>> Wyświetl wszystkie umowy prawne

 

Reguły korporacyjne dotyczące Użytkowników PayPal

 

Celem Grupy PayPal jest wdrożenie w Grupie PayPal uniwersalnych, odpowiednich i globalnych standardów dotyczących ochrony danych i prywatności w zakresie obsługi Danych osobowych Użytkownika.  Niniejsze Reguły korporacyjne dotyczące Użytkowników mają zastosowanie do wszystkich Danych osobowych Użytkownika, których Przetwarzaniem zajmują się Członkowie Grupy w dowolnej lokalizacji.

Użytkownicy na całym świecie udostępniają swoje Dane osobowe Członkom Grupy w celu korzystania z usług oferowanych przez Grupę.  Najwięcej Danych osobowych Użytkownika jest zbieranych i przechowywanych w Stanach Zjednoczonych.  Globalny charakter działalności firmy PayPal wymaga udostępniania Danych osobowych Użytkownika podmiotom PayPal w Stanach Zjednoczonych i innych krajach, w których PayPal prowadzi lub zamierza prowadzić działalność.

Obecnie do Danych osobowych Użytkownika mogą uzyskiwać dostęp Pracownicy znajdujący się w następujących krajach EOG: Luksemburg, Belgia, Francja, Niemcy, Irlandia, Włochy, Holandia, Polska, Hiszpania, Szwecja i Wielka Brytania.

Do Danych osobowych Użytkownika mogą mieć dostęp również Pracownicy znajdujący się w następujących krajach poza UE: Stany Zjednoczone, Tajwan, Turcja, Brytyjskie Wyspy Dziewicze, Australia, Kanada, Chiny, Hongkong, Indie, Indonezja, Izrael, Japonia, Korea Południowa, Malezja, Mauritius, Filipiny, Rosja, Singapur, Szwajcaria, Argentyna, Brazylia i Meksyk.

PayPal dokłada wszelkich starań, aby chronić dane Użytkowników niezależnie od miejsca przechowywania tych danych oraz stosuje wszelkie odpowiednie środki bezpieczeństwa podczas przekazywania ich poza EOG.

Ta lista krajów może ulegać zmianom w miarę rozwoju działalności prowadzonej przez PayPal.

 

1. Struktura zarządzania prywatnością i zakres odpowiedzialności

Reguły korporacyjne dotyczące Użytkowników są prawnie wiążące na mocy umowy („Porozumienie wewnątrzgrupowe”) zawartej między PayPal (Europe) S.à r.l. & Cie, S.C.A. („Główny Członek Grupy”) i innymi podmiotami z Grupy PayPal.  Porozumienie wewnątrzgrupowe nakłada na Członków Grupy obowiązek przestrzegania Reguł korporacyjnych dotyczących Użytkowników. Członkowie Grupy wymagają od swoich Pracowników przestrzegania tych Reguł korporacyjnych dotyczących Użytkowników w toku obsługi Danych osobowych Użytkownika.

Ścisłe kierownictwo Grupy PayPal ponosi odpowiedzialność za egzekwowanie przestrzegania Reguł korporacyjnych dotyczących Użytkowników, w tym za zapewnienie, żeby Pracownicy je znali i się do nich stosowali.

Za realizację programu prywatności PayPal odpowiada kierownik ds. prywatności (compliance privacy lead). Osoba ta pełni wysoką funkcję w PayPal Holdings, Inc. i podlega bezpośrednio dyrektorowi ds. zgodności z przepisami (chief compliance officer) lub zajmującej najwyższe stanowisko w przedsiębiorstwie osobie odpowiadającej za zgodność z przepisami.  Kierownik ds. prywatności nadzoruje pracę Globalnego Zespołu PayPal ds. Prywatności i Zgodności z Przepisami i współpracuje z innymi jednostkami wewnętrznymi lub zespołami, takimi jak dział operacyjny, dział ds. bezpieczeństwa informatycznego, dział zgodności z przepisami, dział zarządzania ryzykiem i dział audytu wewnętrznego, aby wspomagać przepływ komunikacji w zakresie prywatności i zapewniać wdrażanie odpowiednich zasad oraz praktyk w Grupie PayPal we wszystkich lokalizacjach. Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami opracowuje strategię zachowania zgodności z przepisami i koordynuje jej implementację w Grupie PayPal oraz zajmuje się kontrolą działań operacyjnych pod kątem zgodności z przepisami.  Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami ma bezpośrednich i pośrednich przedstawicieli w całej Grupie PayPal. Osoby te zajmują się między innymi zapewnianiem przestrzegania Reguł korporacyjnych dotyczących Użytkowników oraz właściwych przepisów prawa ochrony danych.

Kierownik ds. prywatności w dziale prawnym (legal privacy lead) nadzoruje pracę Globalnego Zespołu Prawnego PayPal ds. Prywatności i podlega bezpośrednio dyrektorowi działu prawnego (chief legal officer) lub zajmującej najwyższe stanowisko w przedsiębiorstwie osobie odpowiadającej za sprawy prawne w Grupie PayPal.  Kierownik ds. prywatności w dziale prawnym definiuje zobowiązania prawne przedsiębiorstwa na mocy właściwych przepisów prawa ochrony danych oraz Reguł korporacyjnych dotyczących Użytkowników. Kierownik ds. prywatności w dziale prawnym oraz Globalny Zespół Prawny PayPal ds. Prywatności ściśle współpracują z kierownikiem ds. prywatności, Globalnym Zespołem PayPal ds. Prywatności i Zgodności z Przepisami oraz z innymi jednostkami wewnętrznymi i zespołami, takimi jak dział prawny, dział operacyjny, dział ds. bezpieczeństwa informatycznego i dział zarządzania ryzykiem, w celu udzielania porad prawnych i przygotowywania ekspertyz prawnych w zakresie prywatności w Grupie PayPal na całym świecie.

Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami oraz Globalny Zespół Prawny PayPal ds. Prywatności tworzą Globalny Zespół PayPal ds. Prywatności.

Inspektor Ochrony Danych na Europę ma siedzibę w Luksemburgu i jest wyznaczany przez kierownictwo PayPal (Europe) S.à r.l. et Cie, S.C.A i mu podlega. Inspektor Ochrony Danych na Europę jest podstawową osobą ds. kontaktów z Inspektoratami Ochrony Danych w EOG. Do jego obowiązków należy między innymi informowanie Członków Grupy oraz ich pracowników, którzy przetwarzają dane osobowe, jakie są obowiązki pracowników wynikające z przepisów o ochronie prywatności i Reguł korporacyjnych dotyczących Użytkowników; współpraca z Globalnym Zespołem PayPal ds. Prywatności w celu monitorowania zgodności z przepisami w zakresie prywatności i pokrewnymi zasadami podmiotów będących Członkami Grupy; udzielanie porad prawnych na żądanie Członków Grupy oraz ocena skutków przepisów w zakresie prywatności i ich implementacji.

 

2. Zasady dotyczące Przetwarzania Danych osobowych Użytkownika

Członkowie Grupy przestrzegają następujących zasad dotyczących Przetwarzania w odniesieniu do Danych osobowych Użytkownika.

2.1 Ograniczenia dotyczące celu

Dane osobowe Użytkownika mogą podlegać Przetwarzaniu i być wykorzystywane tylko do określonych, konkretnych i dozwolonych prawnie celów.  W szczególności Dane osobowe Użytkownika mogą podlegać Przetwarzaniu w celu:

- oferowania i świadczenia Usług na żądanie Użytkownika, w tym otwierania kont;

- doskonalenia istniejących Usług i opracowywania nowych;

- rozstrzygania sporów, prowadzenia sporów sądowych, rozwiązywania problemów i obsługi klienta;

- zarządzania ryzykiem;

- przetwarzania transakcji i pobierania należnych opłat;

- sprawdzania zdolności kredytowej i wypłacalności;

- mierzenia zainteresowania Użytkowników Usługami, zbierania opinii na temat Usług, a także informowania Użytkowników o ofertach online i offline, Usługach i aktualizacjach;

- dostosowywania funkcji do potrzeb Użytkownika;

- wykrywania błędów i zapobiegania ich występowaniu oraz zapobiegania oszustwom i innym przestępstwom;

- wypełniania zobowiązań ustawowych lub umownych Grupy PayPal;

- egzekwowania warunków Usługi i innych postanowień przedstawianych Użytkownikom w chwili zbierania danych oraz w zasadach zachowania prywatności Usługi;

- zapewnienia bezpieczeństwa, integralności i dostępności Usług oraz sieci Grupy PayPal; oraz

- ochrony praw i interesów Grupy PayPal, w tym zgłaszania i dochodzenia roszczeń oraz obrony przed roszczeniami.

Przetwarzanie Danych osobowych Użytkownika do celów innych niż powyższe wymaga uzyskania wcześniejszej zgody Globalnego Zespołu Prawnego PayPal ds. Prywatności.- W razie jakichkolwiek wątpliwości Członkowie Grupy konsultują się z Globalnym Zespołem Prawnym PayPal ds. Prywatności.

Dane osobowe Użytkownika nie mogą być przetwarzane do celów innych niż wymienione powyżej, chyba że zezwala na to prawo właściwe dla Członka Grupy w EOG odpowiedzialnego za zbieranie lub przesyłanie Danych osobowych Użytkownika.   

2.2 Jakość i proporcjonalność danych

Dane osobowe Użytkownika powinny być:

  • rzetelne oraz, w razie potrzeby, aktualne;
  • adekwatne i proporcjonalne do celów, w jakich są przetwarzane; oraz
  • przechowywane nie dłużej niż to konieczne do realizacji celów, do jakich były początkowo zbierane lub przetwarzane.  

Dane osobowe Użytkownika, które nie są już potrzebne do celu, w jakim podlegały Przetwarzaniu, powinny zostać wymazane, usunięte, zniszczone lub zanonimizowane, chyba że istnieje podstawa prawna do ich dalszego Przetwarzania lub ich przechowywanie jest wymagane przepisami prawa właściwego.

2.3 Podstawy prawne Przetwarzania

Członkowie Grupy mają obowiązek zapewnienia, że Dane osobowe Użytkownika podlegają uczciwemu i zgodnemu z prawem Przetwarzaniu, w szczególności w oparciu o co najmniej jedną z następujących podstaw prawnych:

  • Przetwarzanie odbywa się na podstawie wyraźnej zgody Użytkownika;
  • Przetwarzanie jest niezbędne do spełnienia warunków umowy, której stroną jest Użytkownik, lub do podjęcia czynności na wniosek Użytkownika przed zawarciem umowy;
  • Przetwarzanie jest niezbędne do spełnienia wymogów prawnych, którym podlega dany Członek Grupy;
  • Przetwarzanie jest niezbędne z punktu widzenia ważnych interesów Użytkownika;
  • Przetwarzanie jest niezbędne do wykonania zadań realizowanych w interesie publicznym lub do wykonywania zadań publicznych powierzonych Członkowi Grupy lub Podmiotowi zewnętrznemu, którym ujawniono dane; lub
  • Przetwarzanie jest niezbędne na potrzeby uzasadnionych interesów Członka Grupy, Podmiotu zewnętrznego lub innej Strony, którym dane zostały ujawnione, z wyłączeniem przypadków, gdy interesy te stoją w sprzeczności z podstawowymi prawami i wolnościami Użytkownika.

