittaa palvelupalkkio sovellettavan lain tämän salliessa.

Käyttäjät voivat myös pyytää tietojensa korjaamista, jos ne ovat puutteelliset tai virheelliset. Konsernin osat noudattavat tällaista pyyntöä ja ilmoittavat Käyttäjille, kun näiden tiedot on korjattu. Konsernin osat ilmoittavat korjauksista kolmansille osapuolille, joille Käyttäjän tiedot on jaettu, mikäli tämä ei osoittaudu mahdottomaksi eikä edellytä suhteetonta vaivaa.

Pakottavien oikeudellisten syiden perusteella Käyttäjät voivat kieltää Käyttäjän henkilötietojensa Käsittelyn. Konsernin osat noudattavat tällaisia pyyntöjä, paitsi jos sovellettava laki tai PayPal-konsernin puolustaminen oikeusvaateita vastaan edellyttää säilyttämistä. Käyttäjille ilmoitetaan heidän pyyntöjensä tuloksista ja toimenpiteistä, joihin Konsernin osa on ryhtynyt.

Lisäksi Käyttäjät voivat pyytää tiliensä sulkemista toimimalla Palvelun verkkosivustolla tai sovelluksessa annettujen ohjeiden mukaisesti. Konsernin osat poistavat Käyttäjän tiedot palvelusta tai anonymisoivat ne heti, kun tämä on tilitapahtumien perusteella kohtuullisesti mahdollista. Joissakin tapauksissa Konsernin osat voivat viivyttää tilin sulkemista tai säilyttää Käyttäjän henkilötiedot tutkimuksen ajan tai sovellettavan lain niin vaatiessa. Konsernin osat voivat myös säilyttää suljettujen tilien Käyttäjätietoja, jotta voivat havaita ja torjua petoksia, kerätä maksamattomat palkkiot, ratkaista valituksia, selvittää ongelmia, avustaa tutkimuksissa, hallita riskejä, toimenpanna Palvelun käyttöehtoja, toimia lain ja asetusten vaatimusten mukaisesti ja ryhtyä muihin sovellettavien lakien sallimiin toimenpiteisiin. Tietoja säilytetään rekisteröityjen henkilöiden tunnistamisen mahdollistavassa muodossa ainoastaan niin kauan kuin on tarpeen sitä tarkoitusta varten, johon tiedot kerättiin tai jota varten niitä käsiteltiin. Tiedot poistetaan, kun niiden säilytyssyy on käsitelty tai ratkaistu.

Niitä Käyttäjiä lukuun ottamatta, jotka ovat valinneet, etteivät halua vastaanottaa tiettyä viestintää, Konsernin osat voivat käyttää Käyttäjien henkilötietoja viestinnän kohdentamiseen Käyttäjille näiden kiinnostusten kohteiden pohjalta sovellettavan lain mukaisesti. Käyttäjille, jotka eivät halua vastaanottaa markkinointiviestejä PayPal-konsernilta, tarjotaan helppokäyttöinen tapa torjua lisämainonta esimerkiksi tilinsä asetuksissa tai noudattamalla sähköpostitse tai viestissä olevan linkin kautta saamiansa ohjeita.

Käyttäjät voivat käyttää yllä mainittuja oikeuksia ottamalla yhteyttä asiakaspalveluun. Jos Käyttäjän henkilöllisyys on vaikea varmistaa, Konsernin osat voivat vaatia Käyttäjää toimittamaan lisätodisteita henkilöllisyydestään.

2.7 Henkilötietojen luovuttaminen

Konsernin osat voivat jakaa Käyttäjän henkilötietoja tavanomaisen liiketoiminnan normaalissa laajuudessa muille Konsernin osille ympäri maailman Osiossa 2.1 määritettyjä tarkoituksia varten.

