>> Se alle juridiske avtaler

PayPals avtale om nettbaserte kortbetalingstjenester

Datert 19. august 2019

 

  

PayPals avtale om nettbaserte kortbetalingstjenester («Avtalen») beskriver betingelsene i en kontrakt mellom deg (også kalt «forhandleren») og PayPal (Europa) Sàrl et Cie, SCA («PayPal» eller «Vi»).

PayPal er lisensiert som en kredittinstitusjon i Luxembourg og er under tilsyn av tilsynsmyndigheten i Luxembourg, Commission de Surveillance du Secteur Financier («CSSF»). CSSF har sitt hovedkontor i L-1150 Luxembourg.

Om denne Avtalen

Denne avtalen gjelder deg hvis du er registrert hos PayPal som bosatt i et av følgende land: Belgia, Bulgaria, Kypros, Tsjekkia, Danmark, Estland, Finland, Hellas, Ungarn, Latvia, Liechtenstein, Litauen, Luxembourg, Malta, Nederland , Norge, Polen, Portugal, Romania, San Marino, Slovakia, Slovenia eller Sverige. 

Denne avtalen gjelder deg hvis du er registrert hos PayPal som bosatt i Irland etter lanseringen av produktet for Irland.  PayPal kan lansere produktet for Irland med et ytterligere umiddelbart varsel publisert av PayPal på siden Oppdateringer av retningslinjer (tilgjengelig via den juridiske bunnteksten på de fleste PayPal-nettsider) på eller etter 19. august 2019 (PayPal kan fastsette dette etter eget skjønn).

Ved å integrere eller bruke Produktet og den nettbaserte kortbetalingstjenesten godtar du at du skal være bundet av vilkårene i denne avtalen.

Produktet kan beskrives slik:

Tilpassede kortfelter – en rekke funksjonaliteter som består av et API med tilpassede kortfelter som standard svindeladministrasjonsfiltre for tilpassede kortfelter som en tilleggstjeneste

Produktet omfatter følgende nettbaserte kortbetalingstjeneste:

API med tilpassede kortfelter – funksjonalitet for å utføre betalingskorttransaksjoner, der kortinnehaveren legger inn kortdetaljene på nettet.

Brukeravtalen for PayPal-tjenesten (her kalt brukeravtalen), forhandleravtalen og personvernerklæringen utgjør en del av denne avtalen. Se avsnitt 5 for flere bestemmelser om anvendelse av disse andre juridiske dokumentene.

Vi kan også endre, slette eller legge til innhold i denne Avtalen i henhold til endringsprosessen som er fastsatt i brukeravtalen. Hvis du ikke er enig i en endring, kan du avslutte denne avtalen som fastsatt i avsnitt 8 i denne avtalen.


Les gjennom last ned og lagre denne Avtalen.

 

1. Sette opp og aktivere produktet

  1. Kom i gang. Du må gjøre alt dette før du kan få tak i og bruke produktet:
    1. Fullføre den elektroniske søknadsprosessen for produktet, åpne en PayPal bedriftskonto (hvis du ikke allerede har en), og følge instruksjonene som er beskrevet i PayPals nettprosess, for å få tilgang til og bruke produktet.
    2. Integrere produktet i betalingsprosessen på nettstedet ditt. PayPal skal ikke holdes ansvarlig for problemer som kan oppstå når du integrerer produktet på live-nettstedet ditt. Du har eneansvaret for å velge, innstille, integrere og tilpasse produktet og sørge for at det er egnet for dine behov.
    3. Aktivere produktet ved å bruke det i en «live» betalingstransaksjon for første gang.

Vi kan gi deg tillatelse til å integrere og bruke API-et med tilpassede kortfelter som en PayPal-driftet integrasjon eller en selvdriftet integrasjon.
Vi kan angi ett av driftingsalternativene som standardalternativ for å integrere API-et med tilpassede kortfelter i betalingsprosessen på nettstedet ditt.

  1. Avslutning. Vi kan avslå produktsøknaden basert på din kreditthistorikk, PayPal-historikk eller av andre grunner etter PayPals eget skjønn. Du godtar og samtykker i at vi og/eller våre agenter forbeholder oss retten til, etter eget skjønn, å avvise søknaden og registreringen for produktet, og vi kan begrense din tilgang til eller bruk av produktet uten ytterligere forpliktelser overfor deg. Vi kan avslutte din tilgang til og/eller bruk av produktet og/eller avslutte denne avtalen når som helst før aktiveringsdatoen ved å varsle deg om dette.

Til toppen av siden

 

2. Gebyrer

2.1. Betaling av gebyrer.  Du samtykker i å betale gebyrene i denne Avtalen når de forfaller, uten motregning eller fradrag. Du gir oss tillatelse til å trekke gebyrene våre fra beløpene vi overfører, men før de aktuelle midlene krediteres kontoen din.

Med mindre annet er fastsatt i denne avtalen samtykker du i å betale gebyrene som er fastsatt i brukeravtalen.

Gebyrer belastes i valutaen til den mottatte betalingen.

 2.2. Transaksjonsgebyrer for standard PayPal-betalinger

Gebyret for mottak av innenlandske betalinger (salg), som beskrevet i brukeravtalen, gjelder for hver innenlandske standard PayPal-betaling du mottar. Hvis kontoen din er registrert hos PayPal i Portugal, er dette gebyret det samme som standardgebyret. Hvis kontoen din er registrert hos PayPal andre steder, kan dette gebyret tilsvare standardgebyret eller forhandlergebyret, med forbehold om hva som er fastsatt i brukeravtalen.

2.3. Transaksjonsgebyr for mottak av kortbetalinger

Følgende gebyr gjelder for enhver innenlandske betaling du mottar fra et kort ved å bruke de nettbaserte kortbetalingstjenestene, avhengig av landet der kontoen din er registrert hos PayPal:

 

Landet der kontoen din er registrert hos PayPal

Korttype

Gebyr

2.3.1. Belgia

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,8 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,8 %
+ fast gebyr

 

2.3.2. Danmark

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

 

2.3.3. Finland

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

American Express

3,5 %

2.3.4. Irland

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,2 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,2 %
+ fast gebyr

2.3.5. Luxembourg

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,8 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,8 %
+ fast gebyr

2.3.6. Nederland

Visa eller Mastercard

Gebyrstruktur for blandede priser

 

1,8 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,8 %
+ fast gebyr

American Express

3,5 %

2.3.7. Norge

Visa eller Mastercard

Gebyrstruktur for blandede priser

 

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

2.3.8. Polen

Visa eller Mastercard

Gebyrstruktur for blandede priser

 

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

2.3.9. Portugal

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,2 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,2 %
+ fast gebyr

2.3.10. Sverige

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

American Express

3,5 %

2.3.11. Andre land

Visa eller Mastercard

Gebyrstruktur for blandede priser

1,9 % + fast gebyr

Interchange Plus-gebyrstruktur

Utvekslingsgebur (varierer omtrent fra 0,2 % til 2,0 %)
+ 1,9 %
+ fast gebyr

 

 

2.4. Faste gebyr

Faste gebyr er fastsatt i brukeravtalen for landet der kontoen din er registrert hos PayPal.

2.5. Andre transaksjonsgebyr

Gebyret for å motta betalinger over landegrensene (salg) gjelder som beskrevet i brukeravtalen. Det gjelder imidlertid ikke for betalinger mottatt fra  kort som bruker de nettbaserte kortbetalingstjenestene under Interchange Plus-gebyrstrukturen.

2.6. Månedlige rapporter om transaksjonskostnader. PayPal skal gjøre månedlige rapporter om transaksjonskostnader (inkludert utvekslingsgebyr) tilgjengelige for korttransaksjoner du behandler med produktet. Disse rapportene kan lastes ned fra PayPal-kontoen din. Rapportene inneholder ingen standard PayPal-betalinger.

Til toppen av siden

 

3.Valg mellom Interchange Plus-gebyrstruktur og gebyrstruktur for blandede priser

Du kan velge gebyrstrukturen som gjelder for deg, ved mottak av kortbetalinger via de nettbaserte kortbetalingstjenestene ved hjelp av metodene eller prosedyrene som PayPal tilbyr deg. Hvis du ikke velger en struktur, beholder du den eksisterende gebyrstrukturen.

Du kan kun velge en gebyrstruktur for fremtidige transaksjoner, ikke for tidligere transaksjoner.

Utvekslingsgebyr fastsettes av Visa og MasterCard. De varierer omtrent fra 0,20 % til 2,00 % og er forskjellige for ulike typer kort (for eksempel avhengig av kategorier og merke). PayPal skal alltid belaste kontoen din med utvekslingsgebyret som er fastsatt av Visa og MasterCard og videreføres av dets innløseren. Enkle utvekslingsgebyr kan endres fra tid til annen. Hvis du ønsker mer informasjon om utvekslingsgebyrer, kan du se nettstedene til MasterCard og Visa samt vår forenklede oversikt.

Hvis du velger å bli belastet under Interchange Plus-gebyrstrukturen, samtykker du i at, når PayPal mottar en kortbetaling for deg gjennom den nettbaserte kortbetalingstjenesten, kan PayPal reservere disse midlene i reservekontodelen på PayPal-kontoen din før de når betalingskontodelen av PayPal-kontoen. Du ber PayPal om å overføre disse midlene til betalingskontoen din bare på den virkedagen som PayPal mottar informasjonen om utvekslingsgebyret som gjelder den aktulle kortbetalingen. Mens midlene er reservert på reservekontoen, har transaksjonen statusen «Venter» i kontoinformasjonen. PayPal anser ikke at utbyttet av kortbetalingen som står på reservekontoen din, står til din disposisjon før PayPal har mottatt informasjon om det gjeldende utvekslingsgebyret fra vår behandler (som kan være innen neste virkedag etter at kortbetalingen ble initiert av kortholderen).

Til toppen av siden

 

4. Informasjonssikkerhet og databeskyttelse

4.1 Overholdelse av datasikkerhetsplanen. Du samtykker (som en «forhandler») i å overholde Vedlegg 1 nedenfor, som utgjør en del av denne Avtalen.

4.2 Din overholdelse av PCI DSS-standarder. Du samtykker i å overholde PCI Data Security Standard (PCI DSS). Du må beskytte alle kortdata som er under din kontroll, i henhold til PCI DSS, og du må utforme, vedlikeholde og drifte nettstedet ditt og andre systemer i overholdelse med PCI DSS. Du må sørge for at personalet ditt er og forblir tilstrekkelig opplært, slik at de er klar over PCI DSS og kan iverksette kravene. PayPal er ikke ansvarlig for eventuelle kostnader du påløper i forbindelse med overholdelsen av PCI DSS. Du finner mer informasjon om PCI DSS på nettstedet til PCI Security Standards Council her: https://www.pcisecuritystandards.org/pci_security/

4.3 PayPals overholdelse av PCI DSS-standarder. PayPal garanterer at PayPal og produktet overholder og vil være i overholdelse med PCI DSS. PayPals overholdelse og produktene dine er imidlertid ikke tilstrekkelig til å oppnå overholdelse med PCI DSS av deg og dine systemer og prosesser.

4.4 3D Secure. Krav fra Den europeiske sentralbanken og PayPals bankregulatorer krever bruk av 3D Secure under visse omstendigheter. I tillegg kan kortforeninger også kreve dette for å redusere for mange korttransaksjoner som ikke er godkjent av kortholderen. PayPal kan sende deg et varsel for å kreve at du implementerer 3D Secure for alle eller bestemte spesifiserte korttransaksjoner. Du samtykker i å implementere 3D Secure, hvis det pålegges i et slik varsel, der utsteder av et bestemt kort støtter 3D Secure for det aktuelle kortet.

4.5 Pris og valuta. Du kan ikke sende inn betalingstransaksjoner der beløpet er et resultat av dynamisk valutakonvertering. Dette betyr at du ikke kan oppføre en vare i én valuta og deretter godta betaling i en annen valuta. Hvis du godtar betalinger i mer enn én valuta, må du oppgi prisen for hver valuta separat.

