>> Vis alle juridiske avtaler

Bedriftsregler for PayPal-brukere

 

PayPal-konsernets mål er å bruke helhetlige, tilstrekkelige og globale databeskyttelses- og personvernstandarder for håndtering av alle brukerpersonopplysninger i PayPal-konsernet.  Disse bedriftsreglene for brukere gjelder for alle brukerpersonopplysninger som behandles av konsernmedlemmer over hele verden.

Brukere over hele verden gir personopplysningene sine til konsernmedlemmer for å bruke tjenestene konsernet tilbyr.  De fleste brukerpersonopplysninger samles inn og lagres USA.  PayPals globale virksomhet krever at brukerpersonopplysninger deles med andre PayPal-selskaper i USA og globalt der PayPal for øyeblikket har eller har til hensikt å ha en tilstedeværelse.

For øyeblikket kan PayPal-ansatte i følgende EØS-land ha tilgang til brukerpersonopplysninger: Luxembourg, Belgia, Frankrike, Tyskland, Irland, Italia, Nederland, Polen, Spania og Sverige.

Ansatte som befinner seg i følgende land utenfor EU, kan også ha tilgang til brukerpersonopplysninger: USA, Taiwan, Tyrkia, Jomfruøyene (Storbritannia), Australia, Canada, Kina, Hong Kong, India, Indonesia, Japan, Israel, Republikken Korea, Malaysia, Mauritius, Norge, Russland, Singapore, Sveits, Storbritannia, Argentina, Brasil og Mexico.

PayPal er opptatt av å sikre tilstrekkelig beskyttelse av brukeropplysningene uavhengig av hvor personopplysningene befinner seg, og å sikre tilstrekkelig beskyttelse av brukerpersonopplysningene når de overføres utenfor EØS-området.

Denne listen over land kan endres etter hvert som virksomheten vokser.

 

1. Styringsstruktur og ansvar for personvern

Brukerbedriftsreglene er juridisk bindende gjennom en avtale («IGA») mellom PayPal (Europe) S.à r.l. & Cie, S.C.A. («ledende konsernmedlem») og andre PayPal-konsernenheter.  IGA krever at konsernmedlemmene overholder disse brukerbedriftsreglene. Konsernmedlemmer krever at deres ansatte overholder disse brukerbedriftsreglene ved håndtering av brukerpersonopplysninger.

Bedriftsledere og toppledelsen i PayPal-gruppen er ansvarlig for å håndheve overholdelse av disse brukerbedriftsreglene, inkludert å sikre at alle ansatte kjenner til og overholder disse brukerbedriftsreglene.

Den ansvarlige for overholdelse av personvern driver PayPals personvernprogram. Hun/han har en overordnet stilling i PayPal Holdings, Inc. og rapporterer direkte til personvernombud eller den øverste lederen som har ansvar for overholdelse hos PayPal.  Lederen for overholdelse av personvern overvåker PayPals globale team for overholdelse av personvern og kommuniserer med andre interne organiseringer eller team, for eksempel drift, informasjonssikkerhet, samsvar, risiko og intern revisjon, for å sikre ensartet kommunikasjon, praksis og retningslinjer vedrørende personvern globalt i hele PayPal-konsernet. PayPals globale team for overholdelse av personvern utvikler og koordinerer implementering av sin overholdelsesstrategi i hele PayPal-gruppen, og bekrefter operasjonell overholdelse.  PayPals globale team for overholdelse av personvern har direkte og indirekte representanter i alle deler av PayPal-konsernet som, blant annet, bidrar til å sikre overholdelse av brukerbedriftsreglene og gjeldende databeskyttelseslover.

Juridisk personvernleder overvåker til PayPal globale juridiske personvern-Team og rapporter direkte til den øverste juridiske lederen eller den øverste utøvende leder de juridiske funksjoner hos PayPal.  Den juridisk ansvarlige for personvern definerer selskapets forpliktelser i henhold til gjeldende databeskyttelseslover og disse brukerbedriftsreglene. Den juridisk ansvarlige for personvern og PayPals globale juridiske personvernteam samarbeider nært med den ansvarlige for overholdelse av personvern og PayPals globale team for overholdelse av personvern, og interagerer med andre interne organisasjoner og team, for eksempel juridisk, drift, informasjonssikkerhet og risiko, for å gi juridisk rådgivning og tolke juridiske og lovbestemte konsekvenser av personvernsaker som utvikler seg, gjennom hele PayPal-konsernet globalt.

PayPals globale team for overholdelse av personvern og PayPals globale juridiske personvernteam utgjør sammen PayPals globale personvernteam.

Den europeiske databeskyttelsesansvarlige i Luxembourg er utnevnt av og rapporterer til ledelsen i PayPal (Europe) S.à r.l. et Cie, S.C.A. Den europeiske databeskyttelsesansvarlige fungerer som den primære kontaktpersonen for datatilsynsmyndigheter i EØS-området og har, blant annet, følgende plikter: å informere og gi råd til konsernmedlemmer og ansatte som behandler personopplysninger, om deres forpliktelser i henhold til personvernlovgivningen for å sikre samsvar med disse brukerbedriftsreglene; å samarbeide med PayPals globale personvernteam for å overvåke konsernmedlemmers overholdelse av personvernlovgivning og relaterte retningslinjer og å gi juridisk rådgivning til konsernmedlemmer der det blir anmodet om når det gjelder vurdering av innvirkning av databeskyttelse samt implementering.

