Contratto per l'utilizzo dei servizi PayPal di pagamento online con carta

Il Contratto per l'utilizzo dei servizi PayPal di pagamento online con carta ("Contratto") contiene i termini di un accordo tra l'Utente (anche detto "Commerciante") e PayPal (Europe) Sàrl et Cie, SCA ("PayPal").

PayPal opera su licenza come istituto di credito del Lussemburgo ed è soggetto alla supervisione prudenziale dell'autorità di vigilanza del Lussemburgo, la Commission de Surveillance du Secteur Financier ("CSSF"). La CSSF ha la sua sede legale in Lussemburgo L-1150.

Informazioni sul presente contratto

Il presente Contratto si applica agli utenti registrati a PayPal come residenti in Italia.

Integrando o utilizzando uno qualsiasi dei Prodotti o dei Servizi di pagamento online con carta, l'Utente accetta di essere vincolato ai termini del presente Contratto. Se all'Utente viene offerto e sceglie di utilizzare un Prodotto, un servizio di pagamento tramite carta online o una funzionalità (incluse le tecnologie) menzionati nel presente Contratto, si applicano le condizioni del presente Contratto relative a tale prodotto, al servizio di pagamento con carta online o alla funzionalità.

PayPal offre i seguenti prodotti:

• PayPal Pro: una suite di funzionalità costituita dall'API di pagamento diretto come servizio standard e dal servizio aggiuntivo opzionale Soluzione di pagamento telefonico e Protezione antifrode;
• Pagamenti avanzati con carta di credito e di debito: una suite di funzionalità costituita dall'API dei Pagamenti avanzati con carta di credito e di debito come standard e dalla Protezione antifrode come servizio aggiuntivo opzionale.  Inoltre, PayPal può offrire all'utente uno dei servizi aggiuntivi seguenti: 
  • qualsiasi funzionalità di PayPal Pro;
  • lo strumento di archiviazione; e
  • il servizio di aggiornamento del conto.
• Soluzione di pagamento telefonico: funzionalità di pagamento telefonico come prodotto autonomo.

Ciascuno dei Prodotti include uno o più Servizi di pagamento online con carta.  I Servizi di pagamento online con carta sono:

• API di pagamento diretto : funzionalità per l'esecuzione di transazioni tramite carte di credito e di debito, dove i dati della carta vengono immessi online dal titolare della carta.
• API di Pagamenti avanzati con carte di credito e di debito : funzionalità per l'esecuzione di transazioni con carte di credito e di debito, in cui i dati della carta vengono immessi online dal titolare della carta, in alternativa all'API di pagamento diretto.
• Soluzione di pagamento telefonico : funzionalità fornita da PayPal per consentire all'Utente di ricevere un pagamento tramite carta mediante l'inserimento manuale dei dati della carta forniti all'Utente dal titolare della carta.

Le Condizioni d'uso per il servizio PayPal (qui indicato come Condizioni d'uso), il Contratto per società commerciali e la Dichiarazione sulla privacy costituiscono parte integrante del presente Contratto. Consultare la sezione 5 per ulteriori disposizioni relative all'applicazione degli altri documenti legali.

PayPal potrebbe apportare modifiche, tagli o aggiunte al presente Contratto compatibilmente con la procedura di Modifica stabilita nelle Condizioni d'uso.Nel caso in cui non accetti le Modifiche, l'Utente potrà risolvere il presente Contratto secondo la procedura descritta alla sezione 8 dello stesso.

Vedere, scaricare e salvare questo contratto.

1. Configurazione e attivazione del Prodotto

1.1 Operazioni preliminari. Per richiedere e utilizzare il Prodotto, l'utente deve innanzitutto procedere come descritto di seguito:

1. Completare il processo di richiesta online del Prodotto, aprire un conto PayPal Business (se non dispone già di un conto di questo tipo), quindi seguire le istruzioni descritte nella procedura online per l'accesso e l'uso del Prodotto.
2. Includere il Prodotto nella procedura di pagamento del proprio sito web, se il Prodotto è PayPal Pro o Pagamenti avanzati con carta di credito e di debito . L'utente non deve includere il Prodotto nella procedura di pagamento del proprio sito web se accede e usa esclusivamente la Soluzione di pagamento telefonico. PayPal non è responsabile di eventuali problemi derivanti dall'inclusione del Prodotto sul sito web dell'utente. Sarà compito esclusivo dell'utente scegliere, impostare, includere e personalizzare il Prodotto e assicurarsi che sia adatto alle sue esigenze.
3. Attivare il Prodotto mediante l'uso del prodotto stesso per la prima volta in una transazione di pagamento effettiva.

PayPal Pro viene offerto solo come Integrazione di PayPal Pro. Se il Prodotto scelto è Pagamenti avanzati con carta di credito e di debito , PayPal potrebbe consentire all'utente di includere e utilizzare l'API Pagamenti avanzati con carta di credito e di debito come Integrazione di PayPal Pro o Integrazione ospitata autonomamente.

PayPal può impostare l'Opzione di hosting come impostazione predefinita per l'integrazione dell'API Interfaccia personalizzata nella procedura di pagamento del sito web dell'Utente.

1.2 Annullamento. PayPal ha la facoltà di rifiutare la richiesta dei prodotti da parte dell'utente in base alla cronologia creditizia dell'utente stesso, alla cronologia di PayPal o per qualsiasi altro motivo ritenuto valido a discrezione di PayPal. L'Utente riconosce e accetta che PayPal e/o gli agenti PayPal si riservino il diritto, a loro esclusiva discrezione, di rifiutare la richiesta e la registrazione dei Prodotti da parte dell'Utente. PayPal può altresì limitare l'accesso o l'uso dei Prodotti da parte dell'Utente senza obbligo alcuno nei confronti di quest'ultimo. PayPal può interrompere l'accesso e/o l'uso di uno o tutti i Prodotti da parte dell'Utente e/o risolvere il presente Contratto in qualsiasi momento prima della Data di attivazione, previa comunicazione all'Utente.

2. Tariffe

2.1 Modalità di pagamento delle tariffe

L'utente accetta di pagare le tariffe previste da questo Contratto non appena risultino dovute senza alcuna compensazione o detrazione. L'utente autorizza PayPal a dedurre le proprie tariffe dagli importi trasferiti, prima che il denaro sia accreditato sul conto dell'utente.

Fatta eccezione per quanto diversamente stabilito nel presente Contratto, l'utente accetta di pagare le tariffe come stabilito nelle Condizioni d'uso.

Le tariffe verranno addebitate nella valuta del pagamento ricevuto.

2.2. Tariffe per transazione per pagamenti PayPal standard

A tutti i pagamenti PayPal standard nazionali ricevuti dall'utente sarà applicata la tariffa per la ricezione di pagamenti nazionali (vendita) indicata nelle Condizioni d'uso.

2.3. Tariffe per transazione per la ricezione di pagamenti con carta

Le tariffe per la ricezione di pagamenti sul conto PayPal dell'utente indicate nelle Condizioni d'uso si applicano a ciascun pagamento a favore dell'utente effettuato con una carta utilizzando i servizi di pagamento online con carta. Se l'utente sceglie il piano tariffario Interchange Plus, gli saranno applicate le tariffe per la ricezione di pagamenti sul conto PayPal indicate nelle Condizioni d'uso più la commissione interbancaria.

2.4. Altre tariffe per transazione

La tariffa per la ricezione di pagamenti internazionali (vendita) indicata nelle Condizioni d'uso viene applicata a tutti i pagamenti internazionali ad eccezione di quelli effettuati con carte utilizzando i servizi di pagamento online con carta soggetti al piano tariffario Interchange Plus e delle transazioni effettuate con carta American Express.

2.5. Report mensili sui costi delle transazioni

PayPal mette a disposizione report mensili sui costi delle transazioni (incluse le commissioni interbancarie) per le transazioni con carta che l'utente elabora con il prodotto. Tali report possono essere scaricati direttamente dall'interfaccia del conto PayPal dell'utente. I report non includono i pagamenti PayPal standard.

3. Scelta del Piano tariffario Interchange Plus e del Piano tariffario misto

L'Utente può scegliere il piano tariffario applicabile per la ricezione dei pagamenti con carta tramite uno dei servizi di pagamento online con carta (tra cui l'API di pagamento diretto, l'API di Pagamenti avanzati con carte di credito e di debito e/o la Soluzione di pagamento telefonico) mediante i metodi o le procedure resi disponibili da PayPal. Se l'Utente non effettua una scelta, manterrà il piano tariffario precedente.

L'utente deve scegliere il piano tariffario, il quale verrà applicato solo alle transazioni future, non alle transazioni passate.

Le commissioni interbancarie sono fissate da Visa e Mastercard. Tali commissioni variano in base ai diversi tipi di carta (ad esempio, per categorie e marchio). PayPal addebiterà sempre all'utente la commissione interbancaria fissata da Visa e Mastercard e come applicata dal relativo Acquirer. Le singole commissioni interbancarie possono cambiare di volta in volta. Per maggiori informazioni sulle commissioni interbancarie, consulta i siti Web di Mastercard e Visa e la nostra panoramica semplificata.

Scegliendo il Piano tariffario Interchange Plus per l'esecuzione degli addebiti, l'Utente accetta che, nel momento in cui PayPal riceve un pagamento tramite carta destinato all'Utente stesso ed effettuato mediante uno qualsiasi dei Servizi di pagamento online con carta, il denaro venga trattenuto nel Conto di riserva del Conto PayPal dell'Utente prima di essere trasferito nel Conto di pagamento del Conto PayPal dell'Utente.  L'Utente autorizza PayPal a trasferire il denaro sul proprio Conto di pagamento solo il Giorno lavorativo in cui PayPal viene informata della commissione interbancaria applicabile al pagamento con carta.  Mentre il denaro viene trattenuto sul Conto di riserva dell'utente, la transazione risulterà "In sospeso" nei dettagli del conto. PayPal non considera l'importo del pagamento con carta sul conto di riserva dell'utente disponibile per l'utente fino a quando PayPal non avrà ricevuto le informazioni sulla commissione interbancaria applicabile dalla propria società di elaborazione pagamenti (ciò può avvenire entro il giorno lavorativo successivo al giorno in cui il pagamento con carta è stato inviato dal titolare della carta).

4. Sicurezza e protezione dei dati

4.1 Conformità all'allegato sulla sicurezza dei dati. In qualità di "Commerciante", l'utente accetta di operare in modo conforme all'Allegato 1 riportato di seguito, il quale fa parte integrante del presente Contratto.

4.2 Conformità dell'Utente allo standard PCI DSS. L'Utente accetta inoltre di conformarsi allo standard per la sicurezza dei dati PCI (PCI DSS). L'Utente dovrà proteggere tutti i dati relativi alle carte a sua disposizione in modo conforme allo standard PCI DSS, e dovrà inoltre progettare, mantenere e gestire il proprio sito web e altri sistemi in modo conforme allo standard PCI DSS.  L'Utente deve assicurarsi che il proprio personale sia sempre sufficientemente formato sullo standard PCI DSS per poterne applicare i requisiti. PayPal non è responsabile di eventuali costi sostenuti a garanzia della conformità con lo standard PCI DSS. Per ulteriori informazioni sullo standard PCI DSS, visitare il sito del PCI Security Standards Council: https://www.pcisecuritystandards.org/pci_security/.

4.3 Conformità di PayPal allo standard PCI DSS.  PayPal garantisce che PayPal e il Prodotto dell'utente soddisfano e soddisferanno lo standard PCI DSS. Tuttavia, la conformità di PayPal e del Prodotto dell'utente non sono sufficienti per essere conformi allo standard PCI DSS da parte dell'utente e dei suoi sistemi e processi.

4.4 3D Secure.  La Banca Centrale Europea e le autorità bancarie che disciplinano PayPal richiedono l'uso di 3D Secure in alcune circostanze. Inoltre, l'Associazione delle società emittenti carte di credito può richiedere di ridurre il numero di transazioni con carta non autorizzate dal titolare della carta.  PayPal può notificare all'utente la necessità di implementare 3D Secure per tutte o per alcune transazioni con carta specifiche.  L'utente accetta di implementare 3D Secure se richiesto in tale notifica, se la società emittente di una particolare carta supporta 3D Secure per quella carta.

4.5 Prezzo e valuta. L'utente non può inviare transazioni di pagamento in cui l'importo derivi dalla conversione dinamica di valute. Ciò significa che l'utente non può pubblicare l'inserzione di un articolo in una valuta e accettare il pagamento in una valuta diversa. In caso di accettazione di pagamenti in più valute, l'utente deve elencare separatamente il prezzo in ogni valuta.

4.6 Conformità all'allegato sulla protezione dei dati. In qualità di "Commerciante", l'Utente accetta di operare in conformità all'Allegato 2 riportato di seguito, il quale fa parte integrante di questo Contratto. I termini dell’Allegato per la protezione dati hanno la priorità su tutti i termini devianti delle presenti Condizioni d’uso relativi alla privacy e alla protezione dei dati.

5. Come si applicano gli altri documenti legali

5.1 Il presente Contratto, le Condizioni d'uso, i Contratti per società commerciali e la Dichiarazione sulla privacy sono disponibili nella pagina Accordi legali, accessibile tramite il link "Accordi legali" presente in fondo alle pagine del sito web di PayPal.

