>> Se alle juridiske avtaler

 

Bedriftsregler for PayPal-brukere

 

PayPal-gruppens mål er å bruke helhetlige, tilstrekkelige og globale databeskyttelses- og personvern-standarder for håndtering av alle bruker-personopplysninger PayPal-gruppens.  Disse bruker-Bedriftsreglene gjelder for alle bruker-personopplysninger som behandles av gruppe-medlemmer over hele verden.

Brukere oppgir over hele verden sine personopplysninger til gruppe-medlemmer skal bruke tjenestene gruppen tilbyr.  De fleste Bruker-Personopplysninger blir samlet inn og lagret i USA.  PayPals globale virksomhet krever at bruker-personopplysninger deles med andre PayPal-selskaper i USA og globalt der PayPal for øyeblikket har eller har til hensikt å ha en tilstedeværelse.

For øyeblikket kan PayPal-ansatte i følgende EØS-land ha tilgang til Bruker-Personopplysninger: Luxembourg, Belgia, Frankrike, Tyskland, Irland, Italia, Nederland, Polen, Spania, Sverige og Storbritannia.

Ansatte som befinner seg i de følgende land utenfor EU kan også ha tilgang til Bruker-Personopplysninger: USA, Taiwan, Tyrkia, Jomfruøyene (Storbritannia), Australia, Canada, Kina, Hong Kong, India, Indonesia, Japan, Israel, Republikken Korea, Malaysia, Mauritius, Norge, Russland, Singapore, Sveits, Argentina, Brasil og Mexico.

PayPal er opptatt av å besørge egnet beskyttelse av brukeropplysningene uavhengig av hvor personopplysningene befinner seg, og for å besørge egnet beskyttelse av bruker-personopplysninger når de overføres utenfor EØS-området.

Denne listen over land kan endres ettersom virksomheten vokser.

 

1. Personvern Styringsstruktur og Ansvar

Bruker-Bedriftsreglene gjøres juridisk bindende av en avtale («IGA») mellom PayPal (Europe) S.à r.l. & Cie, S.C.A. («Lead Group Member») og andre enheter i PayPal-gruppen.  IGA krever at gruppe-medlemmene overholder disse bruker-Bedriftsreglene. Gruppe-medlemmer krever at deres ansatte overholder disse bruker-Bedriftsreglene ved håndtering av bruker-personopplysninger.

Bedriftsledere og toppledelsen i PayPal-gruppen er ansvarlig for å håndheve overholdelse av disse bruker-Bedriftsreglene, inkludert å sikre at alle ansatte er klar over og overholde disse bruker-Bedriftsreglene.

Personvern-lederen driver PayPals personvernprogram. Hun/han har en overordnet stilling i PayPal Holdings, Inc. og rapporterer direkte til personvernombud eller den øverste utøvende funksjonen overholdelse hos PayPal.  Personvern-lederen overvåker PayPal globale personvern Team-overholdelse og kommuniserer med andre interne organiseringer eller team, som for eksempel drift, informasjonssikkerhet, samsvar, risiko og intern revisjon for å sikre samsvarende personverns kommunikasjon, -praksis og retningslinjer over til PayPal-gruppen globalt. PayPals Globale Team for Personvern-overholdelse utvikler og koordinerer implementering av sin overholdelses-strategi i hele PayPal-konsernet, og bekrefter operasjonell overholdelse.  PayPal globale personvern Samsvarsteamet har direkte og indirekte representert i alle deler av PayPal-konsernet som, blant annet, kan du bidrar til å sikre overholdelse av bruker-Bedriftsreglene og gjeldende databeskyttelse.

Juridisk personvernleder overvåker til PayPal globale juridiske personvern-Team og rapporter direkte til den øverste juridiske lederen eller den øverste utøvende leder de juridiske funksjoner hos PayPal.  Juridisk personvernleder definerer selskapets forpliktelser i henhold til gjeldende databeskyttelse og disse bruker-Bedriftsreglene. Juridisk personvernleder og PayPal globale juridiske personvern-Team samarbeider koordinert med personvern-lederen og PayPal Global overholdelse personvern-Team og interagerer med andre interne organiseringer og team, som for eksempel juridisk, drift, informasjonssikkerhet, og risiko for å gi juridisk rådgivning og tolke juridiske og lovbestemte konsekvenser av innen personvern gjennom hele PayPal-gruppen globalt.

PayPals Globale Team for Personvern-overholdelse og PayPals Globale Juridiske Personvern-team danner tilsammen PayPals Globale Personvern-Team.

Den Europeiske Databeskyttelsesansvarlige i Luxembourg er utnevnt av og rapporterer til ledelsen i PayPal (Europe) S.à r.l. et Cie, S.C.A.. Den europeiske Databeskyttelsesansvarlige fungerer som den primære kontaktpersonen for datatilsynsmyndigheter i EØS-området og har, blant annet, følgende plikter: å informere og gi råd gruppe-medlemmer og ansatte som behandler personopplysninger, av sine forpliktelser i henhold til personvernlovgivningen for å sikre samsvar med disse bruker-Bedriftsreglene; samarbeide med det PayPal globale personvern-Team til å overvåke overholdelse av personvern-lovgivning og med relaterte retningslinjer av gruppe-medlemmer; og å gi juridisk rådgivning til gruppe-medlemmer der det er bedt om når det gjelder data protection innvirkning vurderinger og deres implementering.