 

2. Prinsipper for behandling av brukerpersonopplysninger

Konsernmedlemmer følger disse behandlingsprinsippene for brukerpersonopplysninger.

2.1 Begrensning av formål

Brukerpersonopplysninger skal kun behandles til spesifikke, eksplisitte og legitime formål.  Spesielt kan brukerpersonopplysninger behandles for å

-  tilby og legge til rette for levering av tjenester etter brukernes forespørsler, inkludert å åpne en konto

-  forbedre tjenestene og utvikle nye tjenester

- løse tvister, håndtere søksmål, feilsøke problemer og gi kundeservice

-  utføre risikostyring

-  behandle transaksjoner og innkassere utestående gebyrer

-  kontrollere kredittverdighet og betalingsevne

- måle brukernes interesse for og tilbakemeldinger og meninger om tjenester, og informere brukerne om nettbaserte og andre tilbud, tjenester og oppdateringer

-  tilpasse brukernes opplevelser

-  oppdage og beskytte mot feil, svindel og annen straffbar aktivitet

-  oppfylle PayPal-konsernets juridiske, kontraktsmessige eller forskriftsmessige forpliktelser

- håndheve vilkår og betingelser for tjenesten og annet beskrevet for brukerne på tidspunktet for innsamling og i tjenestens personvernerklæring

- beskytte sikkerheten, integriteten og tilgjengeligheten til tjenestene og PayPal-konsernets nettverk

- beskytte PayPal-konsernets juridiske rettigheter og interesser, inkludert, men ikke begrenset til, å etablere, utøve eller forsvare mot juridiske krav

Behandling av brukerpersonopplysninger til andre formål er underlagt forhåndsgodkjenning fra PayPals globale juridiske personvernteam.  Ved tvil skal konsernmedlemmer rådføre seg med PayPals globale juridiske personvernteam.

Brukerpersonopplysninger skal ikke ytterligere behandles på en måte som ikke er kompatibel med de ovennevnte formålene, med mindre det er et juridisk grunnlag for å gjøre det i henhold til gjeldende lov hos konsernmedlem i EØS-området som er ansvarlig for innsamling og/eller overføring av brukerpersonopplysningene.   

2.2 Datakvalitet og forholdsmessighet

Brukerpersonopplysninger skal være

  • nøyaktige og, der det er nødvendig, oppdaterte
  • tilstrekkelige, relevante og ikke overflødige for behandlingsformålene
  • ikke oppbevart lenger enn nødvendig for å formålene som de opprinnelig ble samlet inn eller ytterligere behandlet for  

Brukerpersonopplysninger som ikke lenger er påkrevd for behandlingsformålene, skal slettes, fjernes, ødelegges eller anonymiseres, med mindre det er en juridisk grunn til videre behandling eller oppbevaring er påkrevd etter gjeldende lov.

2.3 Rettsgrunnlag for behandling

Konsernmedlemmer skal sikre at brukerpersonopplysninger blir behandlet rettferdig og lovlig, og særlig basert på minst en av de følgende juridiske grunnene:

  • entydig samtykke fra brukeren
  • behandling som er nødvendig for utførelsen av en kontrakt der brukeren er part, eller for å kunne gjennomføre tiltak på forespørsel fra brukeren før inngåelse av en kontrakt
  • behandling som er nødvendig for å overholde en juridisk forpliktelse som konsernmedlemmer er underlagt
  • behandling som er nødvendig for å beskytte brukerens viktige interesser
  • behandling som er nødvendig for utførelsen av en aktivitet som utføres i offentlig interesse eller utøvelse av offisiell myndighet som er tildelt konsernmedlemmer eller en tredjepart som opplysningene er oppgitt til, eller
  • behandling som er nødvendig for formålet med de legitime interessene som forfølges av konsernmedlemmer eller tredjeparten eller partene som opplysningene er gitt til, med unntak av når slike interesser overstyres av interessene for brukerens grunnleggende rettigheter og frihet

Som en generell praksis samler ikke konsernmedlemmer inn sensitive personopplysninger fra brukere.  Der slik innsamling er nødvendig, eller der brukere frivillig oppgir disse opplysningene, skal konsernmedlemmer sikre at sensitive brukerpersonopplysninger bare behandles på grunnlag av minst ett av følgende punkter:

  • brukers uttalte samtykke
  • behandling som er nødvendig for å beskytte kjerneinteressene til brukeren eller en annen person der brukeren er fysisk eller lovlig i ute av stand til å gi sitt samtykke
  • behandling som er knyttet til brukerpersonopplysninger som er tydelig offentliggjort av brukeren, eller
  • behandling som er nødvendig for etablering, utøvelse eller forsvar av juridiske krav

Når behandling innebærer automatisert beslutningstaking («automatiserte beslutninger»), skal konsernmedlemmer sette inn passende tiltak for å beskytte brukerens legitime interesser, for eksempel å gi brukeren mulighet til å la en kundeservicerepresentant gjennomgå avgjørelsen individuelt og tillate brukeren å komme med sitt synspunkt. Kundeservicerepresentanten skal eskalere saken til den europeiske databeskyttelsesansvarlige hvis brukeren fortsetter å være uenig i en automatisert beslutning. Når det er aktuelt, skal juridisk personvernansvarlig konsulteres og den ansvarlige for overholdelse av personvern skal underrettes.  

