>> Alle juridische overeenkomsten weergeven

PayPal-overeenkomst inzake online creditcardbetaalservices

Gepubliceerd op 19 augustus 2019

 

  

De PayPal-overeenkomst inzake online creditcardbetaalservices ('Overeenkomst') bevat de voorwaarden van een contract tussen u (ook wel de 'Webwinkel' genoemd) en PayPal (Europe) S.à r.l. et Cie, SCA ('PayPal', 'we' of 'wij').

PayPal heeft een vergunning als Luxemburgse kredietinstelling en valt onder het prudentiële toezicht van de Luxemburgse toezichthoudende autoriteit, de Commission de Surveillance du Secteur Financier (de 'CSSF'). De CSSF is gevestigd in L-1150 Luxemburg.

Over deze Overeenkomst

Deze Overeenkomst is op u van toepassing als u bij PayPal bent geregistreerd als inwoner van een van de volgende landen: België, Bulgarije, Cyprus, Denemarken, Estland, Finland, Griekenland, Hongarije, Letland, Liechtenstein, Litouwen, Luxemburg, Malta, Nederland, Noorwegen, Polen, Portugal, Roemenië, San Marino, Slovenië, Slowakije, Tsjechië en Zweden. 

Deze Overeenkomst is op u van toepassing als u bij PayPal bent geregistreerd als inwoner van Ierland nadat het Product in Ierland beschikbaar is gesteld. PayPal kan het Product in Ierland beschikbaar stellen zodra PayPal hierover een kennisgeving heeft gepubliceerd op de pagina Beleidsaanpassingen (toegankelijk via de voettekst Juridisch op de meeste pagina's van de PayPal-website) op of na 19 augustus 2019 (naar eigen goeddunken van PayPal).

Door het Product en de Online creditcardbetaalservice te integreren of gebruiken, gaat u ermee akkoord gebonden te zijn aan de voorwaarden van deze Overeenkomst.

Het Product omvat het volgende:

Aangepaste interface: een functionaliteitensuite met een API voor aangepaste interface als standaardoptie en Filters voor fraudepreventie bij de aangepaste interface als optionele aanvullende service

Het Product omvat de volgende Online creditcardbetaalservice:

API voor aangepaste interface: functionaliteit voor het uitvoeren van creditcardtransacties, waarbij de kaartgegevens online door de kaarthouder worden ingevoerd.

De Gebruikersovereenkomst voor de PayPal-service (hier de Gebruikersovereenkomst genoemd), de Overeenkomst voor organisaties met winstoogmerk en de Privacyverklaring maken deel uit van deze Overeenkomst. Zie artikel 5 voor meer bepalingen over hoe andere juridische documenten van toepassing zijn.

We kunnen toevoegingen, verwijderingen of wijzigingen aanbrengen in deze Overeenkomst, overeenkomstig het wijzigingsproces dat wordt beschreven in de Gebruikersovereenkomst. Als u niet akkoord gaat met een Wijziging, kunt u deze Overeenkomst beëindigen zoals uiteengezet in artikel 8 van deze Overeenkomst.


We verzoeken u deze Overeenkomst te lezen, te downloaden en op te slaan.

 

1. Uw Product instellen en activeren

  1. Aan de slag. Om uw Product te verkrijgen en gebruiken, moet u eerst het volgende doen:
    1. Voltooi het online aanvraagproces voor uw Product, open een zakelijke PayPal-rekening (als u er nog geen heeft) en volg de instructies in het online proces van PayPal om toegang te krijgen tot uw Product en het te gebruiken.
    2. Integreer uw Product in de betaalprocedure van uw website. PayPal is niet verantwoordelijk voor problemen die kunnen optreden door uw Product in uw live website te integreren. U bent zelf verantwoordelijk voor het kiezen, instellen, integreren en aanpassen van uw Product en moet er zelf voor zorgen dat het aan uw behoeften voldoet.
    3. Activeer uw Product door het voor het eerst in een 'live' betaaltransactie te gebruiken.

We kunnen u toestaan de API voor aangepaste interface als 'Door PayPal gehoste integratie' of 'Door uzelf gehoste integratie' te integreren.
We kunnen beide hostingopties als standaardoptie instellen voor de integratie van de API voor aangepaste interface in de betaalprocedure van uw website.

  1. Annulering. We kunnen uw aanvraag voor het Product afwijzen op basis van uw kredietgeschiedenis, PayPal-geschiedenis of om enige andere redenen naar eigen goeddunken van PayPal. U stemt ermee in en erkent dat wij en/of onze medewerkers ons/zich het recht voorbehouden uw aanvraag en registratie voor het Product naar eigen goeddunken af te wijzen, en dat we uw toegang tot of gebruik van het Product zonder verdere verplichtingen aan u kunnen beperken. We kunnen uw toegang tot en/of gebruik van het Product beëindigen en/of deze Overeenkomst beëindigen op elk moment vóór de Activeringsdatum door u hiervan op de hoogte te stellen.

Terug naar boven

 

2. Kosten

2.1. Hoe kosten worden betaald.  U stemt ermee in de kosten in deze Overeenkomst te betalen zoals ze verschuldigd zijn zonder verrekening of inhouding. U geeft ons de toestemming om onze kosten af te trekken van de bedragen die we overschrijven, maar voordat het geld naar uw rekening wordt overgemaakt.

Behalve zoals verder in deze Overeenkomst bepaald, stemt u ermee in de kosten te betalen die uiteen zijn gezet in de Gebruikersovereenkomst.

Kosten worden in rekening gebracht in de valuta van de ontvangen betaling.

 2.2. Transactiekosten voor standaard PayPal-betalingen

De kosten voor Binnenlandse betalingen ontvangen (verkopen), zoals uiteengezet in de Gebruikersovereenkomst, zijn van toepassing op elke binnenlandse standaard PayPal-betaling die u ontvangt. Als uw rekening in Portugal bij PayPal is geregistreerd, geldt het standaardtarief voor deze kosten. Als uw rekening elders bij PayPal is geregistreerd, kan het standaardtarief of het zakelijke tarief van toepassing zijn op deze kosten, onder voorbehoud van de Gebruikersovereenkomst.

2.3. Transactiekosten voor het ontvangen van creditcardbetalingen

De volgende kosten zijn van toepassing op elke binnenlandse creditcardbetaling die u ontvangt met de Online creditcardbetaalservices, afhankelijk van het land waarin uw rekening bij PayPal is geregistreerd:

 

Land waarin uw rekening bij PayPal is geregistreerd

Kaarttype

Kosten

2.3.1. België

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,8% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,8%
+ vaste kosten

 

2.3.2. Denemarken

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

 

2.3.3. Finland

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

American Express

3,5%

2.3.4. Ierland

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,2% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,2%
+ vaste kosten

2.3.5. Luxemburg

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,8% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,8%
+ vaste kosten

2.3.6. Nederland

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

 

1,8% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,8%
+ vaste kosten

American Express

3,5%

2.3.7. Noorwegen

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

 

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

2.3.8. Polen

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

 

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

2.3.9. Portugal

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,2% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,2%
+ vaste kosten

2.3.10. Zweden

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

American Express

3,5%

2.3.11. Overige landen

Visa of Mastercard

Kostenstructuur Gecombineerde tarieven

1,9% + vaste kosten

Kostenstructuur Interchange Plus

Afwikkelingsvergoeding (varieert van ca. 0,2% tot 2,0%)
+ 1,9%
+ vaste kosten

 

 

2.4. Vaste kosten

Vaste kosten worden uiteengezet in de Gebruikersovereenkomst voor het land waarin uw rekening bij PayPal is geregistreerd.

2.5. Extra transactiekosten

De kosten voor het ontvangen van internationale betalingen (verkopen) zijn van toepassing zoals uiteengezet in de Gebruikersovereenkomst, behalve dat ze niet van toepassing zijn op ontvangen betalingen van creditcards die de Online creditcardbetaalservices gebruiken onder de Interchange Plus-kostenstructuur.

2.6. Maandelijkse rapporten over transactiekosten. PayPal stelt maandelijkse rapporten over transactiekosten beschikbaar (inclusief afwikkelingvergoeding) voor creditcardtransacties die u met het Product verricht. Deze rapporten kunnen worden gedownload via uw PayPal-rekening. Deze rapporten omvatten geen standaard PayPal-betalingen.

Terug naar boven

 

3. Keuze kussen kostenstructuur Interchange Plus en kostenstructuur Gecombineerde tarieven

U kunt de toepasselijke kostenstructuur kiezen voor uw ontvangstbewijs of creditcardbetalingen via de Online creditcardbetaalservice met behulp van de methoden of procedures die PayPal voor u beschikbaar stelt. Als u geen keuze maakt, blijft uw huidige kostenstructuur gelden.

U kunt uw kostenstructuur ook uitsluitend voor toekomstige transacties kiezen en niet voor eerdere transacties.

Afwikkelingvergoedingen zijn bepaald door Visa en Mastercard. Ze variëren van ca. 0,20% tot 2,00% en verschillen ook per kaarttype (bijvoorbeeld categorie en merk). PayPal brengt altijd de afwikkelingvergoeding in rekening zoals deze door Visa en Mastercard is bepaald en zoals deze door de Verwerver wordt doorberekend. Individuele afwikkelingvergoedingen kunnen van tijd tot tijd worden gewijzigd. Meer informatie over de afwikkelingvergoeding vindt u op de websites van Mastercard en Visa en in ons vereenvoudigde overzicht.

Als u ervoor kiest de kosten onder de kostenstructuur Interchange Plus in rekening te laten brengen, kan PayPal het geld dat wordt ontvangen van een creditcardbetaling via de Online creditcardbetaalservice vasthouden in het gedeelte Reserverekening van uw PayPal-rekening, voordat het geld in het gedeelte Betaalrekening van uw PayPal-rekening terechtkomt. U geeft PayPal de opdracht om dat geld pas op uw PayPal-rekening te zetten op de werkdag waarop PayPal de informatie over de toepasselijke afwikkelingvergoeding voor de creditcardbetaling ontvangt. Terwijl dat geld op uw Reserverekening wordt vastgehouden, wordt de transactie in uw rekeninggegevens weergegeven als 'In behandeling'. PayPal beschouwt de opbrengsten van de creditcardbetaling op uw Reserverekening pas als beschikbaar nadat PayPal de informatie over de toepasselijke afwikkelingvergoeding van onze Verwerker heeft ontvangen (mogelijk is dit binnen een werkdag na de creditcardbetaling van de kaarthouder).

Terug naar boven

 

4. Informatiebeveiliging en gegevensbescherming

4.1 Naleving van het Schema inzake gegevensbeveiliging. U stemt er (als 'Webwinkel') mee in onderstaand Schema 1 na te leven in het kader van deze Overeenkomst.

4.2 Uw naleving van PCI DSS. U stemt ermee in de PCI Data Security Standard (PCI DSS) na te leven. U moet alle Kaartgegevens waarvoor u volgens PCI DSS verantwoordelijk bent beschermen en uw website en andere systemen in overeenstemming met PCI DSS ontwerpen, onderhouden en bedienen. U moet ervoor zorgen dat uw personeel naar behoren opgeleid is en blijft zodat ze zich bewust zijn van PCI DSS en aan de vereisten kunnen voldoen. PayPal is niet verantwoordelijk voor eventuele kosten die u maakt ter naleving van PCI DSS. Meer informatie over PCI DSS en de website van de PCI Security Standards Council vindt u hier: https://www.pcisecuritystandards.org/pci_security/

4.3 De naleving van PCI DSS door PayPal. PayPal garandeert dat PayPal en het Product PCI DSS naleven en zullen naleven. De naleving door PayPal en uw Product volstaat echter niet om naleving van PCI DSS door u en uw systemen en procedures te waarborgen.