5.2 Condizioni d'uso. Le Condizioni d'uso costituiscono parte integrante del presente Contratto. Per quanto possibile, il presente Contratto e le Condizioni d'uso devono essere interpretati come un sistema unico e coerente. In caso di conflitto di interpretazione, il presente Contratto prevale sulle Condizioni d'uso nella misura del conflitto, eccetto in relazione all'utilizzo da parte dell'Utente di uno qualsiasi dei Prodotti o dei Servizi di pagamento online con carta come parte della nuova soluzione di pagamento, in conformità a quanto indicato nelle Condizioni d'uso.

Le parole con iniziali maiuscole non riportate nel presente Contratto sono definite nelle Condizioni d'uso. Quando lette insieme a questi termini, le definizioni di "Servizi" e "Contratto" presenti all'interno delle Condizioni d'uso includono i Prodotti e il presente contratto. Le Condizioni d'uso includono clausole importanti in virtù delle quali:

1. Viene permesso a PayPal di accantonare una riserva a garanzia del pagamento di chargeback, storni e tariffe da parte dell'utente;
2. L'utente è obbligato a seguire le Regole sull'utilizzo consentito definite da PayPal per quanto riguarda l'uso di PayPal da parte dell'utente;
3. Viene garantita validità legale all'Informativa sulla privacy di PayPal. Tale informativa disciplina l'uso e la divulgazione da parte di PayPal dei dati dell'utente e quelli degli Utenti condivisi; nonché
4. Viene permesso a PayPal di limitare un pagamento oppure il conto PayPal dell'utente nelle circostanze previste dalle Condizioni d'uso.

L'utente è responsabile di chargeback, storni e altri pagamenti annullati come definito nelle Condizioni d'uso indipendentemente dalla modalità d'uso e configurazione del Prodotto, ivi compresi la relativa tecnologia di filtro delle frodi e altri eventuali strumenti preventivi simili. Questi strumenti possono risultare utili per rilevare frodi ed evitare errori di pagamento, ma non hanno alcuna ripercussione sulla responsabilità dell'utente nei confronti delle Condizioni d'uso per quanto riguarda chargeback, storni e pagamenti altrimenti invalidati.

5.3 Contratto per società commerciali. Accettando di essere vincolato al presente Contratto, l'Utente accetta anche i Contratti per società commerciali. Essi rappresentano gli accordi diretti dell'Utente con gli Istituiti acquirenti, partner bancari di PayPal, che consentono all'Utente di ricevere pagamenti tramite carta e pagamenti PayPal finanziati tramite carta.

5.4 Dichiarazione sulla privacy. L'Utente conferma di avere letto e accettato la Dichiarazione sulla privacy di PayPal, che descrive i dati raccolti sull'Utente e sulla sua attività online.  In particolare, l'Utente accetta e acconsente che PayPal possa ottenere da una terza parte la cronologia creditizia e i dati finanziari sulla propria capacità di rispettare gli obblighi previsti dal presente Contratto; la Dichiarazione sulla Privacy di PayPal elenca le aziende coinvolte in tale scambio di informazioni correlate all'affidabilità creditizia. PayPal controllerà i dati di credito dell'Utente e altri fattori di rischio del suo conto (storni e chargeback, reclami dei clienti, reclami ecc.) su base continuativa e potrà anche esaminare il sito Web dell'Utente e i prodotti in vendita su di esso. PayPal archivierà, userà e divulgherà i dati dell'Utente nel rispetto della propria Dichiarazione sulla privacy.

5.5 Condizioni aggiuntive per l'accettazione della carta American Express

La presente sezione 5.5 è applicabile all'Utente se gli viene permesso di ricevere pagamenti da carte American Express.

5.5.1 Comunicazioni commerciali di marketing.  American Express può utilizzare le informazioni contenute nella richiesta presentata al momento della configurazione per controllare e/o monitorare l'utente in relazione alle attività amministrative e di marketing correlate alla carta.  Accettando queste condizioni, l'utente acconsente a ricevere comunicazioni commerciali di marketing da parte di American Express. Tale consenso può essere revocato previa comunicazione, contattando PayPal. Visitare la sezione Aiuto accessibile dalle Condizioni d'uso e dalla maggior parte delle pagine PayPal per scoprire come contattarci.  Qualora l'utente non acconsentisse alla ricezione delle comunicazioni di marketing, continuerà comunque a ricevere i messaggi importanti inviati da American Express in merito alle transazioni e al proprio rapporto con l'utente.

5.5.2 Accettazione diretta della carta.  L'Utente è consapevole che, se raggiunge determinati volumi di vendita mensili e/o annuali correlati ad American Express, definiti da American Express attualmente e di volta in volta, American Express potrebbe richiedere all'Utente di stipulare un rapporto contrattuale diretto. In tale situazione, American Express definirà i prezzi per le proprie transazioni e l'Utente pagherà le tariffe per le transazioni American Express direttamente ad American Express.

5.5.3 Diritti di verifica. American Express può condurre una verifica dell'Utente in qualsiasi momento, allo scopo di determinarne la conformità alle Regole American Express.

5.5.4 Diritti di presentazione e pagamento.  L'Utente autorizza PayPal a inviare transazioni, a ricevere liquidazioni e a divulgare informazioni relative a transazioni e commercianti ad American Express per eseguire analisi, creare report e per qualsiasi altro scopo commerciale legittimo, incluse le comunicazioni commerciali di marketing e importanti comunicazioni sulle transazioni e le relazioni. Il Commerciante può interrompere l'accettazione di American Express in qualsiasi momento, previa comunicazione.

5.5.5 Terza parte beneficiaria.  American Express è una terza parte beneficiaria del presente Contratto ai fini dell'accettazione della carta American Express. In quanto terza parte beneficiaria, American Express ha il diritto di far valere direttamente i termini del presente Contratto nei confronti dell'Utente in relazione all'accettazione della carta American Express. L'Utente riconosce e accetta che American Express non avrà alcuna responsabilità in merito agli obblighi di PayPal nei confronti dell'Utente ai sensi del presente Contratto.

5.5.6 Carta presentata, terminali non sorvegliati e sportelli di pagamento automatico.  L'Utente non accetterà carte American Express per alcun pagamento ai sensi del presente Contratto quando la carta è (i) presentata nel luogo fisico dell'acquisto o della transazione, (ii) utilizzata presso terminali non sorvegliati (ad es. dispositivi attivati dal cliente) o (iii) presentata in uno sportello di pagamento automatico.  Inoltre, all'Utente sarà vietato fornire o rendere disponibile un computer o un'interfaccia online a qualsiasi titolare di carta American Express che visita fisicamente la sua sede per consentirgli di accedere al proprio conto PayPal.

6. Proprietà intellettuale e codici identificativi

6.1 Licenza. In virtù del presente Contratto PayPal concede all'utente una licenza non esclusiva, non trasferibile, revocabile, non cedibile a terzi e limitata al fine di (a) usare il Prodotto in modo conforme alla documentazione disponibile sul sito web PayPal e (b) usare la documentazione fornita da PayPal per il Prodotto e riprodurla a uso interno solo nell'ambito dell'attività dell'utente. Il prodotto come concesso in licenza è soggetto a modifiche e si evolverà insieme al resto del sistema PayPal; vedere la sezione 9.1. L'Utente è tenuto a rispettare i requisiti di implementazione e utilizzo contenuti in tutti i documenti e le istruzioni di PayPal che accompagnano il prodotto ed emessi da PayPal di tanto in tanto (inclusi, a titolo esemplificativo, i requisiti di implementazione e utilizzo che si impongono all'Utente per garantire la conformità alle leggi vigenti e alle regole e alle normative vigenti in materia di schemi di carta).

6.2 Codici identificativi. PayPal può fornire all'utente determinati codici identificativi specifici. I codici identificano l'utente e ne autenticano messaggi e istruzioni a PayPal, incluse le istruzioni operative alle interfacce software PayPal.  L'uso di tali codici potrebbe risultare necessario per l'elaborazione da parte del sistema PayPal delle istruzioni ottenute dall'utente o dal suo sito.  L'utente deve conservare i codici al sicuro e proteggerli da divulgazione a soggetti che non ha autorizzato ad agire per proprio conto nelle transazioni con PayPal.  L'utente accetta di adottare le ragionevoli misure protettive suggerite da PayPal al fine di salvaguardare la sicurezza di tali codici identificativi. Qualora non sia in grado di proteggere la sicurezza dei codici nei modi consigliati, l'utente dovrà tempestivamente comunicare tale situazione a PayPal in modo tale da consentire a PayPal di annullare e generare nuovamente i codici. PayPal può inoltre annullare e generare nuovamente i codici se ha motivo di credere che la relativa sicurezza sia stata compromessa e dopo aver comunicato tale decisione all'utente con un ragionevole preavviso.

6.3 Proprietà delle informazioni e dei materiali di PayPal Pro e di Pagamenti avanzati con carta di credito e di debito. Per quanto riguarda l'accesso e l'uso di PayPal Pro e/o Pagamenti avanzati con carte di credito e di debito, all'utente verranno forniti informazioni e materiali specifici ("Materiali Pro") che potranno essere utilizzati con i Prodotti.  Tutti i diritti di proprietà intellettuale associati a questi materiali rimangono di proprietà di PayPal o del pertinente Istituto acquirente (a seconda dei casi). L'utente accetta di non cedere, trasferire, assegnare, vendere o rivendere (per intero o parzialmente) i Materiali Pro a terzi.

6.4 Integrazioni PayPal Pro e proprietà intellettuale dell'Utente. In virtù del presente Contratto, l'Utente concede a PayPal una licenza non esclusiva, a titolo gratuito e valida in tutti i Paesi per l'uso di nomi, immagini, loghi, marchi commerciali, marchi relativi al servizio e/o nomi commerciali dell'Utente o di qualsiasi suo affiliato forniti a PayPal durante l'uso dei Prodotti ("Marchi dell'Utente") al solo scopo di consentire l'uso di detti Prodotti da parte dell'Utente (ivi inclusa, a titolo esemplificativo, la personalizzazione del Prodotto ospitato). La titolarità e la proprietà dei Marchi dell'utente e tutto il corrispondente valore intrinseco derivante da qualsiasi tipo di uso in virtù del presente Contratto rimarranno di esclusiva pertinenza dell'utente. L'utente garantisce di disporre di tutta l'autorità necessaria per concedere a PayPal l'uso dei Marchi dell'utente, nonché accetta di indennizzare PayPal e ottemperare a qualsiasi indennizzo dovuto su base continuativa in seguito a qualsiasi reclamo o perdita sostenuti dall'utente stesso a seguito dell'uso dei Marchi dell'utente in relazione ai Prodotti.

7. Condizioni d'uso per funzionalità specifiche

7.1 Protezione antifrode. Le condizioni riportate nell'Allegato 3 riguardano il ricorso alla Protezione antifrode da parte dell'utente.

7.2 Strumento di archiviazione. Se l'utente utilizza lo Strumento di archiviazione, prima di raccogliere i dati della carta dei clienti, potrà:

7.2.1 informare i clienti che:

7.2.1.1 i dati raccolti verranno salvati e saranno recuperabili da parte dell'Utente per i pagamenti futuri da parte del cliente, inclusi, potenzialmente, i pagamenti "acquirente non presente";

7.2.1.2 il cliente può aggiornare i dati; e

7.2.1.3 il cliente può revocare il consenso.

7.2.2 ottenere il consenso dei clienti a raccogliere e usare tali dati in base a quanto indicato sopra;

7.2.3 verificare che, quando i clienti forniscono il consenso di cui sopra e optano per la funzione, intraprendono un'azione deliberata e registrata, ad esempio cliccando su un pulsante opzionale o spuntando una casella deselezionata per impostazione predefinita.

7.3 Servizio di aggiornamento del conto

7.3.1 Descrizione. In base ai termini della presente sezione 7.3, PayPal può rendere disponibile il servizio di aggiornamento del conto, per il quale PayPal invierà i dati della carta applicabili di carte idonee a una o più fonti di terzi e userà i dati disponibili a PayPal per controllare e aggiornare i dati della carta applicabili. In seguito a questi controlli, i dati della carta applicabili aggiornati relativi ai clienti, se presenti, vengono elaborati e archiviati da PayPal a nome e per conto dell'Utente per consentire all'Utente di accettare abbonamenti e pagamenti automatici, pagamenti automatici o altre transazioni idonee tramite i Prodotti dei propri clienti con i dati della carta applicabili aggiornati. Se il servizio di aggiornamento del conto è disponibile per l'Utente, PayPal fornirà all'Utente una notifica via email indicante che il servizio di aggiornamento del conto è stato attivato sui suoi conti o consentirà di attivare il servizio di aggiornamento del conto sui conti dell'Utente tramite le impostazioni del conto PayPal. L'Utente può scegliere di interrompere l'uso del servizio di aggiornamento del conto in qualsiasi momento previa notifica per iscritto a PayPal in merito a tale scelta o con altri mezzi che possono essere indicati da PayPal.

7.3.2 Uso consentito. L'Utente riconosce e accetta che il servizio di aggiornamento del conto sia stato fornito esclusivamente allo scopo di aggiornare i dati della carta applicabili, al fine di consentire l'accettazione delle transazioni tramite i Prodotti. L'Utente non può usare il servizio di aggiornamento del conto per altri scopi, tra cui, a titolo esemplificativo, l'uso di qualsiasi parte dei dati del servizio di aggiornamento del conto in relazione allo sviluppo di altri servizi o prodotti.