Konsernin osat voivat jakaa Henkilötietoja sovellettavien lakien, sopimusten tai sovellettavien kansainvälisten yleissopimusten mukaisesti lainvalvonta- ja sääntelyviranomaisille, kun se on tarpeen demokraattisessa yhteiskunnassa kansallisen turvallisuuden, puolustuksen, yleisen turvallisuuden sekä rikosten torjunnan, tutkimisen ja havaitsemisen sekä niistä syytteeseen asettamisen turvaamiseksi ja erityisesti toimiakseen kansainvälisten tai kansallisten välineiden, veroraportointivaatimusten ja rahanpesun vastaisten raportointivaatimusten mukaisesti.

Konsernin osat eivät myy tai vuokraa Käyttäjän henkilötietoja Kolmansille osapuolille omia markkinointitarkoituksiaan varten ilman Käyttäjän nimenomaista, yksiselitteistä ja tietoista suostumusta. Konsernin osat voivat luovuttaa Käyttäjän tietoja muille Kolmansille osapuolille Käyttäjän määräysten tai suostumuksen mukaisesti (mikäli sovellettava laki tämän sallii).

Jos Käyttäjän henkilötietoja siirretään Käsittelijöille, Käsittelijöiden tietosuoja- ja tietoturvariskit arvioidaan ennen työn aloittamista ja ennen mitään Käyttäjän henkilötietojen siirtoa. Arvioinnin laajuus vaihtelee käsiteltävien Käyttäjän henkilötietojen arkaluontoisuuden mukaan. Käsittelijöiden, mukaan lukien Käsittelijänä toimivien Konsernin osien, pitää solmia sopimus asiaankuuluvien Konsernien osien kanssa riittävien yksityisyys-, tietosuoja- ja tietoturvatoimenpiteiden käyttämisestä. Tällaisessa sopimuksessa on pykäliä, jotka varmistavat Käyttäjän henkilötietojen asianmukaisen käytön ja käsiteltyjen Käyttäjän henkilötietojen määrän, luonteen ja arkaluontoisuuden mukaiset suojaustoimenpiteet. Sopimuksellisten suojatoimien pitää sisältää vähintään seuraavat asiat:

  • Vaatimus lainmukaisuudesta ja Käyttäjän henkilötietojen Käsittelystä vain sopimuksen ehtojen mukaisesti ja vain kyseisen Konsernin osan määräyksestä
  • Asianmukaiset tekniset ja organisatoriset toimenpiteet, jotka on mukautettu Käyttäjän henkilötietojen arkaluontoisuuteen ja kyseiseen Käsittelyyn
  • Oikeus tarkastaa, että Käsittelijät toimivat sopimuksen takuiden mukaisesti
  • Suojausrikkomuksen ilmoitusvelvoitteet
  • Määräykset oikaisemisesta, mikäli Käsittelijä ei noudata oikeudellisia tai sopimuksellisia velvoitteitaan.

Sopimukseen on sisällyttävä määräykset, joilla varmistetaan, että sopimuksen ehtojen noudattamatta jättäminen voi johtaa sopimuksen keskeytykseen tai irtisanomiseen muiden sopimuksessa määritettyjen oikeuskeinojen lisäksi.

Tietosuoja- ja tietoturva-arviointi ei ole pakollinen Käsittelijöille, joille tällainen arviointi on jo tehty, paitsi jos joihinkin Käsittelytoimenpiteisiin sisältyy korkean riskin toimenpiteitä, kun otetaan huomioon Henkilötietojen luonne ja määrä ja kyseisten Käsittelytoimenpiteiden tyyppi.

Edellä mainitusta riippumatta, jos Konsernin osat siirtävät ETA-alueen Käyttäjän henkilötietoja Kolmansille osapuolille tai Käsittelijöille, jotka eivät ole Konsernin osia, ja (i) sijaitsevat maissa, joissa turva ei ole riittävä (direktiivissä 95/46/EY tarkoitetulla tavalla), (ii) joita eivät sido hyväksytyt sitovat konsernin säännöt tai (iii) joilla ei ole muita järjestelyjä, jotka täyttäisivät EU:n riittävyysvaatimukset, Konsernin osien on varmistettava, että