2.4 Transparens

Ved innsamling av brukerpersonopplysninger skal konsernmedlemmer informere brukere om

  • navnet og adressen til det konsernmedlemmet som er ansvarlig for den opprinnelige innsamlingen og behandlingen
  • kategoriene av brukerpersonopplysninger det gjelder
  • tiltenkte formål med behandlingen
  • kategoriene av behandlere og tredjeparter som mottar brukerpersonopplysningene
  • om svar på spørsmålene er obligatorisk eller frivillig, samt mulige konsekvenser av manglende svar
  • eksistensen av brukerrettigheter
  • logikken som er involvert i tilfeller med automatisert beslutningstaking

Konsernmedlemmer kan oppgi denne informasjonen i en personvernerklæring for tjenesten som skal være tilgjengelig via en lenke og/eller vises på en fremhevet plassering på alle tjenestenettsteder eller applikasjoner og under registreringen.  Plikten til å informere brukerne gjelder ikke hvis brukeren allerede er klar over informasjonen.  

Der fremlegging av informasjon er umulig eller ville involvere en uforholdsmessig innsats, kan konsernmedlemmer avstå fra å oppgi informasjonen.  Dette vil kun være tilfelle for brukerpersonopplysninger som ikke er innhentet fra brukeren direkte. 

I spesielle tilfeller kan fremlegging av spesifikk informasjon utsettes eller utelates, for eksempel i forbindelse med undersøkelser rundt urettmessig atferd eller for å overholde gjeldende lover, eller der fremlegging av informasjonen kan sette integriteten til undersøkelsen på spill.

2.5 Konfidensialitet og sikkerhet

Konsernmedlemmer bruker fysiske, tekniske og organisatoriske sikkerhetskontroller som er i samsvar med mengden og sensitiviteten til brukerpersonopplysningene, for å hindre uautorisert behandling, inkludert, men ikke begrenset til, uautorisert tilgang til, kjøp og bruk av, tap av, ødeleggelse av eller skade på brukerpersonopplysninger. Konsernmedlemmer bruker kryptering, brannmurer, tilgangskontroller, standarder og andre prosedyrer til å beskytte brukerinformasjon mot uautorisert tilgang.  Fysisk og logisk tilgang til elektroniske filer og utskrifter er ytterligere begrenset basert på jobbansvar og forretningsbehov.

2.6 Brukeres valg og rettigheter

Brukere kan få tilgang til og korrigere det meste av brukerpersonopplysninger relatert til dem, som konsernmedlemmer vedlikeholder, ved hjelp av det tilknyttede nettverktøyet eller selvbetjeningsprosessen som gjøres tilgjengelig for dem gjennom tjenestenettstedet eller appen.

I alle tilfeller har brukere rett til å sende inn en forespørsel om tilgang til å se eller få en kopi av sine brukerpersonopplysninger som ikke er tilgjengelige via tjenestens nettsted eller app|. Brukere må kontakte kundeservice via instruksjonene som er oppgitt gjennom tjenestens nettsted eller i appen. Konsernmedlemmer skal overholde forespørsler innenfor de tidsrammene som er fastsatt i gjeldende lovgivning, med unntak av tilfeller der gjeldende lov åpner for unntak for slike forpliktelser.  Brukere kan bli nødt til å fremlegge legitimasjon og kan bli pålagt et tjenestegebyr som tillatt i henhold til gjeldende lov.

Brukere også kan be om rettelse av sine opplysninger hvis de er ufullstendige eller feilaktige. Konsernmedlemmer skal overholde slike forespørsler og skal informere brukerne når opplysningene er korrigert. Konsernmedlemmer skal varsle tredjeparter som brukerens data har blitt formidlet til, om eventuelle rettelser, med mindre det er umulig eller innebærer uforholdsmessig innsats.

Brukere kan motsette seg behandling av brukerpersonopplysningene på tvingende, legitime grunnlag. Konsernmedlemmer vil overholde slike forespørsler, med mindre oppbevaring av brukerpersonopplysninger er påkrevd i henhold til gjeldende lovgivning eller for å forsvare PayPal-konsernet mot juridiske krav. Brukere vil bli informert om utfallet av forespørselen og tiltak som iverksettes av konsernmedlemmene.