7.3.3 Obblighi dell'Utente. L'Utente è tenuto a rispettare pienamente le leggi vigenti e le regole del sistema di carte in relazione all'uso del servizio di aggiornamento del conto. Inoltre, l'Utente presenterà ai propri clienti, le cui carte sono idonee per il servizio di aggiornamento del conto, tutte le informazioni integrative richieste e previste dalla legge applicabile per consentire all'Utente di usare il servizio di aggiornamento del conto per aggiornare la carta o le carte del cliente. Quanto sopra deve includere, a titolo esemplificativo, l'integrazione tempestiva nelle condizioni standard, nell'informativa sulla privacy e/o in altri documenti rivolti al cliente, di qualsiasi lingua richiesta dalle leggi vigenti o dalle regole del sistema di carte. L'Utente deve inoltre fornire informazioni integrative adeguate per chiarire ai clienti che, se non desiderano che i dati della carta applicabili vengano aggiornati, possono richiedere all'Utente di rimuovere la carta archiviata da PayPal e/o di interrompere il contratto di abbonamenti e pagamenti automatici o di pagamenti automatici con l'Utente.

7.3.4 Riservatezza. L'Utente accetta di mantenere strettamente confidenziali tutte le informazioni e i dati della carta forniti tramite il servizio di aggiornamento del conto, se presente. L'Utente non può divulgare tali informazioni o dati della carta a terzi e non può usare tali dati o dati della carta per scopi diversi da quelli espressamente consentiti.

7.3.5 Indennizzo. L'Utente dovrà risarcire PayPal per eventuali perdite derivanti da una violazione da parte dell'Utente dei propri obblighi ai sensi della presente sezione per l'uso del servizio di aggiornamento del conto.

7.3.6 Accuratezza dei dati. L'Utente riconosce che il servizio di aggiornamento del conto può essere preciso solo nella misura di partecipazione di una banca emittente della carta e un cliente e che molte banche emittenti di carte e clienti potrebbero non partecipare. L'Utente riconosce e accetta che il servizio di aggiornamento del conto possa basarsi su informazioni, dati delle carte e servizi forniti a PayPal da terzi.

7.3.7 Cessazione. PayPal può interrompere il servizio di aggiornamento del conto in qualsiasi momento previa notifica via email all'Utente.

8. Risoluzione e sospensione del contratto

8.1 Da parte dell'Utente. L'Utente ha la facoltà di risolvere il presente Contratto inviando comunicazione della propria intenzione all'Assistenza clienti PayPal con un preavviso di 30 giorni nel caso in cui voglia:

1. recedere solo dal presente Contratto.L'Assistenza clienti PayPal confermerà la rescissione tramite email. Questa opzione consente all'Utente di interrompere l'utilizzo dei Prodotti e il relativo pagamento, ma il Conto PayPal dell'Utente rimarrà aperto e le relative Condizioni d'uso continueranno a essere valide; oppure
2. chiudere il conto PayPal utilizzato con il Prodotto (per maggiori informazioni, vedere le Condizioni d'uso). Questa opzione risolve il presente Contratto, consentendo all'Utente di interrompere l'uso dei Prodotti e il relativo pagamento, e avvia la procedura di chiusura del Conto PayPal dell'Utente. Il Conto PayPal dell'Utente rimarrà aperto e le relative Condizioni d'uso rimarranno in vigore fino all'effettiva chiusura del Conto PayPal, che è soggetto alle disposizioni relative alla chiusura di un Conto PayPal riportate nelle Condizioni d'uso.

Se l'Utente utilizza solo Pagamenti avanzati con carte di credito e di debito, può inviare immediatamente all'Assistenza clienti PayPal la disdetta del presente Contratto o chiudere il conto PayPal utilizzato con i Pagamenti avanzati con carte di credito e di debito, come indicato nelle sezioni a e b. sopra.

L'Utente può interrompere l'utilizzo di Pagamenti avanzati con carte di credito e di debito in qualsiasi momento, fornendo un preavviso all'Assistenza clienti PayPal della propria intenzione di interrompere l'uso di Pagamenti avanzati con carte di credito o di debito.  L'Assistenza clienti PayPal confermerà l'interruzione via email. Questa opzione consente all'Utente di interrompere l'utilizzo dei Pagamenti avanzati con carte di credito e di debito per qualsiasi transazione futura, ma il suo conto PayPal rimarrà aperto e il presente Contratto e le relative Condizioni d'uso continueranno a essere valide. L'Utente può iniziare a utilizzare i Pagamenti avanzati con carte di credito e debito, in qualsiasi momento, in base ai termini del presente Contratto modificato. 

L'Utente può smettere di accettare i pagamenti con carta American Express utilizzando i Prodotti in qualsiasi momento, comunicandolo anticipatamente all'Assistenza clienti PayPal. 

Visitare la sezione Aiuto accessibile dalle Condizioni d'uso e dalla maggior parte delle pagine PayPal per scoprire come contattarci in modo da effettuare le suddette operazioni.

8.2 Da parte di PayPal. PayPal può risolvere il presente Contratto o una parte dello stesso relativa a un prodotto specifico in uno dei modi indicati di seguito:

1. Comunicando all'Utente, con un preavviso di due mesi, la propria intenzione di risolvere il Contratto o una parte dello stesso relativa a un Prodotto specifico mediante l'invio di un'email all'indirizzo di posta elettronica registrato associato al Conto dell'Utente stesso. Salvo diversamente indicato nella notifica, questa opzione non interessa le Condizioni d'uso dell'utente e pertanto il relativo conto PayPal rimarrà aperto.
2. Chiusura delle Condizioni d'uso applicabili al conto PayPal usato in combinazione con il Prodotto.Il Conto PayPal dell'Utente rimarrà aperto e le relative Condizioni d'uso rimarranno in vigore fino all'effettiva chiusura del Conto PayPal, che è soggetto alle disposizioni relative alla chiusura di un Conto PayPal riportate nelle Condizioni d'uso.

8.3 In seguito a eventi specifici. PayPal può chiudere il presente Contratto immediatamente senza alcun preavviso in caso di:

1. Violazione del presente Contratto o delle Condizioni d'uso;
2. Incapacità di pagare o ottemperare alle proprie obbligazioni una volta scadute;
3. Incapacità di pagare i debiti esistenti (intesi nel significato indicato nella sezione 123 dell'Insolvency Act del 1986), ammissione dell'incapacità di pagare i debiti o altro caso di insolvenza;
4. Sequestro, esecuzione, pignoramento o azione simile posta in essere o eseguita nei confronti della persona o dei beni o qualsiasi provvedimento esecutivo emesso o notificato;
5. Richiesta, ordinanza o sentenza relativa alle procedure di liquidazione, amministrazione controllata, bancarotta o scioglimento di tutta o di parte dell'azienda, eccetto i casi in cui la fusione o la riorganizzazione sia proposta con termini precedentemente approvati da PayPal;
6. Perdita parziale o totale del controllo su tutti i beni o su parte degli stessi a causa della nomina di un curatore, amministratore, amministratore fiduciario, liquidatore o funzionario simile;
7. Accettazione o proposta di qualsiasi composizione o accordo con i creditori (o qualsiasi categoria dei propri creditori) in merito ai debiti;
8. Presenza di una modifica peggiorativa sostanziale nell'attività, nelle operazioni o nelle condizioni finanziarie; oppure
9. Fornitura di dati inesatti durante la richiesta del Prodotto oppure nei rapporti tra l'utente e PayPal.

8.4 Effetti della risoluzione del Contratto. Se il presente Contratto o parte di esso vengono risolti, l'Utente è tenuto a interrompere immediatamente l'utilizzo dei Prodotti interessati e PayPal può impedirgli di farne uso in seguito alla risoluzione. Se ciò nonostante l'utente usa il Prodotto dopo la terminazione del presente Contratto, il Contratto continuerà a disciplinare l'uso del Prodotto da parte dell'utente finché l'utente stesso non proceda alla terminazione mediante la sospensione dell'uso del Prodotto stesso. Le seguenti sezioni del presente contratto rimarranno valide anche dopo la risoluzione del presente contratto e manterranno intatta la loro efficacia: sezioni 2, 4.1, 8.2, 8.4. La risoluzione del presente Contratto o di parte di esso non potrà pregiudicare alcun diritto, rimedio od obbligo delle parti maturato prima della risoluzione e l'Utente non avrà diritto ad alcun rimborso per le Tariffe mensili applicabili a qualsiasi periodo precedente la risoluzione.

8.5 Violazione e sospensione. In caso di violazione del presente Contratto, delle Condizioni d'uso o di un requisito per la sicurezza richiesto da PCI DSS, PayPal potrà immediatamente sospendere l'uso del Prodotto da parte dell'utente (ossia rendere il Prodotto temporaneamente non attivo). PayPal può richiedere all'Utente di adottare tutte le misure correttive specificate per rimediare alla violazione e pertanto annullare la sospensione, nonostante nulla di quanto contenuto nel presente Contratto impedisca a PayPal di intraprendere qualsiasi altro rimedio giuridico previsto per tale violazione. Inoltre, qualora PayPal nutra un ragionevole dubbio in merito a un'eventuale violazione del presente Contratto o dello standard PCI DSS da parte dell'utente, PayPal avrà facoltà di sospendere l'uso del Prodotto riservandosi il diritto di svolgere indagini future.

Qualora dovesse sospendere l'accesso o l'uso di PayPal Pro o dei Pagamenti avanzati con carte di credito e di debito, PayPal contatterà detto Utente per spiegargli il motivo del provvedimento e indicargli eventualmente le azioni correttive necessarie per sanare la violazione e annullare il provvedimento stesso. La sospensione da parte di PayPal dell'accesso o uso di PayPal Pro o di Pagamenti avanzati con carte di credito e di debito rimarrà in vigore e fino a quando PayPal non riterrà che l'Utente abbia sanato le violazioni applicabili.

9. Varie

9.1 Futuro dei prodotti. A sua insindacabile discrezione PayPal si riserva il diritto di determinare (a) il corso e lo sviluppo futuri dei Prodotti, (b) i miglioramenti da apportare e la data della loro implementazione, nonché (c) se e quando i difetti dovranno essere corretti e verranno introdotte le nuove funzionalità. PayPal gradisce l'invio da parte degli Utenti dei propri feedback in merito alla pianificazione del futuro dei Prodotti, pur non ritenendosi vincolata a operare in tal senso in base ai feedback ricevuti. Nel momento in cui invia i propri feedback, l'Utente accetta di rinunciare a qualsiasi diritto di proprietà intellettuale sui feedback forniti.

9.2 Assenza di garanzia. Il Prodotto e tutta la documentazione correlata vengono forniti all'Utente "così come sono".

PayPal non fornisce né offre alcuna garanzia, esplicita o implicita, per effetto di legge o altrimenti, in relazione a:

• il Prodotto dell'Utente;
• il software in licenza; e
• la documentazione d'uso fornita.

Nessuno dei materiali forniti da PayPal ai sensi del presente Contratto o in altro modo in relazione al Prodotto è autorizzato da PayPal a includere una garanzia.

Nessun obbligo o responsabilità deriverà dalla fornitura da parte di PayPal di:

• consulenza tecnica;
• consulenza di programmazione; o
• altre consulenze o servizi,

in relazione a qualsiasi Prodotto, software in licenza e documento d'uso fornito.  Ciò include, tra le altre cose,   servizi che possono aiutare l'Utente nella personalizzazione del proprio Prodotto.

PayPal consiglia all'utente di sottoporre l'implementazione del Prodotto ad accurati test in quanto PayPal non si riterrà responsabile di eventuali perdite causate da difetti riscontrati nel Prodotto stesso.

Se PayPal ospita il Prodotto dell'Utente (ossia esegue il software per conto dell'Utente come servizio web), PayPal non garantisce l'accesso continuo, ininterrotto o sicuro al Prodotto ospitato.

PayPal non sarà responsabile per eventuali ritardi o problemi con l'hosting del Prodotto.

L'utente riconosce che la disponibilità del proprio Prodotto potrebbe essere occasionalmente limitata per consentire la riparazione, la manutenzione o l'introduzione di nuovi strumenti o servizi.

Alcuni Paesi non permettono l'esclusione delle garanzie implicite, pertanto le precedenti dichiarazioni di non responsabilità potrebbero non essere applicabili all'Utente.

9.3 Indennità. L'Utente accetta di indennizzare PayPal e ottemperare a qualsiasi indennizzo dovuto su base continuativa in seguito a qualsiasi perdita diretta, danno e passività, nonché a qualsiasi reclamo, richiesta o costo (ivi incluse le spese legali per un ragionevole importo) sostenuti in relazione a terzi (ivi inclusi gli Utenti condivisi) e derivanti dalla violazione del presente Contratto, delle Condizioni d'uso e i documenti associati per riferimento (ivi incluse le Regole sull'utilizzo consentito) oppure dalla violazione di una legge qualsiasi.

9.4 Assegnazione, modifica ed esclusione di responsabilità. L'Utente non può assegnare il presente contratto senza l'autorizzazione scritta di PayPal. PayPal può assegnare, rinnovare o altresì trasferire il presente Contratto senza darne comunicazione o senza richiedere l'autorizzazione dell'Utente. Le parti possono modificare il presente Contratto oppure escludere qualsiasi diritto da esso derivante solo mediante un documento sottoscritto da entrambe le parti.

9.5 Legge inglese e foro competente. Il presente Contratto è disciplinato dalle leggi dell'Inghilterra e del Galles. Le parti accettano la giurisdizione non esclusiva dei tribunali di Inghilterra e Galles.

10. Definizioni

I termini con iniziali maiuscole non riportati nelle presenti sezioni sono definiti nelle Condizioni d'uso.