4.6 Overholdelse av databeskyttelsesplan. Du samtykker (som en «forhandler») i å overholde Vedlegg 2 nedenfor, som utgjør en del av denne Avtalen. Vilkårene i databeskyttelsesplanen har forrang over alle motstridende vilkår i denne Avtalen som er knyttet til databeskyttelse og personvern.

Til toppen av siden

 

5. Anvendelse av våre andre juridiske dokumenter

5.1 Du finner denne Avtalen, brukeravtalen, forhandleravtaler og personvernerklæringen på siden Juridiske avtaler ved å klikke på lenken Juridisk nederst på en PayPal-webside.

5.2 Brukeravtale. Brukeravtalen utgjør en del av denne Avtalen. Disse vilkårene og brukeravtalen skal i den grad det er mulig anses som et samlet dokument. Der det oppstår en tolkningskonflikt, har denne Avtalen forrang over brukeravtalen i den grad konflikten, bortsett fra når det gjelder din bruk av produktet eller den nettbaserte kortbetalingstjensten som en del av vår nye betalingsløsning som angitt i brukeravtalen.

Terminologi som ikke er definert i denne Avtalen, er definert i brukeravtalen. Definisjonen av «Tjenester» og «Avtale» i brukeravtalen, inkludert når det leses sammen med disse vilkårene, omfatter produktet og denne avtalen.

Brukeravtalen inneholder viktige bestemmelser som

  1. gir PayPal tillatelse til å holde tilbake en reserve for å forsikre seg om at du kan betale tilbakeføringer, reverseringer og gebyrer
  2. forplikter deg til å følge PayPal retningslinjer for akseptabel bruk under din bruk av PayPal
  3. gir rettsvirkning av PayPal personvernregler, som styrer vår bruk og avsløring av informasjonen din og informasjonen til delte kunder, og
  4. tillater at PayPal begrenser en betaling eller PayPal-kontoen din under omstendighetene som er oppført i brukeravtalen

Du er ansvarlig for tilbakeføringer, reverseringer og andre ugyldige betalinger som fastsatt i brukeravtalen, uavhengig av hvordan du bruker og konfigurerer produktet ditt, inkludert svindelfiltreringsteknologi og lignende forebyggende verktøy (hvis aktuelt). Disse verktøyene kan være nyttige for å oppdage svindel og unngå betalingssvikt, men de påvirker ikke ditt ansvar og din forpliktelse i henhold til brukeravtalen for tilbakeføringer, reverseringer og betalinger som ellers er ugyldige.

5.3 Forhandleravtale.Ved å godta denne Avtalen godtar du også forhandleravtalene. Dette er dine direkte avtaler med anskaffende institusjoner, PayPals bankpartnere, som lar deg motta kortbetalinger og kortfinansierte PayPal-betalinger.

5.4 Personvernerklæring. Du bekrefter at du har lest, samtykker i og godtar PayPals personvernerklæring, som beskriver informasjonen vi samler inn om deg og online-virksomheten din. Spesielt er godtar du og samtykker i at PayPal kan hente kreditthistorikken din og den økonomiske informasjonen om din evne til å oppfylle dine forpliktelser i henhold til denne Avtalen fra eventuelle tredjeparter. PayPals personvernerklæring inneholder en liste over selskapene som er involvert i denne utvekslingen av kredittrelatert informasjon. PayPal vil kontinuerlig gjennomgå kredittinformasjonen din og andre risikofaktorer på kontoen din (reverseringer og tilbakeføringer, kundeklager, krav osv.) Vi kan også evaluere nettstedet ditt og produktene du selger på dette nettstedet. PayPal vil oppbevare, bruke og avsløre all informasjon vi har om deg, i overholdelse med PayPals personvernerklæring.

5.5 Tilleggsvilkår for godkjenning av American Express

Dette avsmott 5.5 gjelder bare deg hvis landet der kontoen din er registrert hos PayPal, er Finland, Nederland eller Sverige, og vi tillater at du mottar betalinger fra American Express-kort.

5.5.1 Kommersiell markedskommunikasjon. American Express kan bruke informasjonen som er innhentet i søknaden din på tidspunktet for oppsettet, for å kontrollere og/eller overvåke deg i forbindelse med kortmarkedsføring og administrative formål. Ved å godta disse vilkårene samtykker du i å motta kommersiell markedskommunikasjon fra American Express. Du kan avregistrere deg for dette ved å kontakte oss via et varsel. Gå til siden <Hjelp og kontakt>, som er tilgjengelig fra brukeravtalen og de fleste PayPal-nettsider, for å finne ut hvordan du kontakter oss. Hvis du avregistrerer deg for kommersiell markedskommunikasjon, vil du fortsatt motta viktige transaksjons- eller forholdsmeldinger fra American Express.

5.5.2 Direkte godtakelse av kort. Du anerkjenner at, hvis du når visse månedlige og/eller årlige salgsvolumer relatert til American Express, som fastsettes av American Express for tiden og fra tid til annen, kan American Express kreve at du inngår et direkte kontraktsforhold med dem. I denne situasjonen vil American Express fastsette priser for American Express-transaksjoner, og du betaler gebyrer for American Express-transaksjoner direkte til American Express.

5.5.3 Revisjonsrettigheter.American Express kan når som helst foreta en revisjon av deg med den hensikt å fastsette overholdelse av reglene til American Express.

5.5.4 Innsendings- og oppgjørsrettigheter. Du tillater at PayPal sender transaksjoner til og motta oppgjør fra American Express, og at de kan formidle transaksjons- og forhandlerinformasjon til American Express for å utføre analyser og lage rapporter, og for andre lovlige forretningsmessige formål, inkludert kommersielle markedsføringskommunikasjonsformål og viktige transaksjonelle formål eller forholdskommunikasjon. Forhandleren kan når som helst avslutte godtakelsen av American Express ved forvarsel.

5.5.5 Tredjepartsbegunstiget. American Express skal være en tredjepartsbegunstiget av denne avtalen med som formål å godta American Express-kort. Som tredjepartsbegunstiget skal American Express ha rett til å håndheve vilkårene i denne Avtalen direkte mot deg i forhold til godtakelsen av American Express-kort. Du anerkjenner og godtar at American Express ikke skal ha noen form for ansvar med hensyn til PayPals forpliktelser overfor deg i henhold til denne Avtalen.

5.5.6 Kort til stede, ubetjente terminaler og betalingskiosker

Du skal ikke godta American Express-kort for betaling i henhold til denne avtalen når kortet enten (i) presenteres på det fysiske stedet der kjøpet eller transaksjonen utføres; (ii) brukes ved ubetjente virksomheter (f.eks. kundeaktiverte terminaler) eller (iii) presenteres ved en betalingskiosk. I tillegg skal du ha forbud mot å tilby eller gjøre en datamaskin eller et online-grensesnitt, som gjør det mulig for American Express-kortmedlemmer å få tilgang til PayPal-kontoen sin, tilgjengelig for American Express-kortmedlemmer som kommer til det fysiske stedet.

Til toppen av siden

 

6. Immaterielle rettigheter og ID-koder

6.1 Lisens. PayPal gir deg herved en ikke-eksklusiv, ikke-overførbar, tilbakekallbar, ikke-underlisensierbar, begrenset lisens til å (a) bruke produktet i samsvar med dokumentasjonen som er tilgjengelig på PayPal-nettstedet; og (b) bruke dokumentasjonen som PayPal har gitt deg for produktet ditt, og reprodusere den for intern bruk bare i virksomheten din. Produktet slik det er lisensiert, kan endres og vil utvikle seg sammen med resten av PayPal-systemet, se avsnitt 9.1. Du må overholde implementerings- og brukskravene i all PayPal-dokumentasjon og instruksjoner som følger med produktet og utstedes av PayPal fra tid til annen (inkludert, uten begrensning, alle implementerings- og brukskrav vi pålegger deg for å overholde gjeldende lover og kortregler og -forskrifter).

6.2 ID-koder. PayPal vil gi deg bestemte identifikasjonskoder som er spesifikke for deg. Kodene identifiserer deg og autentiserer dine meldinger og instruksjoner til oss, inkludert driftsinstruksjoner til PayPals programvaregrensesnitt. Bruk av kodene kan være nødvendig for at PayPal-systemet skal behandle instruksjoner fra deg (eller nettstedet ditt). Du må holde kodene trygge og beskytte dem mot avsløring til parter som du ikke har gitt tillatelse til å handle på dine vegne i forhold til PayPal. Du samtykker i å følge rimelige sikkerhetsforhold som anbefales av PayPal fra tid til annen, for å beskytte sikkerheten til de som identifiserer koder. Hvis du ikke klarer å beskytte sikkerheten til kodene som anbefalt, må du varsle PayPal så snart som mulig, slik at PayPal kan kansellere kodene og utstede dem på nytt. PayPal kan også kansellere og utstede kodene på nytt hvis de har grunn til å tro at deres sikkerhet er blitt kompromittert, og etter at de har varslet deg om dette, når slik varsling er rimelig mulig.

6.3 Eierskap av informasjon og materiale i forbindelse med tilpassede kortfelter. Som en del av din tilgang til og bruk av produktet, vil du motta informasjon og materiale («Proprietære materialer») for din bruk av produktet. Alle immaterielle rettigheter som er tilknyttet disse materialene, forblir eiendommen til PayPal eller den aktuelle anskaffende institusjonen (avhengig av hva som måtte være tilfellet). Du samtykker i å ikke formidle, overføre, tildele, fornye, selge, videreselge (enten delvis eller i sin helhet) de Proprietære materialene til andre.

6.4 PayPals driftede integrasjoner og dine immaterielle rettigheter. Du gir herved PayPal en royalty-fri, verdensomspennende og ikke-eksklusiv lisens til å bruke ditt eller dine tilknyttede partneres navn, bilder, logoer, varemerker, tjenestemerker og/eller handelsnavn som du måtte gi til PayPal når du bruker produktet («Dine merker ») for det eneste formål å aktivere din bruk av produktet (inkludert, uten begrensning, tilpasningen av det driftede produktet). Rettigheten og eierskapet til merkene og all goodwill som oppstår som følge av eventuell bruk i henhold til dette, skal tilhøre deg. Du representerer og garanterer at du har tillatelse til å gi PayPal retten til å bruke merkene dine, og du skal holde PayPal skadesløse og fortsette å holde dem skadesløse for eventuelle krav eller tap som oppstår som følge av bruken av merkene dine i forbindelse med produktet.

Til toppen av siden

 

7. Svindeladministrasjonsfiltre for egendefinerte kortfelt

Hvis du blir tilbudt og velger å bruke svindeladministrasjonsfiltrene for egendefinerte kortfelt, gjelder vilkårene i Vedlegg 3 for din bruk av den funksjonaliteten.

Til toppen av siden

 

8. Avslutning og suspensjon

8.1 Av deg.:

  1. Du kan når som helst slutte å bruke produktet ved å varsle PayPals kundeservice på forhånd om at du bare ønsker å slutte å bruke produktet. Gå til siden <Hjelp og kontakt>, som er tilgjengelig fra brukeravtalen og de fleste PayPal-nettsider, for å finne ut hvordan du kontakter oss. PayPals kundeservice vil bekrefte dette via e-post. Dette alternativet lar deg slutte å bruke produktet og betale for eventuelle fremtidige transaksjoner, men PayPal-kontoen din forblir åpen og denne Avtalen og brukeravtalen forblir i kraft. Du kan når som helst begynne å bruke produktet igjen i henhold til vilkårene i denne Avtalen som endret. 
  2. Du kan når som helst avslutte godtakelsen av American Express-kortbetalinger ved bruk av produktet ved å varsle PayPals kundeservice på forhånd. Gå til siden <Hjelp og kontakt>, som er tilgjengelig fra brukeravtalen og de fleste PayPal-nettsider, for å finne ut hvordan du kontakter oss.
  3. Du kan når som helst avslutte denne Avtalen ved å varsle PayPals kundeservice på forhånd om at du ønsker å slutte å bruke produktet (se brukeravtalen for mer informasjon). Gå til siden <Hjelp og kontakt>, som er tilgjengelig fra brukeravtalen og de fleste PayPal-nettsider, for å finne ut hvordan du kontakter oss. PayPals kundeservice vil bekrefte avslutningen via e-post. Dette alternativet avslutter denne Avtalen, og lar deg slutte å bruke produktet og betale for eventuelle fremtidige transaksjoner, og starter avslutningsprosessen for PayPal-kontoen din. PayPal-kontoen forblir åpen og den tilhørende brukeravtalen forblir i kraft til avslutningen av PayPal-kontoen trer i kraft, med forbehold om bestemmelsene om å avslutte PayPal-kontoen i brukeravtalen.