Brukere kan dessuten be om å få stengt kontoene sine ved å følge instruksjonene gjennom tjenestens nettsted eller app. Konsernmedlemmer vil fjerne eller anonymisere en brukers informasjon fra en tjeneste så snart som det med rimelighet er mulig basert på kontoaktiviteten.  I noen tilfeller kan konsernmedlemmer utsette avslutningen av en konto eller beholde brukerpersonopplysninger for å utføre en undersøkelse eller der det er påkrevd etter gjeldende lov. Konsernmedlemmer kan også beholde brukerinformasjon fra avsluttede kontoer for å oppdage og forhindre svindel, innkassere eventuelle utestående gebyrer, løse tvister, feilsøke problemer, bistå med eventuelle undersøkelser, håndtere risiko, håndheve vilkår og betingelser for en tjeneste, overholde juridiske eller forskriftsmessige krav og gjennomføre andre tiltak som ellers er tillatt etter gjeldende lov. Dataene skal ikke oppbevares i en form som muliggjør identifisering av den registrerte, lenger enn det som er nødvendig for formålet som dataene var samlet inn for eller som de behandles ytterligere for, og vil bli slettet når den underliggende årsaken til å oppbevare dem har blitt adressert eller løst.

Med unntak av for brukere som har valgt å ikke motta bestemt kommunikasjon, kan konsernmedlemmer bruke brukerpersonopplysninger til å tilpasse kommunikasjon til brukere basert på deres interesser i henhold til gjeldende lov.  Brukere som ikke ønsker å motta markedsføringskommunikasjon fra PayPal-konsernet, vil bli tilbudt lett tilgjengelige måter å takke nei til ytterligere annonsering på, for eksempel i kontoinnstillingene eller ved å følge instruksjoner som er oppgitt i e-post eller via en lenke i kommunikasjonen.

Brukere kan utøve rettighetene ovenfor ved å kontakte kundeservice.  Der en brukers identitet er vanskelig å bekrefte, kan konsernmedlemmer kreve at brukeren oppgir ytterligere legitimasjon.

2.7 Videreformidling av personopplysninger

Konsernmedlemmer kan dele brukerpersonopplysninger i det normale omfanget av virksomheten med andre konsernmedlemmer over hele verden for de formålene som er angitt i punkt 2.1.

I henhold til gjeldende lovgivning, avtaler eller gjeldende internasjonale konvensjoner kan konsernmedlemmer dele personopplysninger med politimyndigheter og tilsynsmyndigheter når det er nødvendig i et demokratisk samfunn for å beskytte nasjonal sikkerhet, forsvar og offentlig sikkerhet, for å forebygge, undersøke, oppdage og rettsforfølge kriminelle handlinger, og særlig i samsvar med handelsrestriksjonene som fastsatt i internasjonale og/eller nasjonale instrumenter, skatterapporteringskrav eller rapporteringskrav i forbindelse med antihvitvasking av penger.

Konsernmedlemmer skal ikke selge eller leie ut brukerpersonopplysninger til tredjeparter for egne markedsføringsformål uten brukerens uttrykkelige entydige og informerte samtykke. Konsernmedlemmer kan videreformidle brukerinformasjon til andre tredjeparter i henhold til brukerens instruksjoner eller samtykke (der det er tillatt i henhold til gjeldende lov).

Når brukerpersonopplysninger overføres til behandlere, vil behandlerne være underlagt en risikovurdering med henblikk på personvern, databeskyttelse og informasjonssikkerhet før oppstart av arbeidet og før overføring av brukerpersonopplysninger.  Omfanget av vurderingen vil variere basert på sensitiviteten til brukerpersonopplysningene som skal behandles. Behandlere, inkludert et konsernmedlem som bidrar til behandling, må inngå en avtale med de aktuelle konsernmedlemmene om å besørge tilstrekkelige tiltak når det gjelder personvern, databeskyttelse og informasjonssikkerhet. En slik avtale inkluderer klausuler som sikrer riktig bruk av brukerpersonopplysninger og sikkerhetstiltak som samsvarer med mengde av, type og sensitivitet for de involverte brukerpersonopplysningene.  Som et minimum må de kontraktsmessige sikkerhetsforanstaltningene dekke følgende:

  • Krav til overholdelse av loven og til å kun behandle brukerpersonopplysninger i henhold til vilkårene i avtalen og kun etter instruksjoner fra den aktuelle konsernmedlemmene
  • Nødvendige tekniske og organisatoriske tiltak tilpasset sensitiviteten til brukerpersonopplysningene og den aktuelle behandlingen
  • Rett til å overvåke behandlernes overholdelse av de kontraktsmessige garantiene
  • Forpliktelser knyttet til varsling om sikkerhetsbrudd
  • Bestemmelser om utbedring i tilfelle av behandlerens manglende overholdelse av de juridiske eller kontraktsmessige forpliktelsene.

Avtalene må inneholde bestemmelser som sikrer at manglende overholdelse av vilkårene i avtalen kan resultere i suspensjon eller oppsigelse av avtalen, blant andre tiltak som er angitt i avtalen.