3D Secure:  procedura di sicurezza che consente alla banca che ha emesso la carta di identificare il titolare della carta autorizzando una transazione tramite carta al momento del pagamento.  3D Secure è conosciuta anche con altri marchi, usati in base alle Società emittenti carte di credito i cui marchi compaiono sulla carta; i nomi per 3D Secure includono le locuzioni Verified by Visa e Mastercard SecureCode.

Servizio di aggiornamento del conto: una funzionalità ulteriormente definita nella sezione 7.3.

Istituto acquirente: indica un istituto finanziario o una banca che fornisce i servizi che consentono all'Utente e a PayPal di (a) accettare i pagamenti tramite carta disposti dai titolari di carte; e di (b) ricevere il valore delle transazioni tramite carta.

Data di attivazione: la data in cui l'Utente completa la procedura necessaria per iniziare a usare il conto, come indicato nella sezione 1 di cui sopra.

Pagamenti avanzati con carta di credito e di debito: un Prodotto ulteriormente definito nella sezione Informazioni sul Contratto.

API dei Pagamenti avanzati con carta di credito e di debito: un servizio di pagamento online con carta ulteriormente definito nella sezione Informazioni sul Contratto.

Filtri di gestione antifrode avanzati : tecnologia fornita da PayPal per consentire all'Utente di (a) verificare un pagamento tramite carta secondo criteri quali l'indirizzo di fatturazione del titolare della carta (Sistema di verifica indirizzo o AVS), il codice CVV2 e i database di indirizzi, identificatori e comportamenti sospetti. Per maggiori informazioni, visitare il sito PayPal e leggere la documentazione del prodotto. I filtri di gestione antifrode avanzati offrono un livello maggiore di controllo delle transazioni, le quali vengono automaticamente contrassegnate, analizzate o rifiutate sulla base dei filtri configurati.

Dati AVS:  dati restituiti dal Sistema di verifica indirizzo (AVS) gestito da o per conto delle società emittenti carte di credito che confronta i dati dell'indirizzo forniti da un apparente titolare della carta con i dati registrati della carta presso la società emittente della carta.

Società emittenti carte di credito: società o consorzio di istituti finanziari che emanano regole per disciplinare le transazioni tramite carta che prevedono l'uso di carte che portano il marchio della società o del consorzio. Ad esempio, Visa USA, Visa Europe e altre sezioni regionali di Visa; Mastercard International Incorporated; American Express Company e organizzazioni simili.

Dati della carta: tutti i dati personali o finanziari relativi a una transazione tramite carta, inclusi i dati registrati sulla carta stessa (in formato leggibile per l'uomo o in formato digitale), insieme al nome e all'indirizzo del titolare della carta e a qualsiasi informazione necessaria per elaborare una transazione tramite carta.

Transazione tramite carta: pagamento eseguito usando una carta di credito o di debito, una carta American Express o qualsiasi altro metodo di pagamento che si avvale di un supporto fisico contenente dati e destinato a essere in possesso del pagatore. I Prodotti supportano solo determinati tipi di transazione tramite carta; per maggiori informazioni, vedere il sito PayPal.

Sistemi cruciali: la tecnologia informatica (hardware e software) usata per il funzionamento e la protezione dei prodotti e dei punti vendita online dell'utente contro le intrusioni e le interferenze e per salvare i dati personali e i dati relativi ai pagamenti, inclusi i dati della carta conservati e tutti i dati personali sui clienti condivisi.

Codice CVV2: numero di tre cifre stampato a destra del numero della carta, nell'area della firma, sul retro della carta stessa. (per le carte American Express, il codice ha quattro cifre ed è riportato in rilievo sopra il numero della carta sulla parte anteriore della stessa). Il CVV2 è associato in modo univoco a ogni carta fisica e collega il numero di conto alla carta fisica.

Violazione dei dati: intrusione o funzionamento non corretto di un sistema elettronico in cui sono salvati i dati della carta che (a) esponga, modifichi o distrugga tutti i dati della carta o parte di essi nel sistema o che (b) presenti un rischio significativo, secondo il parere di esperti nella sicurezza delle informazioni, di esposizione, modifica o distruzione di tutti i dati della carta o di parte di essi nel sistema.  I dati della carta sono considerati esposti quando non sono soggetti ai normali controlli dell'accesso e sono accessibili senza autorizzazione oppure quando vengono effettivamente resi noti a una o più persone non autorizzate.

Protezione antifrode: tecnologia fornita da PayPal per consentire all'Utente di (a) verificare un pagamento tramite carta secondo criteri quali l'indirizzo di fatturazione del titolare della carta (Sistema di verifica indirizzo o AVS), il codice CVV2 e i database di indirizzi, identificatori e comportamenti sospetti, offerta insieme all'API dei Pagamenti avanzati con carte di credito e di debito in alternativa ai Filtri di gestione antifrode avanzati.

Regolamento generale sulla protezione dei dati: il Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati) o eventuali normative successive, insieme alle altre disposizioni sulla privacy dei cittadini o dei soggetti o delle aziende residenti in un paese membro dello Spazio economico europeo.

API di pagamento diretto: servizio di pagamento online con carta, ulteriormente definito nella sezione Informazioni sul Contratto.

Soluzione di pagamento telefonico: funzionalità fornita da PayPal per consentire all'Utente di ricevere un pagamento tramite carta mediante l'inserimento manuale dei dati della carta forniti all'Utente dal titolare della carta. Soluzione di pagamento telefonico è uno dei Servizi di pagamento online con carta offerto da PayPal e un Prodotto autonomo, ulteriormente definito nella sezione Informazioni sul Contratto.

Express Checkout: funzionalità per velocizzare il pagamento presso i rivenditori online usando i dati forniti all'Utente da PayPal. I dettagli su Express Checkout sono disponibili sul sito PayPal e nella documentazione fornita da PayPal per PayPal Pro e per i Pagamenti avanzati con carte di credito e di debito.

Opzione di hosting: uno dei seguenti elementi: (i) Integrazione PayPal Pro; o (ii) Integrazione ospitata autonomamente.

Tariffa mensile: tariffa pagabile su base mensile come previsto nella sezione 2 di cui sopra.

Servizi di pagamento online tramite carta: funzionalità fornita online da PayPal per consentire ai commercianti di ricevere i pagamenti direttamente dalla carta di un soggetto pagante (senza che il denaro passi attraverso il conto PayPal del soggetto pagante), senza che la carta sia registrata nel sito o in un altro punto vendita. I Servizi di pagamento online con carta sono parte integrante dei Prodotti. I Servizi di pagamento online con carta sono elencati e ulteriormente definiti nella sezione Informazioni sul Contratto.

Integrazione PayPal Pro: integrazione dell'API di pagamento diretto o dell'API di Pagamenti avanzati con carte di credito e di debito di PayPal nella procedura di pagamento del sito web dell'Utente in conformità alla sezione 1; la funzionalità (incluso il campo ospitato di immissione della carta) viene gestita interamente sul server di PayPal (anziché sul sito web dell'Utente).

PayPal Pro: prodotto ulteriormente definito nella sezione Informazioni sul presente Contratto.

Sito PayPal: sito fornito da PayPal per il Paese di residenza dell'utente. Nel caso dell'Italia, il sito web PayPal attualmente è disponibile all'indirizzo http://www.paypal.it. I riferimenti ai siti web PayPal per altri Paesi sono disponibili mediante link in qualsiasi sito PayPal.

PCI DSS: lo standard Payment Card Industry Data Security Standard è composto dalle specifiche fornite dalle società emittenti carte di credito per garantire la sicurezza dei dati relativi alle transazioni tramite carta. Una copia dello standard PCI DSS è disponibile online sul sito https://www.pcisecuritystandards.org/.

Prodotto: la locuzione "Prodotto dell'Utente" fa riferimento a qualsiasi prodotto a cui l'Utente può accedere e che può usare dopo aver accettato il presente Contratto. I Prodotti sono elencati e ulteriormente definiti nella sezione Informazioni sul Contratto.

Qualified Security Assessor: l'espressione ha il significato indicato nello standard PCI DSS.

Strumento per i pagamenti automatici: tecnologia fornita da PayPal per impostare i pagamenti che si ripetono a intervalli o con le frequenze specificati con l'autorizzazione dell'acquirente. Per maggiori informazioni, visitare il sito PayPal e leggere la documentazione del prodotto.

Integrazione ospitata autonomamente: integrazione dell'API di pagamento diretto o dell'API di Pagamenti avanzati con carte di di credito e di debito di PayPal nella procedura di pagamento del sito web dell'Utente in conformità alla sezione 1; la funzionalità (incluso il campo ospitato di immissione della carta) viene gestita almeno in parte sul sito web dell'Utente.

Utente condiviso: persona che ha un conto PayPal ed è anche cliente dell'Utente.

Pagamenti PayPal standard: tutti i pagamenti ricevuti da un altro conto PayPal o effettuati tramite il servizio Conto PayPal opzionale o tramite metodi di pagamento locali.

Strumento di archiviazione: tecnologia basata su API fornita da PayPal per consentire all'utente di archiviare e recuperare dati della carta per i pagamenti che si ripetono a intervalli o con frequenze specificati con l'autorizzazione dell'acquirente. Per maggiori informazioni, visitare il sito PayPal e leggere la documentazione del prodotto.

Condizioni d'uso: contratto sottoscritto online nell'ambito della procedura di registrazione online per aprire un conto PayPal. Le Condizioni d'uso attuali sono disponibili mediante un link nella parte inferiore di quasi ogni pagina del sito web PayPal. Sono incluse regole specifiche, in particolare le Regole sull'utilizzo consentito, riportate anche sul sito web di PayPal.

Allegato 1

Sicurezza dei dati

PayPal Pro, Pagamenti avanzati con carte di credito e di debito e la Soluzione di pagamento telefonico consentono di accettare pagamenti online direttamente da carte di debito e di credito, le quali sono strumenti di pagamento la cui sicurezza dipende dal controllo della divulgazione dei dati della carta.  Una persona che dispone di dati di una carta sufficienti può inviare o ricevere un pagamento con carta che verrà addebitato sul conto del titolare della carta senza che sia necessaria l'autorizzazione di tale titolare per il pagamento.  Per evitare che i dati delle carte dei Clienti condivisi vengano usati in modo errato, è necessario tenere tali dati sempre segreti.  In conformità al Regolamento generale sulla protezione dei dati, inoltre, l'Utente è tenuto a proteggere i dati personali degli Utenti condivisi.

PayPal consiglia di usare i servizi di un professionista esperto competente sulla sicurezza dei dati per ricevere assistenza su come rendere sicuri il proprio sito ed eventuali altri punti vendita.

Principi di sicurezza dei dati

1. Progettazione e sviluppo.  L'Utente deve progettare e sviluppare i propri Sistemi cruciali e tutti i processi legati ai pagamenti in modo che siano protetti da qualsiasi tipo di intrusione e interferenza da parte di persone non autorizzate.   A tutti gli utenti dei sistemi deve essere richiesta l'autenticazione nei Sistemi cruciali e tali Sistemi devono limitare l'accesso e i poteri degli utenti.  L'Utente deve inoltre organizzare la propria attività in modo da separare le attività cruciali e creare controlli e punti di controllo nelle proprie operazioni piuttosto che assegnare troppo potere non controllato su sistemi operazioni a una sola persona.  Non dare mai a un utente più potere su sistemi e processi di quanto non sia necessario per eseguire il lavoro che gli è stato assegnato.
2. Protezione contro le intrusioni.  È necessario dividere le proprie operazioni in due categorie di base, ovvero (1) funzioni disponibili a tutti gli utenti, inclusi quelli esterni all'organizzazione, e (2) funzioni disponibili solo a persone fidate all'interno dell'organizzazione.  L'Utente deve predisporre un firewall che blocchi gli utenti non affidabili dall'uso delle funzioni interne dei propri Sistemi cruciali.  I server web e altre parti rivolte all'esterno dei propri Sistemi cruciali devono usare una tecnologia ben sviluppata e testata a fondo e rendere disponibili all'esterno solo le funzioni necessarie per i Clienti condivisi e altri utenti esterni.  Rimuovere dai server rivolti all'esterno tutte le funzioni superflue per proteggerli (rafforzarli) e ridurne la vulnerabilità ad attacchi esterni.
3. Controlli di accesso.  I Sistemi cruciali dell'Utente devono limitare l'accesso ai Dati delle carte e ad altri dati personali o importanti solo alle persone fidate all'interno della propria organizzazione e tali persone non dovrebbero mai avere un accesso maggiore a tali dati di quanto non sia necessario per svolgere il loro lavoro.  I sistemi devono tenere traccia e registrare qualunque accesso, uso, modifica e cancellazione dei Dati delle carte e altri dati personali o importanti in modo da avere uno registro di tutte queste operazioni.  L'Utente deve inoltre limitare l'accesso ai Sistemi cruciali e alle risorse dalle quali dipende, quali reti, firewall e database.
4. Dati minimi.  Come principio generale, occorre ottenere e conservare solo i Dati delle carte e altri dati sensibili strettamente necessari.  La conservazione di dati di carte e dati personali espone l'utente a un rischio di responsabilità, che può essere ridotto conservando un minor numero di dati.  Se vengono conservati i dati di carte, analizzare bene se ciò sia realmente necessario: PayPal deve rimborsare un pagamento privo dell'autorizzazione del soggetto pagante e, se l'Utente autorizza un pagamento successivo, in genere fornisce i dati della carta aggiornati, pertanto non è realmente necessario archiviare i Dati delle carte per uso futuro.  I Dati delle carte che non si possiedono sono i dati che non verranno divulgati in caso di violazione dei dati.
5. Modifiche e test.  Fatta eccezione per i casi di emergenza, non modificare i Sistemi cruciali senza una pianificazione, un collaudo e una documentazione delle modifiche, a meno che la modifica non sia un'attività di routine, come aggiungere un Utente, cambiare una password e aggiornare inventario e prezzi.  Per modifiche di sistema importanti o quelle che possono incidere sulla sicurezza o sulla disponibilità dei Sistemi cruciali, le modifiche pianificate devono essere approvate da manager di alto livello piuttosto che dalle persone che le hanno pianificate.  Implementare le modifiche pianificate nei propri sistemi di produzione solo dopo averle testate a fondo in un ambiente diverso dall'ambiente di produzione.  Svolgere queste attività sotto la supervisione del proprio ufficio di gestione del rischio o di altri soggetti all'interno dell'azienda con responsabilità specifica per la loro perdita.
6. Controlli.  L'Utente deve controllare le operazioni e la sicurezza dei propri Sistemi cruciali almeno una volta all'anno.  Il controllo dei sistemi deve essere diverso dalle attività di controllo dei dati finanziari.  L'Utente deve usare esperti fidati e indipendenti per il controllo dei propri Sistemi cruciali e, se gli esperti sono i propri dipendenti, deve assicurarne l'indipendenza proteggendo il loro lavoro da ritorsioni e isolandoli dall'attività di amministrare, gestire, modificare e testare i Sistemi cruciali.
7. Outsourcing e controllo organizzativo.  L'Utente deve assicurarsi che tutti coloro che hanno accesso ai suoi Sistemi cruciali o coloro che progettano, sviluppano, gestiscono, mantengono, modificano, testano e controllano i suoi Sistemi cruciali soddisfino il presente Contratto e lo standard PCI DSS.  L'Utente ha la responsabilità di garantire la conformità anche se tali persone non sono propri dipendenti.