 

2. Prinsipper for Behandling av Bruker-Personopplysninger

Gruppe-Medlemmer følger behandlingsprinsipper for Bruker-Personopplysninger nedenfor.

2.1 Formåls-begrensning

Bruker-Personopplysninger skal kun Behandles for spesifikke, eksplisitte og legitime formål.  Spesielt, bli bruker-personopplysninger behandlet for å:

– Tilby og legge til rette for levering av tjenester etter brukernes forespørsler, inkludert å åpne en konto,

– Forbedre Tjenestene og utvikle nye Tjenester.

– Løse tvister, håndtere søksmål, feilsøke problemer, og gi kundeservice.

– Utføre risikohåndtering;

– Behandle transaksjoner og samle inn utestående gebyrer;

– Kontrollere kredittverdighet og betalingsevne;

– Måle brukernes interesse for og tilbakemeldinger og mening om tjenester, og informere brukerne om tilbud online og offline, tjenester og oppdateringer;

– Tilpasse Brukernes opplevelser;

– Oppdage og beskytte mot feil, svindel og annen straffbar aktivitet.

– Oppfylle PayPal-gruppens juridiske, kontraktsmessige eller forskriftsmessige forpliktelser,

– Håndheve vilkår og betingelser for Tjenesten og annet beskrevet for Brukere på tidspunktet for innsamling, og i Tjenestens Personvernerklæring.

– Beskytte sikkerheten, integriteten og tilgjengeligheten til Tjenestene og PayPal-Gruppens nettverk; og

– Beskytte PayPal-gruppens juridiske rettigheter og interesser, inkludert, men ikke begrenset til, å etablere, utøve eller forsvare mot juridiske krav.

Behandling av Bruker-Personopplysninger til andre formål er underlagt forhåndsgodkjenning fra PayPals Globale Juridiske Personvern-team.  I tilfeller av tvil skal medlemmer ta kontakt med PayPals Globale Juridiske Personvern-team.

Bruker-personopplysninger skal ikke ytterligere behandles på en måte som er kompatibelt med de ovennevnte formålene, med mindre det er et juridisk grunnlag for å gjøre det i henhold til gjeldende lov hos gruppemedlem i EØS-området som er ansvarlig for innsamling og/eller overføring av brukeren Personopplysninger.   

2.2 Datakvalitet og Forholdsmessighet

Bruker-Personopplysninger skal være:

  • Nøyaktige og, der det er nødvendig, holdt oppdatert;
  • Tilstrekkelige, relevante og ikke nødvendig for formålene som de behandles i; og
  • Beholdt for ikke lenger enn nødvendig for å oppnå formålene som den ble eller ytterligere behandles.  

Bruker-personopplysninger som ikke lenger er påkrevd for formålene som de ble behandlet for skal bli slettet, fjernet, ødelagt eller anonymisert, med mindre det er en juridisk grunn til videre behandling eller oppbevaring er påkrevd etter gjeldende lov.

2.3 Juridiske Grunner for Behandling

Gruppe-Medlemmer skal sikre at Bruker-Personopplysninger blir Behandlet rettferdig og lovlig, og spesielt på grunnlag av minst én av de følgende juridiske grunner:

  • Entydig samtykke fra Brukeren;
  • Behandling som er nødvendig for utførelsen av en kontrakt der brukeren er part eller for å kunne gjøre tiltak på forespørsel fra brukeren før inngåelse av en kontrakt,
  • Behandling som er nødvendig for å overholde en juridisk forpliktelse som gruppe-medlemmer er underlagt;
  • Behandling som er nødvendig for å beskytte kjerneinteressene til brukeren;
  • Behandling som er nødvendig for utførelsen av en aktivitet som er utført i offentlig interesse eller utøvelse av offisiell myndighet som er tildelt gruppe-medlemmer eller en tredjepart som opplysningene er oppgitt til; eller
  • Behandling som er nødvendig for formålet med de legitime interessene gruppe-medlemmer eller tredjeparten eller parter som opplysningene er oppgitt, med unntak av tilfeller der slike interesser overstyres av interessene for grunnleggende rettigheter og frihet hos brukeren.

Som en generell praksis samler ikke gruppe-medlemmer inn brukeres Sensitive personopplysninger.  Der slik innsamling er nødvendig, eller der brukere frivillig oppgir disse opplysningene, gruppe-medlemmer skal sikre at Sensitive bruker-personopplysninger er kun behandles på grunnlag av minst ett av de følgende punkter:

  • Brukers Uttalte Samtykke;
  • Behandling som er nødvendig for å beskytte kjerneinteressene til brukeren eller en annen person der brukeren er fysisk eller lovlig i stand til å gi sitt samtykke,
  • Behandling som er knyttet til bruker-personopplysninger som er åpenbart offentliggjort av brukeren; eller
  • Behandling som er nødvendig for etablering, utøvelse eller forsvar av juridiske krav.