Vurderingen av personvern, databeskyttelse og informasjonssikkerhet er ikke obligatorisk for behandlere som allerede har vært underlagt en slik vurdering, med mindre behandlingsaktivitetene involverer aktiviteter med høy risiko tatt i betraktning typen og mengden av personopplysninger og typen behandlingsaktiviteter.

Uavhengig av det ovennevnte, der konsernmedlemmer overfører EØS-brukerpersonopplysninger til tredjeparter eller til behandlere som ikke er konsernmedlemmer, (i) i land som ikke har tilstrekkelige nivåer av beskyttelse (i henhold til direktivet 95/46/EF), (ii) i land som ikke er dekket av godkjente bindende bedriftsregler, eller (iii) i land som ikke har andre ordninger som vil tilfredsstille EUs krav til tilstrekkelighet, skal konsernmedlemmet sikre relatert til

  • tredjeparter at de skal implementere passende kontraktsmessige kontroller, for eksempel kontraktsmessige modellklausuler godkjent av EU-kommisjonen, forutsatt at nivåer av beskyttelse er i samsvar med disse brukerbedriftsreglene eller, alternativt, sikre at overføringen (i) foregår med entydig samtykke fra brukeren, (ii) er nødvendig for å fullføre eller utføre en kontakt med brukeren, (iii) er nødvendig eller lovpålagt på grunnlag av viktig offentlig interesse eller (iv) er nødvendig for å beskytte de vitale interessene til brukeren.
  • behandlere at de implementerer kontraktsmessige kontroller, for eksempel kontraktsmessige modellklausuler godkjent av EU-kommisjonen, forutsatt at nivåer av beskyttelse i samsvar med disse brukerbedriftsreglene.
     

3. Klagemekanisme

Hvis brukere mener at deres brukerpersonopplysninger har blitt behandlet i strid med brukerbedriftsreglene, kan de rapportere problemet til kundeservicefunksjonen hos det aktuelle konsernmedlemmet via den aktuelle tjenestens nettsted, e-post eller som ellers angitt i gjeldende vilkår og betingelser.  Brukere kan generelt finne svar på de mest vanlige spørsmål om personvern ved å skrive inn ordet «personvern» i den aktuelle tjenestens hjelpedel, noe som vanligvis vil sende brukeren til en side som angår personvern eller policy.  «Hjelpedelen» til den relevante tjenesten er det unike startpunktet for alle brukeres spørsmål knyttet til personvern eller behandlingen av brukerinformasjonen, og gir brukerne mulighet til å kontakte kundeservice. 

Ved tvil om hvilken kanal som skal brukes til å rapportere personvernrelaterte problemer, kan brukere kontakte den europeiske databeskyttelsesansvarlige på nettet.

Kundeservice undersøker og prøver å løse problemer som tas opp av brukere. Ansatte som er ansvarlige for behandling av personvernrelaterte problemer, samarbeider tett med PayPals globale personvernteam og gir brukerne svar i henhold til PayPals policyer, prosedyrer og retningslinjer.  Hvis brukere mener at deres problemer ikke er tilstrekkelig adressert, eller hvis de ikke får et svar, kan de be om at problemet eskaleres til den europeiske databeskyttelsesansvarlige. Juridisk personvernansvarlig vil konsulteres og den ansvarlige for overholdelse av personvern vil bli underrettet. Eskaleringsbaner skal bestemmes basert på typen og omfanget av problemet, og skal videresendes til riktig team uten forsinkelser.  Svar på klagen skal sendes til brukeren innen en rimelig tidsperiode, og i alle tilfeller innen en periode på tre (3) måneder etter datoen for forespørselen, unntatt ved uvanlige omstendigheter eller ved kompliserte spørsmål, da brukeren blir informert om at svaret vil ta lenger tid enn tre (3) måneder.

Klagehåndteringsmekanismen strider ikke mot brukernes rett til å bringe inn klager for kompetente databeskyttelsesmyndigheter eller domstoler.

 

4. Tredjepartsbegunstigets rettigheter og ansvar

EØS-brukere som har mistanke om brudd på brukerbedriftsregler utenfor EØS-området, har rett til å kreve håndhevelse av brukerbedriftsreglene som tredjepartsbegunstigede for punkt 2, 3, 4, 7 og 8 i brukerbedriftsreglene foran kompetente databeskyttelsesmyndigheter, foran domstolene for det ansvarlige konsernmedlemmet eller foran domstolene for konsernmedlemmet som fungerer som dataeksportør.  Disse håndhevingsrettighetene kommer i tillegg til andre tiltak eller rettigheter tilbudt av PayPal eller tilgjengelig i henhold til gjeldende lov.

Selv om det ikke er et krav, oppfordres EØS-brukere til å først rapportere problemet direkte til konsernmedlemmet i stedet for til databeskyttelsesmyndighetene eller domstolene.  Dette muliggjør et effektiv og raskt svar fra PayPal-konsernet og minimerer mulige forsinkelser fra databeskyttelsesmyndigheter eller rettstvister.