  • Kolmannet osapuolet ottavat käyttöön asianmukaisen sopimusperusteisen valvonnan, kuten Euroopan komission hyväksymät mallisopimuslausekkeet, ja tarjoavat näihin Käyttäjää koskevien konsernin sääntöihin verrannollisen suojaustason tai vaihtoehtoisesti varmistavat, että siirto (i) tapahtuu Käyttäjän yksiselitteisellä luvalla, (ii) on tarpeen sopimuksen tekemiseksi Käyttäjän kanssa tai Käyttäjän kanssa tehdyn sopimuksen täytäntöön panemiseksi, (iii) on tärkeän yleisen edun perusteella tarpeen tai lain edellyttämä tai (iv) on tarpeen Käyttäjän keskeisten etujen suojaamiseksi
  • Käsittelijät ottavat käyttöön sopimusperusteisen valvonnan, kuten Euroopan komission hyväksymät mallisopimuslausekkeet, ja tarjoavat näihin Käyttäjää koskevien konsernin sääntöihin verrannollisen suojaustason.
     

3. Valitusmekanismi

Jos Käyttäjät uskovat, että heidän Henkilötietojaan on käsitelty Käyttäjää koskevien konsernin sääntöjen vastaisesti, he voivat ilmoittaa huolensa kyseisen Konsernin osan asiakaspalvelutoimintoon kyseisen palvelun verkkosivuston tai sähköpostin kautta tai muulla tavalla, joka on ilmoitettu sovellettavissa käyttöehdoissa. Käyttäjät löytävät yleensä vastauksia tavallisimpiin tietosuojakysymyksiin ja ‑huoliin kirjoittamalla sanan "tietosuoja" asianomaisen palvelun tukiosioon, jolloin Käyttäjä yleensä ohjataan tietosuojaa koskevalle sivulle tai tietosuojakäytäntöön. Kyseisen palvelun ohjeosio on aloituspaikka kaikille Käyttäjien kysymyksille, jotka koskevat tietosuojaa tai heidän Käyttäjätietojensa käsittelyä, ja sen kautta Käyttäjät voivat ottaa yhteyttä asiakaspalveluun. 

Jos Käyttäjä on epävarma siitä, mitä kanavaa käyttää tietosuojaan liittyvien huolien raportoinnissa, hän voi lähettää sähköpostia Euroopan tietosuojavastaavalle osoitteeseen DPO@paypal.com.

Asiakaspalvelu tutkii Käyttäjien huolenaiheita ja pyrkii ratkaisemaan ne. Tietosuojaan liittyvistä aiheista vastaavat työntekijät ovat läheisessä yhteistyössä PayPalin maailmanlaajuinen tietosuojatiimin kanssa ja vastaavat Käyttäjille PayPalin käytäntöjen, prosessien ja ohjeiden mukaisesti. Mikäli Käyttäjät kokevat, että heidän huoliansa ei ole käsitelty riittävästi tai jos he eivät saa vastausta, he voivat pyytää asiansa eskaloimista Euroopan tietosuojavastaavalle. Lakiasiain tietosuojavastaavalta pyydetään neuvoa ja vaatimustenmukaisuuden tietosuojavastaavalle ilmoitetaan asiasta. Eskalaatiopolut määritetään asian luonteen ja laajuuden perusteella, ja ne toimitetaan asianmukaiselle tiimille viipymättä. Vastaus valitukseen on toimitettava Käyttäjälle kohtuullisen ajan kuluessa ja joka tapauksessa kolmen (3) kuukauden kuluessa tiedustelun päivämäärästä, paitsi poikkeavissa olosuhteissa tai jos kysymykset ovat monimutkaisia, jolloin Käyttäjälle ilmoitetaan, että vastaaminen kestää yli kolme (3) kuukautta.

Valituksen käsittelymekanismi ei rajoita Käyttäjien oikeutta antaa valituksia pätevien Tietosuojaviranomaisten tai tuomioistuinten käsiteltäviksi.

