>> すべての規約を表示
ダイレクトカード処理製品のデータ保護管理者に関する付帯条項
バージョン2.0
このデータ保護管理者に関する付帯条項(以下「本付帯条項」)は、PayPalグループ法人(以下「PayPal」)が、Braintree、およびその他のカード決済、ゲートウェイサービス、および/または不正取引メンテナンスツールをマーチャントであるお客様(以下「マーチャント」または「お客様」)に提供する際、すべての製品に適用されます。本付帯条項は、エクスプレスチェックアウトまたはPayPalボタンを使用した支払いなどの、PayPalブランドのウォレットサービスには適用されません。本付帯条項は、PayPalによるお客様への支払い処理サービスの提供を規定するマーチャントとPayPalとの間の関連規約の一部(以下「本規約」)を構成するものとします。本付帯条項の条件と本規約の条件との間に矛盾がある場合、本付帯条項の条件を優先するものとします。本付帯条項で使用されているが定義されていない大文字の用語は、本規約で定められた意味を有するものとします。
本付加条項は、(i)規約に記載されている発効日、または(ii)規約または本付加条項の改定に関連してお客様に提供した通知に記載されている発効日、のいずれか遅い方をもって効力を発します。弊社は、改定版を弊社ウェブサイトに掲載することにより、いつでも本付加条項を改定することができます。改定版は、弊社が掲載した時点で有効となります。また、お客様の権利を縮小したり、責任を増大したりする形で本付加条項を変更した場合、弊社は、弊社のウェブサイトの「ポリシーの更新」ページにそのご案内を掲載し、規約で義務付けられている時間枠で書面による通知を行うとします。また、メールまたはその他の手段により、変更をお客様に通知することもあります。本付加条項への変更に同意しない場合、お客様は規約をいつでも解約することが可能です。
定義
次の定義語は、本付加条項で使用される場合、以下を意味します。
「管理者」とは、 個人データ取扱いの目的および手段を決定する機関を意味し、当該用語(または同様の役割の用語)がデータ保護法で定義されている場合は、「管理者」は適用されるデータ保護法に規定される意味を持つものとします。
「顧客」とは、米国外で支払い処理サービスを使用する、あなたの顧客を意味し、本付加条項の目的上、データ主体とします。
「顧客データ」とは、(i)顧客がマーチャントに提供し、マーチャントが支払い処理サービスの使用を通じてPayPalに受け渡す個人データ、および、(ii)マーチャントによる支払い処理サービスの使用を通じて、PayPalが顧客の端末およびブラウザから収集することのできる個人データのことです。本付加条項で使用される顧客データの定義には、マーチャントの米国顧客の個人データは含まれません。
「データ保護法」とは、適用されるデータ保護に関する法律、規制、指令、規制要件、および支払い処理サービスの提供に適用される実務規範とそれらの修正版、ならびに関連規制または法律文書のことです。たとえば、EU一般データ保護規則2016/679(GDPR)、1988年オーストラリア連邦プライバシー法、個人情報保護および電子文書法(カナダ)、個人データ(プライバシー)条例(Cap. 486)(香港)、ブラジル一般データ保護法(2018年連邦法第13709号)、および2012年個人データ保護法(シンガポール)、などが挙げられます。
「PayPalグループ法人」とは、PayPal, Inc.、およびPayPalまたはその後継者が随時、直接的または間接的に所有または管理するすべての会社のことです。
「個人データ」とは、識別された自然人または識別可能な自然人(「データ主体」) に関する情報を意味します。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、または、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的または社会的な同一性を示す一つまたは複数の要素を参照することによって、直接的または間接的に識別することができる人物のことです。
「取扱い」またはこれに類似する機能を指す用語は、本付加条項で使用される場合、適用されるデータ保護法で定義された意味を持つものとします。
データ管理者としてのPayPal