8.2 Av PayPal. PayPal kan avslutte denne Avtalen eller en produktspesifikk del av den ved å gjøre ett av følgende:

  1. Gi deg 2 måneders forvarsel via e-post på den registrerte e-postadressen som er tilknyttet kontoen din, om PayPals hensikt om å avslutte denne Avtalen eller den produktspesifikke delen av den. Hvis du ikke mottar et varsel om noe annet, påvirker ikke avslutning av denne avtalen brukeravtalen din, og PayPal-kontoen forblir åpen.
  2. Avslutning av brukeravtalen som gjelder PayPal-kontoen som brukes med produktet ditt. PayPal-kontoen forblir åpen og den tilhørende brukeravtalen forblir i kraft til avslutningen av PayPal-kontoen trer i kraft, med forbehold om bestemmelsene om å avslutte PayPal-kontoen i brukeravtalen.

8.3 Av arrangementer. PayPal avslutte denne avtalen umiddelbart uten varsel i følgende tilfeller:

  1. Du bryter denne Avtalen eller brukeravtalen.
  2. Du blir ute av stand til å betale eller oppfylle dine forpliktelser når de forfaller.
  3. Du blir insolvent i henhold til eventuelle insolvenslover som gjelder deg.
  4. Eventuelle utlegg, tiltak eller lignende handlinger blir iverksatt, pålagt eller håndhevet mot deg eller din eiendom, eller hvis det utstedes en arrestordre på deg.
  5. Du blir gjenstand for eventuelle begjæringer som presenteres, ordrer som legges frem eller vedtak som fattes for å sette i gang en prosess i henhold til eventuelle insolvenslover som gjelder deg, i forhold til hele eller en vesentlig del av virksomheten din, bortsett fra der amalgamering eller omorganisering av solvensen foreslås i henhold til vilkår som tidligere ble godkjent av PayPal.
  6. Du mister full og ubegrenset kontroll over hele eller deler av eiendommen din på grunn av utnevnelse av en mottaker, leder, formynder, likvidator eller lignende.
  7. Du inngår eller foreslå eventuelle sammensetninger eller ordninger som gjelder gjelden din, sammen med kreditorene (eller en hvilken som helst klasse av kreditorene).
  8. En vesentlig negativ endring skjer i virksomheten din, forretningene dine eller den økonomiske situasjonen din.
  9. Du oppgir feilaktig informasjon når du søker om produktet eller i din omgang med oss.

8.4 Effekten av avslutningen. Når denne Avtalen eller deler av den avsluttes, må du øyeblikkelig slutte å bruke det avsluttede produktet, og PayPal kan forhindre eller blokkere deg fra å bruke dem etter avslutningen. Hvis du allikevel bruker produktet etter at denne Avtalen er avsluttet, fortsetter Avtalen å gjelde for din bruk av produktet inntil du iverksetter avslutningen ved å slutte å bruke produktet. Følgende avsnitt i denne avtalen skal overleve avslutningen av denne Avtalen og fortsette med full kraft og virkning: avsnitt 2, 4.1, 8.2, 8.4. Avslutning av denne Avtalen, eller deler av den, skal ikke påvirke eventuelle rettigheter, rettsmidler eller forpliktelser fra partene, som har påløpt eller forfaller før avslutningen, og du vil ikke ha rett til refusjon av eventuelle månedlig gebyrer som gjelder eventuelle perioder før avslutningen.

8.5 Brudd og suspensjon. Hvis du bryter denne Avtalen, brukeravtalen eller et sikkerhetskrav som er pålagt av PCI DSS, kan PayPal øyeblikkelig suspendere bruken av produktet (Vi kan med andre ord gjøre produktet ditt midlertidig ubrukelig.). PayPal kan kreve at du iverksetter spesifikke korrigerende tiltak for å løse bruddet og få opphevet suspensjonen, selv om ingenting i denne Avtalen forhindrer PayPal fra å iverksette andre rettsmidler som kan brukes for dette bruddet. Hvis PayPal i tillegg har rimelig mistanke om at du har brutt denne Avtalen eller PCI DSS, kan PayPal suspendere bruken av produktet i påvente av videre utredning.

Hvis PayPal suspenderer din tilgang til produktet, vil PayPal varsle deg og forklare grunnlaget for PayPals handlinger som gjelder suspensjon av din bruk av produktet, og kan spesifisere korrigerende tiltak for å løse bruddet og fjerne suspensjonen. PayPals suspensjon av forhandlerens tilgang til eller bruk av produktet vil forbli i kraft frem til PayPal er fornøyd med at forhandleren har utbedret aktuelle brudd.

 

Til toppen av siden

 

9. Diverse

9.1 Produktets fremtid. PayPal skal ha eneste og absolutt skjønn når det gjelder å bestemme (a) fremtidig kurs og utvikling av produktet, (b) hvilke forbedringer som skal gjøres i det og når, og (c) om og når feil skal rettes og nye funksjoner introduseres. PayPal setter pris på tilbakemeldinger fra brukere når deg gjelder planlegging av produktets fremtid, men de er ikke pålagt å handle i samsvar med mottatte tilbakemeldinger. Når du gir oss tilbakemeldinger, samtykker du i at du ikke skal kreve eventuelle immaterielle rettigheter i tilbakemeldingene dine.

9.2 Ingen garanti. Du mottar produktet og all tilhørende dokumentasjon på en «som de er»-basis.

PayPal gir eller tilbyr ingen garantier, verken uttrykkelige eller underforståtte, ved bruk av lover eller på annen måte, i forhold til:

  • produktet ditt
  • den lisensierte programvaren og
  • den medfølgende brukerdokumentasjonen.

Ingenting som leveres av PayPal i henhold til denne Avtalen, eller på annen måte for produktet ditt, har PayPal tillatelse for å inkludere en garanti.

Ingen forpliktelser eller erstatningsansvar skal oppstå som følge av Paypals levering av:

  • teknisk rådgivning
  • programmeringsråd og
  • andre råd eller tjenester

i forbindelse med produktet, lisensiert programvare og medfølgende programvare. Dette inkluderer blant annet tjenester som kan hjelpe deg med tilpasningen av produktet ditt.

PayPal anbefaler at du tester implementeringen av produktet grundig, da PayPal ikke skal holdes ansvarlig for tap som skyldes mangler i produktet.

Hvis PayPal drifter produktet ditt (med andre ord, vi kjører programvaren for deg som en webtjeneste), garanterer ikke PayPal kontinuerlig, uavbrutt eller sikker tilgang til det vertsbaserte produktet.

PayPal skal ikke holdes ansvarlig for forsinkelser eller feil under drifting av produktet.

Du anerkjenner at produktets tilgjengelighet for bruk av og til kan være begrenset for å iberegne eventuell reparasjon, vedlikehold eller introduksjon av nye fasiliteter eller tjenester.

Enkelte land tillater ikke fraskrivelse av implisitte garantier, så de foregående fraskrivelsene gjelder kanskje ikke for deg.

9.3 Skadeserstatning. Du samtykker i å holde PayPal skadesløse, og å holde PayPal fullstendig skadesløse på kontinuerlig basis, for direkte tap, skade og ansvar, og fra eventuelle krav, forespørsler eller kostnader (inkludert rimelige advokatgebyrer) som påløper i forhold til eventuelle tredjeparter (inkludert delte kunder), og som oppstår som følge av brudd på denne Avtalen, brukeravtalen og dokumentene som er innlemmet i den ved referanse (inkludert retningslinjene for akseptabel bruk), eller brudd på eventuelle lover.

9.4 Tilordning, endringer og fraskrivelse. Du kan ikke tilordne denne Avtalen uten å be om skriftlig samtykke fra PayPal først. PayPal kan tilordne, fornye eller på annen måte overføre denne Avtalen uten ditt samtykke ved å varsle deg. Ingen av partene kan endre denne Avtalen eller gi avkall på eventuelle rettigheter i henhold til Avtalen, med mindre det gjøres i et skriftlig dokument som er signert av begge parter.

9.5 Engelsk lov og jurisdiksjon. Denne avtalen er underlagt lovene i England og Wales. Dere og vi er underlagt den ikke-eksklusive jurisdiksjonen til domstolene i England og Wales.

 

Til toppen av siden

 

10. Definisjoner

Termer som ikke er oppført i dette avsnittet, er definert i brukeravtalen.

3D Secure: En sikkerhetsprosedyre som gjør det mulig for en kortutstedende bank å godkjenne at kortholderen autoriserer en korttransaksjon på tidspunktet for en betaling. 3D Secure har andre merkenavn avhengig av kortforeningen (hvis merke vises på kortet). Merkenavn for 3D Secure inkluderer Verified by Visa og MasterCard SecureCode.

Anskaffende institusjon: betyr en finansinstitusjon eller bank som leverer tjenester til deg og PayPal for at du skal kunne (a) godta betaling fra kortholdere som bruker kortene og (b) motta verdi i forhold til korttransaksjoner.

Aktiveringsdato: Datoen når du fullfører alle trinnene i «Komme i gang», som oppført i avsnitt 1 ovenfor.

Avanserte svindeladministrasjonsfiltre: Teknologi som leveres av PayPal, slik at du kan (a) sjekke en kortbetaling mot kriterier som kortholderens faktureringsadresse (adresseverifiseringstjeneste eller AVT), kortets CVV2-data og databaser med mistenkelige adresser, identifikatorer og mønstre. Se PayPal-nettstedet og produktdokumentasjonen for mer informasjon. Avanserte svindeladministrasjonsfiltre tilbyr bedre transaksjonsscreening, og transaksjonene kan automatisk flagges, gjennomgås eller avvises avhengig av filtrene du har konfigurert.

AVS-data: Informasjon som returneres av adressebekreftelsessystemet (AVS) som drives av eller på vegne av kortforeninger, som sammenligner adressedata som leveres av en tilsynelatende kortholder, med adressedata som er registrert for det aktuelle kortet, hos kortutstederen.

Kortforening: Et selskap eller konsortium av finansinstitusjoner som kunngjør regler som styrer korttransaksjoner for kortet som bærer selskapets eller konsortiets merkee. Eksempler omfatter Visa USA, Visa Europe og de andre Visa-regionene, Mastercard International Incorporated, American Express Company og lignende organisasjoner.

Kortdata: All personlig eller økonomisk informasjon som er relevant for en korttransaksjon, inkludert informasjon som er registrert på selve kortet (enten i menneskelig lesbar form eller digitalt), sammen med kortholderens navn og adresse og all annen informasjon som er nødvendig for å behandle en korttransaksjon.

Korttransaksjon: En betaling som gjøres ved hjelp av et betalingskort, et American Express-kort eller en hvilken som helst annen betalingsmetode som bruker et fysisk databærende medium som er ment å være i betalers besittelse. Produktene støtter bare visse typer korttransaksjoner, se PayPal-nettstedet for mer informasjon.

Kritiske systemer: Informasjonsteknologien (både maskinvare og programvare) du bruker for å betjene produktene, for å beskytte dem og dine salgssteder på Internett mot inntrengning og innblanding, og for å lagre betalingsrelaterte og personlige data, inkludert eventuelle kortdata du oppbevarer, og alle personopplysninger om delte kunder.

API for tilpassede kortfelt : En nettbasert kortbetalingstjeneste som er nærmere definert i avsnittet Om Avtalen.

Tilpassede svindeladministrasjonsfiltre: Teknologi som leveres av PayPal, slik at du kan (a) sjekke en kortbetaling mot kriterier som kortholderens faktureringsadresse (adresseverifiseringstjeneste eller AVT), kortets CVV2-data og databaser med mistenkelige adresser, identifikatorer og mønstre.