Når behandling innebærer automatisk beslutningstaking («automatiserte beslutninger»), gruppe-medlemmer skal yte passende tiltak for å beskytte brukerens legitime interesser, for eksempel å gi brukeren muligheten til å ha en representant for kundestøtte gjennomgå avgjørelsen individuelt og tillate brukeren å komme med sitt synspunkt. Representant for kundestøtte skal ta saken opp til den europeiske Databeskyttelsesansvarlige hvis brukeren fortsetter å være uenig i en automatisert beslutning. Når det er aktuelt, skal Juridisk personvernleder konsulteres og Personvern-lederen skal bli underrettet.  

2.4 Åpenhet

Når det samles inn bruker-personopplysninger, skal gruppe-medlemmer informere brukere om:

  • Navnet og adressen til det Gruppe-Medlem som er ansvarlig for den opprinnelige innsamling og Behandling.
  • Kategoriene av Bruker-Personopplysninger det gjelder;
  • De tiltenkte formål for Behandlingen;
  • Kategoriene av de Behandlere og Tredjeparter som mottar Bruker-Personopplysningene;
  • Om svar på spørsmålene er obligatorisk eller frivillig, samt mulige konsekvenser av manglende svar;
  • Eksistensen av Brukerrettigheter; og
  • I tilfelle av Automatiserte Beslutninger, den logikken som er involvert.

Gruppe-medlemmer kan oppgi denne informasjonen i en tjeneste-personvernerklæring som skal være tilgjengelig via en lenke og/eller vises på en fremhevet plassering på hver tjenestes nettsted eller applikasjon og under registreringen.  Plikten til å informere brukerne gjelder ikke hvis brukere allerede er klar over informasjonen.  

Hvor levering av informasjon er umulig eller ville involvere en uforholdsmessig innsats, kan gruppe-medlemmer avstå fra å oppgi informasjonen.  Dette vil kun være tilfelle for bruker-personopplysninger som ikke er innhentet fra brukeren direkte. 

I spesielle tilfeller, levering av spesifikk informasjon kan være utsatt eller utelatt, for eksempel i forbindelse med undersøkelser rundt feilaktig atferd, eller for å overholde gjeldende lover, eller der levering av informasjonen kan risikere den integriteten til undersøkelsen.

2.5 Konfidensialitet og Sikkerhet

Gruppe-medlemmer bruker fysiske, tekniske og organisatoriske sikkerhetskontroller tilsvarende mengden og følsomheten til bruker-personopplysninger for å forhindre uautorisert behandling, inkludert, men ikke begrenset til, uautorisert tilgang til, Kjøp og bruk av, tap, ødeleggelse eller skade på bruker-personopplysninger. Gruppe-medlemmer bruker kryptering, brannmurer, tilgangskontroller, standarder og andre prosedyrer for å beskytte brukerinformasjon mot uautorisert tilgang.  Fysisk og logisk tilgang til elektroniske og vanlige kopi-filer er ytterligere begrenset basert på jobb-ansvar og forretningsbehov.

2.6 Brukeres Valg og Rettigheter

Brukere kan få tilgang til og korrigere det meste av bruker-personopplysninger som er tilknyttet dem som gruppe-medlemmer opprettholder ved hjelp av den aktuelle nettverktøy eller selvbetjente prosessen som er gjort tilgjengelig for dem gjennom tjeneste-nettstedet eller appen.

I alle tilfeller har brukere rett til å sende inn en tilgang dataemnet å se eller motta en kopi av sine bruker-personopplysninger ikke er tilgjengelige via tjenestens nettsted eller i appen. Brukere må kontakte kundeservice via instruksjonene som er oppgitt gjennom tjenestens nettsted eller i appen. Gruppe-Medlemmer skal etterfølge forespørsler innenfor de tidsrammene som er fastsatt i gjeldende lovgivning, med unntak av tilfeller der gjeldende lov gir for et unntak slike forpliktelser.  Brukere kan være nødvendig å bevise sin identitet og kan bli underlagt et service-gebyr som er tillatt etter gjeldende lov.

Brukere også kan be om rettelse av deres opplysninger hvis de er ufullstendige eller feilaktige. Gruppe-Medlemmer skal etterfølge en slik forespørsel og skal informere Brukerne når deres opplysninger er korrigert. Gruppe-medlemmer skal varsle tredjeparter som brukerens data har blitt fremlagt for om eventuelle rettelser, med mindre det er umulig eller innebærer uforholdsmessige.

Brukere kan motsette seg Behandling av sine Bruker-Personopplysninger på konkrete, legitime grunnlag. Gruppe-medlemmer skal etterkomme slike forespørsler, med mindre oppbevaring av bruker-personopplysninger er påkrevd etter gjeldende lov, eller for å forsvare PayPal-gruppen mot juridiske krav. Brukerne vil bli informert om utfallet av forespørselen og tiltak iverksatt av gruppe-medlemmer.