Come comportarsi in casa di violazione dei dati

8. Violazione dei dati. In caso di Violazione dei dati, l'utente accetta di procedere nel seguente modo:  
   1. Intraprendere qualunque azione possibile per interrompere la Violazione dei dati e contenerne le conseguenze subito dopo aver scoperto la violazione.
   2. Comunicare l'accaduto a PayPal al più presto dopo aver scoperto la violazione dei dati contattando il proprio account manager (se assegnato) oppure l'Assistenza clienti (i dettagli su come contattare PayPal sono disponibili nella pagina  "Contattaci").  Se non è possibile simultaneamente fare quanto indicato nel punto (a) e inviare una notifica a PayPal, allora fare quanto indicato nel punto (a) e poi inviare una notifica a PayPal.
   3. Inviare una notifica a tutti i Clienti condivisi i cui dati della carta sono stati violati o che potrebbero essere stati violati, in modo che possano attivarsi per evitare che vengano usati in modo non corretto.  L'Utente accetta inoltre di completare la notifica immediatamente dopo aver eseguito quanto ai precedenti punti (a) e (b), di comunicare a PayPal l'avvenuta notifica e di fornire un elenco dei Clienti condivisi contattati.  Se l'Utente non completa questo passaggio prontamente dopo la violazione dei dati, PayPal può contattare i Clienti condivisi interessati dalla violazione dei dati dopo averli identificati dai record di coloro che hanno pagato usando una carta del conto PayPal dell'Utente.
   4. Se richiesto da PayPal, affidare a un esperto terzo indipendente, approvato da PayPal, il compito di svolgere un controllo della sicurezza dei propri Sistemi cruciali e di redigere un report in merito. L'Utente accetta di operare in modo conforme alla richiesta di PayPal a proprie spese ai sensi della presente sezione. L'Utente deve fornire una copia del report redatto dall'esperto a PayPal e PayPal può fornire le relative copie alle banche (incluse, a titolo esemplificativo, le istituzioni finanziarie acquirenti) e alle associazioni di società emittenti di carte coinvolte nell'elaborazione delle transazioni tramite carta per PayPal. Se l'Utente non avvia un controllo della sicurezza entro 10 giorni lavorativi dalla richiesta di PayPal, PayPal ha facoltà di eseguire o richiedere tale controllo a spese dell'Utente.  Vedere inoltre l'Allegato 1 relativo ai controlli.
   5. Cooperare con PayPal e seguire tutte le istruzioni ragionevoli di PayPal per evitare o contenere le conseguenze di una violazione dei dati, per migliorare i propri Sistemi cruciali in modo che soddisfino i requisiti del presente Contratto e per aiutare a prevenire violazioni future.  Tuttavia, PayPal non richiederà all'Utente di fare di più di quanto non sia previsto dal presente Contratto, a meno che l'adozione di misure aggiuntive non sia ragionevole alla luce del rischio per i Clienti condivisi e delle prassi ottimali per la vendita online.
   6. Riprendere il normale funzionamento dei Sistemi cruciali solo dopo aver verificato in che modo la Violazione dei dati si è verificata e aver preso tutte le misure ragionevoli per eliminare le vulnerabilità che hanno permesso la Violazione dei dati o che potrebbero determinare altre violazioni dei dati;
   7. Segnalare la Violazione dei dati alle autorità competenti, cooperare in eventuali indagini e cooperare nei modi richiesti dalle autorità al fine di identificare e arrestare l'esecutore della Violazione dei dati.
   8. Non usare i Dati delle carte violati o modificati nella violazione.  Tuttavia, questa sezione non impedisce all'Utente di ottenere e usare nuovamente i dati della carta dei Clienti condivisi interessati dalla violazione dei dati dopo che le vulnerabilità dei propri Sistemi cruciali sono state risolte come indicato al precedente punto (f).

Protezione dei dati

9. Vedere l’Allegato 2 per i termini sulla protezione dei dati.
10. Lasciato intenzionalmente vuoto.

Dati della carta e PCI DSS

11. Conservazione dei dati della carta. A meno che non si riceva e registri il consenso esplicito del titolare della carta, non è consentito conservare, tenere traccia, monitorare o salvare i dati della carta.  L'Utente deve distruggere per intero e in modo sicuro tutti i dati della carta in proprio possesso entro 24 ore dalla ricezione di una decisione di autorizzazione da parte della società emittente della carta per tali dati.
    
    Se l'Utente conserva i dati della carta per un periodo limitato di tempo con il consenso del rispettivo titolare, tale azione è consentita nella misura in cui la conservazione dei dati risulti necessaria per elaborare le transazioni di pagamento dell'Utente. L'Utente non deve divulgare o distribuire a terzi i dati relativi alle carte in suo possesso, nemmeno nell'ambito dello svolgimento delle proprie attività commerciali. Inoltre, e indipendentemente da altre dichiarazioni contrarie, l'utente non deve mai conservare o divulgare i dati per l'identificazione e la procedura di verifica della carta stampati sullo spazio per la firma sul retro della carta (ovvero il codice CVV2), anche se ha ottenuto il consenso dal titolare della carta.
12. Dati delle carte da non conservare. Indipendentemente dalla sezione immediatamente precedente, l'Utente accetta di non conservare il codice PIN, i dati del Sistema di verifica indirizzo (AVS), il codice CVV2 oppure i dati ottenuti dalla banda magnetica o da altre funzioni di archiviazione digitale sulla carta (a meno che i dati non siano anche stampati o goffrati sulla parte anteriore della carta). Le associazioni di società emittenti di carte possono imporre delle sanzioni in caso di violazione di questa sezione, come previsto dalle loro norme.  In questa sezione, il termine "conservare" fa riferimento alla conservazione dei dati in qualunque forma, digitale, elettronica, cartacea o di altro tipo, ma non include l'acquisizione o il possesso temporaneo di detti dati durante l'elaborazione (ma non successivamente).
13. Uso dei dati della carta da parte di commercianti.  L'Utente accetta di non usare o divulgare i dati della carta se non allo scopo di ottenere l'autorizzazione da parte della società emittente della carta, completare e liquidare la transazione tramite carta per la quale i dati della carta sono stati forniti, insieme con la risoluzione di qualunque chargeback o contestazione per storno o problemi simili che riguardano le transazioni tramite carta.  Le normative bancarie richiedono a PayPal di rimborsare i pagamenti senza autorizzazione dell'Utente, pertanto l'uso dei dati della carta per eseguire una transazione tramite carta deve essere autorizzato dal titolare della carta, altrimenti sarà soggetto a storno.
14. Archiviazione sicura e smaltimento dei dati delle carte.  L'utente accetta di:  
    1. stabilire e attuare controlli sufficienti per limitare l'accesso a tutte le informazioni contenenti Dati delle carte;
    2. non vendere o divulgare a terze parti eventuali Dati delle carte o altre informazioni ottenute in merito a una transazione tramite carta;
    3. non trascrivere i Dati delle carte su un foglio o un dispositivo di archiviazione digitale portatile, quali dispositivi di memoria USB o dischi rimovibili;
    4. non riprodurre

Allegato 2

ALLEGATO SULLA PROTEZIONE DEI DATI

Questo Allegato sulla protezione dei dati è valido solo nella misura in cui PayPal funge da responsabile del trattamento o sub-responsabile del trattamento del Commerciante.I termini con iniziali maiuscole utilizzati ma non definiti nel presente Allegato hanno il significato dato loro nelle Condizioni d’uso.

1 DEFINIZIONI E INTERPRETAZIONE

1.1 I seguenti termini, quando utilizzati in questo allegato, hanno il seguente significato:

"Dati della carta" definiti alla sezione 2.15 di questo Allegato.

"Cliente" indica un cliente di un commerciante dell’Unione europea che usa i servizi PayPal e il quale, ai fini di questo Allegato, è una persona interessata dal trattamento dei dati.

"Dati dei clienti" sono i dati personali che il cliente fornisce al commerciante e che il commerciante passa a PayPal tramite l'uso dei servizi PayPal da parte del commerciante.

“Responsabile del trattamento dei dati" (o semplicemente "responsabile del trattamento") e "società di elaborazione dati" (o semplicemente "processore") e "interessato" hanno il significato dato a questi termini dalla legge sulla Tutela dei dati personali.

"Legge sulla tutela dei dati personali" indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 (PILR) e qualsiasi normative o strumenti o eventuali altri leggi, regolamenti, requisiti di legge e codici di condotta di Stati membri dell’UE, applicabili alla fornitura da parte di PayPal dei servizi PayPal.

"Destinatario dei dati” definito alla sezione 2.15 di questo Allegato.

"Gruppo PayPal" indica PayPal e tutte le società che PayPal o il suo successore, di volta in volta, direttamente o indirettamente, possiede o controlla.

"Dati personali" ha il significato datogli dalle leggi sulla protezione dei dati.

“Elaborazione” ha il significato attribuitogli dalla Legge sulla tutela dei dati personali e “trattamento”, “trattamenti” e “trattato” verranno interpretati di conseguenza.

"Sub-responsabile del trattamento dati" indica qualsiasi persona impegnata al trattamento di dati personali per conto di PayPal e/o le sue società affiliate.

1.2 Allegato. Questo Allegato comprende (i) le sezioni 1 e 2, cioè il corpo principale dell'Allegato; (ii) l'Appendice 1 e (iii) l'Appendice 2.

2 TRATTAMENTO DEI DATI PERSONALI IN RELAZIONE AI SERVIZI

2.1 Titolare del trattamento dei dati del Commerciante. Per quanto riguarda i dati del cliente che vengono trattati da PayPal in relazione al presente Contratto, il Commerciante è il titolare del trattamento dati mentre PayPal ne è il responsabile. Il Commerciante ha l'esclusiva responsabilità di determinare le finalità e le condizioni con cui i dati personali del Cliente sono o saranno trattati.

2.2 Istruzioni scritte del Commerciante. PayPal elaborerà solo i dati dei clienti per conto e in conformità alle istruzioni scritte del Commerciante. Le Parti concordano che questo Allegato costituisce le istruzioni finali e complete del Commerciante a PayPal in merito ai dati dei Clienti. Ulteriori istruzioni che non rientrano nell’ambito di questo Allegato (se presenti) richiedono il previo accordo scritto tra PayPal e il Commerciante, che deve comprendere l’accordo su eventuali altre tariffe pagabili dal Commerciante a PayPal per eseguire tali ulteriori istruzioni. Il Commerciante deve fare in modo che le proprie istruzioni rispettino tutte le leggi applicabili, incluse le Leggi sulla protezione dei dati, e che l'elaborazione dei dati dei clienti in conformità con le istruzioni del Commerciante non pongano PayPal in una condizione di violazione delle Leggi sulla protezione dei dati. Le disposizioni della presente sezione sono soggette alle disposizioni della Sezione 2.14 sulla sicurezza. Con la presente il Commerciante richiede a PayPal di elaborare i dati del cliente per i seguenti fini:

2.2.1 come ragionevolmente necessario per fornire i servizi PayPal al Commerciante e al suo Cliente;

2.2.2 dopo aver reso anonimi i Dati del cliente, per utilizzare, direttamente o indirettamente, tali Dati anonimi del Cliente, che non sono più dati personali identificabili, per qualsivoglia motivo.