Co do zasady Członkowie Grupy nie zbierają Wrażliwych danych osobowych Użytkownika.  Gdy zebranie informacji jest niezbędne lub Użytkownicy dobrowolnie podają takie informacje, Członkowie Grupy mają obowiązek zapewnienia, że Wrażliwe dane osobowe Użytkownika podlegają Przetwarzaniu w oparciu o co najmniej jedną z następujących podstaw prawnych:

  • Przetwarzanie odbywa się na podstawie wyraźnej zgody Użytkownika;
  • Przetwarzanie jest niezbędne z punktu widzenia ważnych interesów Użytkownika lub innej osoby, jeżeli Użytkownik jest fizycznie lub prawnie niezdolny do wyrażenia zgody;
  • Przetwarzanie dotyczy Danych osobowych użytkownika, które zostały upublicznione przez Użytkownika; lub
  • Przetwarzanie jest niezbędne do zgłaszania i dochodzenia roszczeń oraz obrony przed roszczeniami.

W sytuacjach, w których Przetwarzanie wiąże się z automatycznym podejmowaniem decyzji („Decyzje podjęte automatycznie”), Członkowie Grupy mają obowiązek zapewnienia odpowiednich środków do zabezpieczenia uzasadnionych interesów Użytkownika, np. zagwarantowania Użytkownikowi tego, aby jego sprawa była indywidualnie rozpatrzona przez Dział Obsługi Klienta, i umożliwienia Użytkownikowi przedstawienia własnego stanowiska. Dział Obsługi Klienta jest zobowiązany do przekazania sprawy Inspektorowi Ochrony Danych na Europę, jeśli Użytkownik nadal nie zgadza się z Decyzją podjętą automatycznie. W razie potrzeby sprawa jest konsultowana z kierownikiem ds. prywatności w dziale prawnym oraz informowany jest o niej kierownik ds. prywatności.  

2.4 Przejrzystość

W przypadku zbierania Danych osobowych Użytkownika Członek Grupy przekazuje Użytkownikowi następujące informacje:

  • Nazwa i adres Członka Grupy odpowiedzialnego za początkowe zbieranie i Przetwarzanie;
  • Kategorie zbieranych Danych osobowych Użytkownika;
  • Założony cel Przetwarzania;
  • Kategorie podmiotów odbierających, Podmiotów przetwarzających i Podmiotów zewnętrznych korzystających z Danych osobowych Użytkownika;
  • Czy odpowiedzi na pytania są obowiązkowe czy dobrowolne oraz możliwe konsekwencje nieudzielenia odpowiedzi;
  • Obowiązujące prawa Użytkownika; i
  • W przypadku automatycznego podejmowania decyzji – zastosowany mechanizm.

Członkowie Grupy mogą podawać informacje dotyczące zasad prywatności Usługi w formie łączy lub w widocznych miejscach witryn Usługi lub aplikacji oraz podczas zakładania konta.  Obowiązek informowania Użytkownika nie ma zastosowania w sytuacji, gdy Użytkownik zapoznał się już z daną informacją.  

Jeżeli przekazanie informacji jest niemożliwe lub wymaga nadmiernego wysiłku, Członkowie Grupy mogą zrezygnować z dostarczenia informacji.  Dotyczy to wyłącznie sytuacji, gdy Dane osobowe Użytkownika nie zostały uzyskane bezpośrednio od Użytkownika. 

W wyjątkowych okolicznościach przekazanie określonych informacji może odbywać się z opóźnieniem lub okazać się niemożliwe, np. w przypadku dochodzeń dotyczących niewłaściwego postępowania, niezgodności z prawem lub gdy ujawnienie informacji mogłoby uniemożliwić rzetelne zbadanie sprawy.

2.5 Poufność i bezpieczeństwo

Członkowie Grupy stosują fizyczne, techniczne i administracyjne zabezpieczenia odpowiednie do ilości i stopnia wrażliwości Danych osobowych Użytkownika w celu zapobiegania ich nieupoważnionemu Przetwarzaniu, w tym uzyskiwaniu nieuprawnionego dostępu do Danych osobowych Użytkownika oraz ich wykorzystywaniu, utracie lub zniszczeniu. Członkowie Grupy używają szyfrowania, zapór sieciowych, kontroli dostępu, standardów i innych procedur mających na celu uniemożliwienie uzyskania nieupoważnionego dostępu do Informacji o Użytkowniku.  Fizyczny i logiczny dostęp do danych w postaci fizycznej i elektronicznej jest ograniczony na podstawie zakresu obowiązków i potrzeb biznesowych.

2.6 Prawa Użytkownika i możliwość wyboru

Użytkownik ma prawo do wglądu oraz wprowadzania poprawek w większości Danych osobowych Użytkownika przechowywanych przez Członków Grupy przy użyciu odpowiednich narzędzi online lub procedur samoobsługowych udostępnianych w witrynie lub aplikacji Usługi.

W każdym przypadku Użytkownik ma prawo zażądać dostępu do danych celem ich przejrzenia lub otrzymania kopii swoich Danych osobowych niedostępnych za pośrednictwem witryny lub aplikacji Usługi. Użytkownik powinien kontaktować się z Działem Obsługi Klienta za pomocą kanałów podanych w witrynie lub aplikacji Usługi. Członkowie Grupy spełnią żądanie w czasie określonym przez przepisy prawa właściwego, chyba że przepisy te umożliwiają zwolnienie z tego obowiązku.  Od Użytkownika może być wymagane okazanie dokumentu tożsamości oraz uiszczenie opłaty za obsługę zgodnie z przepisami prawa właściwego.

Ponadto Użytkownik może poprosić o skorygowanie danych, jeśli są niekompletne lub nieprawidłowe. Członkowie Grupy mają obowiązek rozpatrzyć wniosek Użytkownika i poinformować go o skorygowaniu danych. W przypadku skorygowania Danych osobowych Użytkownika Członkowie Grupy poinformują o tym fakcie podmioty zewnętrzne, którym dane Użytkownika są udostępniane, chyba że okaże się to niemożliwe lub nadmiernie kłopotliwe.