PayPal Europe S.à r.l. et Cie, S.C.A., et privateid aksjeselskap i Luxembourg, godtar ansvar for å samtykker til å overvåke konsernmedlemmets overholdelse av brukerbedriftsreglene.  Ledende konsernmedlem forplikter seg til (i) å iverksette nødvendige tiltak for å bøte på brudd utført av konsernmedlemmer utenfor EØS-området og (ii) å betale kompensasjon til brukere i EØS-området bestemt av ansvarlig databeskyttelsesmyndighet eller domstolene i Luxembourg for eventuelle skader som direkte skyldes brudd på brukerbedriftsreglene av konsernmedlemmer utenfor EØS-området, hvis det aktuelle konsernmedlemmet ikke kan eller ikke er villig til å betale erstatning eller overholde kjennelsen. 

Ledende konsernmedlem erkjenner og godtar at det bærer bevisbyrden når det gjelder påståtte brudd på brukerbedriftsreglene.

Ledende konsernmedlem (eller et annet konsernmedlem) skal ikke holdes ansvarlig hvis det på rimelig vis fremlegger, basert på tilgjengelige fakta og med hensyntaken til kommentarene fra brukeren, at konsernmedlemmet utenfor EØS-området ikke har brutt brukerbedriftsreglene eller ikke er ansvarlig for eventuelle skader påstått av brukeren.

 

5. Opplæring

Konsernmedlemmer vil sikre at alle ansatte som behandler brukerpersonopplysninger, samt de ansatte som er involvert i utformingen av verktøy som skal brukes til å innhente eller behandle brukerpersonopplysninger, får opplæring i bevissthet rundt personvern og informasjonssikkerhet for å påpeke overfor og informere ansatte om behovet for å beskytte og sikre brukerpersonopplysninger i samsvar med disse brukerbedriftsreglene. 

Ansatte er forpliktet til å hvert år gjennomføre elektronisk opplæring innen overholdelse, sentrert rundt bedriftens etiske retningslinjer, som inkluderer en del om databeskyttelse.  Nyansatte er forpliktet til å gjennomføre den elektroniske opplæringen innen overholdelse når ansettelsesforholdet starter.

I tillegg til denne elektroniske opplæringen innen overholdelse gjennomfører PayPals globale personvernteam og den europeiske databeskyttelsesansvarlige opplæring om bevissthet rundt personvern og informasjonssikkerhet for å påpeke overfor og informere ansatte om behovet for å beskytte og sikre personopplysninger. Slik opplæringer gjennomføres årlig eller oftere hvis omstendighetene krever det.

Opplæringen de ansatte mottar, skal tilpasses deres tilgangsnivåer til brukerpersonopplysninger, og ytterligere opplæring skal gis til ansatte med høye tilgangsnivåer. 

Konsernmedlemmer skal informere ansatte at om at manglende overholdelse av disse brukerbedriftsreglene kan resultere i disiplinærtiltak og andre tiltak som er tillatt etter gjeldende lov.  En kopi av disse brukerbedriftsreglene og andre relevante personvern- og sikkerhetsrelaterte policyer og prosedyrer er tilgjengelig for ansatte til enhver tid via bedriftens intranett. Brukerbedriftsreglene er også inkludert i bedriftens etiske retningslinjer som alle ansatte er forpliktet til å lese og godta å overholde. 

 

6. Revisjoner og overvåking

For å sikre samsvar med disse brukerbedriftsreglene gjennomgår PayPals globale team for overholdelse av personvern fortløpende aktiviteter og rutiner for behandling av personopplysninger. Disse aktivitetene koordineres i nært samarbeid med den europeiske databeskyttelsesansvarlige.

Internrevisjonsteamet er en uavhengig og objektiv rådgiver for ledelsen og styret, som, gjennom revisjonskomiteen, kommuniserer revisjonsresultatene til styret, de personvernansvarlige og til den europeiske databeskyttelsesansvarlige. 

Internrevisjonsteamet kan utføre en gjennomgang av aktiviteter eller rutiner identifisert av det globale personvernteamet med jevne mellomrom. Internrevisjonsteamet, de personvernansvarlige og den europeiske databeskyttelsesansvarlige skal, hvis det er nødvendig, kreve at en handlingsplan utføres for å sikre samsvar med brukerbedriftsreglene. I den grad interne grupper ikke løser saker på en tilfredsstillende måte, kan konsernet utnevne uavhengige, eksterne revisorer for videre løsning.

Den europeiske databeskyttelsesansvarlige, PayPals globale team for overholdelse av personvern eller internrevisjonsteam og eksterne revisorer utvikler detaljerte revisjonsplaner basert på risikoen ved behandlingen.

Resultatene fra personvernrevisjoner vil være tilgjengelig for kompetente databeskyttelsesmyndigheter.  PayPal forbeholder seg retten til å skjule deler av revisjonsrapportene for å sikre konfidensialitet ved proprietær eller annen konfidensiell firmainformasjon. 