 

4. Kolmannen osapuolen edunsaajan oikeudet ja vastuut

ETA-alueen Käyttäjillä, jotka epäilevät Käyttäjää koskevien konsernin sääntöjen rikkomusta ETA-alueen ulkopuolella, on oikeus vaatia toimivaltaiselta tietosuojaviranomaiselta, Konsernin johtavan osan tuomioistuimilta tai tietojen viejänä toimivan Konsernin osan tuomioistuimilta Käyttäjää koskevien konsernin sääntöjen toimeenpanoa Käyttäjää koskevien konsernin sääntöjen Osioiden 2, 3, 4, 7 ja 8 kolmannen osapuolen edunsaajina. Nämä toimeenpano-oikeudet tulevat muiden PayPalin myöntämien tai sovellettavan lain mukaisten oikeuskeinojen ja oikeuksien lisäksi.

Vaikka se ei ole pakollista, ETA-alueen Käyttäjille suositellaan, että he ilmoittavat huolistaan ensin suoraan Konsernin osalle mieluummin kuin Tietosuojaviranomaisille tai tuomioistuimille. Tämä mahdollistaa PayPal-konsernin tehokkaan ja pikaisen vastauksen ja minimoi Tietosuojaviranomaisten ja tuomioistuinprosessien mahdollisesti aiheuttamat viivästykset.

PayPal Europe S.à r.l. et Cie, S.C.A., luxemburgilainen yksityinen osakeyhtiö ottaa vastuun ja sitoutuu valvomaan, että Konsernin osa toimii Käyttäjää koskevien konsernin sääntöjen mukaisesti. Konsernin johtava osa sitoutuu (i) ryhtymään tarvittaviin toimenpiteisiin Konsernin osan ETA-alueen ulkopuolella tekemän rikkomuksen korjaamiseksi ja (ii) maksamaan ETA-alueen Käyttäjille korvauksen, jonka Johtava tietosuojaviranomainen tai Luxemburgin tuomioistuin on määrännyt vahingoista, jotka johtuvat suoraan siitä, että Konsernin osa on rikkonut Käyttäjää koskevia konsernin sääntöjä ETA-alueen ulkopuolella, mikäli kyseinen Konsernin osa ei kykene tai halua maksaa korvausta tai toimia määräyksen mukaisesti. 

Konsernin johtava osa vahvistaa ja hyväksyy, että sillä on todistustaakka väitetyn Käyttäjää koskevien konsernin sääntöjen rikkomuksen osalta.

Konsernin johtava osa (tai muu Konsernin osa) ei ole vastuussa, jos se kohtuullisesti osoittaa käytettävissä olevien tosiseikkojen perusteella ja ottaen huomioon Käyttäjän kommentit, että muualla kuin ETA-alueella sijaitseva Konsernin osa ei ole rikkonut Käyttäjää koskevia konsernin sääntöjä tai ei ole vastuussa Käyttäjän väittämistä vahingoista.

 

5. Koulutus

Konsernin osat varmistavat, että kaikki Käyttäjän henkilötietoja Käsittelevät Työntekijät sekä Työntekijät, jotka ovat mukana suunnittelemassa työkaluja, joita käytetään Käyttäjän henkilötietojen keräämiseen tai käsittelyyn, saavat tietosuojan ja tietoturvan tietoisuuskoulutusta, jossa painotetaan tarvetta suojata ja turvata Käyttäjän henkilötietoja näiden Käyttäjää koskevien konsernin sääntöjen mukaisesti ja kerrotaan tästä Työntekijöille. 

Työntekijöiden edellytetään vuosittain suorittavan verkossa Eettisiin ja liiketapaohjeisiin keskittyvän vaatimustenmukaisuuskoulutuksen, johon sisältyy tietosuojaosio. Uusilta työntekijöiltä edellytetään vaatimustenmukaisuuden verkkokoulutuksen suorittamista työsuhteen alussa.