Z ważnych i uzasadnionych przyczyn Użytkownik może nie wyrazić zgody na Przetwarzanie Danych osobowych Użytkownika. Członkowie Grupy spełnią żądanie Użytkownika, chyba że zatrzymanie Danych osobowych Użytkownika jest wymagane na mocy przepisów prawa właściwego lub konieczne z punktu widzenia ochrony Grupy PayPal przed roszczeniami o charakterze prawnym. Użytkownik otrzyma odpowiedź na żądanie wraz z informacją o działaniach podjętych przez Członków Grupy.

Ponadto Użytkownik może zażądać zamknięcia konta, wykonując procedurę opisaną na stronie lub w aplikacji Usługi. Członkowie Grupy usuną lub zanonimizują dane Użytkownika z Usługi tak szybko, jak to możliwe na podstawie działań na koncie.  W niektórych przypadkach Członkowie Grupy mogą opóźniać zamknięcie konta lub zatrzymać Dane osobowe Użytkownika w celu prowdzenia postępowania lub jeśli wymagają tego przepisy prawa właściwego. Członkowie Grupy mogą także zatrzymać Informacje o Użytkowniku z zamkniętych kont w celu wykrywania oszustw i zapobiegania im, windykacji należności, rozstrzygania sporów, rozwiązywania problemów, współpracy przy dochodzeniach, zarządzania ryzykiem, egzekwowania warunków Usługi, zachowania zgodności z prawem i podejmowania innych działań wymaganych lub dozwolonych w świetle prawa właściwego. Dane będą przechowywane w formie umożliwiającej identyfikację osoby, której te dane dotyczą, nie dłużej jednak niż jest to konieczne do realizacji celów, w jakich dane zostały zebrane lub są przetwarzane, i zostaną usunięte, gdy tylko ustanie przyczyna ich zatrzymania.

Członkowie Grupy mogą wykorzystywać Dane osobowe Użytkownika w celu dostosowywania informacji przekazywanych Użytkownikowi na podstawie jego zainteresowań zgodnie z przepisami prawa właściwego, z wyłączeniem Użytkowników, którzy nie wyrazili zgody na otrzymywanie pewnych informacji.  Jeśli Użytkownik nie chce otrzymywać materiałów marketingowych od Grupy PayPal, może łatwo z nich zrezygnować, np. wybierając odpowiednią opcję w ustawieniach konta, wykonując instrukcje podane w wiadomości e-mail lub korzystając z łącza widocznego w przesłanym materiale.

Użytkownicy mogą wykonywać powyższe, przysługujące im prawa, kontaktując się z Działem Obsługi Klienta.  Jeśli nie można zweryfikować tożsamości Użytkownika, Członkowie Grupy mogą zażądać od Użytkownika przedstawienia dodatkowych dokumentów tożsamości.

2.7 Ujawnianie Danych osobowych

Członkowie Grupy mogą udostępniać Dane osobowe Użytkownika w ramach zwykłej działalności biznesowej innym Członkom Grupy w dowolnej lokalizacji na potrzeby określone w punkcie 2.1.

Zgodnie z przepisami prawa właściwego i umowami międzynarodowymi Członkowie Grupy mogą udostępniać Dane osobowe organom ścigania i organom regulacyjnym w krajach demokratycznych, jeśli jest to niezbędne do zapewnienia bezpieczeństwa narodowego, obronnego, publicznego, a także do zapobiegania przestępstwom, wykrywania ich i ścigania, a w szczególności w celu zachowania zgodności z przepisami dotyczącymi sankcji, sprawozdawczości podatkowej i prania pieniędzy.

Członkowie Grupy nie będą sprzedawać ani wypożyczać Danych osobowych użytkowników Podmiotom zewnętrznym na potrzeby marketingowe bez wyraźnej zgody Użytkownika. Członkowie Grupy mogą ujawniać Informacje o Użytkowniku innym Podmiotom zewnętrznym na polecenie i za zgodą Użytkownika (o ile jest to dozwolone na mocy przepisów prawa właściwego).

W przypadku przekazywania Danych osobowych Użytkownika Podmiotowi przetwarzającemu, systemy Podmiotu przetwarzającego zostaną ocenione pod kątem zachowania prywatności, ochrony danych i ryzyka, zanim takie Dane osobowe Użytkownika zostaną przekazane.  Zakres oceny zależy od stopnia wrażliwości przetwarzanych Danych osobowych Użytkownika. Podmioty przetwarzające, w tym Członkowie Grupy będący Podmiotami przetwarzającymi, muszą zawrzeć umowy z odpowiednimi Członkami Grupy, określające zobowiązania w zakresie zapewnienia odpowiedniego poziomu prywatności, ochrony danych i bezpieczeństwa informacji. Umowa zawiera klauzule zapewniające odpowiednie wykorzystanie Danych osobowych Użytkownika i stosowanie środków bezpieczeństwa adekwatnych do ilości, rodzaju i wrażliwości takich Danych osobowych Użytkownika.  Gwarancje wynikające z umowy muszą obejmować co najmniej następujące kwestie:

  • wymóg przestrzegania przepisów prawa i dokonywania Przetwarzania Danych osobowych Użytkownika wyłącznie zgodnie z postanowieniami umowy i instrukcjami odpowiednich Członków Grupy;
  • stosowanie środków technicznych i organizacyjnych adekwatnych do stopnia wrażliwości Danych osobowych Użytkownika i celów Przetwarzania;
  • prawo do skontrolowania, czy Podmiot przetwarzający postępuje zgodnie z gwarancjami wynikającymi z umowy;
  • obowiązki w zakresie informowania o przypadkach naruszenia bezpieczeństwa; i
  • postanowienia dotyczące uprawnień w przypadku niespełnienia przez Podmiot przetwarzający zobowiązań wynikających z przepisów prawa lub umowy.