4.4 3D Secure. De vereisten van de Europese Centrale Bank en de banktoezichthouders van PayPal vereisen in bepaalde omstandigheden het gebruik van 3D Secure, en creditcardmaatschappijen kunnen dit ook vereisen om een buitensporig aantal creditcardtransacties die niet door de creditcardhouder zijn geautoriseerd te verlagen. PayPal kan na kennisgeving van u vereisen dat u 3D Secure implementeert voor alle of bepaalde creditcardtransacties. U stemt ermee in 3D Secure te implementeren als dat in een dergelijke kennisgeving wordt vereist, waarbij de kaartuitgevende instantie van een bepaalde creditcard 3D Secure voor die creditcard ondersteunt.

4.5 Prijs en valuta. U mag geen betaaltransacties versturen waarbij het bedrag voortvloeit uit een dynamische valutaomrekening. Dat betekent dat u geen objecten in de ene valuta mag aanbieden om de betaling vervolgens in een andere valuta te ontvangen. Als u betalingen in meer dan een valuta ontvangt, moet u de prijs voor elke valuta apart vermelden.

4.6 Naleving van het Schema inzake gegevensbescherming. U stemt er (als 'Webwinkel') mee in onderstaand Schema 2 na te leven in het kader van deze Overeenkomst. De voorwaarden van het Schema inzake gegevensbescherming hebben voorrang op eventuele tegenstrijdige voorwaarden in deze Overeenkomst met betrekking tot gegevensbescherming en privacy.

Terug naar boven

 

5. Hoe onze andere juridische documenten van toepassing zijn

5.1 U vindt deze Overeenkomst, de Gebruikersovereenkomst, de Overeenkomst voor organisaties met winstoogmerk en de Privacyverklaring op de pagina 'Juridische overeenkomsten' via de link Juridisch onderaan een willekeurige PayPal-webpagina.

5.2 Gebruikersovereenkomst. De Gebruikersovereenkomst maakt deel uit van deze Overeenkomst. Deze Overeenkomst en de Gebruikersovereenkomst moeten zoveel mogelijk als een samenhangend geheel worden geïnterpreteerd. Waar een interpretatiegeschil ontstaat, heeft deze Overeenkomst voorrang op de Gebruikersovereenkomst voor zover het gaat om het conflict, behalve met betrekking tot uw gebruik van het Product of de Online creditcardbetaalservice in het kader van onze nieuwe betaaloplossing zoals deze in de Gebruikersovereenkomst uiteen is gezet.

Woorden die met een hoofdletter zijn geschreven, maar niet zijn gedefinieerd in deze Overeenkomst, zijn gedefinieerd in die Gebruikersovereenkomst. De definitie van 'Services' en 'Overeenkomst' in deze Gebruikersovereenkomst, indien gelezen samen met deze voorwaarden, omvat tevens het Product en deze Overeenkomst.

De Gebruikersovereenkomst omvat belangrijke bepalingen die:

  1. PayPal toestemming geven om een Reserve te nemen om te verzekeren dat u terugboekingen, terugvorderingen en kosten betaalt, waartoe u verplicht bent;
  2. U verplichten het Beleid inzake redelijk gebruik van PayPal te volgen bij uw gebruik van PayPal;
  3. Rechtsgevolg geven aan de Privacyverklaring van PayPal, die van toepassing is op ons gebruik en de openbaarmaking van uw gegevens en die van onze Gedeelde klanten; en
  4. PayPal toestaan om een betaling of uw PayPal-rekening te beperken in omstandigheden die in de Gebruikersovereenkomst worden vermeld.

U bent verantwoordelijk voor terugboekingen, terugvorderingen en andere ongeldig gemaakte betalingen zoals bepaald in de Gebruikersovereenkomst, ongeacht hoe u uw Product gebruikt en configureert, met inbegrip van filtertechnologie voor fraudeopsporing en soortgelijke preventieve tools (indien van toepassing). Deze tools kunnen nuttig zijn bij fraudeopsporing en het voorkomen van betalingsfouten, maar zijn niet van invloed op uw verantwoordelijkheid en aansprakelijkheid op grond van de Gebruikersovereenkomst voor terugboekingen, terugvorderingen en betalingen die anderszins ongeldig zijn.

5.3 Overeenkomst voor organisaties met winstoogmerk. Door ermee in te stemmen aan deze Overeenkomst gebonden te zijn, gaat u ook akkoord met de Overeenkomsten voor organisaties met winstoogmerk. Dit zijn uw rechtstreekse overeenkomsten met de Accepterende instellingen (bancaire partners van PayPal), die u in staat stellen creditcardbetalingen en PayPal-betalingen via creditcard te ontvangen.

5.4 Privacyverklaring. U bevestigt dat u de Privacyverklaring van PayPal, waarin staat welke informatie wij over u en uw online bedrijf verzamelen, heeft gelezen en dat u ermee akkoord gaat. In het bijzonder stemt u ermee in dat PayPal uw kredietgeschiedenis en financiële gegevens over uw vermogen om uw verplichtingen onder deze Overeenkomst na te komen, van een derde partij te verkrijgen; de Privacyverklaring van PayPal vermeldt de bedrijven die bij deze uitwisseling van kredietgerelateerde gegevens betrokken zijn. PayPal zal uw kredietgeschiedenis en andere risicofactoren van uw rekening (terugboekingen en terugvorderingen, klachten van klanten, claims enz.) op doorlopende basis beoordelen, en we kunnen ook uw website en de producten die u erop verkoopt beoordelen. PayPal zal alle informatie die we over u hebben opslaan, gebruiken en openbaar maken in overeenstemming met de Privacyverklaring van PayPal.

5.5 Aanvullende voorwaarden voor acceptatie van American Express-creditcards

Deze paragraaf 5.5 is alleen op u van toepassing als uw rekening bij PayPal is geregistreerd in Finland, Nederland of Zweden, en we u toestaan betalingen van American Express-creditcards te ontvangen.

5.5.1 Commerciële marketingcommunicatie. American Express kan de informatie die uit uw aanvraag is verkregen, tijdens registratie gebruiken om u te screenen en/of controleren ten behoeve van creditcardmarketing en administratieve doeleinden. Door deze voorwaarden te aanvaarden, gaat u ermee akkoord commerciële marketingcommunicatie van American Express te ontvangen. U kunt zich hiervoor afmelden door contact met ons op te nemen. Ga naar onze pagina <Hulp en contact> via uw Gebruikersovereenkomst en de meeste PayPal-webpagina's voor onze contactgegevens. Als u zich voor commerciële marketingcommunicatie afmeldt, ontvangt u nog steeds belangrijke berichten over transacties en contractuele relaties van American Express.

5.5.2 Directe acceptatie van creditcards. U erkent dat als u bepaalde maandelijkse en/of jaarlijkse verkoopvolumes met American Express bereikt, zoals deze voorlopig en van tijd tot tijd door American Express zijn vastgesteld, American Express van u kan eisen een directe contractuele relatie met hen aan te gaan. In deze situatie bepaalt American Express de prijzen voor American Express-transacties en bepaalt u de kosten voor American Express-transacties rechtstreeks aan American Express.

5.5.3 Auditrechten. American Express kan te allen tijde een audit van u uitvoeren om te bevestigen dat u zich aan de American Express-regels houdt.

5.5.4 Transactie- en afwikkelingsrechten. U geeft PayPal toestemming om transacties te versturen naar en afwikkeling te ontvangen van American Express, en transactie- en webwinkelgegevens aan American Express te verstrekken om analyses uit te voeren en rapporten te maken, en voor alle andere rechtmatige zakelijke doeleinden, met inbegrip van commerciële marketingcommunicatie en belangrijke berichtgeving over transacties of contractuele relaties. De webwinkel kan de acceptatie van American Express na kennisgeving op elk moment beëindigen.

5.5.5 Derde begunstigde. American Express is een derde begunstigde van deze Overeenkomst ten behoeve van acceptatie van American Express-creditcards. Als derde begunstigde heeft American Express het recht om de voorwaarden van deze Overeenkomst met betrekking tot de acceptatie van American Express-creditcards rechtstreeks jegens u af te dwingen. U erkent en gaat ermee akkoord dat American Express geen enkele verantwoordelijkheid of aansprakelijkheid draagt met betrekking tot de verplichtingen van PayPal ten aanzien van u onder deze Overeenkomst.

5.5.6 Fysieke creditcardbetaling, onbeheerde terminals en betaalkiosks

U mag onder deze Overeenkomst voor geen enkele betaling een American Express-creditcard accepteren wanneer de creditcard (i) op een fysiek transactie- of verkooppunt wordt overhandigd; (ii) in een onbeheerde verkoopinrichting wordt gebruikt (bijv. klantgestuurde terminals) of (iii) aan een betaalkiosk wordt aangeboden. Bovendien is het verboden om aan een American Express-creditcardhouder die naar een fysieke locatie komt, een computer of online interface te verstrekken of beschikbaar te stellen waarmee de American Express-creditcardhouder toegang krijgt tot zijn/haar PayPal-rekening.

Terug naar boven

 

6. Intellectueel eigendom en ID-codes

6.1 Licentie. PayPal verleent u hierbij een niet-exclusieve, niet-overdraagbare, herroepbare, niet-sublicentieerbare, beperkte licentie om (a) uw Product te gebruiken in overeenstemming met de documentatie die op de PayPal-website wordt verstrekt; en (b) de documentatie die door PayPal voor uw Product wordt verstrekt, te gebruiken en te reproduceren voor intern gebruik binnen uw bedrijf. Uw Product, zoals gelicentieerd, kan worden gewijzigd en evolueert mee met de rest van het PayPal-systeem; zie paragraaf 9.1. U dient zich te houden aan de implementatie- en gebruikseisen die worden genoemd in alle PayPal-documentatie en instructies die bij het Product horen die door PayPal van tijd tot tijd worden verstrekt (waaronder, zonder beperking, implementatie- en gebruikseisen die PayPal aan u stelt om te voldoen aan toepasselijke wetgeving en kaartstelselregels en -voorschriften).

6.2 ID-codes. PayPal verstrekt u bepaalde identificatiecodes die specifiek zijn voor u. De codes dienen ter identificatie en authenticeren uw berichten en instructies voor ons, inclusief operationele instructies voor PayPal-software-interfaces. Het PayPal-systeem heeft deze codes mogelijk nodig om instructies van u (of uw website) te verwerken. Zorg dat niemand toegang heeft tot uw codes en dat ze niet worden blootgesteld aan partijen aan wie u geen toestemming heeft gegeven om namens u met PayPal te handelen. U stemt ermee in om van tijd tot tijd redelijke voorzorgsmaatregelen te treffen die door PayPal worden aangeraden om de veiligheid van deze identificatiecodes te waarborgen. Als u er niet in slaagt de codes zoals geadviseerd te beschermen, moet u PayPal hier zo snel mogelijk van op de hoogte stellen zodat PayPal de codes kan annuleren en opnieuw kan uitgeven. PayPal kan de codes ook annuleren en opnieuw uitgeven als er reden is om aan te nemen dat de veiligheid ervan in het gedrang is gekomen, na kennisgeving aan u wanneer dit redelijkerwijs mogelijk is.

6.3 Eigendom van informatie en materialen voor aangepaste interface. Als onderdeel van uw toegang tot en gebruik van het product krijgt u bepaalde informatie en materialen (de 'Productmaterialen') om met het Product te gebruiken. Alle intellectuele eigendomsrechten die verband houden met deze materialen, blijven eigendom van PayPal of de betreffende Accepterende instelling (afhankelijk van de situatie). U stemt ermee in Productmaterialen aan niemand te geven, over te dragen, toe te wijzen, te vernieuwen, te verkopen of door te verkopen (hetzij gedeeltelijk of geheel).