Tilpassede kortfelt: Et produkt som er nærmere definert i avsnittet Om Avtalen.

CVV2-data: Det tresifrede nummeret som er trykt til høyre for kortnummeret i signaturpanelet på baksiden av kortet. (For American Express-kort er koden et firesifret ikke-preget nummer som er trykt over kortnummeret på fremsiden av American Express-kortet.) CVV2-datae er unikt knyttet til hvert enkelt plastkort og knytter kortkontonummeret til plastkortet.

Datainnbrudd: Inntrengning i eller funksjonsfeil i et datasystem som oppbevarer kortdataene, og der inntrengningen eller funksjonsfeilen enten (a) avslører, modifiserer eller ødelegger hele eller deler av kortdataene i systemet, eller (b) utgjør en betydelig sikkerhetsrisiko, i henhold til en kvalifisert ekspert innen informasjonssikkerhet, for å avsløre, modifisere eller ødelegge hele eller deler av kortdataene i systemet. Kortdata avsløres når de frigjøres fra den normale tilgangskontrollen til systemet uten autorisasjon, eller hvis de faktisk blir avslørt til en eller flere uautoriserte individer.

Personvernforordningen (GDPR) :  Forordning (EU) 2016/679 (personvernforordningen) eller enhver etterfølger av den, sammen med alle andre lover om personvernet til borgere eller innbyggere i medlemslandene i europeiske økonomiske samarbeidsområdet (EØS), hvor du bor eller er etablert som en virksomhet.

Express Checkout: En funksjon som tilbyr rask nettbetaling av detaljhandel ved å bruke informasjon som leveres av PayPal. Du finner mer informasjon om Express Checkout på PayPal-nettstedet og i dokumentasjonen som PayPal tilbyr for produktet.

Driftingsalternativ: Ett av følgende alternativer: (i) en PayPal-driftet integrasjon, eller (ii) en selvdriftet integrasjon.

Nettbasert kortbetalingstjeneste:  En Internett-funksjonalitet som tilbys av PayPal, for å gjøre det mulig for selgere å motta betalinger direkte fra en betalers kort (uten at midlene går via betalerens PayPal-konto), uten at kortet er til stede på nettstedet eller på andre salgssteder. De nettbaserte kortbetalingstjenestene er integrert i produktet. Den nettbasert kortbetalingstjenesten er definert i avsnittet Om Avtalen.

PayPal-driftet integrasjon: PayPals API med tilpassede kortfelt, som er integrert i betalingsprosessen på nettstedet ditt i henhold til avsnitt 1. Denne funksjonaliteten drives (inkludert kortoppføringsfeltet som driftes) i sin helhet på PayPals server (i stedet for på nettstedet ditt).

PayPal-nettsted: Nettstedet som tilbys av PayPal for landet der du er bosatt. For Frankrike er for eksempel PayPal-nettstedet for øyeblikket på http://www.paypal.fr og for Tyskland er PayPal-nettstedet for tiden på www.paypal.de. Du finner henvisninger til PayPal-nettsteder for andre land ved å følge en lenke fra et vilkårlig PayPal-nettsted.

PCI DSS: Payment Card Industry Data Security Standard, som består av spesifikasjoner foreskrevet av kortforeninger, for å sikre datasikkerheten til korttransaksjoner. En kopi av PCI DSS er tilgjengelig på Internett på https://www.pcisecuritystandards.org/.

Produkt: Produktet betyr produktet du får tilgang til og bruker etter at du har godtatt denne Avtalen. Produktet er videre definert i delen Om Avtalen.

Kvalifisert sikkerhetsevaluator har betydningen som er fastsatt i PCI DSS.

Verktøy for regelmessig betaling: Teknologi som leveres av PayPal for å sette opp betalinger som skal skje ved angitte intervaller med godkjenning av betaleren. Se PayPal-nettstedet og produktdokumentasjonen for mer informasjon.

Selvdriftet integrasjon: Produktet er integrert i betalingsprosessen til nettstedet ditt i henhold til avsnitt 1, og denne funksjonaliteten drives (inkludert kortoppføringsfeltet som driftes) i det minste delvis på nettstedet ditt.

Delt kunde: En person som både har en PayPal-konto og er din kunde.

Standard PayPal-betalinger: Alle betalinger du mottar fra en annen PayPal-konto eller betalinger via PayPals valgfrie kontotjeneste eller fra lokale betalingsmetoder.

Brukeravtale: Kontrakten som er inngått på Internett, som en del av den nettbaserte registreringsprosessen som kreves for å åpne en PayPal-konto. Gjeldende brukeravtale finnes via en lenke i bunnteksten på nesten alle sider på PayPals nettsted. Den inneholder bestemte retningslinjer, og legg særlig merke til retningslinjene for akseptabel bruk, og retningslinjer for personvern, som også er oppført på PayPals nettsted.

 

Vedlegg 1
Krav til datasikkerhet

 

Med PayPals tilpassede kortfelt kan du godta nettbetalinger direkte fra betalingskort, som er betalingsinstrumenter der sikkerheten avhenger av å kontrollere avsløring av kortdata. En person som har tilstrekkelige kortdata, kan sende eller motta en kortbetaling som belastes kortholderens konto, uten nødvendigvis å ha kortholderens godkjenning for betalingen. For å forhindre at kortdataene til de delte kundene dine blir misbrukt, må du alltid holde kortdataene hemmelige. EUs Personvernforordning (GDPR) krever også at du oppbevarer personopplysningene til delte kunder på en sikker måte.

PayPal anbefaler på det sterkeste at du får hjelp fra en kompetent profesjonell ekspert innen informasjonssikkerhet, som kan gi deg råd og hjelpe deg med å sikre nettstedet ditt og andre salgssteder.

Prinsipper for datasikkerhet

  1. Design og utvikling. Du må designe og utvikle de kritiske systemene og alle betalingsrelaterte prosesser slik at de er sikre mot inntrengning og innblanding av uautoriserte personer. Alle brukere av systemene dine må pålegges å autentisere seg ovenfor de kritiske systemene, og disse systemene må begrense tilgangen og rettighetene til brukerne. Du må også organisere virksomheten din slik at du holder kritiske oppgaver atskilt og oppretter kontroller og sjekkpunkter i operasjonene dine, i stedet for å gi for mye ukontrollert kontroll til systemene og operasjonene dine til en person. Gi aldri en bruker mer kontroll over systemene og prosessene dine enn det som er absolutt nødvendig for at brukeren skal utføre sin tildelte rolle.
  2. Inntrengingsbeskyttelse. Du må dele operasjonene dine inn i to grunnleggende kategorier, (1) funksjoner som er tilgjengelige for alle brukere, inkludert de utenfor organisasjonen, og (2) de som bare er tilgjengelige for pålitelige personer i organisasjonen. Du må bruke en brannmur for å blokkere uklarerte brukere fra å bruke interne funksjoner i de kritiske systemene. Dine webservere og andre eksterne deler av de kritiske systemene må bruke velutviklet og grundig testet teknologi, og gjøre bare de funksjonene som er nødvendige, tilgjengelige for delte kunder og andre eksterne brukere.  Fjern alle overflødige funksjoner fra de eksterne serverne for å beskytte dem og redusere sårbarheten for eksterne angrep.
  3. Tilgangskontroller. De kritiske systemene må begrense tilgangen til kortdata og all annen personlig eller viktig informasjon til bare pålitelige personer i organisasjonen din, og ingen slike personer skal ha større tilgang til slike data enn det som er nødvendig for at personen skal kunne utføre sin rolle. Systemene dine må spore og logge all tilgang, bruk, endring og sletting av kortdata og andre personlige eller viktige data så du kan opprettholde et revisjonsspor av alle slike handlinger. Du må også begrense tilgangen til de kritiskee systemene og ressursene de er avhengige av, for eksempel nettverk, brannmurer og databaser.
  4. Dataminimering. Som en generell regel bør du ikke samle inn og oppbevare flere kortdata eller andre sensitive data enn det du trenger. Å oppbevare kortdata og personopplysninger utgjør en ansvarsrisiko for deg. Du kan redusere denne risikoen ved samle inn og oppbevare færre data. Hvis du oppbevarer kortdata, bør du vurdere behovet for å gjøre det nøye: PayPal må refundere betalinger som mangler betalerens autorisasjon, og hvis brukeren autoriserer en ytterligere betaling, skal brukeren generelt også gi deg oppdaterte kortdata igjen. Derfor har du ikke egentlig behov for å oppbevare kortdata for fremtidig bruk. Kortdata du ikke har, er data du ikke kan tape hvis du blir offer for datainnbrudd.
  5. Endringer og testing.Unntatt i nødstilfeller bør du unngå å endre kritiske systemer uten først å planlegge, teste og dokumentere endringen, med mindre endringen er rutinemessig (f.eks. legge til en bruker, endre et passord, oppdatere lagerbeholdning og priser). For større systemendringer eller endringer som kan påvirke sikkerheten eller tilgjengeligheten til de kritiske systemene, bør planlagte endringer eskaleres for godkjenning til mer overordnede ledere enn planleggerne av disse endringene. Implementer planlagte endringer i produksjonssystemene dine kun etter at de har blitt grundig testet i et ikke-produksjonsmiljø. Gjennomfør all slik testing under tilsyn av risikostyringsavdelingen eller andre i selskapet ditt som har spesielt ansvar for tap.
  6. Revisjoner. Driften og sikkerheten til de kritiske systemene dine må revideres minst én gang i året. Denne systemrevisjonen må utføres separat fra enhver revisjon av finansene dine. Bruk pålitelige og uavhengige eksperter for å revidere de kritiske systemene. Hvis du bruker dine ansatte som revisorer, må du sikre deres uavhengighet ved å beskytte deres ansettelse mot gjengjeldelse, og ved å isolere dem fra arbeidet med å administrere, drifte, endre og teste de kritiske systemene.
  7. Outsourcing og organisasjonskontroll Du må sørge for at alle personer som har tilgang til de kritiske systemene, eller som designer, utvikler, drifter, vedlikeholder, endrer, tester og kontrollerer de kritiske systemene i henhold til denne Avtalen og PCI DSS. Du er ansvarlig for å sikre overholdelse selv om disse personene ikke er dine ansatte.

Hva du skal gjøre i tilfelle datainnbrudd

  1. Datainnbrudd Hvis du opplever datainnbrudd, skal du godta å gjøre følgende:
    1. Gjøre det du kan for å stoppe datainnbruddet og avbøte konsekvensene umiddelbart etter at du har oppdaget datainnbruddet.
    2. Varsle PayPal så snart som mulig når du oppdager et datainnbrudd, ved å ta kontakt med din kontoansvarlig (hvis du er tilordnet en slik) eller vår kundeservice (Du finner informasjon om hvordan du kan kontakte oss på siden Kontakt oss). Hvis du ikke kan gjøre (a) og varsle PayPal samtidig, må du gjøre (a) først og deretter varsle PayPal.
    3. Varsle alle delte kunder det gjelder hvis deres kortdata har blitt avslørt eller sannsynligvis har blitt avslørt, slik at de delte kundene kan iverksette tiltak or å forhindre misbruk av kortdataene. Du samtykker videre i å sende disse varslingene umiddelbart etter at du har utført (a) og (b) ovenfor, varsle PayPal når du har sendt varslene, og legge frem en liste over delte kunder du har varslet. Hvis du ikke klarer å fullføre dette trinnet umiddelbart etter datainnbruddet, kan PayPal varsle delte kunder om datainnbruddet. De vil identifisere de delte kundene fra oppføringene på PayPal-kontoen din, som viser hvem som har betalt deg ved å bruke et kort.
    4. Hvis du blir bedt om det av PayPal, må du be en uavhengig tredjepartsrevisor, som er godkjent av PayPal, om å utføre en sikkerhetsrevisjon av de kritiske systemene dine og utstede en rapport. Du samtykker i å etterkomme PayPal forespørsel i henhold til dette avsnittet for egen regning. Du må legge frem en kopi av revisjonsrapporten til PayPal, og PayPal kan sende kopier av rapporten til bankene (inkludert, uten begrensning, anskaffende institusjoner) og kortforeninger som er involvert i behandling av korttransaksjoner for PayPal. Hvis du ikke starter en sikkerhetsrevisjon innen 10 virkedager etter PayPal forespørsel, kan PayPal utføre eller be om en slik revisjon på din regning. Se også Vedlegg 1 om revisjon.
    5. Samarbeid med PayPal og følg alle rimelige instruksjoner fra PayPal for å unngå eller avbøte konsekvensene av datainnbruddet, for å forbedre de kritiske systemene slik at de tilfredsstiller kravene i denne avtalen, og for å bidra til å forebygge fremtidige datainnbrudd. PayPal skal imidlertid ikke kreve at du gjør mer enn det som er fastsatt i denne Avtalen, med mindre de ekstra tiltakene er rimelige i forbindelse med risikoen for delte kunder og mønsterpraksisen for detaljhandel på Internett.
    6. Gjenoppta normal drift av de kritiske systemene bare etter at du har funnet ut hvordan datainnbruddet skjedde og iverksatt alle rimelige tiltak for å eliminere sårbarhetene som gjorde datainnbruddet mulig, eller som kan gjøre andre datainnbrudd mulig.
    7. Rapporter datainnbruddet til rettshåndhevende myndigheter, samarbeid i enhver etterforskning som de foretar, og samarbeid med myndighetene hvis de trenger hjelp med å identifisere og arrestere gjerningsmannen til datainnbruddet.
    8. Avstå fra å bruke kortdata som har blitt avslørt eller modifisert i datainnbruddet. Dette avsnittet forhindrer imidlertid ikke at du får tak i og bruker kortdataene igjen fra delte kunder som er berørt av datainnbruddet, etter at sårbarhetene i de kritiske systemene er utbedret i henhold til (f) ovenfor.