Umowy muszą zawierać klauzule zapewniające, że niespełnienie zapisów umowy może skutkować jej zawieszeniem lub zerwaniem poza innymi formami zadośćuczynienia wymienionymi w umowie.

Ocena zachowania prywatności, systemów ochrony danych i bezpieczeństwa informacji nie jest konieczna w przypadku Podmiotów przetwarzających, które zostały już poddane takiej weryfikacji, chyba że Przetwarzanie wiąże się z podwyższonym ryzykiem dotyczącym natury i ilości Danych osobowych oraz form ich Przetwarzania.

Niezależnie od powyższych postanowień, jeśli Członkowie Grupy przekazują Dane osobowe Użytkownika z EOG Podmiotom zewnętrznym lub Podmiotom przetwarzającym niebędącym Członkami Grupy, które (i) znajdują się w krajach, które nie zapewniają odpowiedniego poziomu ochrony (w rozumieniu Dyrektywy 95/46/WE), (ii) nie mają zaimplementowanych wiążących reguł korporacyjnych lub (iii) nie posiadają żadnych innych umów gwarantujących zachowanie ochrony danych na poziomie wymogów UE, wówczas Członek Grupy musi zapewnić, że:

  • Podmioty zewnętrzne wdrożą odpowiednie wynikające z umowy środki kontrolne, takie jak standardowe klauzule umowne określone przez Komisję Europejską, wymuszające poziom ochrony danych adekwatny do Reguł korporacyjnych dotyczących Użytkowników, lub zapewnią, że przekazywanie danych (i) odbywa się za wyraźną zgodą Użytkownika, (ii) jest niezbędne z punktu widzenia umowy zawartej z Użytkownikiem, (iii) jest konieczne lub wymagane przez przepisy prawa w związku z ważnym interesem publicznym lub (iv) jest konieczne do ochrony ważnych interesów Użytkownika;
  • Podmioty przetwarzające wdrożą wynikające z umowy środki kontrolne, takie jak standardowe klauzule umowne określone przez Komisję Europejską, zapewniając ochronę danych na poziomie odpowiadającym zapewnianemu w Regułach korporacyjnych dotyczących Użytkowników.
     

3. Mechanizm reklamacji

Użytkownicy, którzy uznają, że ich Dane osobowe były przetwarzane niezgodnie z Regułami korporacyjnymi dotyczącymi Użytkowników, mogą zgłosić wątpliwości w Dziale Obsługi Klienta odpowiedniego Członka Grupy, korzystając z odpowiedniej witryny, poczty elektronicznej lub innych kanałów określonych w odpowiednich warunkach.  Odpowiedzi na typowe pytania dotyczące prywatności można znaleźć, wpisując „prywatność” w sekcji pomocy określonej usługi i przechodząc do określonej strony poświęconej prywatności.  Sekcja pomocy poświęcona konkretnej usłudze służy do zadawania pytań o prywatność i przetwarzanie Informacji o Użytkowniku oraz do kontaktowania się z Działem Obsługi Klienta. 

W razie wątpliwości w sprawie wyboru kanału właściwego do zgłoszenia problemu dotyczącego prywatności Użytkownik może wysłać do Inspektora Ochrony Danych na Europę wiadomość e-mail na adres: DPO@paypal.com.

Dział Obsługi Klienta bada zgłoszenia Użytkowników i stara się rozwiązywać problemy. Pracownicy odpowiedzialni za rozwiązywanie problemów dotyczących prywatności ściśle współpracują z Globalnym Zespołem PayPal ds. Prywatności i udzielają Użytkownikom odpowiedzi zgodnie z wytycznymi, procedurami i zasadami PayPal.  Jeśli Użytkownik uważa, że odpowiedź na zgłoszenie nie jest wystarczająca lub w ogóle nie otrzyma odpowiedzi, może poprosić o przekazanie pytania do Inspektora Ochrony Danych na Europę. Sprawa taka jest konsultowana z kierownikiem ds. prywatności w dziale prawnym oraz informowany jest o niej kierownik ds. prywatności. Opcje odwołania zależą od rodzaju i zakresu problemu. Należy je niezwłocznie przekierowywać do odpowiednich zespołów.  Użytkownik otrzyma odpowiedź na zgłoszenie w rozsądnym terminie, nie później jednak niż w ciągu trzech (3) miesięcy od daty jego wpłynięcia, poza wyjątkowymi przypadkami i bardzo skomplikowanymi pytaniami, kiedy udzielenie odpowiedzi może potrwać dłużej, ale wówczas Użytkownik zostanie poinformowany, że udzielenie odpowiedzi zajmie więcej niż trzy (3) miesiące.

Mechanizm reklamacji nie znosi praw Użytkownika do zgłaszania problemu w Inspektoratach Ochrony Danych i sądach.

 

4. Prawa i odpowiedzialność beneficjenta zewnętrznego

Użytkownicy na terenie EOG, którzy podejrzewają naruszenie Reguł korporacyjnych dotyczących Użytkowników poza EOG, mają prawo zażądać egzekwowania Reguł korporacyjnych dotyczących Użytkowników jako beneficjent zewnętrzny w przypadku punktów 2, 3, 4, 7 i 8 Reguł korporacyjnych dotyczących Użytkowników przed Inspektoratami Ochrony Danych, przed sądem właściwym dla Głównego Członka Grupy lub przed sądami właściwymi dla Członka Grupy pełniącego rolę eksportera danych.  To prawo do egzekwowania uzupełnia inne uprawnienia zapewniane przez PayPal lub dostępne na mocy przepisów prawa właściwego.