2.3 Collaborazione con PayPal. In merito ai dati dei clienti trattati da PayPal ai sensi del presente Contratto, PayPal collabora con il Commerciante nella misura ragionevolmente necessaria per consentire al Commerciante di scaricare le responsabilità di titolare del trattamento dati secondo le Leggi sulla protezione dei dati, incluso, senza limitazioni, quanto richiesto dal Commerciante per:

2.3.1. assistere il Commerciante nella preparazione della valutazione dell’impatto della protezione dei dati nella misura richiesta dal Commerciante in base alle Leggi sulla protezione dei dati; e

2.3.2 rispondere a richieste obbligatorie dell'autorità per la protezione dei dati di divulgazione dei Dati dei clienti come richiesto dalle leggi applicabili.

2.4 Ambito di applicazione e Dettagli dei Dati dei clienti trattati da PayPal. L'obiettivo del trattamento dei dati dei clienti da parte di PayPal è verificare la prestazione dei servizi PayPal ai sensi del Contratto. PayPal deve trattare i dati dei clienti in conformità alla durata, lo scopo, il tipo e le categorie delle persone interessate dal trattamento dei dati di cui all'Appendice 2 (Trattamento dei dati dei clienti).

2.5 Conformità alle normative. Le Parti si impegnano a rispettare le Leggi sulla protezione dei dati in qualsiasi momento.

2.6 Correzione, blocco ed eliminazione. Nella misura in cui il Commerciante, durante l'uso dei servizi PayPal, non ha la possibilità di correggere, modificare, bloccare o eliminare i dati del cliente, come richiesto dalle Leggi sulla protezione dei dati, PayPal deve soddisfare qualsiasi richiesta commercialmente accettabile del Commerciante di agevolare tali azioni nella misura in cui è legalmente consentito a PayPal di farlo. Nella misura in cui è legalmente consentito, il Commerciante è responsabile di eventuali spese per tale assistenza fornita da PayPal.

2.7 Richieste degli interessati al trattamento dei dati. PayPal, per quanto consentito dalla legge, deve immediatamente informare il Commerciante se riceve una richiesta di accesso, correzione, modifica o cancellazione dei dati personali di tale Cliente. Il Commerciante ha la responsabilità di rispondere a ognuna di queste richieste. Se consentito dalla legge, PayPal deve offrire al Commerciante ragionevole collaborazione e assistenza in merito a una tale richiesta del Cliente e il Commerciante sarà responsabile di eventuali spese derivanti dall'assistenza offerta da PayPal.

2.8 Formazione. PayPal si impegna a offrire al proprio personale la formazione di volta in volta necessaria riguardo agli obblighi di PayPal di cui al presente Allegato per garantire che il personale PayPal sia a conoscenza e rispetti tali obblighi.

2.9 Limiti di accesso. PayPal deve garantire che l'accesso ai dati dei clienti da parte del personale PayPal sia limitato ai dipendenti che svolgono i servizi PayPal in conformità al Contratto.

2.10 Sub-responsabili del trattamento dati.  Il Commerciante autorizza espressamente il coinvolgimento delle società del gruppo PayPal come Sub-responsabili del trattamento dati in relazione alla fornitura dei servizi PayPal. Inoltre, in generale, il Commerciante autorizza la partecipazione di altri terzi in qualità di sub-responsabili del trattamento dati per la fornitura dei servizi PayPal. Al momento del coinvolgimento di qualsiasi Sub-responsabile, PayPal concluderà un contratto con il sub-responsabile del trattamento dati contenente le condizioni per la protezione dei Dati dei clienti che non devono essere meno protettive delle condizioni indicate in questo Allegato. PayPal renderà disponibile al Commerciante l’elenco dei Sub-responsabili del trattamento dati per i rispettivi servizi PayPal con l'identità di tali Sub-responsabili del trattamento dati.

2.11 Controlli e certificazioni. Se richiesto dal Commerciante, fatto salvo l'obbligo di riservatezza definito nel Contratto, PayPal deve mettere a disposizione del Commerciante (o di un revisore indipendente del Commerciante, che non sia un concorrente di PayPal o dei membri di PayPal o del Gruppo PayPal) le informazioni relative alla conformità di PayPal agli obblighi definiti nel presente Allegato, sotto forma di verifiche e certificazioni (se necessari) definite nella Dichiarazione sulla privacy presente sul nostro sito web. Il Commerciante può contattare PayPal in conformità con le Condizioni d’uso per richiedere un controllo in loco delle procedure relative alla protezione dei dati personali. Il Commerciante dovrà rimborsare PayPal per tutto il tempo dedicato a qualsiasi controllo in loco alle tariffe PayPal attualmente applicabili per tali servizi professionali, che saranno resi disponibili al Commerciante su richiesta. Prima dell'inizio di qualsiasi controllo in loco, il Commerciante e PayPal dovranno concordare l'ambito, i tempi e la durata di tale controllo oltre alla tariffa di rimborso di cui sarà responsabile il Commerciante. Tutte le tariffe di rimborso devono essere ragionevoli, tenendo conto delle risorse spese da PayPal. Il Commerciante dovrà immediatamente informare PayPal in merito a qualsiasi violazione scoperta durante il controllo.

2.12 Sicurezza. PayPal deve, come minimo, implementare e mantenere misure tecniche e organizzative appropriate come descritto nell'Appendice 1 di questo Allegato per mantenere sicuri i Dati dei clienti e proteggerli contro il trattamento non autorizzato o illegale e contro la perdita, la distruzione o il danneggiamento accidentali in relazione alla fornitura dei servizi PayPal. Dato che PayPal fornisce i servizi PayPal a tutti i Commercianti in modo uniforme tramite un'applicazione ospitata su web, tutte le misure tecniche e organizzative appropriate e attuali valgono per l’intero database di clienti PayPal ospitato nello stesso centro dati e iscritto allo stesso servizio. Il Commerciante riconosce e accetta che le misure tecniche e organizzative sono soggette allo sviluppo e al progresso tecnico. A questo proposito, PayPal potrà espressamente implementare misure adeguate alternative, purché il livello di protezione delle misure sia mantenuto in relazione alla fornitura dei servizi PayPal.

2.13 Notifica di incidenti di sicurezza. Qualora venga a conoscenza di un incidente di sicurezza in relazione al trattamento dei dati dei clienti, in base alle leggi sulla protezione dei dati, PayPal: (a) informerà prontamente e tempestivamente il Commerciante dell'Incidente di sicurezza; (b) prenderà in tempi brevi misure ragionevoli per ridurre al minimo i danni e rendere sicuri i dati dei clienti; (c) descriverà, per quanto possibile, in ragionevoli dettagli l'incidente di sicurezza, incluse le misure adottate per ridurre i potenziali rischi; e (d) lo comunicherà agli amministratori del Commerciante con qualsiasi mezzo scelto da PayPal, anche tramite email. Il Commerciante ha la responsabilità di mantenere informazioni di contatto precise e di garantire che le informazioni di contatto siano aggiornate e valide.

2.14 Eliminazione. Al momento della cessazione o scadenza del Contratto, PayPal dovrà eliminare o restituire al Commerciante tutti i dati dei clienti trattati per conto del Commerciante ed eliminare le copie esistenti di tali Dati dei clienti, tranne ove sia necessario conservare tali Dati dei clienti esclusivamente per motivi di conformità alle leggi vigenti.

2.15 Portabilità dei dati. Alla cessazione o scadenza del presente Contratto, PayPal accetta, su richiesta scritta del Commerciante, di fornire alla nuova banca acquirente o al nuovo fornitore di servizi di pagamento del Commerciante ("Destinatario dei dati") qualsiasi informazione disponibile sulla carta di credito, inclusi i dati personali relativi ai Clienti del Commerciante ("Dati della carta"). Per farlo, il Commerciante deve fornire a PayPal tutte le informazioni richieste, tra cui una prova che il Destinatario dei dati soddisfa i requisiti dell’Association PCI DSS ed è conforme al livello 1 dello standard PCI. PayPal si impegna a trasferire i dati della carta al Destinatario dei dati, purché si verifichino le seguenti condizioni: (a) il Commerciante fornisce a PayPal una prova che il Destinatario dei dati soddisfa i requisiti dello standard Association PCI DSS (conforme al livello 1 del PCI) fornendo a PayPal un certificato o una relazione di conformità ai requisiti dell’Association PCI DSS da parte di un certificatore qualificato e tutte le altre informazioni che possano essere ragionevolmente richieste da PayPal; (b) il trasferimento di tali dati della carta è compatibile con la versione più recente dei requisiti dell’Association PCI DSS; e (c) il trasferimento di tali dati della carta è previsto dalle norme dell'associazione e di tutte le leggi, regole o normative applicabili (incluse le leggi sulla protezione dei dati).

3 TERMINI CORRELATI ALLE CLAUSOLE CONTRATTUALI DELLO STANDARD DELL’UE

3.1 Richiesta. Le Clausole contrattuali standard dell'Unione europea sono riportate all'Appendice 3 (le "Clausole contrattuali standard dell'Unione europea"). Le Clausole contrattuali standard dell'Unione europea si applicano solo ai dati dei clienti trasferiti dai Commercianti ubicati nello Spazio economico europeo ("SEE") o in Svizzera verso qualunque paese al di fuori dello Spazio economico europeo non riconosciuto dalla Commissione europea come paese che fornisce un livello adeguato di protezione dei dati personali (come descritto nelle PILR), in cui PayPal può conservare e trattare i dati dei clienti.

3.2 Istruzioni. Il presente Allegato e il Contratto costituiscono le istruzioni complete e definitive dell'Esportatore di dati all'Importatore di dati per il trattamento dei dati dei clienti. Eventuali istruzioni aggiuntive o alternative devono essere concordate separatamente. Ai fini della Clausola 5(a) delle Clausole contrattuali standard dell'Unione europea, l'Esportatore dei dati fornisce le seguenti istruzioni: (a) per trattare i dati dei clienti in conformità con le Condizioni d'uso; e (b) per trattare i dati dei clienti avviati dai Commercianti durante l’uso dei Servizi durante il periodo di validità. Queste istruzioni descrivono anche la durata, l'oggetto, l'ambito e lo scopo del trattamento.

3.3 Controlli e certificazioni. Le Parti concordano che i controlli descritti nella Clausola 5(f), 11 e 12(2) delle Clausole contrattuali standard dell'Unione europea devono essere soddisfatte nel modo seguente: le disposizioni del paragrafo 2.11 di questo Allegato si applicano anche all'Importatore di dati come se fosse PayPal.

3.4 Certificazione di avvenuta eliminazione. Le Parti concordano che la certificazione di avvenuta eliminazione dei dati personali descritta alla Clausola 12(1) deve essere fornita dall'Importatore dei dati all'Esportatore dei dati solo su richiesta di quest'ultimo.

3.5 Responsabilità. Le Parti concordano che tutte le responsabilità tra di loro (in relazione all'Importatore dei dati, tali responsabilità devono essere aggregate a quelle di PayPal, in modo che collettivamente la responsabilità cumulativa congiunta sia limitata al livello indicato nel Contratto) contenute in questo Allegato e nelle Clausole contrattuali standard dell'Unione europea saranno soggette alle condizioni del Contratto (inclusa la limitazione di responsabilità), tranne che per il fatto che tali limitazioni non si applicano a eventuali responsabilità che l'Importatore dei dati potrebbe avere verso i soggetti interessati dal trattamento dati, ai sensi delle disposizioni riguardo ai diritti di terzi delle Clausole contrattuali standard dell'Unione europea.

3.6 Esclusione dei diritti di terzi. Ai sensi del paragrafo 4.6, a PayPal sono concessi i diritti di terzi in relazione agli obblighi espressi a favore dell'Importatore dei dati o di PayPal in questo Allegato, mentre alle persone interessate dal trattamento dati sono concessi i diritti di terzi ai sensi delle Clausole contrattuali standard dell'Unione europea. Sono esclusi tutti gli altri diritti di terzi.

Venditore

Per conto di (inserire ragione sociale del commerciante)...................................
Firma..................................................
Nome del firmatario......................................... Titolo del firmatario.........................................
Data........................................................

PayPal

Per conto di PayPal (Europe) S.á.r.l. et Cie, S.C.A.
Firma....................................................
Nome del firmatario......................................... Titolo del firmatario......................................... Data.........................................................

APPENDICE 1

Misure tecniche e organizzative

Saranno implementate le seguenti misure tecniche e organizzative:

1. Misure adottate per evitare che qualsiasi persona non autorizzata possa accedere ai servizi usati per l'elaborazione dei dati;
2. Misure adottate per evitare che i supporti dati possano essere letti, copiati, modificati o spostati da persone non autorizzate;
3. Misure adottate per evitare l'introduzione non autorizzata di dati nel sistema delle informazioni, nonché l’eventuale conoscenza, modifica o eliminazione dei dati registrati non autorizzati;
4. Misure adottate per evitare che i sistemi di elaborazione vengano usati da persone non autorizzate, utilizzando i servizi di trasmissione dei dati;
5. Misure adottate per garantire che le persone autorizzate possano accedere solo ai dati di loro competenza, con un sistema di elaborazione automatico dei dati;
6. Misure adottate per garantire la verifica e la registrazione dell'identità di terzi a cui possono essere trasmessi i dati tramite i mezzi di trasmissione;
7. Misure adottate per garantire che l'identità delle persone che hanno avuto accesso al sistema di informazioni e dati introdotti nel sistema possa essere controllata e registrata in qualsiasi momento a posteriori, da parte di qualsiasi terzi autorizzati;
8. Misure adottate per evitare che i dati possano essere letti, copiati, modificati o eliminati in modo non autorizzato, quando i dati vengono divulgati o i supporti dei dati vengono trasportati;
9. Misure adottate per la tutela dei dati tramite la creazione di copie di riserva.

