>> Se alle avtaler

Tillegg for databeskyttelsesansvarlig for Direct Card-behandlingsprodukter

 

Versjon 1.0

Dette tillegget for databeskyttelsesansvarlig (dette «tillegget») gjelder for alle produkter der en PayPal-gruppeenhet («PayPal») leverer Braintree og andre kortbetalings- og gatewaytjenester og/eller svindelverktøy til deg, forhandleren («forhandleren» eller «du»).  Dette tillegget gjelder ikke for PayPals varemerkede e-lommeboktjenester, for eksempel Express Checkout eller betaling med PayPal-knappen.  Dette tillegget skal utgjøre en del av den relevante avtalen mellom forhandler og PayPal, som regulerer PayPals levering av betalingsbehandlingstjenester til deg  («avtalen»). Hvis det oppstår konflikt mellom vilkårene i dette tillegget og avtalen, skal vilkårene i dette tillegget være gjeldende.  Begrepene som brukes, men ikke er definert i dette vedlegget, skal ha den betydningen som er beskrevet i avtalen.

Dette tillegget trer i kraft fra og med den seneste av (i) ikrafttredelsesdatoen som er angitt i avtalen, eller (ii) ikrafttredelsesdatoen som er oppgitt i varselet du har fått i forbindelse med en endring i avtalen eller dette tillegget.  Vi kan når som helst endre dette tillegget ved å legge ut en revidert versjon på nettstedet vårt. Den reviderte versjonen trer i kraft når vi publiserer den. Hvis vi dessuten endrer tillegget på en måte som reduserer rettighetene dine eller øker forpliktelsene dine, vil vi gi deg skriftlig forhåndsvarsel innen tidsfristen som avtalen krever, ved å legge ut en merknad på siden Oppdatering av retningslinjer på nettstedet vårt. Vi kan også varsle deg om endringen via e-post eller på andre måter.  Hvis du ikke godtar eventuelle endringer i tillegget, kan du når som helst avslutte din bruk av avtalen.

Definisjoner
Følgende begreper har følgende betydning når de brukes i dette tillegget:   

«Ansvarlig» betyr en enhet som fastsetter formål og metoder for behandling av personopplysninger, eller, hvis slikt begrep (eller begreper som omhandler lignende funksjoner) er definert i databeskyttelseslover, skal «ansvarlig» ha betydningen som er definert i den aktuelle databeskyttelsesloven.

«Kunde» betyr kunder som bruker betalingsbehandlingstjenestene utenfor USA, og i forbindelse med dette tillegget er «den registrerte».

Med «kundedata» menes personopplysningene som (i) kunden leverer til forhandler og forhandler videreformidler til PayPal gjennom sin bruk av betalingsbehandlingstjenestene, og (ii) PayPal kan innhente fra kundens enhet og nettleser gjennom bruk forhandlerens bruk av betalingsbehandlingstjenester. Kundedata som brukes i dette tillegget, inkluderer ikke personopplysninger om forhandlerens amerikanske kunder.

Med «databeskyttelseslover» menes gjeldende databeskyttelseslover, forskrifter, direktiver, lovbestemte krav og etiske retningslinjer som gjelder for levering av betalingsbehandlingstjenester, inkludert eventuelle endringer i disse og eventuelle tilknyttede forskrifter eller instrumenter (f.eks. EUs personvernforordning 2016/679 (GDPR), den australske Privacy Act 1988 (Cth), Personal Information Protection and Electronic Documents Act (Canada), Personal Data (Privacy) Ordinance (Cap. 486) (Hongkong), den brasilianske generelle databeskyttelsesloven, Federal Law no. 13,709/2018 og Personal Data Protection Act 2012 (Singapore)).

«PayPal-gruppeenhet» betyr PayPal, Inc. og alle selskaper hvor PayPal eller dets etterfølger fra tid til annen direkte eller indirekte eier eller kontrollerer.  Slike enheter skal inkludere, uten begrensning, PayPal (Europe) S.à r. l. et Cie, S.C.A., PayPal do Brasil Serviços de Pagamentos Ltda., PayPal Australia Pty Limited, PayPal Hong Kong Ktd., PayPal Canada Co. og PayPal Pte. Ltd.

«Personopplysninger» betyr all informasjon som er knyttet til en identifisert eller identifiserbar fysisk person («den registrerte»). En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til en identifikator som navn, identifikasjonsnummer, stedsdata, nettidentifikator eller en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den naturlige personen.

 «Prosess» eller begreper som omhandler lignende funksjoner når de brukes i dette tillegget, skal ha betydningen som er definert i gjeldende databeskyttelseslover.

PayPal som dataansvarlig

PayPal skal overholde kravene i databeskyttelseslovene som gjelder for ansvarlige med hensyn til bruk av personopplysninger i henhold til dette tillegget (inkludert, uten begrensning, ved å implementere og opprettholde til enhver tid alle nødvendige sikkerhetstiltak i forbindelse med behandling av personopplysninger), og skal ikke bevisst gjøre noe eller tillate at det gjøres med hensyn til personopplysningene, som kan føre til et brudd av en forhandler i henhold til databeskyttelseslovene.  PayPal skal bare overføre personopplysninger til tredjeparter, underdatabehandlere eller medlemmer av PayPal-gruppeenheten for å levere betalingsbehandlingstjenester, og skal ha skriftlige avtaler med slike tredjeparter og underdatabehandlere som inneholder vilkår for beskyttelse av kundedata, som ikke er mindre beskyttende enn vilkårene som er fastsatt i dette tillegget.