Mimo że nie jest to wymagane, Użytkowników z EOG zachęca się do zgłaszania problemów najpierw Członkowi Grupy przed zgłoszeniem się do Inspektoratu Ochrony Danych lub sądów.  Ta droga umożliwia uzyskanie szybkiej i skutecznej pomocy ze strony Grupy PayPal i minimalizuje ryzyko długiego oczekiwania na wynik rozstrzygnięcia przez Inspektorat Ochrony Danych lub sąd.

PayPal Europe S.à r.l. et Cie, S.C.A., spółka prywatna z ograniczoną odpowiedzialnością z siedzibą w Luksemburgu, ponosi odpowiedzialność za nadzorowanie przestrzegania przez Członków Grupy Reguł korporacyjnych dotyczących Użytkowników.  Główny Członek Grupy (i) podejmuje odpowiednie działania w celu naprawienia skutków naruszenia przez Członków Grupy spoza EOG i (ii) wypłaca rekompensatę Użytkownikom z EOG, których racje zostały uznane przez Głównego Inspektora Ochrony Danych lub sądy w Luksemburgu, za wszelkie szkody powstałe na skutek naruszenia Reguł korporacyjnych dotyczących Użytkowników przez Członka Grupy spoza EOG, jeśli odpowiedni Członek Grupy nie może lub nie zamierza wypłacić odszkodowania lub podporządkować się przedmiotowemu postanowieniu. 

Na Głównym Członku Grupy spoczywa obowiązek przedstawienia dowodów w sprawie rzekomego naruszenia Reguł korporacyjnych dotyczących Użytkowników.

Główny Członek Grupy (ani żaden inny Członek Grupy) nie poniesie odpowiedzialności, jeżeli wykaże na podstawie materiału dowodowego i opinii Użytkownika, że Członek Grupy spoza EOG nie naruszył Reguł korporacyjnych dotyczących Użytkowników lub nie ponosi odpowiedzialności za jakiekolwiek straty poniesione przez Użytkownika.

 

5. Szkolenia

Członkowie Grupy zapewnią, że Pracownicy dokonujący Przetwarzania Danych osobowych Użytkowników oraz Pracownicy zajmujący się projektowaniem narzędzi służących do zbierania lub przetwarzania Danych osobowych Użytkowników przejdą szkolenie w zakresie bezpieczeństwa informacji, ułatwiające zabezpieczenie Danych osobowych Użytkowników zgodnie z Regułami korporacyjnymi dotyczącymi Użytkowników. 

Pracownicy muszą co roku ukończyć szkolenie online dotyczące Kodeksu etyki i postępowania w biznesie, zawierające dział poświęcony ochronie danych.  Nowi Pracownicy od razu po podjęciu zatrudnienia muszą odbyć szkolenie online w zakresie przestrzegania przepisów prawa.

Oprócz szkolenia online z zakresu zachowania zgodności z przepisami Globalny Zespół PayPal ds. Prywatności i Inspektor Ochrony Danych na Europę prowadzą szkolenia z bezpieczeństwa informacji, informujące Pracowników o konieczności ochrony Danych osobowych. Szkolenia odbywają się raz do roku lub częściej, jeśli jest to konieczne.

Szkolenie Pracownika powinno być dostosowane do jego poziomu dostępu do Danych osobowych użytkowników. Pracownicy z wyższym poziomem dostępu powinni odbyć dodatkowe szkolenie. 

Członkowie Grupy muszą poinformować Pracowników, że nieprzestrzeganie Reguł korporacyjnych dotyczących Użytkowników może skutkować podjęciem działań dyscyplinarnych i innych dozwolonych na mocy przepisów prawa właściwego.  Kopie Reguł korporacyjnych dotyczących Użytkowników i innych pokrewnych zasad oraz procedur bezpieczeństwa i zachowania prywatności są dostępne zawsze na stronach intranetu PayPal. Reguły korporacyjne dotyczące Użytkowników są także dostępne w ramach Kodeksu etyki i postępowania w biznesie, który Pracownicy mają obowiązek znać i stosować. 

 

6. Kontrola i monitoring

Aby zapewnić zachowanie zgodności z Regułami korporacyjnymi dotyczącymi Użytkowników, Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami regularnie sprawdza działania i praktyki w zakresie przetwarzania Danych osobowych. Działania te są koordynowane we współpracy z Kierownikiem ds. Ochrony Danych w Europie.

Zespół ds. Audytu Wewnętrznego jest niezależnym i obiektywnym organem doradczym ścisłego kierownictwa i Zarządu, który za pośrednictwem komitetu ds. audytu przekazuje wyniki kontroli Zarządowi, kierownikom ds. prywatności oraz Inspektorowi Ochrony Danych na Europie. 

Zespół ds. Audytu Wewnętrznego może regularnie przeprowadzać kontrole działań i praktyk wskazywanych przez Globalny Zespół ds. Prywatności. W razie potrzeby Zespół ds. Audytu Wewnętrznego, kierownicy ds. prywatności i Inspektor Ochrony Danych na Europę mogą wymagać wdrożenia planu działania celem zapewnienia zgodności z Wiążącymi regułami korporacyjnymi. W zakresie, w jakim wewnętrzne grupy nie będą w stanie rozwiązać problemu, Grupa może zdecydować o przeprowadzeniu niezależnych audytów zewnętrznych.

Inspektor Ochrony Danych na Europę, Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami lub zespoły ds. audytu wewnętrznego i audytorzy zewnętrzni opracowują szczegółowe plany i harmonogramy na podstawie ryzyka związanego z Przetwarzaniem.

Wyniki audytu dotyczącego prywatności będą dostępne na żądanie dla Inspektoratów Ochrony Danych.  PayPal zastrzega sobie prawo do redagowania części raportów z audytów celem zapewnienia tajności informacji poufnych spółki. 