Databeskyttelse

  1. Se Vedlegg 2 for databeskyttelsesvilkår
  2. Blank med hensikt.

Kortdata og PCI DSS

  1. Sikker oppbevaring av kortdata. Med mindre du mottar og registrerer kortholderens uttrykkelige samtykke kan du ikke beholde, spore, overvåke eller lagre eventuelle kortdata. Du må ødelegge alle kortdata som du oppbevarer eller lagrer, fullstendig og sikkert innen 24 timer etter at du har mottatt en autorisasjonsavgjørelse fra utstederen som er relevant for de aktuelle kortdataene.

    Hvis du, med kortholderens samtykke, beholder kortdataene i en kortere periode, kan du gjøre dette, men bare i den grad kortdataene er nødvendige for å behandle betalingstransaksjoner med kortholderens tillatelse. Du må aldri formidle eller avsløre de oppbevarte kortdataene til andre, ikke engang som en del av salg av virksomheten din. Dessuten må du aldri, uansett om motsatte tilfeller skulle oppstå, oppbevare eller avsløre kortets bekreftelses- og identifikasjonsdata som er trykt på signaturstripen på baksiden av kortet (f.eks. CVV2-dataene), ikke engang med kortholderens samtykke.
  2. Kortdata du ikke må oppbevare. Til tross for det som er beskrevet i det foregående punktet, samtykker du i å ikke oppbevare eventuelle PIN-data, AVS-data, CVV2-data eller data hentet fra magnetstripen eller en annen digital lagringskomponent på kortet (med mindre disse dataene også er trykt eller preget på forsiden av kortet) til enhver kortholder. Kortforeninger kan pålegge bøter hvis du bryter reglene i dette punktet, som gjenspeiler kortforeningsregler. I dette avsnittet betyr «oppbevare» å ta vare på data i enhver form, enten det er digitalt, elektronisk, papirbasert eller på annen måte, men det inkluderer ikke midlertidig innhenting og oppbevaring av data mens de blir aktivt behandlet (men ikke i etterkant).
  3. Forhandlers bruk av kortdata. Du samtykker i å ikke bruke eller avsløre kortdata, bortsett fra i den hensikt å innhente godkjenning fra kortutstederen, fullføre og gjøre opp korttransaksjonen som kortdataene gjaldt, samt å løse eventuelle tvister i forbindelse med tilbakeføringer eller reverseringer eller lignende problemer som involverer korttransaksjoner. PayPal er pliktig, i henhold til banklovgivning, til å refundere betalinger som mangler betalerens godkjenning. Derfor må din bruk av kortdata for å utføre en korttransaksjon godkjennes av kortholderen. ellers er transaksjonen underlagt tilbakeføring.
  4. Sikker lagring og avhending av kortdata. Du godtar følgende:
    1. Du skal ikke etablere og vedlikeholde tilstrekkelige kontroller for å begrense tilgang til alle oppføringer som inneholder kortdata.
    2. Du skal ikke selge eller avsløre eventuelle kortdata eller annen informasjon du har samlet inn i forbindelse med en korttransaksjon, til en tredjepart.
    3. Du skal ikke oppbevare kortdata i papirform eller på bærbare digitale lagringsenheter som for eksempel USB-minneenheter eller flyttbare disker.
    4. Du skal ikke reprodusere eventuelle elektroniske signaturer du har kopiert for en kortholder, bortsett fra på PayPals spesifikke forespørsel.
    5. Du skal ødelegge kortdataene enten ved å tilintetgjøre mediet som kortdataene er lagret på eller ved å slette eller gjøre kortdataene fullstendig og permanent uforståelige og meningsløse.

      Hvis du overfører virksomheten din, kan du ikke overføre kortdata og annen informasjon du har om korttransaksjoner, i henhold til kortforeningens regler som fastsetter at de er et aktivum for virksomheten. I slike tilfeller samtykker du i å levere kortdataene og eventuelle transaksjonsdata til PayPal hvis de ber om det. Hvis PayPal ikke ber deg om å sende dem slike data, må du ødelegge dem når virksomheten overføres.
  5. PCI DSS-revisjon. Hvis PayPal ber deg om det, samtykker du i at en kvalifisert sikkerhetsevaluator utfører en sikkerhetsrevisjon av systemene, kontrollene og fasilitetene dine og utsteder en rapport til PayPal og kortforeningene. Du samtykker i å samarbeide fullt ut under utførelsen av denne revisjonen, og å i å formidle all nødvendig informasjon og gi tilgang til alle systemene som revisoren trenger, for å fullføre revisjonen. Du samtykker også i å dekke eventuelle rimelige kostnader i forbindelse med denne revisjonen. Hvis du ikke klarer å starte en slik revisjon etter at PayPal har bedt deg om å gjøre det, gir du PayPal tillatelse til å iverksette slike tiltak på selgerens regning, eller PayPal kan øyeblikkelig suspendere bruken av produktet ditt. Du vil motta en kopi av revisjonsrapporten. PayPal må også motta en kopi og sende en kopi til enhver anskaffende institusjon eller kortforening som ber om en kopi.

 

Vedlegg 2

DATABESKYTTELSESPLAN

Denne databeskyttelsesplanen gjelder bare i den grad PayPal fungerer som en behandler eller underbehandler for forhandleren. Termene som brukes, men ikke er definert i dette vedlegget,  skal ha den betydningen som er beskrevet i Avtalen.

1 DEFINISJONER OG TOLKNING

1.1 Følgende termer har følgende betydninger når de brukes i dette vedlegget:

«Kortinformasjon» er definert i avsnitt 2.15 i dette vedlegget.

«Kunde» betyr en EU-kunde til en forhandler som bruker PayPal-tjenestene, og, for formålene som er fastsatt i dette vedlegget,  skal være den registrerte.

«Kundedata» betyr personopplysningene som kunden gir til forhandleren, og som forhandleren deretter formidler til PayPal gjennom forhandlerens bruk av PayPal-tjenestene.

Termene «datakontrollør» (eller bare «kontrollør») og «databehandler» (eller bare «behandler») og «den registrerte» har den samme betydningen som er beskrevet i databeskyttelseslovene.

«Databeskyttelseslover» betyr generell databeskyttelsesforordning (EU) 2016/679 (GDPR) og eventuelle tilknyttede forskrifter eller instrumenter og andre lover for personvern, forskrifter, forskriftskrav og adferdskoder i EUs medlemsstater som gjelder leveringen av PayPals tjenester.

«Datamottaker» er definert i avsnitt 2.15 i denne listen.

«PayPal-gruppen» betyr PayPal og alle selskaper hvor PayPal eller dens etterfølger fra tid til annen direkte eller indirekte eier eller kontrollerer.

«Personopplysninger» har betydningen som er gitt i henhold til databeskyttelsesloven.

«Behandling» har betydningen som er gitt i databeskyttelsesloven og alle former for den vil bli tolket tilsvarende.

«Underbehandler» betyr enhver behandler som er engasjert av PayPal og/eller dets tilknyttede selskaper i behandlingen av personopplysninger.

1.2 Plan. Denne planen omfatter (i) punkt 1 til 2, og er hoveddelen av planen (ii) Vedlegg 1, (iii) Vedlegg 2, og (iv) Vedlegg 3 (med vedlegg).

 

2 BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED TJENESTENE

2.1 Forhandler som dataansvarlig Når det gjelder kundedata som skal behandles av PayPal i forbindelse med denne avtalen, vil forhandlere være ansvarlig og PayPal vil være en behandler med hensyn til slik behandling. Forhandler er alene ansvarlig for å bestemme hvilke formål og hvordan kundedata behandles eller skal behandles.

2.2 Forhandlerens skriftlige instruksjoner. PayPal behandler kun kundedata på vegne av og i samsvar med forhandlerens skriftlige instruksjoner. Partene er enige om at denne planen er forhandlerens komplette og endelige skriftlige instruksjon til PayPal i forhold til kundedata. Ytterlige instruksjoner uten for denne listen (hvis noen) krever en forutgående skriftlig avtale mellom PayPal og selger, inkludert avtale om tilleggsavgifter som forhandler skal betale til PayPal for å utføre slike ytterlige instruksjoner. Forhandler må sørge for at instruksjonene er i samsvar med alle gjeldende lover, inkludert databeskyttelseslover og at behandling av kundedata i samsvar med forhandlerens instruksjoner ikke fører til at PayPal bryter lovene om databeskyttelse. Bestemmelsene i dette punktet er underlagt bestemmelsene i punkt 2.14 om sikkerhet. Forhandler ber herved om at PayPal behandler kundedata for følgende formål.

2.2.1 som rimelig nødvendig for å levere PayPal-tjenester til forhandler og deres kunde

2.2.2 For å bruke dataene til noe som helst formål, direkte eller indirekte, må de anonymiseres slik at identifiserbare personopplysninger ikke lenger er tilgjengelig.

2.3 PayPal-samarbeid. I forbindelse med kundedata som er behandlet av PayPal i henhold til denne avtalen, skal PayPal samarbeide med forhandleren i den grad det er nødvendig for å gjøre det mulig for forhandleren å oppfylle sitt ansvar som en dataansvarlig i henhold til databeskyttelseslover, herunder uten begrensning som forhandleren krever i forhold til å:

2.3.1 bistå forhandleren i utarbeidelsen av konsekvensvurderinger for databeskyttelse i den grad det kreves av selgeren i henhold til databeskyttelseslover

2.3.2  svare på bindende forespørsler fra databeskyttelsesmyndigheter om utlevering av kundedata som påkrevd i gjeldende lover.

2.4  Omfang og detaljer om kundedata behandlet av PayPal.  Målet med å behandle kundedata av PayPal er ytelsen til PayPal-tjenestene i henhold til avtalen. PayPal må behandle kundedataene i henhold til angitt tidsramme, formål, type og kategorier av dataemner som beskrevet i vedlegg 2 (Databehandling av kundedata).

2.5  Overholdelse av lover.  Partene vil til enhver tid overholde lovene om databeskyttelse.

2.6  Retting, blokkering og sletting.  I den grad en forhandler i sin bruk av PayPal-tjenestene ikke er i stand til å rette, endre, blokkere eller slette kundedata som kreves i henhold til databeskyttelseslover, skal PayPal imøtekomme enhver kommersielt rimelig forespørsel fra forhandleren om å lette slike handlinger i den grad PayPal er lovlig tillatt til å gjøre det. I den grad det er lovlig tillatt, er forhandler ansvarlig for eventuelle kostnader som oppstår som et resultat av PayPals levering av slik assistanse.