Tämän vaatimustenmukaisuuden verkkokoulutuksen lisäksi PayPalin maailmanlaajuinen tietosuojatiimi ja Euroopan tietosuojavastaava antavat tietosuojan ja tietoturvan tietoisuuskoulutuksia, joissa painotetaan tarvetta suojata ja turvata Käyttäjän henkilötietoja ja kerrotaan tästä Työntekijöille. Koulutuksia annetaan vuosittain tai useammin, mikäli olosuhteet vaativat sitä.

Työntekijöiden saama koulutus mukautetaan heidän Käyttäjän henkilötietojen käyttöoikeustasoonsa, ja Työntekijät, joilla on suurempi käyttöoikeus, saavat lisäkoulutusta. 

Konsernin osat ilmoittavat Työntekijöille, että näiden Käyttäjää koskevien konsernin sääntöjen noudattamatta jättäminen voi johtaa kurinpidollisiin toimenpiteisiin ja muihin sovellettavan lain sallimiin toimenpiteisiin. Näiden Käyttäjää koskevien konsernin sääntöjen ja muiden olennaisten tietosuojaan ja ‑turvaan liittyvien käytäntöjen ja prosessien kopio on Työntekijöiden käytettävissä milloin tahansa yhtiön intranetin kautta. Käyttäjää koskevat konsernin säännöt sisältyvät myös Eettisiin ja liiketapaohjeisiin, joihin jokaisen Työntekijän edellytetään tutustuvan ja joita he sitoutuvat noudattamaan. 

 

6. Tarkastukset ja valvonta

Jotta näiden Käyttäjää koskevien konsernin sääntöjen mukaisuus varmistuu, PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuustiimi arvioi Henkilötietojen käsittelytoimintaa ja ‑käytäntöjä jatkuvasti. Tätä toimintaa koordinoidaan läheisessä yhteistyössä Euroopan tietosuojavastaavan kanssa.

Sisäisen tarkastuksen tiimi on johdon ja hallituksen riippumaton ja objektiivinen neuvonantaja, joka tarkastuskomitean kautta tiedottaa tarkastusten löydöksistä hallitukselle, tietosuojavastaaville ja Euroopan tietosuojavastaavalle. 

Sisäisen tarkastuksen tiimi voi arvioida maailmanlaajuisen tietosuojatiimin yksilöimiä tapahtumia ja käytäntöjä säännöllisesti. Tarvittaessa Sisäisen tarkastuksen tiimi, tietosuojavastaavat ja Euroopan tietosuojavastaava vaativat toimintasuunnitelman toteuttamista, jotta konsernin sitovien sääntöjen (BCR) mukaisuus varmistuu. Jos sisäiset ryhmät eivät ratkaise asioita riittävällä tavalla, Konserni voi nimittää riippumattomia ulkoisia tarkastajia lisäratkaisua varten.

Euroopan tietosuojavastaava, PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuustiimi tai sisäisen tarkastuksen tiimit ja ulkoiset tarkastajat laativat yksityiskohtaiset tarkastussuunnitelmat ja ‑aikataulut Käsittelyn riskin perusteella.

Tietosuojatarkastusten löydökset annetaan toimivaltaisten tietosuojaviranomaisten käyttöön. PayPal varaa oikeuden muokata tarkastusraporttien osia varmistaakseen luottamuksellisten tai muuten ainoastaan yhtiön käyttöön tarkoitettujen tietojen salassapidon. 

 

7. Käyttäjää koskevien konsernin sääntöjen ja kansallisen lain välinen suhde

Tietoturvaan liittyvät oikeudelliset vaatimukset vaihtelevat ympäri maailman, joten Käyttäjää koskevat Konsernin säännöt muodostavat yhtenäiset vaatimukset, joiden avulla varmistetaan Käyttäjän henkilötietojen asianmukainen Käsittely. Vaikka Käyttäjää koskevat konsernin säännöt muodostavat perusvaatimukset, joiden mukaisesti Konsernin osat toimivat, Konsernin osat noudattavat sovellettavia lakeja, joiden vaatimukset voivat olla näissä Konsernin säännöissä esitettyjä tiukemmat.