6.4 'Door PayPal gehoste integraties' en uw intellectuele eigendom. U verleent PayPal hierbij een royaltyvrije, wereldwijde en niet-exclusieve licentie om uw naam, afbeeldingen, logo's, handelsmerken, servicemerken en/of handelsnamen, of die van uw dochterondernemingen, te gebruiken zoals u die aan PayPal verstrekt bij uw gebruik van het Product ('Uw merken') met als enig doel om uw gebruik van het Product mogelijk te maken (met inbegrip van, maar niet beperkt tot, het aanpassen van uw gehoste Product). Aanspraak op en eigendom van Uw merken en alle goodwill die voortvloeit uit het gebruik hiervan, blijft bij u berusten. U verklaart en garandeert dat u de bevoegdheid heeft om PayPal het recht te verlenen Uw merken te gebruiken en dat u PayPal zult vrijwaren van aansprakelijkheid en volledig gevrijwaard zult houden van alle claims of verliezen die u lijdt als gevolg van het gebruik van Uw merken in verband met het Product.

Terug naar boven

 

7. Filters voor fraudepreventie bij de aangepaste interface

Als Filters voor fraudepreventie bij de aangepaste interface aan u worden aangeboden en u ervoor kiest deze te gebruiken, zijn de voorwaarden in Schema 3 van toepassing op uw gebruik van deze functie.

Terug naar boven

 

8. Beëindiging en opschorting

8.1 Door u.

  1. U kunt het gebruik van het Product op elk moment stopzetten door de Klantenservice van PayPal vooraf op de hoogte te stellen van uw intentie om het gebruik van alleen het Product stop te zetten. Voor onze contactgegevens gaat u naar de pagina <Hulp en contact>, die u kunt openen via de Gebruikersovereenkomst en de meeste PayPal-webpagina's. De Klantenservice van PayPal bevestigt de beëindiging via e-mail. Met deze optie kunt u het gebruik van het Product en de betaling van toekomstige transacties stopzetten, maar blijft uw PayPal-rekening open en blijven deze Overeenkomst en de Gebruikersovereenkomst van kracht. U kunt het gebruik van het Product op elk moment hervatten, conform de voorwaarden van deze Overeenkomst zoals gewijzigd. 
  2. U kunt uw aanvaarding van American Express-creditcardbetalingen met het Product op elk moment stopzetten door de Klantenservice van PayPal hier vooraf van in kennis te stellen. Ga naar onze pagina <Hulp en contact> via uw Gebruikersovereenkomst en de meeste PayPal-webpagina's voor onze contactgegevens.
  3. U kunt deze Overeenkomst op elk moment beëindigen door de Klantenservice van PayPal vooraf op de hoogte te stellen van uw intentie om de PayPal-rekening die u met het Product gebruikt, te sluiten (zie de Gebruikersovereenkomst voor meer informatie).  Ga naar onze pagina <Hulp en contact> via uw Gebruikersovereenkomst en de meeste PayPal-webpagina's voor onze contactgegevens. De Klantenservice van PayPal bevestigt de beëindiging via e-mail. Met deze optie beëindigt u deze Overeenkomst waardoor u het gebruik van het Product en de betaling van toekomstige transacties kunt stopzetten en de sluitingsprocedure van uw PayPal-rekening kunt starten. Uw PayPal-rekening blijft open en de Gebruikersovereenkomst blijft van kracht tot de PayPal-rekening gesloten is, met inachtneming van de bepalingen met betrekking tot het sluiten van uw PayPal-rekening in de Gebruikersovereenkomst.

8.2 Door PayPal. PayPal kan deze Overeenkomst of een onderdeel ervan dat specifiek verband houdt met het Product, beëindigen met een van de volgende handelingen:

  1. U 2 maanden van tevoren via e-mail op de hoogte stellen op het e-mailadres dat bij uw Rekening is geregistreerd van de intentie van PayPal om deze Overeenkomst of een Productspecifiek onderdeel te beëindigen. Tenzij anders aangegeven is de beëindiging van deze Overeenkomst niet van invloed op uw Gebruikersovereenkomst en blijft uw PayPal-rekening open.
  2. De Gebruikersovereenkomst beëindigen die van toepassing is op de PayPal-rekening die u met uw Product gebruikt. Uw PayPal-rekening blijft open en de Gebruikersovereenkomst blijft van kracht tot de PayPal-rekening gesloten is, met inachtneming van de bepalingen met betrekking tot het sluiten van uw PayPal-rekening in de Gebruikersovereenkomst.

8.3 Bij bepaalde gebeurtenissen. PayPal kan deze Overeenkomst onmiddellijk zonder kennisgeving beëindigen als:

  1. U deze Overeenkomst of de Gebruikersovereenkomst schendt;
  2. U niet langer in staat bent te betalen of uw verplichtingen na te komen op het moment dat ze verschuldigd zijn;
  3. U insolvent wordt onder de insolventiewetgeving die op u van toepassing is;
  4. Enige beslaglegging, tenuitvoerlegging of soortgelijke actie op u of uw activa wordt uitgevoerd, geheven of afgedwongen, of als een derdenbeslagorder aan u wordt uitgevaardigd of betekend;
  5. U wordt onderworpen aan een ingediend(e) aanvraag, bevel of besluit om een procedure te starten onder een insolventiewet die op u van toepassing is met betrekking tot uw gehele bedrijf of een aanzienlijk deel ervan, behalve wanneer solvente fusie of reorganisatie wordt voorgesteld op voorwaarden die eerder zijn goedgekeurd door PayPal;
  6. U volledige en onbeperkte controle over al uw activa of een deel ervan verliest door de benoeming van een curator, beheerder, trustee, vereffenaar of soortgelijke functionaris;
  7. U een gerechtelijk akkoord of regeling aangaat met of voorstelt aan uw schuldeisers (of een groep van uw schuldeisers) met betrekking tot uw schulden;
  8. Een ongunstige materiële verandering in uw bedrijf, activiteiten of financiële toestand optreedt; of
  9. U onjuiste informatie verstrekt bij het aanvragen van uw Product of in uw omgang met ons.

8.4 Uitvoering van beëindiging. Wanneer deze Overeenkomst of een deel ervan wordt beëindigd, moet u het gebruik van het beëindigde Product onmiddellijk stopzetten en kan PayPal het gebruik na de beëindigen voorkomen of belemmeren. Indien u het Product na beëindiging van deze Overeenkomst toch gebruikt, blijft deze Overeenkomst van toepassing op uw gebruik van het Product totdat u uitvoering geeft aan de beëindiging door het Product niet langer te gebruiken. De volgende delen van deze Overeenkomst blijven van volledig van kracht na beëindiging van deze overeenkomst: artikel 2 en paragrafen 4.1, 8.2, 8.4. Beëindiging van deze Overeenkomst of enig deel ervan is niet van invloed op de rechten, verhaalmogelijkheden of verplichtingen van de partijen die vóór de beëindiging zijn ontstaan of verschuldigd zijn geworden, en u heeft geen recht op restitutie van maandelijkse kosten die van toepassing zijn op een periode voorafgaand aan de beëindiging.

8.5 Inbreuk en opschorting. Indien u inbreuk pleegt op deze Overeenkomst, de Gebruikersovereenkomst of een beveiligingsvereiste die door PCI DSS is opgelegd, kan PayPal het gebruik van uw Product onmiddellijk opschorten (met andere woorden, mogelijk maken we uw Product tijdelijk onbruikbaar). PayPal kan van u eisen bepaalde corrigerende maatregelen te treffen om de inbreuk recht te zetten en de opschorting op te heffen, hoewel niets in deze Overeenkomst PayPal ervan weerhoudt de rechtsmiddelen ten uitvoer te brengen waarover we mogelijk voor inbreuk beschikken. Als PayPal bovendien redelijkerwijs vermoedt dat u inbreuk pleegt op deze Overeenkomst of PCI DSS, kan Paypal uw gebruik van uw Product opschorten in afwachting van nader onderzoek.

Als PayPal uw toegang tot het Product opschort, zal PayPal u hiervan in kennis stellen en uitleggen op welke basis PayPal uw gebruik van het Product heeft opgeschort, en mogelijk corrigerende maatregelen specificeren om de inbreuk recht te zetten en de opschorting op te heffen. De opschorting door PayPal van het gebruik van het Product door de Webwinkel blijft van kracht totdat PayPal ervan is verzekerd dat de Webwinkel de relevante inbreuk(en) heeft verholpen.

 

Terug naar boven

 

9. Diversen

9.1 Toekomst van het Product. PayPal bepaalt geheel naar eigen goeddunken (a) de toekomstig evolutie en ontwikkeling van het Product, (b) welke verbeteringen worden toegepast en wanneer, en (c) of en wanneer gebreken moeten worden gecorrigeerd en nieuwe functies moeten worden geïntroduceerd. PayPal staat open voor feedback van gebruikers bij het plannen van de toekomst van het Product, maar is niet verplicht te handelen in overeenstemming met de ontvangen feedback. Wanneer u ons feedback geeft, gaat u ermee akkoord dat u geen aanspraak maakt op intellectueel eigendom van uw feedback.

9.2 Geen garantie. Uw Product en alle bijbehorende documentatie worden aan u verstrekt in de huidige staat 'as is'.

PayPal geeft of biedt geen enkele garantie, expliciet noch impliciet, van rechtswege of anderszins, met betrekking tot:

  • uw Product;
  • de gelicentieerde software; en
  • de verstrekte gebruikersdocumentatie.

Niets dat door PayPal onder deze Overeenkomst of anderszins voor uw Product wordt verstrekt, heeft de toestemming van PayPal om een garantie te bevatten.

Er ontstaat geen enkele verplichting of aansprakelijkheid wanneer PayPal het volgende verstrekt:

  • Technisch advies;
  • programmeeradvies; en
  • ander(e) advies of service,

in verband met het Product, gelicentieerde software en verstrekte gebruikersdocumentatie. Dit omvat onder andere services die u kunnen helpen bij het aanpassen van uw Product.

PayPal raadt aan de implementatie van uw Product grondig te testen, aangezien PayPal niet verantwoordelijk is voor enig verlies dat wordt veroorzaakt door een defect in het Product.

Als PayPal uw product host (met andere woorden, wij voeren de software voor u uit als webservice), garandeert PayPal geen continue, ononderbroken of beveiligde toegang tot uw gehoste product.

PayPal is niet aansprakelijk voor enige vertraging of storing in de hosting van uw Product.

U erkent dat de beschikbaarheid van uw Product af en toe kan worden beperkt in verband met herstel, onderhoud of de introductie van nieuwe voorzieningen of services.

In sommige landen is de afwijzing van impliciete garanties niet toegestaan, dus de bovenstaande disclaimers zijn mogelijk niet op u van toepassing.

9.3 Schadeloosstelling. U stemt ermee in Paypal schadeloos te stellen en op doorlopende basis volledig gevrijwaard te houden van directe verliezen, schade en aansprakelijkheid en van alle claims, eisen of kosten (met inbegrip van redelijke kosten voor juridische bijstand) die zijn gemaakt met betrekking tot een derde partij (inclusief een Gedeelde klant) en die voortvloeien uit uw schending van deze Overeenkomst, de Gebruikersovereenkomst en de documenten die daarin zijn opgenomen door middel van verwijzing (inclusief het Beleid inzake redelijk gebruik), of de overtreding van wetten.

9.4 Toewijzing, wijziging en verklaring van afstand. U mag deze Overeenkomst niet toewijzen zonder voorafgaande schriftelijke toestemming van PayPal. PayPal kan deze Overeenkomst na kennisgeving zonder uw toestemming toewijzen, vernieuwen of anderszins overdragen. Geen van de partijen mag deze Overeenkomst wijzigen of afstand doen van de hieraan verbonden rechten, behalve in een schriftelijk document dat door beide partijen is ondertekend.