2.7  Forespørsler om dataemner. PayPal skal, i den grad loven tillater det, umiddelbart varsle selgeren hvis PayPal mottar en forespørsel fra en kunde om tilgang, retting, endring eller sletting av kundens personopplysninger. Forhandleren er ansvarlig for å svare på alle slike forespørsler. Hvis lovlig tillatt, skal PayPal samarbeide med og bistå forhandleren med en slik kundeforespørsel så langt det er kommersielt rimelig, og forhandleren er ansvarlig for eventuelle kostnader som oppstår som et resultat av PayPals assistanse.

2.8 Opplæring.  PayPal forplikter seg fra tid til annen å tilby opplæring som er nødvendig for PayPal-ansatte i forhold til PayPal-forpliktelser i denne planen for å sikre at PayPal-ansatte er klar over og overholder slike forpliktelser.

2.9 Begrensning av tilgang.  PayPal må sikre at PayPal-ansattes tilgang til kundedata er begrenset til de ansatte som utfører PayPal-tjenester i samsvar med avtalen.

2.10  Underprosessorer. Forhandler autoriserer engasjement fra medlemmer av PayPal-gruppen som underprosessorer når de leverer PayPal-tjenestene. I tillegg autoriserer forhandler generelt engasjement fra andre tredjeparter som underprosessorer i forbindelse med levering av PayPal-tjenestene. PayPal må gjøre en aktuell liste over underprosessorer tilgjengelig for de respektive PayPal-tjenestene for forhandlere med identiteten til disse underprosessorene.

2.11 Revisjoner og bekreftelser. På forespørsel fra forhandler, med forbehold om taushetsplikt som angitt i avtalen, gir PayPal informasjon om PayPals overholdelse av forpliktelsene som er angitt i denne listen i form av tredjeparts-sertifikater og eventuelle revisjoner beskrevet i uttalelsen om personlig informasjon som er beskrevet på vår nettside for forhandlere (eller forhandlerens uavhengige tredjepartsrevisor som ikke er en konkurrent av PayPal eller noen medlemmer av PayPal eller PayPal-gruppen.) Forhandler kan kontakte PayPal i samsvar med avtalen for å be om en revisjon på stedet av prosedyrene som er relevante for beskyttelse av personopplysninger. Forhandler refunderer PayPal for all tid brukt på slike revisjoner på stedet til PayPal på tidspunktet for gjeldende profesjonelle service priser for PayPal, som må gjøres tilgjengelig for forhandleren etter forespørsel. Før en slik revisjon på stedet starter, må forhandleren og PayPal gjensidig avtale om omfanget, tidspunktet og varigheten av tilsynet i tillegg til refusjonssatsen som forhandler er ansvarlig for. Alle refusjonssatser skal være rimelige under hensyntagen til ressursene som PayPal bruker. Forhandler skal omgående varsle PayPal med informasjon om eventuell manglende overholdelse som oppdages i løpet av en revisjon.

2.12 Sikkerhet. PayPal skal som minimum implementere og vedlikeholde passende tekniske og organisatoriske tiltak for å beskytte kundedata og beskytte dem mot uautorisert eller ulovlig behandling og utilsiktet tap, skade eller ødeleggelse i forhold til levering av PayPal-tjenester, som beskrevet i vedlegg 1 i denne planen. Ettersom PayPal leverer PayPal-tjenester til alle forhandlere ensartet gjennom et vertsbasert, nettbasert program, gjelder alle relevante og nåværende tekniske og organisatoriske tiltak for hele PayPal-kundebasen som er vert fra samme datasenter og abonnerer på den samme tjenesten. Forhandler forstår og er enig i at den tekniske og organisatoriske tiltakene er underlagt teknisk fremgang og utvikling. I denne sammenheng har PayPal uttrykkelig tillatelse til å treffe passende alternative tiltak så lenge sikkerhetsnivået til tiltakene opprettholdes i forhold til tilbudet av PayPal-tjenestene.
 
2.13 Varsel om sikkerhetshendelser. Hvis PayPal blir kjent med en sikkerhetshendelse i forbindelse med behandlingen av kundedata, vil PayPal i samsvar med lovene om databeskyttelse: (a) varsle forhandleren om sikkerhetshendelsen omgående og uten unødig forsinkelse. (b) umiddelbart ta rimelige tiltak for å minimere skader og sikre kundedata. (c) beskrive i den grad det er mulig, rimelige detaljer om sikkerhetshendelsen inkludert skritt tatt for å avbøte potensielle risikoer. (d)  og varsle forhandleren på den måten PayPal velger, inkludert via e-post. Forhandler er alene ansvarlig for å opprettholde nøyaktig kontaktinformasjon og sikre at all kontaktinformasjon er aktuell og gyldig.

2.14 Sletting. Ved avslutting eller utløp avtalen, vil PayPal slette eller returnere alle kundedata behandlet på vegne av forhandleren og PayPal vil slette eksisterende kopier av slike kundedata med mindre det er nødvendig å oppbevare slike kundedata for å overholde gjeldende lov.

2.15 Dataportabilitet. Ved oppsigelse eller utløp av denne avtalen samtykker PayPal på skriftlig forespørsel fra forhandler om å gi forhandlerens nye overtakende bank- eller betalings-tjenesteleverandør («Datamottaker») all tilgjengelig betalingskortinformasjon, herunder personlig informasjon vedrørende forhandlerens kunder («Kortinformasjon»). For å kunne gjøre det, må selger gi PayPal all forespurt informasjon inkludert bevis på at datamottakeren er i samsvar med Association PCI-DSS-kravene og er nivå 1 PCI-kompatibel. PayPal samtykker i å overføre kortinformasjonen til datamottakeren så lenge følgende gjelder: (a) Forhandler gir PayPal bevis for at datamottakeren er i samsvar med Association PCI-DSS (nivå 1 PCI-samsvarende) krav ved å gi PayPal et sertifikat eller rapport om overholdelse av Association PCI-DSS krav fra en kvalifisert leverandør og all annen informasjon som PayPal rimelig ber om. (b) Overføring av slik kortinformasjon er i samsvar med den siste versjonen av Association PCI-DSS-kravene; og (c) Overføring av slik kortinformasjon er tillatt i henhold til gjeldende tilknytningsregler og eventuelle gjeldende lover, forskrifter eller forskrifter (inkludert databeskyttelseslover).

3 VILKÅR TILKNYTTET TIL EUs STANDARDKONTRAKTBESTEMMELSER

3.1 Søknad. EUs standardkontraktsbestemmelser er beskrevet i vedlegg 31 («EUs standardkontraktsbestemmelser»). EUs standardkontraktsbetingelser gjelder bare for kundedata som er overført av forhandlere etablert i Det europeiske økonomiske området («EØS») eller Sveits til ethvert land som er utenfor EØS-land og ikke er anerkjent av EU-kommisjonen som å ha et passende beskyttelsesnivå for personopplysninger (som beskrevet i GDPR) der PayPal kan lagre og behandle kundedata.

3.2 Instruksjoner. Denne planen og brukeravtalen er den komplette og endelige instruksjonen fra dataeksportøren til dataimportøren for behandling av kundedata. Eventuelle tilleggs- eller alternative instruksjoner må avtales separat. For formålene i klausul 5 (a) i EUs standardkontraktsvilkår gir dataeksportøren følgende instruksjoner: (a) å behandle kundedata i samsvar med avtalen og (b) å behandle kundedata initiert av forhandlere i deres bruk av tjenestene i løpet av løpetiden. Disse instruksjonene beskriver også behandlingenes varighet, objekt, omfang og formål.

3.3 Revisjoner og bekreftelser. Partene er enige om at revisjonene beskrevet i klausul 5 (f), klausul 11 og klausul 12 (2) skal gjelde. Bestemmelsene i punkt 2.11 i denne listen skal også gjelde for dataimportøren, som om det var PayPal.

3.4  Sertifisering av sletting. Partene er enige om at sertifisering av sletting av personopplysninger beskrevet i klausul 12(1) skal leveres fra dataimportøren til dataeksportøren bare på dataeksportørens forespørsel.

3.5 Ansvar. Partene er enige om at alt ansvar mellom dem (og med hensyn til dataimportøren, slikt ansvar skal samles med PayPal forpliktelser slik at deres totale samlede ansvar faller innenfor det nivået som er spesifisert i brukeravtalen) under denne listen og EUs standardkontraktsvilkår er underlagt vilkårene i brukeravtalen (inkludert med tanke på ansvarsbegrensning), bortsett fra at slike begrensninger ikke gjelder alt ansvar som dataimportøren kan ha overfor registrerte under tredjeparts rettighetsbestemmelser i EUs standardkontraktsvilkår.

3.6  Utelukkelse av tredjepartsrettigheter. Underlagt paragraf 4.6, PayPal tildeles tredjepartsrettigheter med hensyn til forpliktelser som uttrykkelig er til fordel for dataimportøren eller PayPal på denne planen, og dataemner får tredjepartsrettigheter i henhold til EUs standard kontraktsbestemmelser. Alle andre rettigheter fra tredjeparten er ekskludert.

Forhandler
For og på vegne av (oppgi forhandlerens juridiske navn)…………………………………
Signatur……………………………………………
Undertegnedes navn……………………………………. Undertegnedes tittel…………………………………….
Dato………………………………………………..

PayPal
For og på vegne av PayPal (Europe) S.á.r.l. et Cie, S.C.A.
Signatur…………………………………………….
Undertegnedes navn……………………………………. Undertegnedes tittel……………………………………. Dato…………………………………………………

 

VEDLEGG 1
Tekniske og organisatoriske tiltak

Følgende tekniske og organisatoriske tiltak vil bli implementert:

  1. Tiltak for å forhindre at uvedkommende får tilgang til fasilitetene som brukes til databehandling
  2. Tiltak for å forhindre at datamedier leses, kopieres, endres eller flyttes av uautoriserte personer
  3. Tiltak for å forhindre uautorisert innføring av data i informasjonssystemet, samt all uautorisert kunnskap om, modifisering eller sletting av de registrerte dataene
  4. Tiltak for å forhindre databehandlingssystemer i å bli brukt av uautoriserte personer som bruker dataoverføringsanlegg
  5. Tiltak for å sikre at autoriserte personer, når de bruker et automatisert databehandlingssystem, bare kan få tilgang til data som er innenfor deres kompetanse
  6. Tiltak for å garantere kontroll og registrering av identiteten til tredjepart som dataene kan overføres til via overføringsanlegg
  7. Tiltak for å sikre at identiteten til personene som har hatt tilgang til informasjonssystemet og dataene som er lagt inn i systemet, kan kontrolleres og registreres når som helst og av enhver autorisert person.
  8. Tiltak for å forhindre at data blir lest, kopiert, endret eller slettet på en uautorisert måte ved overføring av data og transport av datamedier
  9. Tiltak for å beskytte data ved å lage sikkerhetskopier

 

VEDLEGG 2
Databehandling av kundedata

Kategorier av dataemner

Kundedata – personopplysningene som kunden gir selgeren og forhandleren videre til PayPal gjennom sin bruk av PayPal-tjenestene.

Behandlingsemne

Betalingsbehandlingstjenestene som tilbys av PayPal, som lar selgeren akseptere betalingskort og andre betalingsmetoder fra kunder på en nettside eller en mobilapp.

Karakteren av og formålet med behandlingen

PayPal behandler kundedataene som er sendt av selgeren til PayPal med det formål å få bekreftelse eller godkjenning av kundens betalingsmetode som betaling til selgeren for salg av varer eller tjenester.

Type personopplysninger

Kundedata – Selger må informere PayPal om hvilken type kundedata PayPal er pålagt å behandle i henhold til denne avtalen. Hvis det er endringer i typen kundedata som PayPal trenger å behandle, må selgeren varsle PayPal umiddelbart. PayPal behandler følgende kundedata som selgeren kan levere til PayPal fra tid til annen:

  • Fullt navn
  • Leveringsadresse
  • Faktureringsadresse
  • Telefonnummer
  • Kort- eller betalingmetode (valgfritt)
  • Kortets primære kontonummer (PAN)
  • Card Verification Value (CVV)
  • Kortets utløpsdato

 

Spesifikke kategorier av data (hvis relevant)

Overføring av spesifikke kategorier av data forventes ikke.