Dessuten kan brukere be om å ha sine kontoer stengt ved å følge instruksjonene gjennom tjenestens nettsted eller i appen. Gruppe-medlemmer vil fjerne eller anonymisere en brukers informasjon fra en tjeneste så fort som med rimelighet kan forventes basert på aktiviteten på kontoen.  I noen tilfeller, kan gruppe-medlemmer forsinke stengningen av en konto eller beholde bruker-personopplysninger for å utføre en undersøkelse eller der det er påkrevd etter gjeldende lov. Gruppe-medlemmer kan også beholde brukerinformasjon fra stengte kontoer for å oppdage og forhindre svindel, innhente eventuelle utestående gebyrer, løse tvister, feilsøke problemer, bistå med eventuelle undersøkelser, håndtere risiko, håndheve vilkår og betingelser for en tjeneste, i samsvar med juridiske eller forskriftsmessige krav og gjøre andre tiltak som ellers er tillatt etter gjeldende lov. Dataene oppbevares i en form som identifisering av dataemner lenger enn det som er nødvendig for formålet for som data var samlet inn, eller for de behandles ytterligere og vil bli slettet når den underliggende årsaken for å beholde dem har blitt adressert eller løst.

Med unntak av brukere som har ikke valgt å motta bestemt kommunikasjon, kan gruppe-medlemmer bruke bruker-personopplysninger å målrette kommunikasjon til brukere basert på deres interesser i henhold til gjeldende lov.  Brukere som ikke ønsker å motta markedsføringsmateriell fra PayPal-gruppen vil bli tilbudt lett tilgjengelige måter å takke nei til ytterligere reklame, for eksempel i innstillingene for kontoen eller ved å følge instruksjonene som er oppgitt i en e-post eller i en lenke i den kommunikasjon.

Brukere kan utøve rettighetene ovenfor ved å kontakte kundeservice.  Der en brukers identitet er vanskelig å bekrefte, gruppe-medlemmer kreve at brukeren oppgir ytterligere identitetsbevis.

2.7 Formidling av Personopplysninger

Gruppe-Medlemmer kan dele Bruker-Personopplysninger i det normale omfanget av forretningen med andre Gruppe-Medlemmer over hele verden for de formålene som er angitt i punkt 2.1.

I henhold til gjeldende lovgivning, avtaler eller gjeldende internasjonale varemesser, kan gruppe-medlemmer dele personopplysninger med politimyndigheter og tilsynsmyndigheter når det er nødvendig i et demokratisk samfunn for å beskytte nasjonal sikkerhet, forsvar, offentlig sikkerhet, svindelforebygging, undersøkelser, oppdage og rettsforfølgelse av kriminelle handlinger, og særlig i samsvar med handelsrestriksjonene som fastsatt i internasjonale og/eller nasjonale instrumenter, skatterapportering krav eller anti-hvitvasking av penger rapportering krav.

Gruppe-medlemmer ikke selge eller leie ut bruker-personopplysninger til tredjeparter for egne markedsføringsformål uten brukerens uttrykkelige entydige, informerte samtykke. Gruppe-medlemmer kan videreformidle brukerinformasjon til andre tredjeparter i henhold til brukerens instruksjoner eller samtykke (der det er tillatt i henhold til gjeldende lov).

Når Bruker-Personopplysninger overføres til Behandlere, vil Behandlerens være underlagt en sikkerhetsrisikovurdering med henblikk på personvern, databeskyttelse og informasjonssikkerhet før oppstart av arbeidet og før en overføring av Bruker-Personopplysninger skjer.  Omfanget av vurderingen varierer basert på følsomheten til Bruker-Personopplysningene som skal behandles. Behandlere, inkludert et gruppe-medlem mellomliggende som behandler, må inngå en avtale med den aktuelle gruppe-medlemmer tilstrekkelig personvern, data og informasjon sikkerhetstiltak. En slik avtale inkluderer klausuler som sikrer riktig bruk av Bruker-Personopplysninger og sikkerhetstiltak som samsvarer med mengde, type og følsomhet hos de involverte Bruker-Personopplysningene.  Som et minimum må kontraktsmessige dekke de følgende forhold:

  • Krav til samsvar med loven, og til å behandle bruker-personopplysninger kun i henhold til vilkårene i avtalen og kun etter instruksjoner fra den aktuelle gruppe-medlemmer;
  • Nødvendige tekniske og organisatoriske tiltak tilpasset følsomheten til Bruker-Personopplysningene og den aktuelle Behandlingen,
  • Rett til å overvåke Behandleres overholdelse av de kontraktsmessige garantiene;
  • Forpliktelser for varsling i forbindelse med sikkerhetsbrudd, og
  • Bestemmelser om Utbedring i tilfelle av manglende overholdelse hos behandleren med de juridiske eller kontraktsmessige forpliktelsene.

Avtalene må inneholde bestemmelser som sikrer at manglende samsvar med vilkårene i avtalen kan resultere i suspensjon eller oppsigelse av avtalen blant andre tiltak som er angitt i avtalen.

Personvern, data og informasjon Sikkerhetsvurdering er ikke obligatorisk for behandlere som allerede er underlagt en slik vurdering, med mindre behandlings-aktivitetene involverer høy risiko-aktiviteter tatt i betraktning type og mengde Personopplysninger og type behandling av aktivitet.