Mikään näiden Käyttäjää koskevien konsernin sääntöjen osa ei vaikuta Konsernin osaan sovellettavien pankkitoimintaa säätelevien lakien mukaisiin velvoitteisiin, erityisesti pankkisalaisuutta koskeviin. Jos sovellettava laki on ristiriidassa näiden Käyttäjää koskevien konsernin sääntöjen kanssa siten, että se voi estää Konsernin osaa täyttämästä Käyttäjää koskevien konsernin sääntöjen mukaisia velvoitteitaan ja vaikuttaa merkittävästi niissä esitettyihin takuisiin, Konsernin osan tulee viipymättä ilmoittaa Euroopan tietosuojavastaavalle, paitsi jos lainvalvontaviranomainen tai laki estää tällaisen tiedon toimittamisen. Euroopan tietosuojavastaava, tietosuojavastaavat ja Konsernin johtava osa määrittävät asianmukaisen menettelytavan ja epävarmassa tapauksessa pyytävät neuvoa toimivaltaiselta Tietosuojaviranomaiselta.

 

8. Keskinäinen apu ja yhteistyö Tietosuojaviranomaisten kanssa

Konsernin osat tekevät yhteistyötä ja avustavat toisiaan Käyttäjien pyyntöjen ja valitusten käsittelyssä, kun ne liittyvät Käyttäjää koskeviin konsernin sääntöihin.

Konsernin osat vastaavat huolellisesti ja asianmukaisesti Tietosuojaviranomaisten pyyntöihin, jotka koskevat Käyttäjää koskevia konsernin sääntöjä. Jos Työntekijä saa tällaisen pyynnön Tietosuojaviranomaiselta, hänen on välittömästi ilmoitettava Euroopan tietosuojavastaavalle.   

Konsernin osat tekevät yhteistyötä tiedusteluissa ja hyväksyvät toimivaltaisten Tietosuojaviranomaisten tarkastukset ETA-alueella näiden Käyttäjää koskevien konsernin sääntöjen mukaisuuteen liittyen ja kunnioittavat niiden päätöksiä soveltuvien lakien ja asiaankuuluvien oikeuksien mukaisesti.   

 

9. Näiden Käyttäjää koskevien konsernin sääntöjen sisällön päivitykset ja luettelo Osista, joita ne sitovat

PayPal varaa oikeuden muokata näitä Käyttäjää koskevia konsernin sääntöjä tarpeen mukaan, esimerkiksi huomioidakseen sovellettavien lakien, sääntöjen, asetusten, PayPalin käytäntöjen, prosessien ja organisaatiorakenteiden muutokset tai asiaankuuluvien tietosuojaviranomaisten vaatimukset.

PayPalin maailmanlaajuinen tietosuojan lakiasiaintiimi (jota johtaa lakiasiain tietosuojavastaava) ehdottaa tarpeellisia muutoksia näihin Käyttäjää koskeviin konsernin sääntöihin. PayPalin maailmanlaajuisen tietosuojan vaatimustenmukaisuustiimin (jota johtaa vaatimustenmukaisuuden tietosuojavastaava) ja Euroopan tietosuojavastaavan pitää hyväksyä kaikki Käyttäjää koskevien konsernin sääntöjen muutokset ja he seuraavat kaikkia Käyttäjää koskevien konsernin sääntöjen muokkauksia sekä kaikkia Konsernien osien luettelon muutoksia. Konsernin osat raportoivat Käyttäjää koskevien konsernin sääntöjen muutoksista asianmukaisille Tietosuojaviranomaisille muodollisen hyväksynnän saamiseksi ja sovellettavan lain vaatimusten mukaisesti.