Behandlingsvarighet

Brukeravtalens vilkår.

 

VEDLEGG 3
EUs STANDARDKONTRAKTBESTEMMELSER

Eksport (fra EØS-land) av personopplysninger fra ansvarlig til behandler

I henhold til artikel 26(2), i direktiv 95/46/EF når det gjelder overføring av personopplysninger til registrarer etablert i tredjeland som ikke sikrer et tilstrekkelig databeskyttelsesnivå
Navn på organisasjon for dataeksport: ………………………………………..
Addresse: …………………………………………….
Tlf.: ……………………………………………….
fax: ………………………………………………..
e-post: ……………………………………………..
Annen informasjon som trengs for å identifisere organisasjonen: …………………………… (dataeksportøren)
og
Navn på organisasjonen for dataimportering: PayPal, Inc
Addresse: 2211 North First Street, San Jose, CA 95131
Annen informasjon som trengs for å identifisere organisasjonen: …………………………… (dataimportøren)
Det er en «part» og til sammen er de «partene»,
HAR AVTALT følgende standardkontraktsbestemmelser (heretter kalt «standardbestemmelsene») for å gi passende sikkerhetstiltak vedrørende beskyttelse av personvern og de grunnleggende rettigheter og friheter for fysiske personer i forbindelse med dataeksportørens videregivelse av personopplysningene angitt i vedlegg 1 til dataimportøren.

 


 

Klausul 1
Definisjoner

Følgende definisjoner gjelder for standardbestemmelsene:

  • (a) «Personopplysninger», «spesifikke kategorier av informasjon», «behandle/behandling», «kontrollør», «registrator», «registrert» og «tilsynsmyndighet» har samme betydning som i Europa-Parlamentets og Rådets direktiv 95/46/EF av 24. oktober 1995 om beskyttelse av enkeltpersoner med hensyn til behandling av personopplysninger og om fri bevegelse av slike data
  • b) «dataeksportør» betyr kontrolløren som gir personopplysningene videre
  • c) «dataimportør» betyr registraren som samtykker i å motta personopplysninger fra dataeksportøren for behandling på vegne av dataeksportøren etter videresending, i samsvar med dataeksportørens instruksjoner og standardbestemmelser, og som ikke er underlagt et tredjelandssystem som sikrer et tilstrekkelig beskyttelsesnivå som foreskrevet i Artikkel 25(1) i direktiv 95/46/EC
  • d) «Underleverandørregistrator» betyr enhver registrar som i avtale med dataimportøren eller en av de andre importørens underleverandører samtykker i å motta fra dataimportøren eller en av den andre importørens underleverandørregistratorer med det eneste formål å behandle på vegne av dataeksportøren, i samsvar med dataeksportøren, instruksjoner, standardbestemmelser og skriftlig kontrakt
  • e) «Gjeldende databeskyttelseslov» betyr lovverket som beskytter de grunnleggende rettigheter og friheter for fysiske personer, særlig deres rett til personvern, med hensyn til behandling av personopplysninger og som gjelder for en databehandler i medlemsstaten der dataeksportøren er etablert.
  • f) «Tekniske og organisatoriske sikkerhetstiltak» betyr de tiltak som er utformet for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt der behandling involverer overføring av informasjon i et nettverk, og mot enhver annen form for ulovlig behandling.

Klausul 2
Nærmere oplysninger om videregivelsen

Detaljene om videresendingen, og spesielt de spesifikke kategoriene av personopplysninger, der det er aktuelt, er beskrevet i vedlegg 1, som er en integrert del av standardbestemmelsene.

Klausul 3
Mottakerklausul for tredjepart

  1. Den registrerte kan som mottaker, håndheve denne klausulen, klausul 4(b) til (i), klausul 5(a) til (e), og (g) til (j), klausul 6(1) og (2), klausul 7, klausul 8(2), og klausul 9 til 12 overfor dataeksportøren.
  2. Dataemne kan håndheve denne klausulen mot dataimportøren, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausul 9 til 12 i tilfeller der dataeksportøren faktisk har forsvunnet eller lovlig har opphørt å eksistere, med mindre noen juridisk etterfølger har påtatt seg alle dataeksportørens juridiske forpliktelser i henhold til kontrakt eller under lov og som et resultat overtar dataeksportørens rettigheter og plikter, i hvilket tilfelle dataemne kan håndheve dem mot en slik juridisk etterfølger.
  3. Den registrerte kan håndheve denne klausulen mot subprocessor , klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausul 9 til 12 i tilfeller der begge, dataeksportøren og dataimportøren faktisk har forsvunnet eller lovlig har opphørt å eksistere, eller blitt insolvent med mindre noen juridisk etterfølger har påtatt seg alle dataeksportørens juridiske forpliktelser i henhold til kontrakt eller under lov og som et resultat overtar dataeksportørens rettigheter og plikter, i hvilket tilfelle dataemne kan håndheve dem mot en slik juridisk etterfølger. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.
  4. arterne gør ingen indsigelse mod, at de registrerede, såfremt de udtrykkeligt ytrer ønske herom, og det er tilladt i henhold til national ret, lader sig repræsentere af en forening eller andre organer.

Klausul 4
Dataeksportørens forpliktelser

Dataeksportøren samtykker og garanterer:

  • a) at hans behandling av personopplysninger, inkludert selve avsløringen, har vært, og vil fortsette å være, i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslov (og, hvor det er relevant, er blitt underrettet til de kompetente myndighetene i medlemsstaten der dataeksportøren er etablert), og at behandlingen ikke er i strid med de relevante bestemmelsene i denne staten
  • b) at hans behandling av personopplysninger, inkludert selve avsløringen, har vært, og vil fortsette å være, i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslov (og, hvor relevant, er blitt underrettet til de kompetente myndighetene i medlemsstaten der dataeksportøren er etablert) , og at behandlingen ikke bryter med de relevante bestemmelsene i denne staten
  • c) at dataimportøren vil gi tilstrekkelige garantier med hensyn til tekniske og organisatoriske sikkerhetstiltak som er spesifisert i vedlegg 2 til denne kontrakten
  • d) at sikkerhetstiltakene, etter å ha blitt vurdert mot kravene i gjeldende databeskyttelseslovgivning, er tilstrekkelige til å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse, utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt når behandling involverer dataoverføring i et nettverk, og mot enhver annen form for ulovlig behandling og at disse tiltakene gir et tilstrekkelig databeskyttelsesnivå i forhold til risikoene forbundet med behandlingen og arten av informasjonen som skal beskyttes, under hensyntagen til det nåværende tekniske nivået og kostnadene som er involvert; med deres implementering
  • e) at han vil sørge for at disse sikkerhetstiltakene blir overholdt
  • f) de registrerte, i tilfelle avsløringen inkluderer bestemte kategorier av informasjon, er blitt informert eller før eller så snart som mulig etter avsløringen vil bli informert om at informasjonen deres kan overføres til et tredjeland som ikke sikrer et tilstrekkelig nivå av databeskyttelse som foreskrevet i direktiv 95/46/EC
  • g) at han vil sende meldinger som han mottar fra dataimportøren eller en hvilken som helst underleverandørregistrator i samsvar med standard ledd 5(b) og 8(3), til Personvernmyndigheten hvis han bestemmer seg for å fortsette avsløringen eller å avbryte suspensjonen
  • h) at han på anmodning vil gjøre tilgjengelig for de registrerte, en kopi av standardbestemmelsene, med unntak av vedlegg 2, og en kort beskrivelse av sikkerhetstiltakene, og en kopi av enhver kontrakt for outsourcing som skal gjøres i samsvar med standardbestemmelsene, bortsett fra standardbestemmelsene eller kontrakten; inneholder kommersiell informasjon som han deretter kan utelate
  • i) behandlingen i tilfelle outsourcing utføres i samsvar med standard klausul 11 av en underentreprenørregistrator som tilbyr minst samme beskyttelsesnivå for den registrerte personopplysninger og rettigheter som dataimportøren i henhold til standardreglene, og
  • j) at han ønsker å sikre overholdelse av standard klausul 4(a) til (i).

Klausul 5
Forpliktelser for dataimportøren

Dataimportøren aksepterer og garanterer:

  • a) at han vil behandle personopplysningene utelukkende på vegne av dataeksportøren og i samsvar med hans instruksjoner og standardbestemmelser; hvis han av en eller annen grunn ikke er i stand til å sikre slik etterlevelse, samtykker han til å varsle dataeksportøren uten forsinkelse, og dataeksportøren har da rett til å stanse dataoverføringen og/eller si opp kontrakten.
  • b) at han ikke har noen grunn til å tro at han i henhold til loven er underlagt han hindres i å følge instruksjonene mottatt fra dataeksportøren og å overholde sine forpliktelser i henhold til kontrakten, og at hvis slik lovgivning blir endret slik at det sannsynligvis vil ha en vesentlig negativ effekt på garantiene og forpliktelsene som følger av standardbestemmelsene, vil omgående varsle dataeksportøren så snart han blir kjent med den, og dataeksportøren vil da ha rett til å stanse dataoverføringen. og / eller si opp kontrakten
  • c) at han, før han behandlet de avslørte personopplysningene, har iverksatt tekniske og organisatoriske sikkerhetstiltak spesifisert i vedlegg 2;
  • d) at han umiddelbart vil varsle dataeksportøren:

o (i) rettshåndhevelsesorganers juridisk bindende forespørsler om overføring av personopplysninger, med mindre annet er forbudt, for eksempel ved et strafferettslig forbud for å sikre konfidensialitet i etterforskning
o (ii) enhver tilfeldig eller uautorisert tilgang og
o (iii) forespørsler mottatt direkte fra registrerte og som han ikke har svart på med mindre han på annen måte er autorisert til det;

  • (e) at han omgående og behørig vil adressere alle dataeksportørens henvendelser angående hans behandling av de avslørte personopplysningene og følge tilsynsmyndighetens anbefalinger med hensyn til behandlingen av den avslørte informasjonen;
  • (f) at han på forespørsel fra dataeksportøren vil ha sine databehandlingsanlegg underlagt inspeksjon, som inkluderer databehandlingen nevnt i standardbestemmelsene, og som utføres av dataeksportøren eller et kontrollorgan som består av uavhengige medlemmer med en konfidensialitet som har de nødvendige faglige kvalifikasjoner og utpekt av dataeksportøren , der det er hensiktsmessig etter avtale med regulerende myndighet
  • (g) at han på anmodning vil gjøre tilgjengelig for den registrerte en kopi av standardbestemmelsene eller eksisterende anbudskontrakter, med mindre standardbestemmelsene eller kontrakten inneholder kommersiell informasjon som han deretter kan utelate, bortsett fra vedlegg 2, som erstattes av en kort beskrivelse av sikkerhetstiltakene i tilfeller der den registrerte ikke kan få en kopi fra dataeksportøren
  • (h) at han i tilfelle outsourcing har informert dataeksportøren og innhentet sitt skriftlige samtykke hertil;
  • (i) behandlingen av underleverandørregistratoren vil skje i samsvar med klausul 11
  • (j) at han umiddelbart vil sende dataeksportøren en kopi av outsourcingavtalene som han inngår i samsvar med standardbestemmelsene.