Uavhengig av ovennevnte, der gruppe-medlemmer overføre EØS bruker-personopplysninger til tredjeparter eller behandlere som ikke er medlemmer: (i) som du finner i land som ikke har tilstrekkelig nivå med beskyttelse (i henhold til direktivet 95/46/EF),) II) ikke dekkes av godkjente bindende bedriftsregler, eller (iii) som ikke har andre ordninger som vil oppfylle EUs egnethet kravene, skal gruppe-medlemmet sikre i forhold til:

  • Tredjeparter, som de skal implementere passende kontraktsmessige kontroller, for eksempel modell-kontraktsmessige klausuler godkjent av EU-kommisjonen, gi nivåer av beskyttelse i samsvar med disse bruker-Bedriftsreglene eller, alternativt, kontrollere at den overføring (i) foregår med entydig samtykke fra brukeren, (ii) er nødvendig for å fullføre eller utføre en avtale med brukeren, (iii) er nødvendig eller lovpålagt på grunnlag av viktig offentlig interesse eller (iv) er nødvendig for å beskytte den vitale interessene til brukeren;
  • Behandlere, at de skal implementere kontraktsmessige kontroller, for eksempel modell-kontraktsmessige klausuler godkjent av EU-kommisjonen, gi nivåer av beskyttelse i samsvar med disse bruker-Bedriftsreglene.
     

3. Klagemekanisme

Hvis brukere mener at deres bruker-personopplysninger har blitt behandlet i strid med bruker-Bedriftsreglene, kan vedkommende rapportere problemet kundeservicefunksjonen på den aktuelle gruppe-medlemmet via den aktuelle tjenestens nettsted, e-post eller som ellers er angitt i gjeldende vilkår og betingelser.  Brukere kan generelt finne svar på de mest vanlige spørsmål om personvern og bekymringer og ved å skrive inn ordet «personvern» i den aktuelle tjenestens hjelpe-seksjon, noe som vanligvis vil styre brukeren til en side spesifikt for personvern eller retningslinjene.  «Hjelpedelen» av tjenesten er det unike startpunkt for alle brukeres spørsmål knyttet til deres personvern eller behandlingen av deres brukerinformasjon, og gir brukeren muligheten til å ta kontakt med kundeservice. 

I tilfelle tvil om hvilken kanal som kan brukes for å rapportere personvern-relaterte bekymringer, kan brukerne sende en e-post til den europeiske Databeskyttelsesansvarlige på: DPO@paypal.com.

Kundeservice undersøker og prøver å løse problemer som er samlet inn av brukere. Ansatte som er ansvarlig for behandling av personvern-relaterte bekymringer samarbeider tett med PayPals Globale Personvern-Team og gir Brukerne svar i henhold til PayPals retningslinjer, prosedyrer og anvisninger.  Hvis brukere mener at deres problemer ikke er tilstrekkelig adressert, eller hvis de ikke får et svar, kan de be om at vedkommendes problem eskaleres til den europeiske Databeskyttelsesansvarlige. Juridisk personvernleder vil konsulteres og overholdelse personvern føre vil bli underrettet. Valg av måten saken bringes videre på skal baseres på type og omfang av bekymringen og skal videresendes til riktig gruppe uten forsinkelser.  Svar på klagen skal sendes til brukeren innen en rimelig tidsperiode, og i alle tilfeller innen en periode på tre (3) måneder etter dato for forespørsel, unntatt i uvanlige omstendigheter eller ved kompliserte spørsmål som saken brukeren blir informert om at de svar vil ta lenger enn tre (3) måneder.

Klagen levere mekanisme skade brukernes rett til å bringe klager kompetente Databeskyttelses-tilsynsmyndigheten eller domstolene.

 

4. Tredjeparts begunstigede Rettigheter og Ansvar

EØS-brukere som har mistanke om mislighold av bruker-bedriftsregler utenfor EØS-området har rett til å kreve gjennomføring av bruker-bedriftsregler som tredjeparts-begunstiget for avsnitt 2, 3, 4, 7 og 8 i bruker-Bedriftsreglene før kompetente beskyttelse tilsynsmyndighet, foran domstolene av ledende gruppe-medlem eller foran domstolene til gruppe-medlem som fungerer som dataeksportør.  Disse håndhevings-rettigheter kommer i tillegg til andre metoder eller rettigheter tilbudt av PayPal eller tilgjengelig i henhold til gjeldende lov.

Selv om det ikke er nødvendig, oppfordres EØS-brukere til å først rapportere vedkommendes problem direkte til gruppe-medlemmet i stedet for Databeskyttelses-tilsynsmyndigheten eller domstolene.  Dette gir et effektiv og raskt svar fra PayPal-gruppen og minimerer mulige forsinkelser fra Databeskyttelses-tilsynsmyndighet eller domstol prosedyrer.