 

7. Relasjon mellom brukerbedriftsregler og nasjonal lov

Med verdens varierende juridiske krav knyttet til databeskyttelse, etablerer brukerbedriftsreglene et ensartet sett av krav for å sikre riktig behandling av brukerpersonopplysninger. Mens brukerbedriftsreglene utgjør et minstekrav som konsernmedlemmer skal overholde, skal konsernmedlemmer overholde gjeldende lover som kan pålegge en strengere standard enn den som er beskrevet i disse bedriftsreglene.

Ingenting i disse brukerbedriftsreglene påvirker et konsernmedlems forpliktelser i henhold til gjeldende banklovgivning, særlig i forbindelse med banksikkerhet.   Hvis gjeldende lovgivning kommer i konflikt med disse brukerbedriftsreglene ved at den kan hindre et konsernmedlem i å oppfylle sine forpliktelser i henhold til brukerbedriftsreglene og har en betydelig innvirkning på garantiene som er oppgitt der, skal konsernmedlemmet umiddelbart varsle den europeiske databeskyttelsesansvarlige, med unntak av tilfeller der det å oppgi slik informasjon er forbudt av en politimyndighet eller lov.  Den europeiske databeskyttelsesansvarlige, personvernansvarlige og ledende konsernmedlem skal bestemme riktige tiltak, og, i tilfelle tvil, konsultere de aktuelle datatilsynsmyndighetene.

 

8. Gjensidig bistand og samarbeid med databeskyttelsesmyndigheter

Konsernmedlemmer skal samarbeide og hjelpe hverandre for å håndtere forespørsler eller klager fra brukerne når det gjelder disse brukerbedriftsreglene.

Konsernmedlemmer skal svare omhyggelig og passende på forespørsler fra databeskyttelsesmyndigheter om disse brukerbedriftsreglene.  Hvis en ansatt mottar en slik anmodning fra en databeskyttelsesmyndighet, må han eller hun umiddelbart informere den europeiske databeskyttelsesansvarlige.   

Konsernmedlemmer skal samarbeide om henvendelser og godta revisjoner fra kompetente databeskyttelsesmyndigheter i EØS-området når det gjelder overholdelse av disse brukerbedriftsreglene, og skal respektere beslutninger i samsvar med gjeldende lov og rettsikkerhetsrettigheter.   

 

9. Oppdateringer av innholdet i disse brukerbedriftsreglene og liste over medlemmer som er bundet av disse

PayPal forbeholder seg retten til å endre disse brukerbedriftsreglene som nødvendig, for eksempel for å være i samsvar med endringer i gjeldende lover, regler, bestemmelser, PayPal-praksis, prosedyrer og organisasjonsstruktur eller krav som er pålagt av relevante databeskyttelsesmyndigheter.

PayPals globale juridiske personvernteam (under ledelse av den juridiske personvernansvarlige) skal foreslå nødvendige endringer i disse brukerbedriftsreglene. PayPals globale team for overholdelse av personvern (under ledelse av den ansvarlige for overholdelse av personvern) og den europeiske databeskyttelsesansvarlige må godkjenne alle endringer i brukerbedriftsreglene og skal spore alle endringer i brukerbedriftsreglene, samt eventuelle endringer i listen over konsernmedlemmer. Konsernmedlemmer skal rapportere endringer i brukerbedriftsreglene til relevante databeskyttelsesmyndigheter for formell godkjenning og i henhold til gjeldende lov.

Ledende konsernmedlem vil rådføre seg med den ansvarlige databeskyttelsesmyndigheten vedrørende vesentlige endringer i brukerbedriftsreglene som vil påvirke overholdelse av databeskyttelsesreglene eller gjennomføringen av brukerbedriftsreglene.  Ledende konsernmedlem vil kommunisere vesentlige endringer i brukerbedriftsreglene og endringer i listen over konsernmedlemmer minst én gang i året til ansvarlig databeskyttelsesmyndighet.  PayPals globale personvernteam vil samarbeide for å støtte den europeiske databeskyttelsesansvarlige som, spesielt, vil koordinere svar og raskt adressere kommentarer, forslag eller innvendinger til endringene som fremlegges av ansvarlig databeskyttelsesmyndighet på vegne av PayPal. Alle kommentarer, forslag eller innvendinger fremlagt av andre databeskyttelsesmyndigheter, vil bli formidlet til den europeiske databeskyttelsesansvarlige av ansvarlig databeskyttelsesmyndighet som vil handle på vegne av de andre databeskyttelsesmyndighetene.  

Endringer i brukerbedriftsreglene skal være gjeldende for alle konsernmedlemmer fra ikrafttredelsesdatoen for implementeringen.  Konsernmedlemmer varsle brukere om vesentlige endringer i brukerbedriftsreglene i henhold til brukerens tjenesteinnstillinger, enten via masseutsendelser av e-post eller ved publisering på nettstedet, med en klar melding til brukere om at brukerreglene er endret. Konsernmedlemmer skal legge ut de reviderte brukerbedriftsreglene på valgte eksterne nettsteder eller i applikasjoner som er tilgjengelig for brukere.  Endringer i brukerbedriftsreglene trer i kraft innen en periode på to måneder etter at konsernmedlemmer har varslet brukere og publisert de reviderte brukerbedriftsreglene

 

10. Publisering

Brukerbedriftsreglene skal publiseres og en lenke skal gjøres tilgjengelig på tjenestens nettsted eller i applikasjoner.  Brukere kan be om en kopi fra The European Data Protection Officer (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg eller på nettet.