9.5 Engelse wet en jurisdictie. Op deze Overeenkomst is het recht van Engeland en Wales van toepassing. U en wij onderwerpen ons aan de niet-exclusieve bevoegdheid van de rechtbanken van Engeland en Wales.

 

Terug naar boven

 

10. Definities

Termen met een hoofdletter die niet in dit artikel zijn opgenomen, worden in de Gebruikersovereenkomst gedefinieerd.

3D Secure: een beveiligingsprocedure die de kaartuitgevende bank in staat stelt de kaarthouder die een Kaarttransactie autoriseert, te authenticeren op het moment dat de betaling wordt verricht. 3D Secure heeft andere merknamen afhankelijk van de Kaartmaatschappij waarvan het merk op de creditcard staat; merknamen voor 3D Secure zijn onder andere Verified by Visa en Mastercard SecureCode.

Accepterende instelling: een financiële instelling of bank die services aan u en PayPal verleent om u in staat te stellen (a) betalingen te accepteren van kaarthouders met behulp van een creditcard, en (b) waarde te ontvangen met betrekking tot Kaarttransacties.

Activeringsdatum: de datum waarop u alle stappen voor 'Aan de slag' heeft voltooid, zoals vermeld in artikel 1 hierboven.

Geavanceerde filters voor fraudepreventie: technologie die door PayPal wordt geleverd om u in staat te stellen creditcardbetalingen te controleren aan de hand van criteria zoals het factuuradres van de kaarthouder (Adresverificatieservice of AVS), de CVV2-gegevens van de creditcard en databases met verdachte adressen, identificatoren en patronen. Ga naar de PayPal-website en bekijk de productdocumentatie voor meer informatie. Geavanceerde filters voor fraudepreventie bieden een hoger niveau van controle, en transacties kunnen automatisch worden gemarkeerd, beoordeeld of geweigerd, afhankelijk van de filterconfiguratie.

AVS-gegevens: informatie die wordt geretourneerd door het Adresverificatiesysteem dat door of namens de Kaartmaatschappijen wordt beheerd, dat adresgegevens die door een kennelijke kaarthouder zijn opgegeven, vergelijkt met adresgegevens die bij de kaartuitgevende instantie voor de creditcard zijn opgeslagen.

Kaartmaatschappij: een bedrijf of consortium van financiële instellingen dat regels uitvaardigt voor het beheer van Kaarttransacties die worden verricht met de creditcard die het merk van het bedrijf of consortium draagt. Voorbeelden hiervan zijn Visa USA, Visa Europe en andere Visa-regio's, Mastercard International Incorporated; American Express Company en soortgelijke organisaties.

Kaartgegevens: alle persoonlijke of financiële gegevens die relevant zijn voor een Kaarttransactie, inclusief gegevens die op de creditcard zelf staan (hetzij door de mens leesbaar, hetzij digitaal), samen met de naam en het adres van de kaarthouder en andere gegevens die nodig zijn om een Kaarttransactie te verwerken.

Kaarttransactie: een betaling die wordt verricht met een creditcard of betaalpas, een American Express-creditcard of een andere betaalmethode die gebruikmaakt van een fysieke gegevensdrager die is bedoeld om in het bezit van de betaler te blijven. De Producten ondersteunen alleen bepaalde soorten Kaarttransacties; ga naar de PayPal-website voor meer informatie.

Kritieke systemen: de informatietechnologie (zowel hardware als software) die u hanteert om uw Product te gebruiken, om uw Product en online verkooppunten tegen inbreuk en verstoring te beschermen en om betalings- en persoonsgegevens op te slaan, waaronder alle Kaartgegevens die u bewaart en alle persoonsgegevens over Gedeelde klanten.

API voor aangepaste interface: een Online creditcardbetaalservice zoals nader omschreven in het gedeelte Over deze Overeenkomst.

Filters voor fraudepreventie bij de aangepaste interface: technologie die door PayPal wordt geleverd om u in staat te stellen creditcardbetalingen te controleren aan de hand van criteria zoals het factuuradres van de kaarthouder (Adresverificatieservice of AVS), de CVV2-gegevens van de creditcard en databases met verdachte adressen, identificatoren en patronen, aangeboden in combinatie met de API voor aangepaste interface als alternatief voor de Geavanceerde filters voor fraudepreventie.

Aangepaste interface: een Product zoals nader omschreven in het gedeelte Over deze Overeenkomst.

CVV2-gegevens: het driecijferige nummer rechts van het kaartnummer in het handtekeningvenster op de achterkant van de kaart. (Voor American Express-creditcards is deze code een viercijferig nummer (niet in reliëf) boven het kaartnummer op de voorkant van de American Express-kaart.) De CVV2-gegevens zijn uniek voor elke individuele plastic kaart en koppelt het creditcardrekeningnummer aan de plastic kaart.

Gegevensinbreuk: een inbreuk op of storing van een computersysteem waarop de Kaartgegevens zijn opgeslagen, en waarbij de inbreuk of storing (a) alle of een deel van de Kaartgegevens in het systeem blootstelt, wijzigt of vernietigt, of (b) naar de mening van een bevoegde deskundige op het gebied van informatiebeveiliging een aanzienlijk risico inhoudt om alle of een deel van de Kaartgegevens in het systeem bloot te stellen, te wijzigen of vernietigen. Kaartgegevens worden blootgesteld wanneer ze zonder toestemming worden vrijgegeven van de normale toegangscontroles van het systeem, of wanneer ze daadwerkelijk aan een of meer onbevoegde personen bekend worden gemaakt.

Algemene Verordening Gegevensbescherming: Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming) of enige vervolgverordening, samen met alle andere wetten over de privacy van burgers of inwoners van de lidstaat van de Europese Economische Ruimte waarin u woont of als onderneming bent gevestigd.

Express Checkout: functionaliteit voor het versnellen van de online betaalprocedure bij winkels met behulp van de informatie die door PayPal aan u wordt verstrekt. Details over Express Checkout vindt u op de PayPal-website en in de documentatie die PayPal voor het Product verstrekt.

Hostingoptie: een van de volgende opties: (i) een 'Door PayPal gehoste integratie'; of (ii) een 'Door uzelf gehoste integratie'.

Online creditcardbetaalservice: functionaliteit die online door PayPal ter beschikking wordt gesteld om webwinkels in staat te stellen betalingen rechtstreeks van de creditcard van een betaler te ontvangen (zonder dat het geld via de PayPal-rekening van de betaler gaat), zonder dat de creditcard op de website of een ander verkooppunt aanwezig is. Online creditcardbetaalservices zijn een integraal onderdeel van het Product. De Online creditcardbetaalservice is nader omschreven in het gedeelte Over deze overeenkomst.

Door PayPal gehoste integratie: de API voor aangepaste interface die in de betaalprocedure van uw website is geïntegreerd conform artikel 1, waarbij die functionaliteit (inclusief het gehoste kaartinvoerveld) volledig op de server van PayPal (en niet op uw website) wordt beheerd.

PayPal-website: de website die door PayPal wordt verstrekt voor het land waarin u woont. Voor Frankrijk is de PayPal-website bijvoorbeeld momenteel http://www.paypal.fr en voor Duitsland is de website www.paypal.de. Verwijzingen naar PayPal-websites voor andere landen vindt u via een link op elke PayPal-website.

PCI DSS: Payment Card Industry Data Security Standard, bestaande uit specificaties die door Kaartmaatschappijen zijn voorgeschreven om de gegevensbeveiliging van Kaarttransacties te waarborgen. Een kopie van PCI DSS is online beschikbaar via https://www.pcisecuritystandards.org/.

Product: 'Uw product' is het Product waartoe u toegang heeft en dat u gebruikt nadat u deze Overeenkomst heeft geaccepteerd. Het Product is nader omschreven in het gedeelte Over deze overeenkomst.

Gekwalificeerde beveiligingsassessor heeft de betekenis die het in PCI DSS heeft gekregen.

Tool voor terugkerende betalingen: technologie die door PayPal ter beschikking wordt gesteld om betalingen in te stellen die met toestemming van de betaler op bepaalde intervallen of frequenties terugkeren. Ga naar de PayPal-website en bekijk de productdocumentatie voor meer informatie.

Door uzelf gehoste integratie: het Product dat in de betaalprocedure van uw website is geïntegreerd conform artikel 1, waarbij die functionaliteit ten minste gedeeltelijk op uw website wordt beheerd (inclusief het gehoste kaartinvoerveld).

Gedeelde klant: een persoon die een PayPal-rekening heeft en ook uw klant is.

Standaard PayPal-betalingen: alle betalingen die u ontvangt van een andere PayPal-rekening, via de service 'PayPal-rekening optioneel' of via Lokale betaalmethoden.

Gebruikersovereenkomst: het contract dat online is aangegaan als onderdeel van het online registratieproces dat vereist is om een PayPal-rekening te openen. De huidige Gebruikersovereenkomst is beschikbaar via een link vanuit de voettekst op vrijwel elke pagina van de PayPal-website. Deze bevat bepaalde beleidslijnen, met name het Beleid inzake redelijk gebruik en de Privacyverklaring, die ook op de PayPal-website staan.

 

Schema 1
Vereisten op het gebied van gegevensbeveiliging

 

Met de aangepaste interface van PayPal kunt u online betalingen rechtstreeks van betaalpassen of creditcards accepteren; de beveiliging van deze betaalmiddelen is afhankelijk van het controleren van de openbaarmaking van Kaartgegevens. Een persoon die over voldoende Kaartgegevens beschikt kan een creditcardbetaling ten laste van de rekening van de kaarthouder overmaken of ontvangen zonder dat de kaarthouder de betaling autoriseert. Om te voorkomen dat de Kaartgegevens van uw Gedeelde klanten worden misbruikt, moet u de Kaartgegevens te allen tijde geheim houden. De Algemene Verordening Gegevensbescherming vereist ook dat u de persoonsgegevens van een Gedeelde klant beveiligt.

PayPal beveelt ten zeerste aan dat u een bevoegd professioneel expert op het gebied van informatiebeveiliging inschakelt om u te adviseren en te helpen bij het beveiligen van uw website en andere verkooppunten.