Klausul 6
Erstatningsansvar

  1. Partene er enige om at registrerte som har påført skade som følge av en parts eller en underleverandørkontrollørs brudd på forpliktelsene nevnt i standard klausul 3 eller 11, har rett til kompensasjon fra dataeksportøren for skadene.
  2. Hvis en registrert i tilfeller der dataimportøren eller den underentreprenører den registrerte krenker sine forpliktelser i henhold til standard bestemmelse 3 eller 11, ikke er i stand til å kreve erstatning mot dataeksportøren i henhold til paragraf. 1, fordi dataeksportøren faktisk eller lovlig har opphørt å eksistere eller har blitt insolvent, aksepterer dataimportøren at den registrerte kan komme med krav mot dataimportøren som om han var dataeksportøren, med mindre noen juridisk etterfølger har påtatt seg alle dataeksportørens forpliktelser i henhold til kontrakt eller ved lov, i hvilket tilfelle den registrerte kan påberope seg rettighetene til en slik juridisk etterfølger Dataimportøren kan ikke unndra seg ansvaret ved å påberope seg en underleverandør prosessor brudd på sine forpliktelser.
  3. Hvis en registrert i tilfeller der den underleverandør databehandler bryter sine forpliktelser etter klausul 3 eller i klausul 11 ikke er i stand til å fremsette krav mot dataeksportøren eller dataimportøren etter paragraf 1 og 2 fordi både dataeksportøren og dataimportøren faktisk eller lovlig har opphørt å eksistere eller har blitt insolvent, aksepterer den underentreprenører som registrert at den registrerte kan komme med krav mot den underentreprenørregistratoren med hensyn til egen behandling i henhold til standardbestemmelsene som om han var dataeksportøren eller dataimportøren med mindre noen juridisk etterfølger har påtatt seg alle juridiske forpliktelser til dataeksportøren eller dataimportøren i henhold til kontrakt eller i henhold til lov, i hvilket tilfelle den registrerte kan påberope seg rettighetene til en slik juridisk etterfølger. Ansvaret til underentreprenøren er begrenset til hans egen databehandling i samsvar med standardbestemmelsene.

Klausul 7
Mekling og jurisdiksjon

      1. Hvis den registrerte gir tredjepart løfte mot den dataimportøren og/eller krever erstatning i samsvar med standardbestemmelsene, vil den dataimportøren godta den registreredes beslutning om å

o (a) å henvise saken til mekling av en upartisk person eller eventuelt av tilsynsmyndigheten
o (b) å henvise saken for domstolene i medlemsstaten der dataeksportøren er etablert

      2. Partene er enige om at valget gjort av den registrerte ikke har noen innvirkning på den registrerte materielle eller prosessuelle rettigheter til å søke bot i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.

Klausul 8
Samarbeid med tilsynsmyndigheter

  1. Dataeksportøren samtykker i å deponere en kopi av denne kontrakten til regulatoren hvis den blir bedt om å gjøre det eller om nødvendig i gjeldende databeskyttelseslov.
  2. Partene er enige om at tilsynsmyndigheten har rett til å foreta en inspeksjon av dataimportøren og enhver underleverandørregistrator for samme formål og på samme vilkår som en inspeksjon av dataeksportøren i samsvar med gjeldende databeskyttelseslov.
  3. Dataimportøren skal straks informere dataeksportøren om at han eller en underentreprenørregistrator er underlagt lovgivning som forhindrer en inspeksjon av ham eller en underentreprenørregistrator i henhold paragraf 2. I dette tilfellet skal dataeksportøren ha rett til å treffe de tiltak som er fastsatt i klausul 5 (b).

Klausul 9
Gjeldende lovverk

Standardbestemmelsene reguleres av lovgivningen i medlemsstaten der dataeksportøren er etablert.

Klausul 10
Endring av kontrakten

Partene forplikter seg til ikke å endre standardbestemmelsene. Dette forhindrer ikke partene fra å inkorporere forretningsproblemer om nødvendig, så lenge de ikke bryter standardbestemmelsen.

Klausul 11
Underbehandling

  1. Dataimportøren outsourcer ingen av databehandlingen den foretar på vegne av dataeksportøren i samsvar med standardbestemmelsene, uten forutgående skriftlig samtykke fra dataeksportøren. Når dataimportøren, med samtykke fra dataeksportøren, legger ut sine forpliktelser i henhold til standardbestemmelsene, vil dette bare gjøres ved å inngå en skriftlig avtale med den underentreprenørregistratoren, og derved pålegge de samme forpliktelsene som pålagt dataimportøren i henhold til standardbestemmelsene. Hvis den underentreprenørregistratoren ikke oppfyller sine forpliktelser til databeskyttelse i henhold til en slik skriftlig avtale, skal dataimportøren være fullt ansvarlig overfor dataeksportøren for å overholde forpliktelsene til den underentreprenørregistratoren i henhold til en slik avtale.
  2. Den forutgående skriftlige kontrakten mellom dataimportøren og den underleverandørregistratoren inkluderer også en tredjeparts pantsettelse som angitt i klausul 3 for tilfeller der den registrerte ikke kan stille krav som angitt i paragraf 1 i klausul 6, mot dataeksportøren eller dataimportøren fordi de faktisk eller lovlig har opphørt å eksistere eller har blitt insolvent og ingen juridisk etterfølger har påtatt seg alle juridiske forpliktelser til dataeksportøren eller dataimportøren i henhold til kontrakt eller under lov. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.
  3. Bestemmelsene om databeskyttelsesaspekter ved outsourcing i kontrakten nevnt i Paragraf 1 skal styres av lovgivningen i den medlemsstaten der dataeksportøren er etablert.
  4. Dataeksportøren opprettholder en liste over outsourcingskontrakter som er inngått i samsvar med standardbestemmelsene og varslet av dataimportøren i samsvar med standardbestemmelse 5 (j), og listen oppdateres minst en gang i året. Listen er tilgjengelig for dataeksportørens dataregulator.

Klausul 12
Plikter etter fullført behandling av personopplysninger

  1. Partene er enige om at etter fullføring av behandlingen av personopplysninger, og på forespørsel fra dataeksportøren, skal dataimportøren og underleverandøren enten returnere alle personopplysninger og kopier av disse til dataeksportøren eller ødelegge alle personopplysninger og bekrefte dette til dataeksportøren, bortsett fra som gitt i lov, som dataimportøren er underlagt, forhindrer ham i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer dataimportøren at han vil sikre konfidensialiteten til de avslørte personopplysningene og ikke vil aktivt påta seg videre behandling av disse.
  2. Dataimportøren og underentreprenøren garanterer at de på anmodning fra dataeksportøren og / eller tilsynsmyndigheten vil underlegge databehandlingsanleggene sine for en inspeksjon for å kontrollere tiltakene nevnt i punkt 1.

 

 


På vegne av dataeksportøren:
Navn (skrevet ut i sin helhet): …………………………………………….
Stilling: …………………………………………….
Addresse: …………………………………………….
Annen informasjon som er nødvendig for at kontrakten skal være bindende (hvis noen):
Signatur…………………………………………….(Organisasjonens stempel)

På vegne av dataimportøren (PayPal, Inc):
Navn (skrevet ut i sin helhet): …………………………………………….
Stilling: …………………………………………….
Addresse: 2211 North First Street, San Jose, CA 95131
Signatur……………………………………………. (Organisasjonens stempel)


 

VEDLEGG 1 FOR EUs STANDARDKONTRAKTBESTEMMELSER

Dette vedlegget er en del av klausulene og må fylles ut.

Medlemsstatene kan fylle ut eller spesifisere, i samsvar med deres nasjonale prosedyrer, all ytterligere nødvendig informasjon som skal inneholde i dette tillegget.

Dataeksportør
Dataeksportøren er: Forhandler
En enhet som bruker dataimportørens tjenester i forhold til sine kunder
Dataimportør
Dataimportøren er: PayPal, Inc
En leverandør av betalingstjenester som i forhold til Braintree-tjenestene gir en betalingsgateway slik at forhandler kan gi kundenes kredittkort og annen informasjon til banker og andre betalingstjenesteleverandører for å behandle betaling fra kunder
Dataemne
Personopplysningene som ble overført gjelder følgende kategorier av dataemne:
Dataeksportørens kunder
Datakategorier
Personopplysningene som ble overført gjelder følgende kategorier av data:
Kundenavn, beløp som skal belastes, kortnummer, CSV, postnummer, landskode, adresse, e-postadresse, faks, telefon, nettsted, utløpsdato, leveringsdetaljer, skattestatus
Spesifikke kategorier av data (hvis relevant)
Personopplysningene som ble overført gjelder spesielle kategorier av data (spesifiser):
Ikke aktuelt, med mindre forhandler konfigurerer tjenesten til å samle inn slike data.
Behandlingsoperasjoner
Personopplysningene som blir overført vil være underlagt følgende grunnleggende behandlingsaktiviteter:
Mottak og lagring av personopplysninger i utførelsen av tjenestene i løpet av avtalen.
 



VEDLEGG 2 FOR EUS STANDARDKONTRAKTBESTEMMELSER
 

Dette vedlegget er en del av klausulene.

Beskrivelse av tekniske og organisatoriske sikkerhetstiltak som er implementert av dataimportøren i samsvar med klausul 4(d) og 5(c) (eller vedlagt dokument/lovgivning):

De tekniske og organisatoriske tiltakene fremgår av vedlegg 1 til denne endringen.

 

 

Plan 3

Vilkår for bruk av Custom Card Fields Fraud Management Filters-funksjonalitet («Svindelverktøy»)

1. Slik fungerer svindelverktøyet

 Svindelverktøy blir gjort tilgjengelig for deg som et uredelig transaksjonsadministrasjonsverktøy for å hjelpe deg med å se på potensielt uredelige transaksjoner basert på innstillingene du bruker i svindelverktøyet. Verktøyet lar deg sette filterregler, dvs. å instruere oss om hvilke transaksjoner verktøyet skal avvise på dine vegne basert på abstrakte kriterier.

Vi kan gi forslag eller anbefalinger angående hvilke filtre og innstillinger i svindelverktøyet du skal bruke som kan være passende for din virksomhet. Disse forslagene tar hensyn til tidligere transaksjonshistorikk.

Det er ditt ansvar å angi filterreglene. Merk: Hvis du setter disse filterreglene for begrensende, kan du miste salgsvolumet. Vi anbefaler deg å overvåke filterreglene og innstillingene dine fortløpende.

2. Ingen garanti og ansvarsbegrensning

Vi verken representerer eller garanterer at svindelverktøyet er feilfritt eller at det vil identifisere all potensielt uredelig transaksjonsaktivitet.

Vi er ikke ansvarlig for tapene dine (for eksempel tap av fortjeneste) eller skader som skyldes eller er relatert til din bruk av svindelverktøyet, i den grad gjeldende lov tillater det.

Avsnitt 15.3 og 15.4 i brukeravtalen gjelder.

3. Dataskyttelse

Du kan bare bruke svindelverktøyet til å håndtere svindelrisiko og ikke til noe annet formål.

Du kan ikke dele bruk av svindelverktøyet med en annen person, og du kan heller ikke røpe til noen personer kategoriene gitt i svindelverktøyet eller resultatene generert fra din bruk av svindelverktøyet.

4. Diverse

Til tross for innstillingene dine for svindelverktøyet, beholder vi alltid retten til å avvise eller innstille enhver transaksjon i henhold til vilkårene i brukeravtalen.

Disse vilkårene supplerer  Brukeravtalen  som styrer ditt bruk av våre tjenester generelt. Definisjonen av tjenestene våre i brukeravtalen skal i sammenheng med disse vilkårene anses å inkluderer svindelverktøyet.

Vi kan også endre, slette deler av eller legge til innhold i henhold til endringsprosessen i brukeravtalen. Hvis det legges til endringer som du ikke godtar, kan du si opp avtalen.

Du kan avslutte disse vilkårene når som helst ved å fjerne svindelverktøyet fra integrasjonen din og følge andre integrasjonsrelaterte trinn som vi kan gjøre tilgjengelig for deg. Dette lar deg slutte å bruke svindelverktøyet, men ellers forblir kontoen din åpen og brukeravtalen (og eventuelle andre relevante avtaler knyttet til levering av tjenester til deg) forblir i kraft. 

Vi kan når som helst, etter eget forgodtbefinnende og (der det er mulig) med rimelig varsel avslutte, avbryte eller suspendere tjenesten i den grad den gjelder vårtSvindelverktøy uten ansvar ovenfor deg.

Disse vilkårene forblir gjeldende etter avslutningen av disse vilkårene i den grad det er nødvendig for følgende: (i) å håndtere problemer som oppstår ved ditt bruk av svindelverktøyet før avslutningen og/eller (ii) overholde gjeldende lovgivning og bestemmelser.