 

7. Związek między Regułami korporacyjnymi dotyczącymi Użytkowników a przepisami prawa krajowego

Mimo że przepisy prawa ochrony danych różnią się w poszczególnych krajach, Reguły korporacyjne dotyczące Użytkowników określają spójny zestaw wymogów pomagających zapewnić odpowiednie Przetwarzanie Danych osobowych Użytkownika. Reguły korporacyjne dotyczące Użytkowników określają podstawowy poziom wymagań, które powinni spełniać Członkowie Grupy. Członkowie Grupy mają obowiązek przestrzegania przepisów prawa właściwego, jeśli są one bardziej restrykcyjne i wymagają zachowania wyższych standardów ochrony danych niż standardy określone w tych Regułach korporacyjnych.

Żadne z zawartych tu postanowień nie ma wpływu na zobowiązania Członków Grupy wynikające z właściwych przepisów prawa bankowego, w szczególności w odniesieniu do zachowania tajemnicy bankowej.   Jeśli przepisy prawa właściwego są sprzeczne z Regułami korporacyjnymi dotyczącymi Użytkowników i uniemożliwiają Członkowi Grupy wypełnienie zobowiązań wynikających z Reguł korporacyjnych dotyczących Użytkowników oraz w sposób znaczący wpływają na zawarte w nich postanowienia, wówczas Członek Grupy powinien niezwłocznie powiadomić o tym fakcie Inspektora Ochrony Danych na Europę, chyba że przekazanie takiej informacji jest zabronione przez przepisy prawa lub decyzje organów ścigania.  Inspektor Ochrony Danych na Europę, kierownicy ds. prywatności i Główny Członek Grupy muszą określić odpowiedni schemat działania, a w razie wątpliwości skonsultować się z odpowiednim Inspektoratem Ochrony Danych.

 

8. Wzajemna pomoc i współpraca z Inspektoratami Ochrony Danych

Członkowie Grupy będą współpracować i pomagać sobie wzajemnie w rozpatrywaniu żądań lub skarg Użytkowników w odniesieniu do Reguł korporacyjnych dotyczących Użytkowników.

Członkowie Grupy będą starannie i prawidłowo odpowiadać na pytania Inspektoratu Ochrony Danych na temat Reguł korporacyjnych dotyczących Użytkowników.   Jeśli Pracownik otrzyma takie pytanie od Inspektoratu Ochrony Danych, musi jak najszybciej powiadomić Inspektora Ochrony Danych na Europę.   

Członek Grupy będzie odpowiadać na zapytania i umożliwi przeprowadzenie audytu Inspektoratowi Ochrony Danych w EOG w odniesieniu do zgodności z niniejszymi Regułami korporacyjnymi dotyczącymi Użytkowników i zastosuje się do decyzji takiej instytucji zgodnie z przepisami prawa właściwego.   

 

9. Aktualizacje treści Reguł korporacyjnych dotyczących Użytkowników i lista Członków Grupy

PayPal zastrzega sobie prawo do wprowadzania zmian w Regułach korporacyjnych dotyczących Użytkowników, jeśli będzie to konieczne np. do zachowania zgodności z przepisami prawa właściwego , praktykami, procedurami PayPal lub wymaganiami nałożonymi przez odpowiednie Inspektoraty Ochrony Danych.

Globalny Zespół Prawny PayPal ds. Prywatności (pod przewodnictwem kierownika ds. prywatności w dziale prawnym) zaproponuje wszelkie niezbędne modyfikacje Reguł korporacyjnych dotyczących Użytkowników. Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami (pod przewodnictwem kierownika ds. prywatności) i Inspektor Ochrony Danych na Europę muszą zatwierdzić zmiany w Regułach korporacyjnych dotyczących Użytkowników oraz wszelkie zmiany na liście Członków Grupy. Członkowie Grupy mają obowiązek zgłoszenia odpowiednim Inspektoratom Ochrony Danych zmian wprowadzonych w Regułach korporacyjnych dotyczących Użytkowników celem uzyskania formalnego zatwierdzenia i spełnienia wymogów prawnych.

Główny Członek Grupy skonsultuje się z Głównym Inspektoratem Ochrony Danych w sprawie ważnych zmian w Regułach korporacyjnych dotyczących Użytkowników, które mogą wpływać na zachowanie zgodności z przepisami w zakresie ochrony danych lub egzekwowanie Reguł korporacyjnych dotyczących Użytkowników.  Główny Członek Grupy co najmniej raz do roku powiadomi Główny Inspektorat Ochrony Danych o ważnych zmianach w Regułach korporacyjnych dotyczących Użytkowników i zmianach na liście Członków Grupy.  Globalne Zespoły PayPal ds. Prywatności wspólnie wspomagają Inspektora Ochrony Danych na Europę, który w imieniu PayPal koordynuje odpowiedzi i niezwłocznie reaguje na komentarze, sugestie lub wątpliwości dotyczące zmian podnoszonych przez Główny Inspektorat Ochrony Danych. Wszelkie komentarze, sugestie lub wątpliwości podnoszone przez inne Inspektoraty Ochrony Danych będą zgłaszane Inspektorowi Ochrony Danych na Europę przez Główny Inspektorat Ochrony Danych występujący w imieniu innych Inspektoratów Ochrony Danych.  

Zmiany w Regułach korporacyjnych dotyczących Użytkowników obowiązują wszystkich Członków Grupy od dnia ich wejścia w życie.  Członkowie Grupy powiadomią odpowiednio wcześnie w wiadomości e-mail lub przez wyraźne ostrzeżenie w witrynie (zgodnie z preferencjami Użytkownika ustawionymi w Usłudze) o ważnych zmianach w Regułach korporacyjnych dotyczących Użytkowników. Członkowie Grupy opublikują zmienione Reguły korporacyjne dotyczące Użytkowników w wybranych witrynach zewnętrznych lub aplikacjach, do których Użytkownik ma dostęp.   Zmiany w Regułach korporacyjnych dotyczących Użytkowników wchodzą w życie w ciągu dwóch miesięcy po powiadomieniu Użytkownika przez Członków Grupy i opublikowaniu zmienionych Reguł korporacyjnych dotyczących Użytkowników.