 

11. Endelige bestemmelser

Gjelder fra dato: 25. mai 2018

Kontakt: Brukere kan stille spørsmål eller ta opp problemer relatert til disse brukerbedriftsreglene ved å kontakte:

The European Data Protection Officer (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Definisjoner

Konsernmedlemmer skal tolke brukerbedriftsreglene på en måte som er mest mulig i samsvar med de grunnleggende prinsippene i EU-direktivet 95/46/EF eller erstattende direktiv eller regelverk. 

De følgende definisjonene gjelder for disse brukerbedriftsreglene:

Styre betyr styret hos det ansvarlige konsernmedlemmet.

Databeskyttelsesmyndigheter betyr de offentlige myndighetene som er ansvarlige for å overvåke og håndheve reglene innen deres respektive territorium av de nasjonale lovene vedtatt av medlemslandene i EØS – i henhold til EU-databeskyttelsesdirektivet (95/46/EF).

EØS betyr EØS-området, som for øyeblikket består av EU-medlemslandene, Island, Liechtenstein og Norge.

Ansatt betyr ansatte, arbeidstakere, praktikanter og annet personell eller stabmedlemmer, inkludert ekstra eller midlertidige arbeidstakere, alternativ arbeidsstyrke eller entreprenører for et konsernmedlem, enten ansatt eller engasjert på fulltids- eller deltidsbasis og uavhengig av type ansettelse eller engasjement.

Europeisk databeskyttelsesansvarlig (DPO) betyr den ansatte som er utnevnt av og rapporterer til ledelsen hos det ansvarlige konsernmedlemmet og som også fungerer som medlem av PayPals globale juridiske personvernteam. Den europeiske databeskyttelsesansvarlige befinner seg i Luxembourg.

Konsernmedlem betyr en enhet i PayPal-konsernet som har gjort rettsgyldig en kopi av IGA.

IGA betyr Intra-Group Agreement (konsernintern avtale)

Ansvarlig databeskyttelsesmyndighet betyr «Commission nationale pour la protection des données» (CNPD) i Luxembourg («Datatilsynet» i Norge).

Ledende konsernmedlem betyr PayPal (Europe) S.à r.l. & Cie, S.C.A., et privateid aksjeselskap basert i Luxembourg.

PayPals globale personvernteam betyr det koordinerte PayPals globale team for overholdelse av personvern og PayPals globale juridiske personvernteam.

PayPals globale team for overholdelse av personvern betyr medlemmer av overholdelsesorganisasjonen som spesifikt håndterer overholdelse og gjennomføring av PayPals personvernprogram. 

PayPals globale juridiske personvernteam betyr medlemmer av juridisk avdeling som spesifikt håndterer personvern og databeskyttelse.

PayPal-konsernet betyr PayPal Holdings, Inc. («PayPal») og alle enheter direkte eller indirekte kontrollert av PayPal, som behandler brukerinformasjon, der kontroll betyr eierskapet til mer enn femti prosent (50 %) av stemmene til å velge direktører i selskapet eller mer enn femti prosent (50 %) av eierandelen i firmaet.

Personopplysninger betyr informasjon som er relatert til en identifisert eller identifiserbar fysisk person; en identifiserbar person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til et identifikasjonsnummer eller til én eller flere faktorer som er spesifikke for hans/hennes fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Behandle betyr en operasjon eller et sett av operasjoner som utføres på personopplysninger, automatisk eller ikke, som for eksempel innsamling, registrering, organisering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, deling ved overføring, formidling eller på annen måte gjør tilgjengelig, justering eller kombinasjon, blokkering, sletting eller ødeleggelse.

Behandler betyr eventuelle fysiske eller juridiske personer som behandler personopplysninger på vegne av et konsernmedlem.

Sensitive personopplysninger betyr personopplysninger som avslører rase, opprinnelse, politiske meninger, religion eller livssyn, fagforeningsmedlemskap, rulleblad eller informasjon om helse eller seksualliv.

Tjeneste betyr et nettsted, en applikasjon eller andre produkter eller tjenester som tilbys av et PayPal-konsernmedlem til en bruker.

Tredjepart betyr eventuelle fysiske eller juridiske personer, offentlige myndigheter, byråer eller eventuelle andre organer enn brukeren, konsernmedlemmet, behandleren og personene som, under direkte myndighet fra konsernmedlemmet eller behandleren, for eksempel ansatte, er autorisert til å behandle personopplysninger.

Bruker betyr tidligere og eksisterende kunder, potensielle kunder, investorer, forretningspartnere og forhandlere.

Brukerpersonopplysninger betyr personopplysninger som er knyttet til brukere.