APPENDICE 2

Trattamento dei dati dei clienti

Categorie di persone interessate dal trattamento dati

Dati dei clienti: i dati personali che il Cliente fornisce al Commerciante e che il Commerciante passa a PayPal tramite l'uso da parte del Cliente dei servizi PayPal.

Oggetto del trattamento

I servizi di elaborazione dei pagamenti offerti da PayPal che danno al Commerciante la possibilità di accettare carte di credito, carte di debito e altri metodi di pagamento su sito web o app per dispositivi mobili dei Clienti.

Natura e scopo del trattamento

PayPal tratta i Dati dei clienti inviati dal Commerciante a PayPal allo scopo di ottenere la verifica o l’autorizzazione del metodo di pagamento del Cliente come pagamento al Commerciante per la vendita di beni o servizi.

Tipo di dati personali

Dati dei clienti – il commerciante informa PayPal del tipo di Dati del cliente che PayPal è tenuta a trattare in base alle seguenti Condizioni d’uso.Nel caso di eventuali modifiche al tipo di Dati cliente che PayPal è tenuta a trattare il Commerciante deve subito informare PayPal.PayPal tratta i seguenti Dati del cliente, che possono essere forniti di volta in volta dal Commerciante a PayPal:

Speciali categorie di dati (se di pertinenza)

Non è previsto il trasferimento di categorie speciali di dati.

Durata del trattamento

Durata delle Condizioni d’uso.

APPENDICE 3

CLAUSOLE CONTRATTUALI STANDARD DELL'UNIONE EUROPEA

Esportazione di dati personali dal Titolare al Responsabile del trattamento dei dati personali (da paesi dello Spazio economico europeo)

Ai fini dell'articolo 26, paragrafo 2 della direttiva 95/46/CE per il trasferimento dei dati personali a società di elaborazione di pagamenti situati in Paesi terzi che non garantiscono un livello adeguato di protezione dei dati

Nome dell'organizzazione di esportazione dei dati:..........................................................
Indirizzo:....................................................
Tel.: ……………………………………………….
Fax:........................................................
Posta elettronica:.....................................................
Altri dati necessari per identificare l'organizzazione:.................................. (esportatore di dati)

e

Nome dell'organizzazione di importazione dei dati: PayPal, Inc
Indirizzo: 2211 North First Street, San Jose, CA 95131
Altri dati necessari per identificare l'organizzazione:.................................. (l'importatore di dati)
ciascuna "parte"; insieme "le parti",
HANNO CONCORDATO le seguenti Clausole contrattuali (le Clausole) al fine di fornire garanzie sufficienti per la tutela della privacy e i diritti fondamentali e la libertà delle persone fisiche per il trasferimento di dati personali specificati nell’Appendice 1, da parte dell'esportatore dati all’importatore dati.

Clausola 1

Definizioni

Ai fini delle Clausole:

• (a) "dati personali", "categorie speciali di dati", "trattare/trattamento", “titolare del trattamento", "responsabile del trattamento", "soggetto interessato dal trattamento dati" e "autorità di vigilanza" hanno lo stesso significato di quello della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 per la tutela delle persone in relazione al trattamento dei dati personali e al libero movimento di tali dati;
• (b) per "Esportatore di dati" si intende il titolare del trattamento che trasferisce i dati personali;
• (c) per "Importatore dei dati" si intende il responsabile del trattamento che accetta di ricevere dall'esportatore dei dati i dati personali che intende trattare per suo conto dopo il trasferimento, in conformità con le sue istruzioni e le condizioni delle Clausole, non soggetto al sistema di un Paese terzo che garantisce una protezione adeguata ai sensi dell’Articolo 25, paragrafo 1, della direttiva 95/46/CE;
• (d) per “sub-responsabile del trattamento dati" si intende qualsiasi responsabile del trattamento che lavora per conto dell’importatore di dati o un altro sub-responsabile del trattamento dati dell'importatore dati e che accetta di ricevere dall’importatore di dati, o da qualsiasi altro sub-responsabile del trattamento dei dati personali sull'importatore, dati destinati esclusivamente all’elaborazione di attività di trattamento da effettuarsi a nome dell'esportatore dei dati dopo il trasferimento in conformità con le istruzioni, i termini delle Clausole e le condizioni del sub-contratto scritto;
• (e) per "Legge sulla protezione dei dati" si intende la legislazione che tutela i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il diritto alla privacy riguardo al trattamento dei dati personali applicabile al titolare dei dati di uno Stato membro dell’UE in cui risiede l'esportatore dei dati;
• (f) per "Misure di sicurezza tecniche e organizzative" si intendono le misure di protezione dei dati personali contro la distruzione accidentale o illegale, la perdita, l’alterazione, la divulgazione non autorizzata o l'accesso accidentali, in particolare nei casi in cui il trattamento comporta la trasmissione dei dati su una rete e contro qualsiasi altra forma illecita di elaborazione.

Clausola 2

Dettagli del trasferimento

I dettagli del trasferimento e, in particolare, le categorie speciali di dati personali eventualmente specificati nell'Appendice 1 che costituisce parte integrante delle Clausole.

Clausola 3

Clausola del terzo beneficiario

1. La persona interessata dal trattamento dati può imporre all'esportatore dei dati questa Clausola, la Clausola 4 (b), la Clausola 5(a) fino a (e), e (g) fino (j), la Clausola 6(1) e (2), la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12 in quanto terzo beneficiario.
2. La persona interessata dal trattamento dati può far valere nei confronti dell'importatore di dati questa Clausola, la Clausola 5 (a) fino a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8(2) e le Clausole da 9 a 12, nei casi in cui l'esportatore di dati sia fattivamente scomparso o abbia smesso di esistere per legge, a meno che una società subentrante non abbia assunto tutti gli obblighi legali dell’esportatore di dati tramite contratto o per legge e di conseguenza si fa carico dei diritti e degli obblighi dell’esportatore di dati, nel qual caso la persona interessata al trattamento le può far valere nei confronti di tale entità.
3. La persona interessata può far valere contro il sub-responsabile del trattamento questa Clausola, la Clausola 5 da (a) a (e) e (g), la Clausola 6, la Clausola 7, la Clausola 8 (2) e le Clausole da 9 a 12, nei casi in cui sia l'esportatore che l'importatore dei dati siano effettivamente scomparsi o abbiano cessato di esistere per legge o siano diventati insolventi, a meno che una società subentrante non abbia assunto tutti gli obblighi legali dell’esportatore dei dati tramite contratto o per legge e di conseguenza si fa carico dei diritti e degli obblighi dell’esportatore dei dati, nel qual caso la persona interessata al trattamento le può far valere nei confronti di tale entità.Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie attività di trattamento secondo le Clausole.
4. Le parti non si oppongono al fatto che una persona interessata al trattamento dei dati venga rappresentata da un'associazione o un altro ente, se la persona interessata al trattamento dei dati lo desidera espressamente e se consentito dalla legge nazionale.

Clausola 4

Obblighi dell'esportatore dei dati

L'esportatore dei dati accetta e garantisce:

• (a) che il trattamento, incluso il trasferimento, dei dati personali è stato e continuerà a essere effettuato in conformità con le disposizioni di legge sulla protezione dei dati (e, ove applicabile, ha informato le autorità pertinenti dello stato membro dell’UE dove si trova l'esportatore dei dati) e non viola le disposizioni del medesimo Stato;
• (b) che ha incaricato e per tutta la durata del servizio di trattamento dei dati personali indicherà all'importatore di trattare i dati personali trasferiti solo per conto dell'esportatore dei dati e in conformità alle leggi relative alla protezione dei dati e alle Clausole;
• (c) che l'importatore dei dati fornirà garanzie sufficienti riguardo alle misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 del presente contratto;
• (d) che dopo una valutazione dei requisiti di legge sulla protezione dei dati, le misure di sicurezza sono appropriate per proteggere i dati personali contro la distruzione accidentale o illegale, l’alterazione, la divulgazione o l’accesso non autorizzati, specificatamente nei casi in cui il trattamento comporta la trasmissione dei dati in rete, e contro qualsiasi altra forma di trattamento non consentito, e che queste misure garantiscono un livello di sicurezza adeguato ai rischi del trattamento e della natura dei dati da proteggere, tenendo conto delle tecniche all'avanguardia e del costo della loro implementazione;
• (e) che garantirà la conformità con le misure di sicurezza;
• (f) che, se il trasferimento richiede speciali categorie di dati, la persona interessata al trattamento è stata informata, o sarà informata prima o subito dopo il trasferimento dei dati, del fatto che i suoi dati potrebbero essere stati trasferiti a un Paese terzo che non fornisce una protezione adeguata ai sensi della Direttiva 95/46/CE;
• (g) di inoltrare qualsiasi notifica ricevuta dall'importatore dei dati o da qualsiasi sub-responsabile del trattamento dati, ai sensi delle Clausole 5 (b) e 8 (3), all’autorità di vigilanza per la protezione dei dati, se l’esportatore dei dati decide di continuare il trasferimento o di revocare la sospensione;
• (h) di mettere a disposizione delle persone interessate dal trattamento dati, su richiesta, una copia delle Clausole, ad eccezione dell’Appendice 2 e una descrizione sommaria delle misure di sicurezza, nonché una copia di qualsiasi contratto per servizi di sub-trattamento che è in conformità con le Clausole, a meno che le clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali;
• (i) che, nel caso del sub-trattamento, l'attività di trattamento avviene in base alle Clausola 11 ad opera di un sub-responsabile del trattamento, che fornisce almeno lo stesso livello di protezione dei dati personali e di diritti della persona interessata al trattamento dell’importatore dei dati, come previsto nelle Clausole; e
• (j) che garantisce la conformità con le Clausole da 4(a) a (i).

Clausola 5

Obblighi per l'importatore dati

L'importatore dei dati accetta e garantisce:

• (a) di elaborare i dati personali solo per conto dell'esportatore dei dati e in conformità con le istruzioni e le Clausole; se, per un qualsiasi motivo, non può offrire tale conformità, si impegna a comunicare tempestivamente all'esportatore la sua incapacità di rispettare le regole, nel qual caso l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;
• (b) che non ha alcun motivo di credere che la legislazione a esso applicabile impedisca l'adempimento delle istruzioni ricevute dall'esportatore dei dati e degli obblighi previsti dal contratto e che in caso di modifica delle normative, con possibili importanti conseguenze negative sulle garanzie e gli obblighi descritti nelle Clausole, informerà in tempi brevi l'esportatore dei dati di tale modifica non appena ne viene a conoscenza, nel qual caso l'esportatore dei dati ha il diritto di sospendere il trasferimento dei dati e/o di risolvere il contratto;
• (c) che ha adottato le misure di sicurezza tecniche e organizzative specificate nell'Appendice 2 prima del trattamento dei dati personali trasferiti;
• (d) che informerà immediatamente l'esportatore dei dati di:

(i) qualsiasi richiesta giuridicamente vincolante di divulgazione dei dati personali da parte di un'autorità, salvo se proibito, come nel caso di divieto in base alla legge penale per mantenere la riservatezza di un'indagine a carattere penale,

o (ii) qualsiasi accesso non autorizzato o accidentale, e

o (iii) qualsiasi richiesta ricevuta direttamente dalle persone interessate di trattamento dei dati senza rispondere a tale richiesta, a meno che non sia stato altrimenti autorizzato a farlo;

• (e) di gestire correttamente e immediatamente tutte le richieste dell'esportatore dei dati relative al trattamento della persona interessata al trattamento dei dati oggetto del trasferimento e di rispettare i consigli dell'autorità di vigilanza in relazione al trattamento dei dati trasferiti;
• (f) di sottoporre a controllo le sue strutture per l’elaborazione dati su richiesta dell'esportatore dei dati descritti nelle Clausole, da effettuarsi da parte dell’esportatore dei dati o di un ente di ispezione costituito da membri indipendenti e in possesso delle qualifiche professionali richieste e sottoposte a obbligo di riservatezza, selezionate dall'esportatore dei dati, ove applicabile, d’accordo con l'autorità di vigilanza;
• (g) di rendere disponibile, su richiesta, una copia delle Clausole o qualsiasi contratto esistente per il sub-trattamento, alla persona interessata dal trattamento dati, a meno che le Clausole o il contratto non contengano informazioni commerciali, nel qual caso può rimuovere tali informazioni commerciali, ad eccezione dell’Appendice 2 che sarà sostituita da una descrizione sommaria delle misure di sicurezza per i casi in cui la persona interessata non sia in grado di ottenere una copia dall'esportatore dati;
• (h) che, in caso di sub-trattamento dei dati, ha precedentemente informato l'esportatore dei dati e ottenuto il suo previo consenso scritto;
• (i) che i servizi di elaborazione del sub-responsabile del trattamento saranno effettuati in base alla Clausola 11;
• (J) di inviare immediatamente una copia di un contratto al sub-responsabile del trattamento dati in base alle Clausole dall'esportatore dei dati.