PayPal Europe S.à r.l. et Cie, S.C.A., et privateid aksjeselskap godtar ansvar for, og samtykker i å overvåke gruppe-medlemmets overholdelse av bruker-Bedriftsreglene i Luxembourg.  Ledende gruppe-medlem forplikter seg (i) til å iverksette nødvendige tiltak for å rette mislighold utført av gruppe-medlemmer utenfor EØS-området; og (ii) for å betale kompensasjon for brukere i EØS-området tildelt av ledende Datatilsynsmyndighet eller Luxembourg domstolene for eventuelle skader som direkte fra brudd på bruker-Bedriftsreglene av gruppe-medlemmer utenfor EØS-området, det aktuelle gruppe-medlemmet skal eller ikke villig til å betale erstatning eller overholde bestillingen. 

Ledende gruppe-medlem erkjenner og godtar at det medfører krav om bevis når det gjelder påståtte brudd på bruker-Bedriftsreglene.

Leder-gruppen (eller annet gruppe-medlem) skal ikke holdes ansvarlig hvis det på rimelig Vis demonstreres, basert på tilgjengelige fakta og tatt i betraktning kommentarene til brukeren, at de ikke gruppe-medlemmet EØS ikke har er i strid med bruker-Bedriftsreglene eller er ikke ansvarlig for eventuelle skader påstått av brukeren.

 

5. Opplæring

Gruppe-medlemmer vil sikre at alle ansatte behandling av bruker-personopplysninger, samt de ansatte som er involvert i utformingen av verktøy som skal brukes til å innhente eller behandle bruker-personopplysninger mottar personvern og informasjon sikkerhet oppmerksomhets-opplæring til fremheve og informere ansatte om behovet for å beskytte og sikre bruker-personopplysninger i samsvar med disse bruker-Bedriftsreglene. 

Ansatte er forpliktet til å fullføre elektronisk overholdelses-opplæring sentrert rundt bedriften utføre & retningslinjene, som inkluderer en seksjon om databeskyttelse, på årlig basis.  Nye ansatte er forpliktet til å fullføre elektroniske overholdelses-opplæring ved starten av ansettelsen.

I tillegg til denne elektroniske overholdelses-opplæring utføre med PayPal globale personvern-Team og den europeiske Databeskyttelsesansvarlige personvern og informasjon oppmerksomhets-opplæring for å fremheve og informere ansatte om behovet for å beskytte og sikre personopplysninger. Slike opplæringer gjennomføres årlig eller oftere hvis omstendighetene krever det..

Opplæringen de Ansatte mottar skal tilpasses deres nivåer av tilgang til Bruker-Personopplysninger og ytterligere opplæring skal gis til Ansatte med høyere nivåer av tilgang. 

Gruppe-medlemmer skal informere ansatte at ikke overholder disse bruker-Bedriftsreglene kan resultere disiplinærtiltak og andre tiltak som er tillatt etter gjeldende lov.  En kopi av disse bruker-Bedriftsreglene og andre relevante personvernet og sikkerheten tilknyttet retningslinjer og prosedyrer som er tilgjengelig for ansatte når som helst via bedriftens intranett. Bruker-Bedriftsreglene er også inkludert i bedriften utføre & retningslinjene som alle ansatte er forpliktet til å gå gjennom og godtar å overholde. 

 

6. Revisjoner og Overvåking

For å sikre samsvar med disse bruker-Bedriftsreglene, gjennomgår PayPal globale personvern Samsvarsteamet, fortløpende, personopplysninger behandlingsaktiviteter og praksis. Disse aktivitetene koordineres i nært samarbeid med den europeiske Databeskyttelsesansvarlige.

Interne revisjons-teamet er en uavhengig og objektiv rådgiver til administrasjonen og styret, som, gjennom revisjons-komiteen, kommuniserer revisjons-resultatene til styret, personvernlederne og til den europeiske Databeskyttelsesansvarlige. 

Interne revisjons-teamet kan utføre en gjennomgang av aktiviteter eller praksis som er identifisert av det globale personvern-Team med jevne mellomrom. Interne revisjons-teamet, personvernlederne og den europeiske Databeskyttelsesansvarlige skal, hvis det er nødvendig, kreve at en handlingsplan utføres for å sikre samsvar med BCR. I den grad interne grupper ikke løser saker tilstrekkelig, kan gruppen utnevne uavhengige, eksterne revisorer for videre løsning.

Den europeiske Databeskyttelsesansvarlige, PayPal globale personvern Team overholdelse eller interne revisjons-team og eksterne revisorer utvikler detaljerte revisjons-planer basert på risikoen ved behandlingen.

Resultatene fra Personvern-revisjoner vil være tilgjengelig for kompetente DPAer.  PayPal forbeholder seg retten til å skjule deler av revisjons-rapporter for å sikre konfidensialitet ved eiendomsrett eller annen konfidensiell forretnings-informasjon. 

 

7. Forholdet mellom Brukeren-Bedriftsreglene og Nasjonal Lov

Med varierende juridiske krav over hele verden knyttet til databeskyttelse, etablerer bruker-Bedriftsreglene et konsekvent sett av krav for å sikre riktig behandling av bruker-personopplysninger. Mens bruker-Bedriftsreglene oppretter et minstekrav som gruppe-medlemmer skal overholde, skal gruppe-medlemmer overholde gjeldende lover som kan innføre strengere standard enn de som er beskrevet i disse Bedriftsreglene.

