>> Ver todos os termos e condições

 

Regras Empresariais do Utilizador PayPal

 

O objetivo do Grupo PayPal é aplicar padrões de privacidade e proteção de dados uniformes, adequados e globais para o tratamento de todos os Dados Pessoais do Utilizador em todo o Grupo PayPal.  Estas Regras Empresariais do Utilizador aplicam-se a todos os Dados Pessoais do Utilizador processados pelos Membros do Grupo em todo o mundo.

Os utilizadores a nível global fornecem os seus Dados Pessoais aos Membros do Grupo para utilizar os serviços prestados pelo Grupo.  A maioria dos Dados Pessoais do Utilizador é recolhida e armazenada nos Estados Unidos.  Os negócios globais de PayPal requerem que os Dados Pessoais do Utilizador sejam partilhados com outras entidades PayPal nos Estados Unidos e a nível mundial, onde PayPal estiver presente atualmente, ou pretenda estar.

Neste momento, os funcionários localizados nos seguintes países do EEE podem ter acesso aos Dados Pessoais do Utilizador: Luxemburgo, Bélgica, França, Alemanha, Irlanda, Itália, Holanda, Polónia, Espanha, Suécia e Reino Unido.

De momento, os funcionários localizados nos seguintes países não pertencentes à UE também podem ter acesso aos Dados Pessoais do Utilizador: Estados Unidos da América, Taiwan, Turquia, Ilhas Virgens (Britânicas), Austrália, Canadá, China, Hong Kong, Índia, Indonésia, Israel, Japão, República da Coreia, Malásia, ilhas Maurícias, Filipinas, Rússia, Singapura, Suíça, Argentina, Brasil e México.

PayPal tem o compromisso de proteger adequadamente as informações do Utilizador, independentemente da localização, e proporcionar proteção adequada aos Dados Pessoais do Utilizador quando são transferidos para fora do EEE.

Esta lista de países pode ser alterada ao expandirmos a nossa empresa.

 

1. Responsabilidades e estrutura de administração de privacidade

As Regras Empresariais do Utilizador são legalmente vinculativas por um acordo (o "AEG") entre PayPal (Europe) S.a r. l et Cie, S.C.A. ("Membro do Grupo Principal") e outras entidades do Grupo PayPal.  O AEG requer que os Membros do Grupo cumpram estas Regras Empresariais do Utilizador. Os Membros do Grupo requerem que os respetivos funcionários cumpram estas Regras Empresariais do Utilizador no tratamento de Dados Pessoais do Utilizador.

Os líderes empresariais e a administração superior do Grupo PayPal são responsáveis por aplicar estas Regras Empresariais do Utilizador e, também, por garantir que os Funcionários estão informados e cumprem estas Regras.

O responsável pela conformidade de privacidade direciona o programa de privacidade de PayPal. Este responsável ocupa uma posição superior em PayPal Holdings, Inc. e responde diretamente ao diretor executivo de conformidade ou ao mais alto executivo sénior que lidera a função de conformidade em PayPal.  O responsável pela conformidade de privacidade supervisiona a Equipa Global de Conformidade de Privacidade de PayPal e interage com outras equipas ou organizações internas, como operações, segurança de informações, conformidade, riscos e auditoria interna para ajudar a assegurar as políticas, práticas e comunicações de privacidade consistentes no Grupo PayPal a nível global. A Equipa Global de Conformidade de Privacidade de PayPal desenvolve e coordena a implementação da respetiva estratégia de conformidade em todo o Grupo PayPal e verifica a conformidade operacional.  A Equipa Global de Conformidade de Privacidade de PayPal tem representantes diretos e indiretos em todo o Grupo PayPal que, entre outras funções, ajudam a garantir a conformidade com as Regras Empresariais do Utilizador e as leis aplicáveis de proteção de dados.