Principes van gegevensbeveiliging

  1. Ontwerp en ontwikkeling. U moet uw Kritieke systemen en alle betalingsgerelateerde processen zodanig ontwerpen en ontwikkelen dat ze beveiligd zijn tegen inbraak en verstoring door onbevoegden. Alle gebruikers van uw systemen moeten worden verplicht zich te verifiëren bij uw Kritieke systemen en deze Systemen moeten de toegang en bevoegdheden van hun gebruikers beperken. Zorg bij het organiseren van uw bedrijfsprocessen dat u kritieke taken gescheiden houdt en controles en controlepunten in uw activiteiten creëert, en geef niet te veel onbeteugelde macht over uw systemen en activiteiten aan één persoon. Geef een gebruiker nooit meer macht over uw systemen en processen dan het minimum dat de gebruiker nodig heeft om zijn of haar toegewezen rol te vervullen.
  2. Bescherming tegen inbraak. U moet uw activiteiten onderverdelen in twee basiscategorieën: (1) functies die beschikbaar zijn voor alle gebruikers, waaronder buiten uw organisatie, en (2) functies die alleen beschikbaar zijn voor vertrouwde mensen binnen uw organisatie. U moet een firewall gebruiken om te voorkomen dat niet-vertrouwde gebruikers toegang krijgen tot de functies van uw Kritieke systemen die alleen voor intern gebruik zijn. Uw webservers en andere externe delen van uw Kritieke systemen moeten goed ontwikkelde en grondig geteste technologie gebruiken en alleen functies extern beschikbaar stellen die Gedeelde klanten en andere externe gebruikers nodig hebben. Verwijder alle overbodige functies van uw externe servers om ze te beschermen (verstevigen) en hun kwetsbaarheid voor externe aanvallen te verminderen.
  3. Toegangscontroles. Uw Kritieke systemen moeten de toegang tot Kaartgegevens en alle andere persoonlijke of belangrijke gegevens beperken tot alleen vertrouwde personen binnen uw organisatie, en zij mogen niet meer toegang tot dergelijke gegevens hebben dan nodig is voor die persoon om zijn of haar rol te vervullen. Uw systemen moeten alle toegangs-, gebruiks-, wijzigings- en verwijderingsactiviteiten van Kaartgegevens en andere persoonlijke of belangrijke gegevens bijhouden en registreren, zodat u een auditspoor van alle dergelijke acties heeft. U moet ook de toegang beperken tot uw Kritieke systemen en de bronnen waarvan ze afhankelijk zijn, zoals netwerken, firewalls en databases.
  4. Gegevensminimalisatie. Als algemeen principe moet u niet meer Kaartgegevens of andere gevoelige gegevens verzamelen en bewaren dan u nodig heeft. Het bewaren van Kaartgegevens en persoonsgegevens vormt een aansprakelijkheidsrisico voor u, en u kunt dat risico verminderen door minder gegevens te verzamelen en te bewaren. Als u Kaartgegevens bewaart, bedenk dan goed of het nodig is: Wanneer de autorisatie van een betaler ontbreekt, moet PayPal de betaling terugstorten. Bij een nieuwe poging zal de betaler u over het algemeen ook opnieuw up-to-date Kaartgegevens verstrekken. Mogelijk heeft u er dus maar weinig aan om Kaartgegevens te bewaren voor toekomstig gebruik. Kaartgegevens die u niet heeft, kunnen ook niet in het geding raken als u het slachtoffer bent van Gegevensinbreuk.
  5. Wijzigingen en testen. Behalve in noodgevallen is het beter niets in Kritieke systemen te wijzigen zonder de wijziging eerst te plannen, testen en documenteren, tenzij het een routineuze wijziging betreft (bijv. een gebruiker toevoegen, een wachtwoord wijzigen, voorraad en prijzen bijwerken). Ingrijpende systeemwijzigingen of wijzigingen die van invloed kunnen zijn op de beveiliging of beschikbaarheid van uw Kritieke systemen, moeten worden geëscaleerd voor goedkeuring door andere hooggeplaatste managers dan de planners van die wijzigingen. Voer geplande wijzigingen in uw productiesystemen pas door nadat ze grondig zijn getest in een niet-productieomgeving. Voer al dergelijke testen uit onder toezicht van uw risicobeheerafdeling of anderen in uw bedrijf met bijzondere verantwoordelijkheid voor bedrijfsverliezen.
  6. Audits. U moet de werking en beveiliging van uw Kritieke systemen ten minste eenmaal per jaar controleren. Deze systeemaudit moet losstaan van audits van uw financiën. Gebruik vertrouwde en onafhankelijke experts om uw Kritieke systemen te controleren, en als u uw werknemers als auditors gebruikt, garandeer hun onafhankelijkheid dan door hun dienstverband te beschermen tegen vergelding en door hen af te schermen van de werkzaamheden omtrent het beheren, bedienen, wijzigen en testen van uw Kritieke systemen.
  7. Outsourcing en organisatiecontrole. U moet ervoor zorgen dat alle personen die toegang hebben tot uw Kritieke systemen, of die uw Kritieke systemen ontwerpen, ontwikkelen, exploiteren, onderhouden, wijzigen, testen en controleren, deze Overeenkomst en PCI DSS naleven. U bent verantwoordelijk voor de naleving, zelfs als dergelijke personen niet uw werknemers zijn.

Wat te doen bij Gegevensinbreuk

  1. Gegevensinbreuk. Als er sprake is van Gegevensinbreuk, stemt u ermee in het volgende te doen:
    1. Neem direct na het ontdekken van de Gegevensinbreuk alle mogelijke maatregelen om de Gegevensinbreuk te stoppen en de gevolgen ervan zoveel mogelijk te beperken.
    2. Informeer PayPal zo snel mogelijk nadat u de Gegevensinbreuk heeft ontdekt door contact op te nemen met uw accountmanager (als er een aan u is toegewezen) of met onze Klantenservice (zie de pagina Contact met ons opnemen voor details). Als u niet tegelijkertijd (a) kunt uitvoeren en PayPal kunt informeren, voltooit u eerst (a) en informeert u daarna PayPal.
    3. Informeer alle Gedeelde klanten van wie de Kaartgegevens (waarschijnlijk) zijn blootgesteld, zodat die Gedeelde klanten stappen kunnen ondernemen om misbruik van de Kaartgegevens te voorkomen. U stemt er verder mee in deze kennisgeving onmiddellijk te voltooien nadat u (a) en (b) hierboven heeft uitgevoerd, PayPal op de hoogte te stellen wanneer u deze kennisgeving heeft voltooid en een lijst te verstrekken met de Gedeelde klanten die u heeft geïnformeerd. Als u deze stap niet onmiddellijk na de Gegevensinbreuk voltooit, kan PayPal Gedeelde klanten over de Gegevensinbreuk informeren. PayPal controleert dan wie u op uw PayPal-rekening heeft betaald met een kaart om deze Gedeelde klanten te identificeren.
    4. Op verzoek van PayPal dient u een door PayPal goedgekeurde, onafhankelijke externe auditor in te schakelen om een beveiligingsaudit van uw kritieke systemen uit te voeren en een rapport op te stellen. U stemt ermee in om op eigen kosten aan het in dit artikel beschreven verzoek van PayPal te voldoen. U moet een kopie van het auditrapport aan PayPal verstrekken en PayPal mag kopieën hiervan verstrekken aan de banken (met inbegrip van, maar niet beperkt tot, Accepterende instellingen) en Kaartmaatschappijen die betrokken zijn bij de verwerking van kaarttransacties voor PayPal. Als u niet binnen 10 werkdagen na het verzoek van PayPal een beveiligingsaudit uitvoert, kan PayPal een dergelijke audit op uw kosten uitvoeren of verkrijgen. Zie ook Schema 1 over Audits.
    5. Werk samen met PayPal en volg alle redelijke instructies van PayPal om de gevolgen van de Gegevensinbreuk te voorkomen of te beperken, om uw Kritieke systemen te verbeteren zodat ze voldoen aan de vereisten van deze Overeenkomst en om toekomstige Gegevensinbreuken te helpen voorkomen. PayPal zal u echter niet vragen meer te doen dan deze Overeenkomst vereist, tenzij de aanvullende maatregelen redelijk zijn in verband met het risico voor Gedeelde klanten en de best practices van online retail.
    6. Hervat het reguliere gebruik van uw Kritieke systemen pas nadat u heeft vastgesteld hoe de Gegevensinbreuk heeft plaatsgevonden en alle redelijke stappen heeft genomen om de kwetsbaarheden te elimineren die de Gegevensinbreuk mogelijk hebben gemaakt of die andere Gegevensinbreuken mogelijk zouden kunnen maken;
    7. Meld de Gegevensinbreuk aan wetshandhavingsinstanties, werk mee aan elk onderzoek dat deze instanties uitvoeren en verleen medewerking op verzoek van de autoriteiten om de dader van de Gegevensinbreuk te identificeren en aan te houden.
    8. Gebruik geen Kaartgegevens die door de Gegevensinbreuk zijn blootgesteld of gewijzigd. Dit artikel belet u echter niet opnieuw Kaartgegevens te verkrijgen en te gebruiken van Gedeelde klanten die getroffen zijn door de Gegevensinbreuk, nadat de kwetsbaarheden in uw Kritieke systemen zijn verholpen overeenkomstig (f) hierboven.

Gegevensbescherming

  1. Zie schema 2 voor termen inzake Gegevensbescherming.
  2. Opzettelijk blanco gelaten.

Kaartgegevens en PCI DSS

  1. Bewaring van Kaartgegevens. Tenzij u de uitdrukkelijke toestemming van de kaarthouder ontvangt en registreert, mag u geen Kaartgegevens bewaren, volgen, bewaken of opslaan. U moet alle Kaartgegevens die u bewaart of in uw bezit heeft volledig en veilig vernietigen binnen 24 uur nadat u een autorisatiebesluit van de uitgevende instantie heeft ontvangen dat relevant is voor die Kaartgegevens.

    Als u, met toestemming van de kaarthouder, Kaartgegevens kort bewaart, mag u dit alleen doen voor zover de Kaartgegevens nodig zijn voor het verwerken van betaaltransacties met autorisatie van de kaarthouder. U mag de bewaarde Kaartgegevens nooit aan iemand geven of bekendmaken, zelfs niet als onderdeel van de verkoop van uw bedrijf. Bovendien, en ongeacht het tegendeel, mag u nooit de kaartverificatie- en identificatiegegevens op de handtekeningstrook op de achterkant van de kaart (d.w.z. de CVV2-gegevens) bewaren of bekendmaken, zelfs niet met toestemming van de kaarthouder.
  2. Kaartgegevens die u niet mag bewaren. Niettegenstaande het direct voorafgaande artikel stemt u ermee in om geen gegevens van uw persoonlijke identificatienummer (pincode), AVS-gegevens, CVV2-gegevens of gegevens verkregen via de magneetstrip of andere digitale opslagfaciliteit op de kaart van een kaarthouder op te slaan (tenzij die gegevens afgedrukt of in reliëf op de voorkant van de kaart staan). Kaartmaatschappijen kunnen boetes opleggen als u dit artikel overtreedt, waarin de regels van maatschappijen worden beschreven. In dit artikel betekent 'opslaan' bewaren in welke vorm dan ook, hetzij digitaal, elektronisch, op papier of anderszins, maar niet het tijdelijk registreren en vasthouden van gegevens terwijl deze actief worden verwerkt (maar niet achteraf).
  3. Gebruik van Kaartgegevens door de Webwinkel. U stemt ermee in om geen Kaartgegevens te gebruiken of bekend te maken, behalve voor het verkrijgen van autorisatie van de kaartuitgevende instantie, het voltooien en afhandelen van de Kaarttransactie waarvoor de Kaartgegevens aan u zijn verstrekt, of het oplossen van een Terugvorderings- of Terugboekingsgeschil of soortgelijke problemen met betrekking tot Kaarttransacties. PayPal is volgens de bankwetgeving verplicht om betalingen zonder autorisatie van de betaler terug te betalen, dus uw gebruik van Kaartgegevens voor het uitvoeren van een Kaarttransactie moet door de kaarthouder worden geautoriseerd, anders kan deze worden teruggeboekt.
  4. Veilige opslag en verwijdering van Kaartgegevens. U stemt ermee in:
    1. voldoende controlemaatregelen in te stellen en te onderhouden om de toegang tot alle records met Kaartgegevens te beperken;
    2. Kaartgegevens of informatie verkregen in verband met een Kaarttransactie niet te verkopen of bekend te maken aan een derde;
    3. geen Kaartgegevens te bewaren op papier of in draagbare digitale opslagapparaten zoals USB-geheugenapparaten of verwisselbare schijven;
    4. de elektronisch vastgelegde handtekeningen van kaarthouders niet te reproduceren, behalve op specifiek verzoek van PayPal; en
    5. Kaartgegevens te vernietigen door het medium waarop de Kaartgegevens zijn opgeslagen te vernietigen of door de Kaartgegevens volledig en onomkeerbaar te wissen of onbegrijpelijk en betekenisloos te maken.