Ingenting i disse bruker-Bedriftsreglene påvirker et gruppe-medlems forpliktelser i henhold til gjeldende banklovgivning, særlig i forbindelse med bankhemmeligheter.   Hvis gjeldende lovgivning er i konflikt med disse bruker-bedriftsregler i at det kan hindre at et gruppe-medlem oppfylle sine forpliktelser i henhold til bruker-Bedriftsreglene, og har en betydelig effekt på garantiene som der er oppgitt, skal gruppe-medlemmet umiddelbart varsle Den europeiske Databeskyttelsesansvarlige, med unntak av tilfeller der det å oppgi denne informasjonen er forbudt av en politimyndighet eller av loven.  Den Europeiske Databeskyttelsesansvarlige, personvernledere og Ledende Gruppe-Medlem skal avgjøre de riktige tiltak, og, i tilfelle tvil, konsultere de aktuelle Datatilsynsmyndigheter.

 

8. Gjensidig Bistand og Samarbeid med Datatilsynsmyndigheter

Gruppe-medlemmer skal samarbeide og hjelpe hverandre for å håndtere forespørsler eller klager fra brukerne når det gjelder disse bruker-Bedriftsreglene.

Gruppe-medlemmer skal svare utrettelig og passende på forespørsler fra Datatilsynsmyndigheter om disse bruker-Bedriftsreglene.  Hvis en ansatt mottar en slik anmodning fra en Datatilsynsmyndighet, må han eller hun umiddelbart informere den europeiske Databeskyttelsesansvarlige.   

Gruppe-medlemmer skal samarbeide om henvendelser og godta revisjoner fra kompetente Datatilsynsmyndigheter i EØS-området i forhold til overholdelse av disse bruker-Bedriftsreglene og skal respektere beslutninger i samsvar med gjeldende lov og riktige prosess-rettigheter.   

 

9. Oppdateringer av innholdet i disse bruker-Bedriftsreglene og liste over medlemmer

PayPal forbeholder seg retten til å endre disse bruker-Bedriftsreglene som er nødvendig, for eksempel, for å overholde endringer i gjeldende lover, regler, bestemmelser, PayPal-praksis, prosedyrer og organisering eller krav som er pålagt av relevante data databeskyttelses-tilsynsmyndighet.

Til PayPal globale juridiske personvern-Team (under ledelse av den juridiske personvernleder), skal foreslå nødvendige endringer ved disse bruker-Bedriftsreglene. Med PayPal globale personvern Team overholdelse (under ledelse av personvern-lederen) og den europeiske Databeskyttelsesansvarlige må godkjenne alle endringer i bruker-Bedriftsreglene og skal spore alle endringer ved bruker-Bedriftsreglene, samt eventuelle endre i listen over gruppe-medlemmer. Gruppe-Medlemmer skal rapportere endringer ved Bruker-Bedriftsreglene til relevante Datatilsynsmyndigheter for formell godkjenning, noe som kreves av gjeldende lov.

Ledende gruppe-medlem vil ta kontakt med den ledende Datatilsynsmyndighet angående vesentlige endringer ved bruker-Bedriftsreglene som vil påvirke overholdelse av databeskyttelse eller driften av bruker-Bedriftsreglene.  Ledende Gruppe-Medlem kommuniserer vesentlige endringer ved Bruker-Bedriftsreglene og endringer i listen over Gruppe-Medlemmer minst én gang i året til Ledende Datatilsynsmyndighet.  Med PayPal globale personvern-Team vil samarbeide for å støtte den europeiske Databeskyttelsesansvarlige som, spesielt, vil koordinere svar og raskt adressere kommentarer, forslag eller innvendinger til endringene som er påpekt av ledende Datatilsynsmyndighet på vegne av PayPal. Alle kommentarer, forslag eller innvendinger påpekt Datatilsynsmyndigheter vil bli formidlet til den europeiske Databeskyttelsesansvarlige av de ledende Datatilsynsmyndighet som vil handle på vegne av de andre Datatilsynsmyndighetene.  

Endringer ved Bruker-Bedriftsreglene skal være gjeldende for alle Gruppe-Medlemmer fra den effektive dato for implementering.  Gruppe-medlemmer skal sende varsel om vesentlige endringer ved bruker-bedriftsreglene til brukere i henhold til brukerens Tjenesteinnstillinger enten ved fra flere e-post eller publisering på nettstedet med en klar advarsel til brukere, om at brukerreglene bruker-Bedriftsreglene er endret. Gruppe-medlemmer skal legge ut de reviderte bruker-Bedriftsreglene på valgte eksterne nettsteder eller applikasjoner som er tilgjengelig for brukere.  Endringer ved Bruker-Bedriftsreglene er gyldige innen en periode på to måneder etter at Gruppe-Medlemmer har varslet Brukere og lagt ut innlegg med de reviderte Bruker-Bedriftsreglene

 

10. Publisering

Bruker-Bedriftsreglene skal bli publisert og en lenke skal gjøres tilgjengelig på tjenestens nettsted eller applikasjoner.  Brukere kan be om en kopi fra The European Data Protection Officer (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, l-2449 Luxembourg, eller sende oss en e-post på DPO@paypal.com.