O responsável jurídico de privacidade supervisiona a Equipa Global Jurídica de Privacidade de PayPal e responde diretamente ao diretor executivo jurídico ou ao mais alto executivo sénior que lidera o departamento jurídico em PayPal.  O responsável jurídico de privacidade define as obrigações da empresa ao abrigo das leis aplicáveis de proteção de dados e estas Regras Empresariais do Utilizador. O responsável jurídico de privacidade e a Equipa Global Jurídica de Privacidade de PayPal trabalham em estreita coordenação com o responsável pela conformidade de privacidade e com a Equipa Global de Conformidade de Privacidade de PayPal e interagem com outras equipas e organizações internas, como jurídicas, operacionais, de segurança de informações e de risco para fornecer assessoria jurídica e interpretar as implicações legais e regulatórias sobre as emergentes questões de privacidade em todo o Grupo PayPal a nível global.

Coletivamente, a Equipa Global de Conformidade de Privacidade de PayPal e a Equipa Global Jurídica de Privacidade de PayPal formam a Equipa Global de Privacidade de PayPal.

O Responsável Europeu pela Proteção de Dados, localizado no Luxemburgo, é nomeado por e reporta à administração de PayPal (Europe) S.a r. l et Cie, S.C.A. O Responsável Europeu pela Proteção de Dados atua como principal contacto das autoridades de proteção de dados do EEE e tem, entre outras, as seguintes obrigações: informar e aconselhar os Membros do Grupo e respetivos funcionários que processam dados pessoais das suas obrigações ao abrigo da legislação de privacidade, de modo a garantir a conformidade com estas Regras Empresariais do Utilizador; trabalhar com a Equipa Global de Privacidade de PayPal para monitorizar a conformidade com a legislação de privacidade e com as políticas relacionadas dos Membros do Grupo; e prestar assessoria jurídica aos Membros do Grupo, quando solicitada, no que se refere às avaliações de impacto da proteção de dados e respetiva implementação.

 

2. Princípios do Processamento de Dados Pessoais do Utilizador

Os Membros do Grupo cumprem os seguintes princípios de Processamento de Dados Pessoais do Utilizador.

2.1 Limitação de finalidade

Os Dados Pessoais do Utilizador deverão ser Processados apenas para finalidades específicas, expressas e legítimas.  Em particular, os Dados Pessoais do Utilizador podem ser Processados para:

-  Oferecer e viabilizar o fornecimento de Serviços a pedido dos Utilizadores, incluindo a abertura de uma conta;

-  Melhorar os Serviços e desenvolver novos Serviços;

- Resolver disputas, gerir litígios, solucionar problemas e prestar o serviço de apoio ao cliente;

-  Efetuar gestão de riscos;

-  Processar transações e cobrar tarifas em dívida;

-  Verificar a capacidade de endividamento e a solvabilidade;

- Avaliar o interesse dos Utilizadores em Serviços, e respetivos comentários e opinião relativamente aos mesmos, e informar os Utilizadores sobre atualizações, Serviços e ofertas online e offline;

-  Personalizar as experiências dos Utilizadores;

-  Detetar e proteger contra erros, fraudes e outras atividades criminais;

-  Cumprir as obrigações legais, contratuais ou regulamentares do Grupo PayPal;

- Aplicar os Termos e Condições do Serviço e conforme descrito aos Utilizadores no momento da recolha e na política de privacidade do Serviço;

- Proteger a segurança, a integridade e a disponibilidade dos Serviços e a rede do Grupo PayPal; e

- Proteger os interesses e direitos jurídicos do Grupo PayPal, incluindo, entre outros, a constituição, o exercício ou a defesa contra ações judiciais.

O processamento de Dados Pessoais do Utilizador para outras finalidades está sujeito à aprovação prévia da Equipa Global Jurídica de Privacidade de PayPal.  Em caso de dúvida, os Membros do Grupo consultarão a Equipa Global Jurídica de Privacidade de PayPal.