      Als u uw bedrijf overdraagt, zijn Kaartgegevens en alle informatie die u heeft over Kaarttransacties onder de Kaartmaatschappijregels niet overdraagbaar als activa van het bedrijf. In dergelijke gevallen stemt u ermee in om de Kaartgegevens en eventuele transactiegegevens aan PayPal te verstrekken indien daarom wordt gevraagd. Als PayPal niet om dergelijke gegevens vraagt, moet u deze vernietigen wanneer u uw bedrijf overdraagt.
  5. PCI DSS-audit. Als PayPal daarom vraagt, stemt u ermee in dat een Gekwalificeerde beveiligingsassessor een beveiligingsaudit van uw systemen, controlemechanismen en faciliteiten kan uitvoeren en een rapport aan PayPal en de Maatschappijen kan verstrekken. U stemt ermee in volledig mee te werken aan de uitvoering van deze audit en alle informatie en toegang tot uw systemen te verstrekken die de auditor nodig heeft voor de uitvoering van de audit. U stemt er ook mee in de redelijke kosten van deze audit voor uw rekening te nemen. Als u een dergelijke audit niet start nadat PayPal u hierom heeft gevraagd, machtigt u PayPal om dergelijke actie op kosten van de Webwinkel te ondernemen, of kan PayPal uw gebruik van uw Product onmiddellijk opschorten. U ontvangt een kopie van het auditrapport en PayPal moet ook een kopie ontvangen en een kopie verstrekken aan elke Accepterende instelling of Kaartmaatschappij die een kopie aanvraagt.

 

Schema 2

SCHEMA VAN GEGEVENSBESCHERMING

Dit Schema van gegevensbescherming is alleen van toepassing voor zover PayPal optreedt als verwerker of Subverwerker voor de Webwinkel. Termen met een hoofdletter die worden gebruikt maar niet zijn gedefinieerd in dit Schema hebben de betekenis die is uiteengezet in de Overeenkomst.

1 DEFINITIES EN INTERPRETATIE

1.1 De volgende termen hebben de volgende betekenissen wanneer ze in dit Schema worden gebruikt:

'Kaartgegevens' is gedefinieerd in artikel 2.15 van dit Schema.

'Klant' betekent een klant uit de Europese Unie van een Webwinkel die de PayPal-services gebruikt en voor de doeleinden van dit Schema een betrokkene is.

'Klantgegevens' betekent de persoonsgegevens die de Klant aan de Webwinkel verstrekt en die de Webwinkel doorgeeft aan PayPal via het gebruik van de PayPal-services door de Webwinkel.

'verwerkingsverantwoordelijke' (of eenvoudigweg 'verantwoordelijke') en 'gegevensverwerker' (of eenvoudigweg 'verwerker') en 'betrokkene' hebben de betekenis die in de Wetgeving inzake gegevensbescherming is vastgelegd.

'Wetgeving inzake gegevensbescherming' betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG) en eventuele bijbehorende regelgeving of instrumenten en alle andere wetten inzake gegevensbescherming, regelgeving, wettelijke vereisten en gedragscodes van EU-lidstaten die van toepassing zijn op de levering van de PayPal-services.

'Gegevensontvanger' is gedefinieerd in artikel 2.15 van dit Schema.

'PayPal-groep' betekent PayPal en alle bedrijven waarin PayPal of zijn opvolger van tijd tot tijd direct of indirect eigenaar of beheerder is.

'persoonsgegevens' heeft de betekenis zoals vermeld in de Wetgeving inzake gegevensbescherming.

'verwerking' heeft de betekenis zoals vermeld in de Wetgeving inzake gegevensbescherming. Verwante termen ('verwerken', 'verwerkt', 'proces', 'processen') worden dienovereenkomstig geïnterpreteerd.

'Subverwerker' betekent elke verwerker die door PayPal en/of zijn dochterondernemingen is betrokken bij de verwerking van persoonsgegevens.

1.2 Schema. Dit Schema omvat (i) artikelen 1 tot 2, die de hoofdtekst van het schema vormen; (ii) Bijlage 1; (iii) Bijlage 2; en (iv) Bijlage 3 (met bijbehorende aanhangsels).

 

2 VERWERKING VAN PERSOONSGEGEVENS IN VERBAND MET DE SERVICES

2.1 Webwinkel als verwerkingsverantwoordelijke. Met betrekking tot Klantgegevens die PayPal moet verwerken in verband met deze Overeenkomst, zal de Webwinkel een verwerkingsverantwoordelijke en PayPal een verwerker zijn met betrekking tot een dergelijke verwerking. De Webwinkel is als enige verantwoordelijk voor het bepalen van de doeleinden waarvoor en de manier waarop Klantgegevens worden of zullen worden verwerkt.

2.2 Schriftelijke instructies van Webwinkel. PayPal verwerkt Klantgegevens alleen namens en in overeenstemming met de schriftelijke instructies van de Webwinkel. De partijen komen overeen dat dit Schema de volledige en definitieve schriftelijke instructie van de Webwinkel aan PayPal is met betrekking tot Klantgegevens. Aanvullende instructies buiten het bestek van dit Schema (indien van toepassing) vereisen voorafgaande schriftelijke instemming tussen PayPal en de Webwinkel, inclusief instemming met eventuele extra kosten die de Webwinkel aan PayPal moet betalen voor het uitvoeren van dergelijke aanvullende instructies. De Webwinkel zal ervoor zorgen dat zijn instructies voldoen aan alle toepasselijke wetten, inclusief de Wetgeving inzake gegevensbescherming, en dat de verwerking van Klantgegevens in overeenstemming met de instructies van de Webwinkel PayPal niet in strijd zal brengen met de Wetgeving inzake gegevensbescherming. De bepalingen van dit Artikel zijn onderworpen aan de bepalingen van Paragraaf 2.14 over Beveiliging. De Webwinkel geeft PayPal hierbij opdracht om Klantgegevens te verwerken voor de volgende doeleinden:

2.2.1 zoals redelijkerwijs noodzakelijk is om de PayPal-services aan de Webwinkel en diens Klant te leveren;

2.2.2 na het anonimiseren van de Klantgegevens, om die geanonimiseerde Klantgegevens (die niet langer identificeerbare persoonsgegevens zijn) direct of indirect te gebruiken, voor welk doel dan ook.

2.3 Samenwerking met PayPal. Met betrekking tot Klantgegevens die door PayPal worden verwerkt in het kader van deze Overeenkomst zal PayPal met de Webwinkel samenwerken voor zover redelijkerwijs noodzakelijk om de Webwinkel in staat te stellen zijn verantwoordelijkheid als verwerkingsverantwoordelijke op grond van de Wetgeving inzake gegevensbescherming adequaat te vervullen, met inbegrip van, maar niet beperkt tot, zoals de Webwinkel vereist met betrekking tot:

2.3.1. het assisteren van de Webwinkel bij het opstellen van effectbeoordelingen van gegevensbescherming in de mate die de Webwinkel vereist op grond van Wetgeving inzake gegevensbescherming; en

2.3.2 het reageren op bindende verzoeken van gegevensbeschermingsautoriteiten voor het vrijgeven van Klantgegevens zoals vereist door de toepasselijke wetgeving.

2.4 Reikwijdte en details van Klantgegevens verwerkt door PayPal. Het doel van de verwerking van Klantgegevens door PayPal is de uitvoering van de PayPal-services volgens de Overeenkomst. PayPal verwerkt de Klantgegevens in overeenstemming met de duur, het doel, het type en de categorieën betrokkenen zoals uiteengezet in Bijlage 2 (Gegevensverwerking van Klantgegevens).

2.5 Naleving van Wetgeving. De partijen zullen zich te allen tijde houden aan de Wetgeving inzake gegevensbescherming.

2.6 Correctie, blokkering en verwijdering. Voor zover de Webwinkel bij het gebruik van de PayPal-services niet in staat is om Klantgegevens te corrigeren, wijzigen, blokkeren of verwijderen zoals vereist door de Wetgeving inzake gegevensbescherming, zal PayPal voldoen aan elk commercieel redelijk verzoek van de Webwinkel om dergelijke acties te faciliteren, voor zover wettelijk toegestaan aan PayPal. Voor zover wettelijk toegestaan is de Webwinkel verantwoordelijk voor alle kosten die voortvloeien uit het verlenen van dergelijke assistentie door PayPal.

2.7 Verzoeken van betrokkenen. PayPal zal de Webwinkel, voor zover wettelijk toegestaan, onmiddellijk op de hoogte stellen als we een verzoek van een Klant ontvangen voor toegang tot, correctie, wijziging of verwijdering van de persoonsgegevens van die Klant. De Webwinkel is verantwoordelijk voor het beantwoorden van al dergelijke verzoeken. Indien wettelijk toegestaan zal PayPal de Webwinkel commercieel redelijke medewerking en assistentie verlenen met betrekking tot het verzoek van de Klant en is de Webwinkel verantwoordelijk voor alle kosten die voortvloeien uit de assistentie van PayPal.

2.8 Training. PayPal verbindt zich ertoe het PayPal-personeel van tijd tot tijd zo nodig te trainen met betrekking tot de verplichtingen van PayPal in dit Schema om ervoor te zorgen dat het PayPal-personeel op de hoogte is van dergelijke verplichtingen en deze nakomt.

2.9 Beperking van toegang. PayPal zorgt ervoor dat de toegang van PayPal-personeel tot Klantgegevens beperkt is tot dat personeel dat PayPal-services uitvoert in overeenstemming met de Overeenkomst.

2.10 Subverwerkers. De Webwinkel geeft specifiek toestemming voor de betrokkenheid van leden van de PayPal-groep als Subverwerkers in verband met de levering van de PayPal-services. Bovendien geeft de Webwinkel in het algemeen toestemming tot het inschakelen van andere derden als Subverwerkers in verband met de levering van de PayPal-services. Bij het inschakelen van een Subverwerker zal PayPal een schriftelijk contract met de Subverwerker afsluiten, dat voorwaarden voor de bescherming van Klantgegevens bevat die niet minder beschermend zijn dan de voorwaarden in dit Schema. PayPal zal de Webwinkel een actuele lijst met subverwerkers voor de respectieve PayPal-services verstrekken met de identiteit van die subverwerkers.

2.11 Audits en certificeringen. Op verzoek van de Webwinkel en met inachtneming van de vertrouwelijkheidsverplichtingen die zijn uiteengezet in de Overeenkomst, stelt PayPal aan de Webwinkel (of de onafhankelijke externe auditor van de Webwinkel die geen concurrent van PayPal of leden van PayPal of de PayPal-groep is) informatie beschikbaar met betrekking tot de naleving door PayPal van de verplichtingen die zijn uiteengezet in dit Schema in de vorm van certificeringen en audits van derden (indien van toepassing) zoals uiteengezet in de Privacyverklaring op onze website. De Webwinkel kan in overeenstemming met de Overeenkomst contact opnemen met PayPal om een audit ter plaatse aan te vragen van de procedures die relevant zijn voor de bescherming van persoonsgegevens. De Webwinkel zal PayPal de tijd vergoeden die aan een dergelijke audit ter plaatse is uitgegeven tegen de dan geldende professionele PayPal-servicetarieven die op verzoek aan de Webwinkel ter beschikking worden gesteld. Vóór de aanvang van een dergelijke audit ter plaatse zullen de Webwinkel en PayPal in onderling overleg de reikwijdte, timing en duur van de audit overeenkomen, naast het vergoedingstarief waarvoor de Webwinkel verantwoordelijk is. Alle vergoedingstarieven zullen redelijk zijn en rekening houden met de middelen die PayPal heeft uitgegeven. De Webwinkel zal PayPal onmiddellijk op de hoogte stellen van informatie over niet-naleving die tijdens een audit is ontdekt.