 

11. Avsluttende bestemmelser

Effektiv fra dato: 25. Mai, 2018

Kontakt: Brukere kan samle inn spørsmål eller kommentarer i forbindelse med disse bruker-Bedriftsreglene ved å kontakte:

The European Data Protection Officer (DPO)

PayPal (Europe) S.à r.l. et Cie , S.C.A., 22–24 Boulevard Royal, L-2449 Luxembourg.

 

12. Definisjoner

Gruppe-medlemmer skal tolke bruker-Bedriftsreglene på en måte som er mest mulig samsvar med de grunnleggende prinsippene i EU-direktivet 95/46/EF eller erstattende direktivet eller regelverk. 

De følgende definisjonene gjelder for disse bruker-Bedriftsreglene:

Styret betyr styret hos det Ledende Gruppe-Medlemmet.

Datatilsynsmyndigheter betyr de offentlige myndighetene som er ansvarlig for å overvåke og håndheve reglene innen deres respektive territorium av de nasjonale lovene vedtatt av medlemslandene i EØS - i henhold til EU-databeskyttelse Direktivet (95/46/EF).

EØS betyr EØS-området, som for øyeblikket består av EU-medlemslandene, Island, Liechtenstein og Norge.

Ansatt betyr ansatte, arbeidstakere, traineer og annet personell eller stabmedlemmer, blant betingede eller midlertidige arbeidstakere, alternative arbeidsstyrke, eller entreprenører for et gruppemedlem, enten ansatt eller engasjert på fulltids- eller deltids-basis og uavhengig av type ansettelse eller engasjement.

Europeiske Databeskyttelsesansvarlig (DPO) betyr den ansatte som er utnevnt av og rapporterer til ledelsen hos det Ledende Gruppe-Medlemmet og som også fungerer som medlem av PayPals Globale Juridiske Personvern-team. Den Europeiske Databeskyttelsesansvarlige befinner seg i Luxembourg.

Gruppe-Medlem betyr en enhet i PayPal-Gruppen som har utført en kopi av IGA.

IGA betyr Intra-Group Avtalen

Lead Data Protection Authority betyr “Commission nationale pour la protection des données” (“CNPD”) in Luxembourg, («Datatilsynet» i Norge).

Ledende Gruppe-Medlem betyr PayPal (Europe) S.à r.l. & Cie, S.C.A., et privateid aksjeselskap basert i Luxembourg .

PayPals Globale Personvern-Team betyr koordineringen av PayPals Globale Team for Personvern-overholdelse og PayPals Globale Juridiske Personvern-team.

PayPals Globale Team for Personvern-overholdelse betyr medlemmer av Overholdelses-Organisasjonen som spesifikt håndterer compliance/overholdelse og drift av PayPals Personvern-program.

PayPals Globale Juridiske Personvern-team betyr medlemmer av juridisk avdeling som spesifikt håndterer personvern og databeskyttelse.

PayPal-konsernet betyr PayPal Holdings, Inc. («PayPal») og alle enheter direkte eller indirekte kontrollert av PayPal som behandler brukerinformasjon, der kontroll betyr eierskapet til mer enn femti prosent (50%) av stemmene til å velge den direktører i selskapet eller mer enn femti prosent (50%) av eierandel i prosent.

Personopplysninger betyr informasjon som er relatert til en identifisert eller identifiserbar fysisk person; en identifiserbar person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til et identifikasjonsnummer eller til én eller flere faktorer som er spesifikke for hans/hennes fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Prosessen betyr en drift eller sett av operasjoner som utføres på personopplysninger, uavhengig av menneskelige metoder, som for eksempel innsamling, opptak, organisering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, deling ved overføring, formidling eller annen måte gjør tilgjengelig, justering eller kombinasjon, blokkering, sletting eller ødeleggelse.

Behandleren betyr eventuelle fysiske eller juridiske personer som behandler personopplysninger på vegne av et gruppe-medlem.

Sensitive personopplysninger betyr personopplysninger avsløre rase, opprinnelse, politiske meninger, livssyn, livssyn, fagforeningsmedlemskap, informasjon knyttet til straffbare eller informasjon om helse eller seksualliv .

Tjenesten betyr et nettsted, applikasjonen, eller andre produktet eller tjenesten som tilbys av en PayPal-gruppe til bruk av en bruker.

Tredjepart betyr eventuelle fysiske eller juridiske personer, offentlige myndigheter, byrå eller eventuelle andre organer enn brukeren, gruppe-medlemmet, behandleren og personene som, under direkte myndighet fra gruppe-medlem eller behandleren, for eksempel ansatte, er autorisert til å behandle personopplysninger.

Bruker betyr tidligere og eksisterende kunder, potensielle kunder, investorer, forretningspartnere og forhandlere.

Bruker-Personopplysninger betyr Personopplysninger som er knyttet til Brukere.