Os Dados Pessoais do Utilizador não deverão ser Processados de uma forma que seja incompatível com as finalidades acima indicadas, a menos que exista uma base legal para o fazer ao abrigo da lei aplicável do Membro do Grupo no EEE responsável pela recolha e/ou transferência dos Dados Pessoais do Utilizador.   

2.2 Proporcionalidade e qualidade dos dados

Os Dados Pessoais do Utilizador deverão ser:

  • Exatos e, conforme necessário, mantidos atualizados;
  • Adequados, relevantes e não em número excessivo relativamente às finalidades para as quais são Processados; e
  • Retidos apenas durante o tempo necessário para alcançar as finalidades para as quais foram originalmente recolhidos ou posteriormente Processados.  

Os Dados Pessoais do Utilizador que já não são necessários para as finalidades para as quais foram Processados serão apagados, eliminados, destruídos ou anonimizados, a menos que haja um fundamento legal para o Processamento adicional ou a retenção seja exigida pela lei aplicável.

2.3 Fundamentos legais para o Processamento

Os Membros do Grupo devem assegurar que os Dados Pessoais do Utilizador são processados ​​de forma justa e legal e, em particular, com base em, pelo menos, um dos seguintes fundamentos legais:

  • Consentimento inequívoco do Utilizador;
  • Processamento necessário para a execução de um contrato do qual o Utilizador faz parte ou para tomar medidas a pedido do Utilizador antes de celebrar um contrato;
  • Processamento necessário para o cumprimento de uma obrigação legal à qual os Membros do Grupo estão sujeitos;
  • Processamento necessário para proteger os interesses vitais do Utilizador;
  • Processamento necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade oficial atribuída aos Membros do Grupo ou a um Terceiro a quem os dados são divulgados; ou
  • Processamento necessário para as finalidades dos interesses legítimos seguidos pelo Membro do Grupo ou pelo Terceiro ou Partes, aos quais os dados são divulgados, exceto quando esses interesses forem sobrepostos pelos interesses das liberdades e direitos fundamentais do Utilizador.

Como prática geral, os Membros do Grupo não recolhem Dados Pessoais Confidenciais do Utilizador.  Quando tal recolha for necessária ou quando os Utilizadores fornecerem voluntariamente tais informações, os Membros do Grupo deverão assegurar que os Dados Pessoais Confidenciais do Utilizador apenas serão processados com base em, pelo menos, um dos seguintes fundamentos:

  • Consentimento expresso do Utilizador;
  • Processamento necessário para proteger os interesses vitais do Utilizador ou de outra pessoa em que o Utilizador é física ou legalmente incapaz de dar o seu consentimento;
  • Processamento refere-se aos Dados Pessoais do Utilizador manifestamente tornados públicos pelo Utilizador; ou
  • Processamento necessário para o estabelecimento, exercício ou defesa de ações judiciais.

Quando o Processamento envolve a tomada de decisões automáticas ("Decisões Automatizadas"), os Membros do Grupo deverão fornecer medidas adequadas para salvaguardar os interesses legítimos do Utilizador, como fornecer ao Utilizador uma oportunidade para que um representante do Serviço de Apoio ao Cliente reveja a decisão individualmente e permita ao Utilizador fornecer o respetivo ponto de vista. O representante do Serviço de Apoio ao Cliente encaminhará a questão para o Responsável Pela Proteção de Dados da UE, caso o Utilizador continue a discordar de uma decisão automatizada. Quando apropriado, o Responsável Jurídico de Privacidade será consultado e o Responsável pela Conformidade de Privacidade será informado.  