Konsernin johtava osa pyytää Johtavalta tietosuojaviranomaiselta neuvoja koskien Käyttäjää koskevien konsernin sääntöjen olennaisia muutoksia, jotka vaikuttaisivat tietosuojan vaatimustenmukaisuuteen tai Käyttäjää koskevien konsernin sääntöjen toimintaan. Konsernin johtava osa tiedottaa Käyttäjää koskevien konsernin sääntöjen olennaisista muutoksista ja Konsernin osien luettelon muutoksista Johtavalle tietosuojaviranomaiselle vähintään kerran vuodessa. PayPalin maailmanlaajuinen tietosuojatiimi tukee Euroopan tietosuojavastaavaa, joka erityisesti koordinoi vastauksia ja käsittelee nopeasti kommentit, ehdotukset ja vastalauseet, jotka koskevat Johtavan tietosuojaviranomaisen PayPalin puolesta esittämiä muutoksia. Muiden Tietosuojaviranomaisten puolesta toimiva Johtava tietosuojaviranomainen viestii muiden Tietosuojaviranomaisten kommentit, ehdotukset ja vastalauseet Euroopan tietosuojavastaavalle.  

Näiden Käyttäjää koskevien konsernin sääntöjen muutoksia sovelletaan jokaiseen Konsernin osaan tosiasiallisena voimaantulopäivänä. Konsernin osat toimittavat ilmoituksen Käyttäjää koskevien konsernin sääntöjen olennaisista muutoksista Käyttäjän Palveluasetusten mukaisesti joko joukkosähköpostiviestillä tai verkkosivuston julkaisulla, jossa selkeästi varoitetaan Käyttäjiä ennakolta, että Käyttäjäsäännöt ovat muuttuneet. Konsernin osat julkaisevat muokatut Käyttäjää koskevat konsernin säännöt valikoiduilla ulkoisilla verkkosivustoilla tai sovelluksissa, joita Käyttäjät voivat käyttää. Käyttäjää koskevien konsernin sääntöjen muokkaukset astuvat voimaan kahden kuukauden kuluessa siitä, kun Konsernin osat ilmoittavat Käyttäjille ja julkaisevat muokatut Käyttäjää koskevat konsernin säännöt.

 

10. Julkaiseminen

Käyttäjää koskevat konsernin säännöt julkaistaan ja linkki niihin tuodaan saataville Palvelun verkkosivustolla tai sovelluksissa.  Käyttäjät voivat pyytää kappaleen Euroopan tietosuojavastaavalta osoitteesta The European Data Protection Officer (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg tai lähettämällä sähköpostia osoitteeseen DPO@paypal.com.

 

11. Loppusäännökset

Voimaantulopäivämäärä: 25.5.2018

Yhteystiedot: käyttäjät voivat esittää näihin Käyttäjää koskeviin konsernin sääntöihin liittyviä kysymyksiä tai huolia ottamalla yhteyttä Euroopan tietosuojavastaavaan osoitteessa

The European Data Protection Officer (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Määritelmät

Konsernien osien tulee tulkita Käyttäjää koskevia konsernin sääntöjä tavalla, joka on mahdollisimman yhtenäinen EU-direktiivin 95/46/EY tai minkä tahansa sen korvaavan direktiivin tai asetuksen perusperiaatteen kanssa. 

Näissä Käyttäjää koskevissa konsernin säännöissä käytetään seuraavia määritelmiä:

Hallitus tarkoittaa Konsernin johtavan osan hallitusta.

Tietosuojaviranomaiset tarkoittaa viranomaisia, jotka ovat omalla alueellaan vastuussa ETA:n jäsenvaltioiden säätämien EU:n tietosuojadirektiivin (95/46/EY) mukaisten kansallisten lakien soveltamisen valvomisesta ja toimeenpanosta.

ETA tarkoittaa Euroopan talousaluetta, johon tällä hetkellä kuuluvat EU:n jäsenvaltiot, Islanti, Liechtenstein ja Norja.

Työntekijä tarkoittaa työntekijöitä, harjoittelijoita ja muuta henkilöstöä tai henkilökunnan jäseniä, mukaan lukien Konsernin osan määräaikaiset tai tilapäiset työntekijät, varatyöntekijät tai alihankkijat, riippumatta siitä, ovatko he palkkasuhteessa tai muutoin työssä koko- tai osa-aikaisena ja riippumatta palkkasuhteen tai muun työsuhteen tyypistä.