Behandling av personopplysninger i forbindelse med betalingsbehandlingstjenester

Partene anerkjenner og godtar at forhandler og PayPal hver for seg er uavhengige ansvarlige med hensyn til alle personopplysninger som behandles i forbindelse med betalingsbehandlingstjenestene.  Som sådan avgjør PayPal selvstendig formålet med og metodene for behandling av slike personopplysninger, og er ikke en fellesansvarlig med forhandleren når det gjelder slike personopplysninger.

Partene anerkjenner og godtar at PayPal har tillatelse til å bruke, reprodusere og behandle kundedata og data og betalingstransaksjoner til følgende begrensede formål:

  • som innen rimelighetens grenser er nødvendig for å levere og forbedre betalingsbehandlingstjenester til forhandleren og dennes kunder, inkludert svindelbeskyttelsesverktøy
  • for å overvåke, forebygge og avdekke falske betalingstransaksjoner og for å forebygge skade på forhandler, PayPal og til tredjeparter
  • for å overholde juridiske eller forskriftsmessige forpliktelser som gjelder behandling og oppbevaring av betalingsdata som PayPal er underlagt, inkludert gjeldende forpliktelser i forbindelse med antihvitvasking og identitetsbekreftelse
  • for å analysere, utvikle og forbedre PayPals produkter og tjenester
  • til intern bruk, inkludert, men ikke begrenset til dataanalyser og målinger
  • for å kompilere og videreformidle kundedata og betalingstransaksjonsdata i samlet form, der de individuelle eller brukertilknyttede personopplysningene dine ikke er identifiserbare, inkludert å beregne gjennomsnitt etter område eller bransje
  • for å overholde gjeldende juridiske krav og bistå rettshåndhevelsesorganer ved å svare på forespørsler om utlevering av informasjon i henhold til lover
  • til ethvert annet formål som varsler forhandleren, så lenge slike formål er i henhold til databeskyttelseslover

Forhandlervarsel til kunder

Forhandleren skal ta i bruk kommersielt rimelige tiltak for å (i) informere kunder i personvernerklæringen om at PayPal er en uavhengig ansvarlig når det gjelder å behandle kundedata, som beskrevet i dette tillegget og (ii) inkludere en lenke til gjeldende PayPal- eller Braintree-personvernerklæring i sin personvernerklæring.

Gjensidig hjelp

Partene er enige om å samarbeide med hverandre i den grad det er nødvendig for å gjøre den andre parten i stand til på en tilstrekkelig måte å utøve sitt ansvar som selvstendig ansvarlig i henhold til databeskyttelseslover.  Partene er enige om at i den grad forhandler mottar den registrertes forespørsel om tilgang eller en kundes utøvelse av rettigheter i henhold til databeskyttelseslover, skal forhandler svare på denne kundens tilgangsforespørsel direkte. Forhandleren skal også informere kunden om at de kan utøve den registrertes rettigheter i forbindelse med betalingsbehandlingstjenester med PayPal i henhold til instruksjonene som er beskrevet i personvernerklæringen, som er tilgjengelig på www.braintreepayments.com for Braintree-kunder og på www.paypal.com for PayPal-kunder.  Hvis PayPal dessuten i forbindelse med en eventuell sikkerhetshendelse avgjør, etter eget skjønn, at de må varsle berørte kunder, og PayPal ikke har den nødvendige kontaktinformasjonen for en berørt kunde for å inngå slik kommunikasjon, skal forhandler ta i bruk kommersielt rimelige tiltak for å gi PayPal den informasjonen om kunden som forhandler kan besitte, for det begrensede formålet å sikre PayPals overholdelse av gjeldende varslingsforpliktelser vedrørende berørte kunder i henhold til databeskyttelseslover.

Overføring over landegrenser

Partene er enige om at PayPal kan overføre personopplysninger som behandles i henhold til denne avtalen, utenfor landet der de ble samlet inn, som nødvendig for å levere betalingsbehandlingstjenester. Hvis PayPal overfører personopplysninger som er beskyttet i henhold til dette tillegget, til en jurisdiksjon der gjeldende tilsynsmyndighet for landet der dataene ble samlet inn, ikke har tatt en avgjørelse om tilstrekkelighet, vil PayPal sørge for at nødvendige sikkerhetstiltak er implementert for overføring av personopplysninger i henhold til gjeldende databeskyttelseslover.  Eksempelvis og for overholdelse av personvernforordningen (GDPR) baserer vi oss på bindende selskapsregler som er godkjent av kompetente tilsynsmyndigheter og andre dataoverføringsmekanismer for overføring av kunders personopplysninger til andre PayPal-gruppeenheter.