2.4 Transparência

Ao recolher Dados Pessoais do Utilizador, os Membros do Grupo devem informar os Utilizadores sobre:

  • O nome e morada do Membro do Grupo responsável pela recolha e processamento originais;
  • As categorias de Dados Pessoais do Utilizador em questão;
  • As finalidades pretendidas do Processamento;
  • As categorias de Terceiros e Processadores de destinatários dos Dados Pessoais do Utilizador;
  • Se as respostas às perguntas são obrigatórias ou voluntárias, bem como as possíveis consequências da falta de resposta;
  • A existência de direitos do Utilizador; e
  • No caso de tomada de decisão automatizada, a lógica envolvida.

Os Membros do Grupo podem fornecer as informações numa política de privacidade do Serviço, que deverá estar acessível através de um link e/ou apresentada num local de destaque em cada site ou aplicação do Serviço e durante o registo.  A obrigação de informar os Utilizadores não se aplica se os Utilizadores já estiverem cientes das informações.  

Quando o fornecimento de informações for impossível ou envolver um esforço desproporcional, os Membros do Grupo podem abster-se de fornecer as informações.  Este seria o caso apenas para Dados Pessoais do Utilizador que não foram obtidos diretamente do Utilizador. 

Em circunstâncias excecionais, o fornecimento de informações específicas pode ser adiado ou omitido, por exemplo, no contexto de investigações de conduta imprópria ou para cumprir as leis aplicáveis ​​ou quando o fornecimento das informações puder colocar em risco a integridade da investigação.

2.5 Confidencialidade e segurança

Os Membros do Grupo utilizam controlos de segurança físicos, técnicos e organizacionais compatíveis com a quantidade e a confidencialidade dos Dados Pessoais do Utilizador de modo a impedir o Processamento não autorizado, incluindo, entre outros, acesso não autorizado, aquisição e utilização, perda, destruição ou danos aos Dados Pessoais do Utilizador. Os Membros do Grupo utilizam encriptação, firewalls, controlos de acesso, padrões e outros procedimentos para proteger as Informações do Utilizador contra acesso não autorizado.  O acesso físico e lógico aos ficheiros eletrónicos e cópias impressas é ainda mais restrito com base nas responsabilidades profissionais e necessidades empresariais.

2.6 Direitos e opções dos Utilizadores

Os Utilizadores podem aceder e retificar a maioria dos Dados Pessoais do Utilizador relativos aos mesmos que os Membros do Grupo mantêm ao utilizar a ferramenta online apropriada ou o processo de self-service disponibilizado através do site ou aplicação do Serviço.

Em todos os casos, os Utilizadores têm o direito de enviar um pedido de acesso a um titular de dados para visualizar ou receber uma cópia dos Dados Pessoais do Utilizador não acessíveis através do site ou aplicação do Serviço. Os Utilizadores devem contactar o Serviço de Apoio ao Cliente através das instruções fornecidas no site ou aplicação do Serviço. Os Membros do Grupo responderão aos pedidos nos prazos prescritos pela lei aplicável, exceto quando a legislação aplicável previr uma exceção a tal obrigação.  Os Utilizadores podem ser obrigados a fornecer um comprovativo da sua identidade e podem estar sujeitos a uma tarifa de serviço, conforme permitido pela lei aplicável.

Os Utilizadores também podem solicitar a retificação dos respetivos dados se estiverem incompletos ou imprecisos. Os Membros do Grupo responderão a esse pedido e informarão os Utilizadores quando os dados tiverem sido corrigidos. Os Membros do Grupo notificarão os terceiros a quem os dados do Utilizador foram divulgados de qualquer retificação, a menos que tal seja impossível ou envolva um esforço desproporcional.

Por motivos legítimos e convincentes, os Utilizadores podem opor-se ao Processamento dos respetivos Dados Pessoais do Utilizador. Os Membros do Grupo responderão a esses pedidos, a menos que a retenção dos Dados Pessoais do Utilizador seja exigida pela lei aplicável ou para defender o Grupo PayPal contra reivindicações legais. Os Utilizadores serão informados sobre o resultado do seu pedido e as medidas tomadas pelos Membros do Grupo.