2.12 Beveiliging. PayPal zal op zijn minst passende technische en organisatorische maatregelen implementeren en handhaven zoals beschreven in Bijlage 1 bij dit Schema om Klantgegevens te beveiligen en te beschermen tegen ongeoorloofde of onwettige verwerking en onopzettelijk(e) verlies, vernietiging of schade in verband met het aanbieden van de PayPal-services. Aangezien PayPal de PayPal-services uniform aan alle Webwinkels aanbiedt via een gehoste, webgebaseerde toepassing, zijn alle toepasselijke en geldende technische en organisatorische maatregelen van toepassing op het volledige klantenbestand van PayPal dat vanuit hetzelfde datacenter wordt gehost en op dezelfde service is geabonneerd. De Webwinkel begrijpt en gaat ermee akkoord dat de technische en organisatorische maatregelen onderworpen zijn aan technische vooruitgang en ontwikkeling. In dat opzicht is het PayPal uitdrukkelijk toegestaan om adequate alternatieve maatregelen te implementeren, zolang het beveiligingsniveau van de maatregelen wordt gehandhaafd met betrekking tot de levering van de PayPal-services.
 
2.13 Melding beveiligingsincident. Als PayPal kennis krijgt van een Beveiligingsincident in verband met de verwerking van Klantgegevens, zal PayPal, in overeenstemming met de Wetgeving inzake gegevensbescherming: (a) de Webwinkel onmiddellijk en zonder onnodige vertraging op de hoogte stellen van het Beveiligingsincident; (b) onmiddellijk redelijke stappen ondernemen om de schade te beperken en Klantgegevens te beveiligen; (c), voor zover mogelijk, redelijke details van het Beveiligingsincident beschrijven, inclusief stappen die zijn ondernomen om de potentiële risico's te beperken; en (d) zijn kennisgeving aan de beheerders van de Webwinkel verstrekken met alle middelen die PayPal kiest, waaronder via e-mail. De Webwinkel is er als enige verantwoordelijk voor de juiste contactgegevens bij te houden en ervoor te zorgen dat alle contactgegevens actueel en geldig zijn.

2.14 Verwijdering. Bij beëindiging of afloop van de Overeenkomst zal PayPal alle namens de Webwinkel verwerkte Klantgegevens verwijderen of teruggeven aan de Webwinkel en zal PayPal bestaande kopieën van dergelijke Klantgegevens verwijderen, behalve waar nodig om dergelijke Klantgegevens, strikt met het oog op de naleving van toepasselijk recht, te bewaren.

2.15 Gegevensportabiliteit. Bij beëindiging of afloop van deze Overeenkomst stemt PayPal ermee in, op schriftelijk verzoek van de Webwinkel, de nieuwe accepterende bank of aanbieder van betaalservices van de Webwinkel ('Gegevensontvanger') alle beschikbare creditcardgegevens te verstrekken, waaronder persoonsgegevens met betrekking tot de Klanten van de Webwinkel ('Kaartgegevens'). Hiertoe moet de Webwinkel PayPal alle gevraagde informatie verstrekken, inclusief bewijs dat de Gegevensontvanger voldoet PCI DSS-vereisten van maatschappijen en PCI-compliant is op niveau 1. PayPal stemt ermee in om de Kaartgegevens over te dragen aan de Gegevensontvanger zolang het volgende van toepassing is: (a) de Webwinkel levert PayPal het bewijs dat de Gegevensontvanger voldoet aan de PCI DSS-vereisten van maatschappijen (PCI-compliant niveau 1) door PayPal een certificaat of rapport te verstrekken over de naleving van de PCI DSS-vereisten van maatschappijen van een gekwalificeerde provider en alle andere informatie die redelijkerwijs door PayPal wordt gevraagd; (b) de doorgifte van dergelijke Kaartgegevens voldoet aan de nieuwste versie van de PCI DSS-vereisten van maatschappijen; en (c) de doorgifte van dergelijke Kaartgegevens is toegestaan onder de toepasselijke Maatschappijregels en alle toepasselijke wetten, regels of voorschriften (inclusief Wetgeving inzake gegevensbescherming).

3 VOORWAARDEN MET BETREKKING TOT MODELCONTRACTBEPALINGEN VAN DE EU

3.1 Toepasselijkheid. De Modelcontractbepalingen van de EU zijn opgenomen in Bijlage 31 (de 'Modelcontractbepalingen van de EU'). De Modelcontractbepalingen van de EU zijn alleen van toepassing op Klantgegevens die worden overgedragen door Webwinkels die zijn gevestigd in de Europese Economische Ruimte ('EER') of Zwitserland naar landen buiten de EER die niet door de Europese Commissie worden erkend als landen die een passend beschermingsniveau voor persoonsgegevens bieden (zoals beschreven in de AVG) waarin PayPal Klantgegevens kan opslaan en verwerken.

3.2 Instructies. Dit Schema en de Overeenkomst zijn volledige en definitieve instructies van Gegevensexporteur aan de Gegevensimporteur voor de verwerking van Klantgegevens. Eventuele aanvullende of alternatieve instructies moeten afzonderlijk worden overeengekomen. Voor de toepassing van Bepaling 5, lid a, van de Modelcontractbepalingen van de EU geeft de Gegevensexporteur de volgende instructies: (a) om Klantgegevens te verwerken in overeenstemming met de Overeenkomst; en (b) om Klantgegevens te verwerken die door Webwinkels zijn geïnitieerd als onderdeel van hun gebruik van de Services tijdens de Looptijd. Deze instructies beschrijven ook de duur, het oogmerk, de reikwijdte en het doel van de verwerking.

3.3 Audits en certificeringen. De partijen komen overeen dat de audits beschreven in bepaling 5, lid f, bepaling 11 en bepaling 12, lid 2, van de Modelcontractbepalingen van de EU op de volgende manier worden vervuld: de bepalingen van paragraaf 2.11 van dit Schema zijn ook van toepassing op de Gegevensimporteur alsof het PayPal is.

3.4 Certificering van verwijdering. De Partijen komen overeen dat de certificering van verwijdering van persoonsgegevens die wordt beschreven in bepaling 12, lid 1, alleen op verzoek van de Gegevensexporteur door de Gegevensimporteur aan de Gegevensexporteur wordt verstrekt.

3.5 Aansprakelijkheid. De partijen komen overeen dat alle verplichtingen tussen hen (en met betrekking tot de Gegevensimporteur moeten dergelijke verplichtingen worden geaggregeerd met die van PayPal, zodat hun cumulatieve gezamenlijke aansprakelijkheid niet hoger is dan het niveau dat is vastgelegd in de Overeenkomst) onder dit Schema en de Modelcontractbepalingen van de EU zijn onderworpen aan de voorwaarden van de Overeenkomst (inclusief wat betreft beperking van aansprakelijkheid), behalve dat dergelijke beperkingen van aansprakelijkheid niet van toepassing zijn op enige aansprakelijkheid die de Gegevensimporteur jegens betrokkenen heeft op grond van de bepalingen met betrekking tot rechten van derden van de Modelcontractbepalingen van de EU.

3.6 Uitsluiting van rechten van derden. Onder voorbehoud van paragraaf 4.6 krijgt PayPal rechten van derden met betrekking tot verplichtingen die in dit Schema ten behoeve van de Gegevensimporteur of PayPal zijn uitgedrukt en krijgen betrokkenen rechten van derden op grond van de Modelcontractbepalingen van de EU. Alle andere rechten van derden zijn uitgesloten.

Webwinkel
Voor en namens (officiële naam Webwinkel invullen) …………………………………
Handtekening……………………………………………
Naam ondertekenaar……………………………………. Titel ondertekenaar……………………………………
Datum………………………………………………..

PayPal
Voor en namens PayPal (Europe) S.á r.l. et Cie, S.C.A.
Handtekening…………………………………………….
Naam ondertekenaar…………………………………….Titel ondertekenaar…………………………………… Datum…………………………………………………

 

BIJLAGE 1
Technische en organisatorische maatregelen

De volgende technische en organisatorische maatregelen worden geïmplementeerd:

  1. Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot de faciliteiten die worden gebruikt voor gegevensverwerking;
  2. Maatregelen om te voorkomen dat gegevensmedia door onbevoegden worden gelezen, gekopieerd, gewijzigd of verplaatst;
  3. Maatregelen om ongeoorloofde invoer van gegevens aan het informatiesysteem te voorkomen, evenals ongeoorloofde kennis, wijziging of verwijdering van de geregistreerde gegevens;
  4. Maatregelen om te voorkomen dat gegevensverwerkingssystemen worden gebruikt door onbevoegden die gebruikmaken van gegevensoverdrachtsfaciliteiten;
  5. Maatregelen om te garanderen dat geautoriseerde personen bij gebruik van een geautomatiseerd gegevensverwerkingssysteem alleen toegang hebben tot gegevens die binnen hun competentie vallen;
  6. Maatregelen om het controleren en vastleggen van de identiteit van derden aan wie de gegevens via overdrachtsfaciliteiten kunnen worden verzonden, te waarborgen;
  7. Maatregelen om te garanderen dat de identiteit van de personen die toegang hebben gehad tot het informatiesysteem en de gegevens die in het systeem zijn ingevoerd, achteraf op elk moment en door elke bevoegde persoon kan worden gecontroleerd en vastgelegd;
  8. Maatregelen om te voorkomen dat gegevens op ongeoorloofde wijze worden gelezen, gekopieerd, gewijzigd of verwijderd wanneer gegevens worden vrijgegeven en gegevensmedia worden getransporteerd;
  9. Maatregelen om gegevens te beschermen door back-ups te maken.

 

BIJLAGE 2
Gegevensverwerking van Klantgegevens

Categorieën betrokkenen

'Klantgegevens' – betekent de persoonsgegevens die de Klant aan de Webwinkel verstrekt en die de Webwinkel doorgeeft aan PayPal via het gebruik van de PayPal-services door de Klant.

Onderwerp van de verwerking

De betalingsverwerkingsservices die door PayPal worden aangeboden en die de Webwinkel de mogelijkheid bieden om creditcards, bankpassen en andere betaalmethoden op een website of mobiele toepassing van Klanten te accepteren.

Aard en doel van de verwerking

PayPal verwerkt Klantgegevens die door de Webwinkel naar PayPal worden verzonden om verificatie of autorisatie van de betaalmethode van de Klant te verkrijgen als betaling aan de Webwinkel voor de verkoop van goederen of services.

Type persoonsgegevens

Klantgegevens – De Webwinkel zal PayPal informeren over het type Klantgegevens dat PayPal volgens deze Overeenkomst moet verwerken. Mochten er wijzigingen zijn in het type Klantgegevens dat PayPal moet verwerken, dan zal de Webwinkel PayPal hiervan onmiddellijk op de hoogte stellen. PayPal verwerkt de volgende Klantgegevens, die van tijd tot tijd door de Webwinkel aan PayPal kunnen worden verstrekt:

  • Volledige naam
  • Verzendadres
  • Factuuradres
  • Telefoonnummer
  • Type betaalpas of betaalmethode (optioneel)
  • Primary Account Number (PAN) betaalpas
  • Card Verification Value (CVV)
  • Vervaldatum betaalpas

 

Bijzondere gegevenscategorieën (indien relevant)

Er wordt niet verwacht dat er gegevens uit bijzondere gegevenscategorieën zullen worden doorgegeven.

Duur van de verwerking

De voorwaarden in de Overeenkomst.

 

BIJLAGE 3
MODELCONTRACTBEPALINGEN VAN DE EU

Export van persoonsgegevens van de verwerkingsverantwoordelijke naar de verwerker (uit EER-landen)

Voor de toepassing van artikel 26, lid 2, van Richtlijn 95/46/EG, voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen
Naam van de organisatie die de gegevens uitvoert: ………………………………………..
Adres: …………………………………………….
Tel.: ……………………………………………….
fax: ………………………………………………..
e-mail: ……………………………………………..
Andere gegevens ter identificatie van de organisatie: …………………………… (de gegevensexporteur)
En
Naam van de organisatie die de gegevens invoert: PayPal, Inc
Adres: 2211 North First Street, San Jose, CA 95131
Andere gegevens ter identificatie van de organisatie: …………………………… (de gegevensimporteur)
elk afzonderlijk 'partij' en gezamenlijk 'de partijen' genoemd,
ZIJN OVEREENGEKOMEN de volgende contractbepalingen, hierna 'de bepalingen' genoemd, vast te stellen teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de doorgifte van de in aanhangsel 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.