PayPalは、本付帯条項のもとで、個人データの利用方法に関して、管理者に適用されるデータ保護法に従うものとし(個人データの処理に関する全ての適切な安全対策を、常に実行し維持することによる制限がないことを含みまたそれに限定されず)、個人データに関して、マーチャントによるデータ保護法の違反につながる可能性のある行為を故意に行わず、また、そのような行為が行われることを許可しないものとします。PayPalは、支払い処理サービスを提供することのみを目的として、Paypal グループの第三者、PayPalのサブプロセッサまたは会員へ個人データを譲渡することとし、顧客データの保護の条件を含む合意を当該第三者やサブプロセッサと書面で結ぶものとします。それは、本付帯条項で定められた条件と同様に保護されています。
支払い処理サービスに関連した個人データの取扱い
両当事者は、マーチャントおよびPayPalが、支払い処理サービスに関連して取り扱うすべての個人データに関して、それぞれ独立した管理者であることを認め、これに同意するものとします。したがってPayPalは、当該個人データの取扱いの目的と手段を独立して決定するのであり、当該個人データについてマーチャントとの共同管理者ではありません。
両当事者は、以下の限定された目的のために、PayPalによる顧客データおよび支払い取引データの使用、複製ならびに取扱いが許可されていることを認め、これに同意するものとします。
- マーチャントおよびその顧客への(fraud protectionツールを含む)支払い処理サービスの提供および向上のために合理的に必要な場合
- 不正な支払い取引を監視、防止、検出し、マーチャント、PayPalおよび第三者への損害を防止するため
- PayPalに適用される、支払いデータの取扱いおよび保持に関する法規制上の義務に(マネーロンダリング防止および本人確認の義務も含めて)準拠するため
- PayPalの製品およびサービスを分析、開発、および改善するため
- 内部使用(データ分析およびメトリックを含むがこれに限定されない)
- お客様またはユーザーの個人データを特定できない総計として、顧客データおよび支払い取引データを集計し開示するため(地域別または業界別の平均額の計算を含む)
- 法令に基づく情報開示の要請に応じることにより、適用法の要件を遵守し、法執行機関を支援するため
- マーチャントに通知するその他の目的(ただしデータ保護法に準拠する目的とする)
マーチャントから顧客への通知
マーチャントは、(i)本付加条項に記載のとおり、顧客データを取り扱う目的上、PayPalが独立した管理者であることをそれぞれのプライバシーステートメントで通知し、(ii)マーチャントのプライバシーステートメントに、PayPalまたはBraintreeのプライバシーステートメントへのリンクを記載するよう、商取引上の合理的な努力を払うものとします。
相互扶助
両当事者は、他方当事者がデータ保護法のもとで独立した管理者としての責任を適切に果たすことができるように合理的に必要な範囲で、相互に協力することに合意します。マーチャントがデータ保護法のもとでの顧客による個人情報の開示請求または権利の行使を受けた場合に、マーチャントがそのような顧客のアクセス要求に直接応えるものとすることに、両当事者は同意します。また、 PayPal を使用した支払い処理サービスに関連して、www.paypal.comにあるプライバシーステートメントに記載されている指示に従ったうえでデータ主体の権利を行使する可能性があることを、マーチャントは顧客に通知するものとします。さらに、セキュリティインシデントに関連する場合に、PayPalはその独自の裁量により、影響を受けた顧客に通知しなくてはならないということを決定し、連絡を行うために必要な当該顧客に関する問い合わせ先を保有しない場合、データ保護法のもとで影響を受けた顧客に関する適用可能な通知義務にPayPalが従うという限られた目的において、マーチャントが所有する顧客情報をPayPalに提供するための商取引上の合理的な努力をするものとします。
国境を越えたデータの移転
両当事者は、PayPalが、本規約に基づいて取り扱う個人データを、支払い処理サービスを提供する目的で、必要に応じてこれを収集された国以外に移転する場合があることに同意するものとします。PayPalが本付加条項の下で保護されている個人データを、データが収集された国の関連規制当局が十分性認定を下していない管轄区域に同データを移転する場合、PayPalは、適用されるデータ保護法に従って、個人データの移転に適切な保護措置が取られることを保証します。たとえば、GDPRを遵守するため、顧客の個人データを他のPayPalグループ法人に移転する際は、管轄監督機関が承認した拘束力のある法人規則およびその他のデータ移転メカニズムを使用します。