Euroopan tietosuojavastaava (DPO) tarkoittaa työntekijää, jonka Konsernin johtavan osan johto on nimittänyt ja joka raportoi Konsernin johtavan osan johdolle sekä on myös PayPalin maailmanlaajuisen tietosuoja- ja lakiasiaintiimin jäsen. Euroopan DPO sijaitsee Luxemburgissa.

Konsernin osa tarkoittaa PayPal-konsernin yksikköä, joka on tehnyt Konsernin sisäisen sopimuksen (IGA).

IGA tarkoittaa Konsernin sisäistä sopimusta.

Johtava tietosuojaviranomainen tarkoittaa Commission nationale pour la protection des données'ta (CNPD) Luxemburgissa.

Konsernin johtava osa tarkoittaa PayPal (Europe) S.à r.l. & Cie, S.C.A:ta, joka on luxemburgilainen yksityinen osakeyhtiö.

PayPalin maailmanlaajuinen tietosuojatiimi tarkoittaa koordinoitua PayPalin maailmanlaajuista tietosuojan vaatimustenmukaisuustiimiä ja PayPalin maailmanlaajuista tietosuojan lakiasiaintiimiä.

PayPalin maailmanlaajuisen tietosuojan vaatimustenmukaisuustiimi tarkoittaa Vaatimustenmukaisuusorganisaation jäseniä, jotka hoitavat erityisesti PayPalin tietosuojaohjelman vaatimustenmukaisuutta ja toimintaa.

PayPalin maailmanlaajuinen tietosuojan lakiasiain tiimi tarkoittaa Lakiasiain osaston jäseniä, jotka hoitavat erityisesti tietosuoja-asioita.

PayPal-konserni tarkoittaa PayPal Holdings, Inc:tä ("PayPal") ja mitä tahansa yksikköä, jossa PayPalilla on Määräysvalta suoraan tai välillisesti, ja joka käsittelee Käyttäjätietoja. Määräysvalta tarkoittaa, että omistaa yli 50 prosenttia (50 %) äänivallasta, jota käytetään yhtiön johtajien valintaan, tai yli 50 prosentin (50 %) omistusosuutta.

Henkilötiedot tarkoittaa kaikkia tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tunnistettavissa oleva henkilö on sellainen, joka voidaan tunnistaa suoraan tai välillisesti, erityisesti henkilötunnuksen tai yhden tai useamman fyysisen, fysiologisen, henkisen, taloudellisen, kulttuurisen tai sosiaalisen identiteetin piirteen perusteella.

Käsittely tarkoittaa toimintoa ja toimintojoukkoa, joka kohdistetaan Henkilötietoihin, automaattisesti tai muuten, kuten kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, konsultaatio, käyttö, tietojen luovuttaminen siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittaminen tai yhdistäminen sekä niiden rajoittaminen, poistaminen tai tuhoaminen.

Käsittelijä tarkoittaa luonnollista tai oikeushenkilöä, joka Käsittelee Henkilötietoja Konsernin osan puolesta.

Arkaluontoiset henkilötiedot tarkoittavat Henkilötietoja, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistyksen jäsenyyden, rikoksiin liittyvät tiedot tai terveyttä tai sukupuolielämää koskevia tietoja.

Palvelu tarkoittaa verkkosivustoa, sovellusta tai muuta tuotetta tai palvelua, jonka PayPal-konserni tarjoaa Käyttäjän käyttöön.

Kolmas osapuoli tarkoittaa mitä tahansa luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta yhteisöä kuin Käyttäjää, Konsernin osaa, Käsittelijää ja henkilöitä, joilla on Konsernin osan tai Käsittelijän suora valtuutus Käsitellä Henkilötietoja (tällaisia henkilöitä ovat esimerkiksi Työntekijät).

Käyttäjä tarkoittaa aikaisempia ja nykyisiä asiakkaita, mahdollisia asiakkaita, sijoittajia, liikekumppaneita ja kauppiaita.

Käyttäjän henkilötiedot tarkoittavat Käyttäjiä koskevia Henkilötietoja.