 


 

Bepaling 1
Definities

Voor de toepassing van de bepalingen:

  • a) gelden voor 'persoonsgegevens', 'bijzondere categorieën gegevens', 'verwerken/verwerking', 'verwerkingsverantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' dezelfde definities als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
  • b) wordt onder 'gegevensexporteur' verstaan: de verwerkingsverantwoordelijke die de persoonsgegevens doorgeeft;
  • c) wordt onder 'gegevensimporteur' verstaan: de verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken in overeenstemming met zijn instructies en de voorwaarden van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG;
  • d) wordt onder 'subverwerker' verstaan: een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking;
  • e) wordt onder 'toepasselijk recht inzake gegevensbescherming' verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een verwerkingsverantwoordelijke;
  • f) wordt onder 'technische en organisatorische beveiligingsmaatregelen' verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.

Bepaling 2
Bijzonderheden betreffende de doorgifte

De bijzonderheden betreffende de doorgifte, met name, in voorkomend geval, de bijzondere categorieën persoonsgegevens, worden nader omschreven in aanhangsel 1, dat een integrerend deel van de bepalingen vormt.

Bepaling 3
Derdenbeding

  1. De betrokkenen kunnen deze bepaling en bepaling 4, onder b) tot en met i), bepaling 5, onder a) tot en met e) en g) tot en met j), bepaling 6, leden 1 en 2, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 als derde begunstigden tegenover de gegevensexporteur afdwingen.
  2. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de gegevensimporteur afdwingen in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
  3. De betrokkenen kunnen deze bepaling, bepaling 5, onder a) tot en met e) en onder g), bepaling 6, bepaling 7, bepaling 8, lid 2, en de bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kunnen betrokkenen de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
  4. De partijen verzetten zich er niet tegen dat de betrokkenen door een vereniging of andere instelling worden vertegenwoordigd, indien de betrokkenen dit uitdrukkelijk wensen en dit in het nationale recht is toegestaan.

Bepaling 4
Verplichtingen van de gegevensexporteur

De gegevensexporteur stemt ermee in en garandeert dat:

  • a) de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
  • b) hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
  • c) de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in aanhangsel 2 bij dit contract worden omschreven;
  • d) deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico's een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
  • e) hij op de naleving van deze beveiligingsmaatregelen zal toezien;
  • f) wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
  • g) hij overeenkomstig bepaling 5, onder b), en bepaling 8, lid 3, ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer hij (dat wil zeggen de gegevensexporteur) besluit de doorgifte voort te zetten of de opschorting op te heffen;
  • h) hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
  • i) in geval van subverwerking de verwerkingsactiviteiten worden uitgevoerd overeenkomstig bepaling 11 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkenen waarborgt als de gegevensimporteur overeenkomstig deze bepalingen; en
  • j) hij zal toezien op de naleving van bepaling 4, onder a) tot en met i).

Bepaling 5
Verplichtingen van de gegevensimporteur

De gegevensimporteur stemt ermee in en garandeert dat:

  • a) hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
  • b) hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen;
  • c) hij de in aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
  • d) hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:

o i) een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
o ii) iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad; en
o iii) hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan;

  • e) hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
  • f) hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
  • g) hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van aanhangsel 2 dat door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
  • h) hij, wanneer subverwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen;
  • i) de verwerkingsdiensten van de subverwerker overeenkomstig bepaling 11 zullen worden uitgevoerd;
  • j) hij van elk subverwerkingscontract dat hij in het kader van de bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur.

Bepaling 6
Aansprakelijkheid

  1. De partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
  2. Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De gegevensimporteur kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet-nakoming van verplichtingen door de subverwerker.
  3. Wanneer de betrokkene de in lid 1 of 2 bedoelde vordering wegens niet-nakoming door de subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen niet tegen de gegevensexporteur of de gegevensimporteur kan instellen doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker, met betrekking tot diens eigen verwerkingsactiviteiten krachtens de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot de verwerkingsactiviteiten die deze zelf heeft uitgevoerd krachtens de bepalingen.

Bepaling 7
Bemiddeling en rechtsmacht

      1. De gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:

o a) om het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
o b) om het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd.

      2. De partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.

Bepaling 8
Samenwerking met de toezichthoudende autoriteiten

  1. De gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
  2. De partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.
  3. Indien er wetgeving bestaat die op de gegevensimporteur of een subverwerker van toepassing is en die de uitvoering van controles als in lid 2 bedoeld op de gegevensimporteur of een subverwerker verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in bepaling 5, onder b), bedoelde maatregelen nemen.

Bepaling 9
Toepasselijk recht

Op de bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.

Bepaling 10
Wijziging van het contract

De partijen verbinden zich ertoe de bepalingen niet te wijzigen. Dit vormt voor de partijen geen beletsel om indien nodig bepalingen toe te voegen betreffende met de transactie verband houdende vraagstukken, mits deze niet met de modelcontractbepalingen in strijd zijn.

Bepaling 11
Subverwerking

  1. De gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen. Indien de subverwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van dat contract.
  2. In het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
  3. Op de bepalingen betreffende de gegevensbeschermingsaspecten van de uitbesteding zoals beschreven in lid 1, is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.
  4. De gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig bepaling 5, onder j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt.

Bepaling 12
Verplichting na de beëindiging van de verwerking van persoonsgegevens

  1. De partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat hij de doorgegeven gegevens niet verder actief zal verwerken.
  2. De gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen.

 

 


Namens de gegevensexporteur:
Naam (voluit): …………………………………………….
Functie: …………………………………………….
Adres: …………………………………………….
Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:
Handtekening…………………………………………….(stempel van organisatie)

Namens de gegevensimporteur (PayPal, Inc):
Naam (voluit): …………………………………………….
Functie: …………………………………………….
Adres: 2211 North First Street, San Jose, CA 95131
Handtekening……………………………………………. (stempel van organisatie)


 

AANHANGSEL 1 BIJ DE MODELCONTRACTBEPALINGEN VAN DE EU

Dit aanhangsel maakt deel uit van de bepalingen en moet worden ingevuld.

De lidstaten kunnen overeenkomstig hun nationale procedures aanvullende of meer gedetailleerde gegevens voorschrijven die in dit aanhangsel moeten worden opgenomen.

Gegevensexporteur
De gegevensexporteur is: webwinkel
Een entiteit die de diensten van de gegevensimporteur gebruikt met betrekking tot haar klanten
Gegevensimporteur
De gegevensimporteur is: PayPal, Inc
Een aanbieder van betaalservices die met betrekking tot de Braintree-services een betalingsgateway biedt zodat de Webwinkel creditcardinformatie en andere gegevens van de Klant kan verstrekken aan banken en andere aanbieders van betaalservices om betalingen van Klanten te verwerken
Betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen:
De klanten van de gegevensexporteur
Categorieën gegevens
De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens:
Klantnaam, in rekening te brengen bedrag, kaartnummer, CSV, postcode, landcode, adres, e-mailadres, fax, telefoon, website, vervaldatum, verzendgegevens, belastingstatus
Bijzondere categorieën gegevens (indien van toepassing)
De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën gegevens:
Niet van toepassing, tenzij de Webwinkel de service configureert om dergelijke gegevens vast te leggen.
Verwerking
De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan:
De ontvangst en opslag van persoonsgegevens tijdens de uitvoering van de Services gedurende de Looptijd van de Overeenkomst.
 



AANHANGSEL 2 BIJ DE MODELCONTRACTBEPALINGEN VAN DE EU
 

Dit aanhangsel maakt deel uit van de bepalingen.

Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig bepaling 4, onder d), en bepaling 5, onder c), zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):

De technische en organisatorische maatregelen zijn uiteengezet in bijlage 1 bij dit amendement.

 

 

Schema 3

Gebruiksvoorwaarden van de functie Filters voor fraudepreventie bij de aangepaste interface ('Fraudetool')

1. Hoe de Fraudetool werkt

De Fraudetool wordt u ter beschikking gesteld als transactiebeheertool om u te helpen mogelijk frauduleuze transacties te screenen op basis van de instellingen die u in de Fraudetool kiest. Met de tool kunt u filterregels instellen die bepalen welke transacties de tool namens u moet weigeren op basis van abstracte criteria.

We kunnen suggesties of aanbevelingen geven met betrekking tot welke filters en instellingen in de Fraudetool geschikt zijn voor uw bedrijf. Deze suggesties houden rekening met uw eerdere transactiegeschiedenis.

Het is uw verantwoordelijkheid om deze filterregels in te stellen. Let op: als u deze filterregels te streng instelt, kunt u omzet mislopen. We adviseren u om uw filterregels en -instellingen regelmatig te controleren.

2. Geen garantie, en beperking van aansprakelijkheid

We kunnen niet garanderen dat de Fraudetool foutloos is of dat het alle potentieel frauduleuze transactieactiviteiten zal identificeren.

Wij zijn niet aansprakelijk voor uw verliezen (zoals winstderving) of schade die voortvloeit uit of verband houdt met uw gebruik van de Fraudetool, voor zover de toepasselijke wetgeving dit toestaat.

De artikelen 15.3 en 15.4 van de Gebruikersovereenkomst zijn van toepassing.

3. Gegevensbescherming

U mag de Fraudetool alleen gebruiken ten behoeve van frauderisicobeheer en voor geen enkel ander doel.

U mag het gebruik van de Fraudetool niet delen met een andere persoon, noch mag u de categorieën in de Fraudetool of de resultaten van uw gebruik van de Fraudetool aan anderen bekendmaken.

4. Diversen

Ongeacht uw instellingen in de Fraudetool behouden wij ons altijd het recht voor om elke transactie te weigeren of op te schorten overeenkomstig de voorwaarden van de Gebruikersovereenkomst.

Deze voorwaarden vormen een aanvulling op de Gebruikersovereenkomst die van toepassing is op uw gebruik van onze services in het algemeen. De definitie van onze Services in de Gebruikersovereenkomst, indien gelezen samen met deze voorwaarden, omvat tevens de Fraudetool.

We kunnen toevoegingen, verwijderingen of wijzigingen aanbrengen in deze voorwaarden, overeenkomstig het wijzigingsproces dat wordt beschreven in de Gebruikersovereenkomst. Als u niet akkoord gaat met een Wijziging, kunt u deze voorwaarden beëindigen.

U kunt deze voorwaarden op elk moment beëindigen door de Fraudetool uit uw integratie te verwijderen en eventuele andere aan integratie gerelateerde stappen te volgen die wij mogelijk voor u beschikbaar stellen. Hiermee kunt u stoppen met het gebruik van de Fraudetool, maar verder blijft uw rekening open en blijft de Gebruikersovereenkomst (en alle andere relevante overeenkomsten met betrekking tot de levering van services aan u) van kracht. 

We kunnen de Service op elk moment, om welke reden dan ook en (waar mogelijk) met redelijke voorafgaande kennisgeving, annuleren of opschorten voor zover deze betrekking heeft op onze Fraudetool zonder aansprakelijkheid jegens u.

Deze voorwaarden blijven na beëindiging van kracht voor zover en zolang dit voor ons noodzakelijk is om: (i) zaken af te handelen voortkomend uit uw gebruik van de Fraudetool voorafgaande aan de beëindiging; en/of (ii) ons te houden aan toepasselijke wetten en voorschriften.