 

10. Publikacja

Reguły korporacyjne dotyczące Użytkowników muszą zostać opublikowane, a łącze do nich musi być dostępne w witrynie lub aplikacjach Usługi.  Użytkownik może poprosić o kopię dokumentów Inspektora Ochrony Danych na Europę (PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, l-2449 Luxembourg) lub wysłać w tej sprawie wiadomość e-mail na adres DPO@paypal.com.

 

11. Postanowienia końcowe

Data wejścia w życie: 25 maja 2018 r.

Kontakt: Użytkownicy mogą zgłaszać pytania i wątpliwości w sprawie Reguł korporacyjnych dotyczących Użytkowników, kontaktując się z:

Inspektorem Ochrony Danych na Europę

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg

 

12. Definicje

Członkowie Grupy muszą interpretować Reguły korporacyjne dotyczące Użytkowników w sposób jak najbardziej spójny z instytucjami stojącymi u podstaw dyrektywy 95/46/WE lub wszelkich dyrektyw i regulacji ją zastępujących. 

Na potrzeby Reguł korporacyjnych dotyczących Użytkowników obowiązują następujące definicje:

Zarząd oznacza zarząd Głównego Członka Grupy.

Inspektoraty Ochrony Danych to organy administracji publicznej odpowiedzialne za monitorowanie i egzekwowanie na określonym terytorium przepisów prawa krajowego przyjętych przez państwo członkowskie EOG na podstawie unijnej dyrektywy o ochronie danych (95/46/WE).

EOG to Europejski Obszar Gospodarczy obejmujący obecnie państwa członkowskie UE, Islandię, Liechtenstein i Norwegię.

Pracownik to pracownik, stażysta lub inny członek personelu, w tym pracownik tymczasowy, zastępczy lub kontraktowy Członka Grupy, niezależnie od warunków, wymiaru i typu zatrudnienia.

Inspektor Ochrony Danych na Europę to pracownik powołany przez kierownictwo i podlegający kierownictwu Głównego Członka Grupy, będący też członkiem Globalnego Zespołu Prawnego PayPal ds. Prywatności. Siedziba Inspektora Ochrony Danych na Europę znajduje się w Luksemburgu.

Członek Grupy to podmiot wchodzący w skład Grupy PayPal, który podpisał Porozumienie wewnątrzgrupowe.

Porozumienie wewnątrzgrupowe to porozumienie zawarte w ramach Grupy.

Główny Inspektorat Ochrony Danych to „Commission nationale pour la protection des données” (CNPD) w Luksemburgu.

Główny Członek Grupy to PayPal (Europe) S.à r.l. & Cie, S.C.A., spółka prywatna z ograniczoną odpowiedzialnością z siedzibą w Luksemburgu.

Globalny Zespół PayPal ds. Prywatności to Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami oraz Globalny Zespół Prawny PayPal ds. Prywatności.

Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami to członkowie Organizacji ds. Zgodności z Przepisami zajmującej się w szczególności kwestiami związanymi z przestrzeganiem przepisów prawa oraz działaniem programu PayPal dotyczącego prywatności. 

Globalny Zespół Prawny PayPal ds. Prywatności to pracownicy Działu Prawnego zajmujący się kwestiami związanymi z prywatnością i ochroną danych.

Grupa PayPal to spółka PayPal Holdings, Inc. („PayPal”) i wszelkie podmioty pośrednio lub bezpośrednio podlegające Kontrolowaniu przez PayPal, które przetwarzają Informacje o Użytkowniku, gdzie Kontrolowanie oznacza posiadanie ponad pięćdziesięciu (50) procent głosów w wyborach zarządu spółki lub ponad pięćdziesiąt (50) procent udziałów w przedsiębiorstwie.

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to taka, którą można zidentyfikować pośrednio lub bezpośrednio, w szczególności poprzez odniesienie do numeru identyfikacyjnego lub co najmniej jednego czynnika charakterystycznego dla tożsamości fizycznej, fizjologicznej, umysłowej, ekonomicznej, kulturalnej lub społecznej tej osoby.

Przetwarzanie to operacja lub zestaw operacji wykonywanych na Danych osobowych, zarówno przy użyciu zautomatyzowanych technik, jak i tradycyjnych, takich jak nagrywanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie, ujawnianie przez przekazywanie, rozpowszechnianie, dostosowywanie, blokowanie, usuwanie i niszczenie.

Podmiot przetwarzający to osoba fizyczna lub prawna, która dokonuje Przetwarzania Danych osobowych w imieniu Członka Grupy.

Wrażliwe dane osobowe to Dane osobowe wskazujące pochodzenie etniczne lub rasowe, poglądy polityczne, wierzenia religijne lub filozoficzne, członkostwo w izbach handlowych, informacje dotyczące przestępstw lub zdrowia albo życia seksualnego.

Usługa to witryna internetowa, aplikacja lub inny produkt / inna usługa oferowane Użytkownikowi przez Grupę PayPal.

Podmiot zewnętrzny to osoba fizyczna lub prawna, organ administracji państwowej, agencja lub jakikolwiek podmiot inny niż Użytkownik, Członek Grupy lub Podmiot przetwarzający oraz osoby, które pod bezpośrednim nadzorem Członka Grupy lub Podmiotu przetwarzającego (np. Pracownik) są upoważnione do przetwarzania Danych osobowych.

Użytkownik to były lub obecny klient, potencjalny klient, inwestor, partner biznesowy lub handlowiec.

Dane osobowe Użytkownika to Dane osobowe odnoszące się do Użytkownika.