Clausola 6

Responsabilità

1. Le parti concordano che qualsiasi persona interessata dal trattamento dei dati, che ha subito un danno in seguito a una violazione degli obblighi indicati nella Clausola 3 o nella Clausola 11 ad opera di una Parte o di un sub-responsabile del trattamento dati, ha diritto a un indennizzo dell'esportatore dei dati per i danni subiti.
2. Se una persona interessata dal trattamento dati non è in grado, in base al paragrafo 1, di presentare una richiesta di risarcimento contro l'esportatore dei dati derivante dalla violazione, da parte dell’importatore dei dati o del suo sub-responsabile del trattamento, di uno qualsiasi degli obblighi indicati nella Clausola 3 o nella Clausola 11, perché l'esportatore dei dati è fattivamente scomparso o ha cessato di esistere di diritto o è divenuto insolvente, l'importatore dei dati accetta che la persona interessata possa emettere un reclamo nei confronti dell'importatore dei dati come se fosse l'esportatore dei dati, a meno che un’entità subentrante non si sia assunta tutti gli obblighi legali dell'esportatore dei dati in base a un contratto o alle disposizioni di legge, nel qual caso la persona interessata al trattamento dei dati può far valere i propri diritti nei confronti di tale entità.L’importatore dei dati non può affidarsi a una violazione di un sub-responsabile del trattamento dati per evitare le proprie responsabilità.
3. Se una persona interessata dal trattamento dei dati non è in grado di presentare un ricorso contro l'esportatore o l’importatore dei dati, come indicato ai paragrafi 1 e 2, per la violazione del sub-responsabile del trattamento di qualsiasi obbligo indicato alla Clausola 3 o alla Clausola 11, perché sia l'esportatore che l'importatore dei dati sono fattivamente scomparsi o hanno cessato di esistere di diritto o sono divenuti insolventi, il sub-responsabile del trattamento dei dati accetta che la persona interessata al trattamento dati può emettere un reclamo nei confronti del sub-responsabile del trattamento dati come se fosse l'esportatore o l'importatore di dati, a meno che un’entità subentrante non si sia assunta tutti gli obblighi legali dell'esportatore o dell'importatore dei dati in base al contratto o alle disposizioni di legge, nel qual caso la persona interessata al trattamento dei dati può far valere i propri diritti nei confronti di tale entità.La responsabilità del sub-responsabile del trattamento sarà limitata alle proprie attività di trattamento in base alle Clausole.

Clausola 7

Azione di intermediazione e foro competente

      1.L'importatore dei dati accetta che se la persona interessata dal trattamento reclama contro di esso i diritti di terzo beneficiario e/o richiede il risarcimento per danni in base alle Clausole, l'importatore dei dati accetterà la decisione della persona interessata al trattamento dei dati:

o (a) di rimandare la contestazione a un’azione di intermediazione di una persona indipendente o, se applicabile, dell'autorità di vigilanza;

(b) di adire la contestazione ai Tribunali dello Stato membro in cui risiede l'esportatore dei dati.

      2.Le parti concordano che la scelta fatta dalla persona interessata dal trattamento non pregiudica i propri diritti sostanziali o procedurali di richiedere risarcimenti in base alle altre disposizioni nazionali o internazionali.

Clausola 8

Collaborazione con le autorità di vigilanza

1. L'esportatore dei dati accetta di presentare una copia del presente contratto all'autorità di vigilanza se richiesta o se obbligatorio ai sensi della legge sulla protezione dei dati.
2. Le parti concordano che l'autorità di vigilanza ha il diritto di eseguire un controllo dell'importatore dei dati e di qualsiasi sub-responsabile del trattamento, avente lo stesso scopo, ed è soggetto alle stesse condizioni applicabili a una verifica dell’esportatore dei dati in base alla legge applicabile per la protezione dei dati.
3. L'importatore dei dati deve informare immediatamente l'esportatore dei dati dell'esistenza della normativa applicabile o di qualsiasi sub-responsabile del trattamento che non permette che venga effettuato un controllo dell'importatore di dati o di qualsiasi sub-responsabile del trattamento, come da paragrafo 2. In tal caso, l'esportatore di dati è autorizzato ad adottare le misure previste alla clausola 5 (b).

Clausola 9

Legge applicabile

Le Clausole sono regolate dalla legge dello Stato membro in cui risiede l'esportatore dei dati.

Clausola 10

Variazione del contratto

Le parti si impegnano a non variare o modificare le Clausole.Ciò non impedisce alle parti di aggiungere clausole relative all’attività, ove necessario, purché non contraddicano la Clausola.

Clausola 11

Sub-trattamento dei dati

1. L’importatore dei dati non può subappaltare nessuna delle sue operazioni di trattamento effettuate per conto dell'esportatore dei dati in base alle Clausole senza il previo consenso scritto dell'esportatore dei dati.Se l'importatore dei dati subappalta i propri obblighi ai sensi delle Clausole, con il consenso dell'esportatore dei dati, deve agire solo tramite accordo scritto con il sub-responsabile del trattamento che impone gli stessi obblighi per il sub-responsabile del trattamento imposti all’importatore dei dati in base alle Clausole.Se il sub-responsabile del trattamento non rispetta i propri obblighi di protezione dei dati in base a tale accordo scritto, l'importatore dei dati rimane completamente responsabile nei confronti dell'esportatore dei dati dell’adempimento degli obblighi del sub-responsabile del trattamento in base a tale contratto.
2. Il contratto precedente scritto tra l'importatore dei dati e il sub-responsabile del trattamento prevede anche una clausola per i beneficiari terzi, descritta nella Clausola 3, per i casi in cui la persona interessata al trattamento non sia in grado di fare una richiesta di risarcimento danni, di cui al paragrafo 1 della Clausola 6, contro l'esportatore o l'importatore dei dati perché sono fattivamente scomparsi o hanno cessato di esistere di diritto o sono divenuto insolventi, e nessuna entità sia subentrata assumendosi tutti gli obblighi legali dell'esportatore e dell’importatore dei dati in base a un contratto o alle disposizioni di legge.Tale responsabilità di terzi del sub-responsabile del trattamento sarà limitata alle proprie attività di trattamento secondo le Clausole.
3. Le disposizioni relative agli aspetti della protezione dei dati per il sub-trattamento del contratto di cui al paragrafo 1, sono regolate dalla legge dello Stato membro in cui risiede l'esportatore dei dati.
4. L'esportatore dei dati deve conservare un elenco degli accordi di sub-responsabile del trattamento conclusi in base alle Clausole e notificati dall'importatore dei dati ai sensi della clausola 5 (j), che dev’essere aggiornato almeno una volta all'anno.L'elenco dev’essere disponibile all'autorità di vigilanza per la protezione dei dati dell'esportatore dei dati.

Clausola 12

Obbligo dopo la rescissione dei servizi di trattamento dei dati personali

1. Le parti concordano che al momento della cessazione della fornitura dei servizi di elaborazione dei dati, l'importatore dei dati e il sub-responsabile del trattamento dei dati dovrà, a scelta dell'esportatore dei dati, restituire all'esportatore tutti i dati personali trasferiti e le relative copie o distruggere tutti i dati personali e certificare all’esportatore dei dati di averlo fatto, a meno che la legislazione vieti all'importatore dei dati di restituire o distruggere tutti o parte dei dati personali.In tal caso, l'importatore assicura di garantire la riservatezza dei dati personali trasferiti e non elaborerà più attivamente i dati personali trasferiti.
2. L'importatore dei dati e il sub-responsabile del trattamento garantiscono che su richiesta dell’esportatore dei dati e/o dell'autorità di vigilanza, permetteranno il controllo delle proprie strutture per il trattamento dei dati per il controllo delle misure al paragrafo 1.

A nome dell'esportatore dei dati:

Nome (per intero): …………………………………………….
Posizione:....................................................
Indirizzo:....................................................
Altri dati necessari affinché il contratto sia vincolante (se presenti):
Firma......................................... (timbro dell'organizzazione)

A nome dell'importatore dei dati (PayPal, Inc):

Nome (per intero): …………………………………………….
Posizione:....................................................
Indirizzo: 2211 North First Street, San Jose, CA 95131
Firma.................................................... (timbro dell'azienda)

ALLEGATO 1 ALLE CLAUSOLE CONTRATTUALI STANDARD DELL'UNIONE EUROPEA

La presente Appendice fa parte delle Clausole e deve essere completata.

Gli Stati membri possono completare o specificare eventuali dati necessari che devono essere contenuti nella presente Appendice in base alle procedure nazionali.

Esportatore di dati

L'esportatore dei dati è: il Commerciante

Una società che utilizza i servizi dell'importatore dei dati in relazione ai suoi clienti

Importatore di dati

L'importatore dei dati è: PayPal, Inc.

Un fornitore di servizi di pagamento che fornisce un gateway di pagamento per i servizi Braintree in modo che il Commerciante possa fornire la propria carta di credito e altri dettagli del Cliente alle banche e ad altri fornitori di servizi di pagamento per elaborare i pagamenti dei Clienti

Soggetti interessati

I dati personali trasferiti riguardano le seguenti categorie di persone interessate dal trattamento dati:

I Clienti dell'esportatore dei dati

Categorie di dati

I dati personali trasferiti riguardano le seguenti categorie di dati:

Il nome del cliente, l'importo da addebitare, il numero di carta, il CSV, il codice postale, il codice del Paese, l’indirizzo, l’indirizzo email, il fax, il telefono, il sito web, la data di scadenza, i dettagli di spedizione, lo stato fiscale

Speciali categorie di dati (ove applicabile)

I dati personali trasferiti riguardano le seguenti categorie speciali di dati (specificare):

Non applicabile, a meno che il Commerciante configuri il servizio per acquisire tali dati.

Operazioni di trattamento

I dati personali trasferiti sono soggetti alle seguenti attività di elaborazione di base:

La ricevuta e conservazione dei dati personali nell'esecuzione dei servizi durante il periodo di efficacia del contratto.
 

APPENDICE 2 CLAUSOLE CONTRATTUALI STANDARD DELL'UNIONE EUROPEA
 

La presente Appendice costituisce parte integrante delle Clausole.
 

Descrizione delle misure di sicurezza tecniche e organizzative implementate dall’importatore dei dati in conformità con le Clausole 4(d) e 5(c) (o la legislazione / il documento allegato):
 

Le misure tecniche e organizzative sono riportate all'Allegato 1 a questa Modifica.

Allegato 3

Condizioni d'uso della Protezione antifrode ("Strumento antifrode")

1. Come funziona lo Strumento antifrode

PayPal mette a disposizione dell'Utente uno Strumento antifrode per la gestione delle transazioni fraudolente, al fine di consentire all'Utente di monitorare le transazioni potenzialmente fraudolente sulla base delle impostazioni da lui adottate nello Strumento antifrode. Lo strumento consente di impostare delle regole di filtro, ossia di comunicare a PayPal quali transazioni devono essere rifiutate dallo strumento sulla base di criteri astratti.

PayPal può fornire all'utente suggerimenti o raccomandazioni in merito ai filtri e alle impostazioni dello Strumento antifrode più indicati per la sua attività.Questi suggerimenti tengono conto della cronologia delle transazioni precedenti.

È responsabilità dell'utente impostare le regole di filtro.Nota: se le regole di filtro impostate sono troppo restrittive, vi è il rischio di perdere volumi di vendita.Si consiglia di monitorare frequentemente le regole e le impostazioni di filtro.

2. Assenza di garanzia e limitazione di responsabilità

PayPal non dichiara né garantisce l'assoluta precisione dello Strumento antifrode né la capacità dello stesso di individuare tutte le potenziali attività di transazione fraudolenta.

PayPal non è responsabile per le perdite (ad esempio, la perdita di profitti) o per i danni derivanti da o correlati all'uso dello Strumento antifrode, nella misura consentita dalle leggi vigenti.

Si applicano le sezioni 15.3 e 15.4 delle Condizioni d'uso.

3. Protezione dei dati

L'Utente può utilizzare lo Strumento antifrode esclusivamente ai fini della gestione dei rischi di frode e per nessun altro scopo.

L'Utente non può condividere con terzi l'uso dello Strumento antifrode, né rivelare a terzi le categorie fornite dallo Strumento antifrode o i risultati derivanti dall'utilizzo dello stesso.

4. Varie

A prescindere dalle impostazioni configurate dall'Utente nello Strumento antifrode, PayPal si riserva il diritto di rifiutare o sospendere qualsiasi transazione, conformemente ai termini riportati nelle Condizioni d'uso.

Le presenti condizioni integrano le Condizioni d'uso che disciplinano l'utilizzo da parte dell'Utente dei servizi PayPal in generale. Quando letta insieme a questi termini, la definizione dei Servizi PayPal presenti all'interno delle Condizioni d'uso include lo Strumento antifrode.

PayPal potrebbe apportare modifiche, tagli o aggiunte ai presenti termini compatibilmente con la procedura di Modifica stabilita nelle Condizioni d'uso.Nel caso in cui non accetti le Modifiche, l'Utente potrà recedere dai presenti termini.

L'Utente può recedere dai presenti termini in qualsiasi momento, rimuovendo lo Strumento antifrode dalla propria integrazione e seguendo altri eventuali processi tecnici che PayPal potrebbe indicargli. Ciò consente di interrompere l'utilizzo dello Strumento antifrode, ma il Conto dell'Utente resterà comunque aperto e le Condizioni d'uso (nonché qualsiasi altro accordo relativo alla fornitura dei Servizi all'Utente) continueranno a essere in vigore. 

PayPal può, in qualsiasi momento, per qualunque motivo e (laddove possibile) con un ragionevole preavviso, interrompere, annullare o sospendere il Servizio relativo allo Strumento antifrode senza alcuna responsabilità nei confronti dell'utente.

I presenti termini sopravvivono alla risoluzione nella misura in cui e finché PayPal lo ritenga necessario per (i) trattare le questioni derivanti dall'utilizzo dello Strumento antifrode prima della risoluzione e/o (ii) rispettare le leggi e i regolamenti applicabili.