Além disso, os Utilizadores podem solicitar o encerramento das respetivas contas ao seguir as instruções fornecidas no site ou aplicação do Serviço. Os Membros do Grupo irão remover ou anonimizar as informações de um Utilizador de um serviço assim que razoavelmente possível, com base na atividade da conta.  Em alguns casos, os Membros do Grupo podem adiar o encerramento de uma conta ou reter os Dados Pessoais do Utilizador para conduzir uma investigação ou quando exigido pela lei aplicável. Os Membros do Grupo também podem reter informações de Utilizadores de contas encerradas para detetar e prevenir fraudes, recolher as tarifas em dívida, resolver disputas, solucionar problemas, ajudar em qualquer investigação, gerir riscos, cumprir os Termos e Condições de um Serviço, cumprir os requisitos legais ou regulamentares e tomar outras ações, de outra forma, permitidas pela lei aplicável. Os dados serão mantidos num formato que permita a identificação dos titulares de dados por um período não superior ao necessário para as finalidades para as quais os dados foram recolhidos ou para as quais são posteriormente processados e serão eliminados assim que o motivo subjacente à sua retenção tiver sido abordado ou resolvido.

Com exceção dos Utilizadores que optaram por não receber determinadas comunicações, os Membros do Grupo podem utilizar os Dados Pessoais do Utilizador para direcionar as comunicações aos Utilizadores com base nos respetivos interesses, de acordo com a lei aplicável.  Aos Utilizadores que não pretendam receber comunicações de marketing do Grupo PayPal serão fornecidos meios facilmente acessíveis para se oporem a publicidade adicional, por exemplo, nas respetivas definições de conta, ao seguir as instruções fornecidas num e-mail ou a partir de um link na comunicação.

Os Utilizadores podem exercer os direitos acima ao contactar o Serviço de Apoio ao Cliente.  Quando for difícil verificar a identidade de um Utilizador, os Membros do Grupo podem exigir que o Utilizador forneça um comprovativo de identificação adicional.

2.7 Divulgações de Dados pessoais

Os Membros do Grupo podem partilhar os Dados Pessoais do Utilizador no decurso normal e âmbito empresarial com outros Membros do Grupo a nível mundial para as finalidades identificadas na Secção 2.1.

De acordo com a lei aplicável, os tratados ou as convenções internacionais aplicáveis, os Membros do Grupo podem partilhar Dados Pessoais com as autoridades policiais e reguladoras quando necessário numa sociedade democrática para salvaguardar a segurança nacional, defesa, segurança pública, prevenção, investigação, deteção e infrações penais e, em particular, para cumprir as sanções previstas em instrumentos internacionais e/ou nacionais, requisitos de declaração de impostos ou requisitos de denúncia de branqueamento de capitais.

Os Membros do Grupo não vendem ou alugam Dados Pessoais do Utilizador a Terceiros para as suas próprias finalidades de marketing sem o consentimento explícito e inequívoco do Utilizador. Os Membros do Grupo podem divulgar Informações do Utilizador a outros Terceiros de acordo com as instruções ou consentimento do Utilizador (quando permitido pela lei aplicável).

Ao transferir Dados Pessoais do Utilizador para Processadores, os Processadores estarão sujeitos a uma avaliação de riscos de segurança de privacidade, proteção de dados e informação antes de iniciar o trabalho e antes de qualquer transferência de Dados Pessoais do Utilizador.  O âmbito da avaliação irá variar com base na confidencialidade dos Dados Pessoais do Utilizador processados. Os processadores, incluindo um Membro do Grupo que intervenha como Processador, tem de celebrar um acordo com os Membros do Grupo relevantes para fornecer medidas adequadas de privacidade, proteção de dados e segurança da informação. Esse contrato inclui cláusulas que garantem a utilização apropriada dos Dados Pessoais do Utilizador e medidas de segurança proporcionais à quantidade, natureza e confidencialidade dos Dados Pessoais do Utilizador em questão.  No mínimo, as salvaguardas contratuais têm de abranger os seguintes assuntos:

  • Requisitos para cumprir a lei e para processar Dados Pessoais do Utilizador apenas de acordo com os termos do acordo e apenas seguindo as instruções dos Membros do Grupo em questão;
  • Medidas técnicas e organizacionais apropriadas adaptadas à confidencialidade dos Dados Pessoais do Utilizador e Processamento em questão;
  • O direito de auditar a conformidade dos Processadores com as garantias contratuais;
  • Obrigações de notificação de violações de segurança; e
  • Disposições sobre mitigação em caso de não conformidade por parte do Processador com as respetivas obrigações legais ou contratuais.

Os contratos têm de conter disposições que garantam que o não cumprimento dos termos do contrato pode resultar na suspensão ou rescisão do contrato, entre outras medidas identificadas no mesmo.

A avaliação da segurança de privacidade, proteção de dados e informação não é obrigatória para os Processadores que já tenham sido submetidos a essa avaliação, a menos que as atividades de Processamento envolvam atividades de alto risco, tendo em conta a natureza e a quantidade de Dados Pessoais e o tipo de atividades de Processamento em questão.

Não obstante o acima exposto, quando os Membros do Grupo transferem Dados Pessoais do Utilizador do EEE para Terceiros ou para Processadores que não são Membros do Grupo: (i) localizados em países que não fornecem níveis adequados de proteção (na aceção da Diretiva 95/46/CE), ii) não abrangidos por normas corporativas vinculantes, ou iii) sem outras disposições que satisfaçam os requisitos de adequação da UE, o Membro do Grupo deve assegurar, relativamente a:

  • Terceiros, que implementem controlos contratuais apropriados, como cláusulas contratuais modelo aprovadas pela Comissão Europeia, que forneçam níveis de proteção proporcionais a estas Regras Empresariais do Utilizador ou, em alternativa, ao assegurar que a transferência (i) ocorre com o consentimento inequívoco do Utilizador, (ii) é necessária para concluir ou executar um contrato celebrado com o Utilizador, (iii) é necessária ou legalmente exigida por motivos importantes de interesse público, ou (iv) é necessária para proteger os interesses vitais do Utilizador;
  • Processadores, que devem implementar controlos contratuais, como cláusulas contratuais modelo aprovadas pela Comissão Europeia, que forneçam níveis de proteção proporcionais a estas Regras Empresariais do Utilizador.
     

3. Mecanismo de reclamações

Se os Utilizadores acreditarem que os seus Dados Pessoais foram processados em violação das Regras Empresariais do Utilizador, poderão comunicar as suas preocupações ao responsável pela função do Serviço de Apoio ao Cliente do Membro do Grupo relevante através do site do serviço relevante, e-mail ou conforme indicado nos Termos e Condições aplicáveis.  Geralmente, os Utilizadores podem encontrar respostas para as perguntas e preocupações mais comuns de privacidade ao digitar a palavra "privacidade" na secção Ajuda do serviço relevante, que normalmente direciona o Utilizador para uma página ou política específica sobre privacidade.  A secção "Ajuda" do serviço relevante é o ponto de entrada exclusivo para todas as consultas dos Utilizadores relacionadas com a sua privacidade ou com o processamento das respetivas informações do Utilizador, e fornece ao mesmo a oportunidade de contactar o Serviço de Apoio ao Cliente. 

Em caso de dúvida sobre que canal utilizar para comunicar preocupações relacionadas com privacidade, os Utilizadores podem enviar um e-mail para o Responsável Europeu pela Proteção de Dados: DPO@paypal.com.

O Serviço de Apoio ao Cliente investiga e tenta resolver as preocupações levantadas pelos Utilizadores. Os funcionários responsáveis por abordar questões relacionadas com privacidade trabalham em conjunto com a Equipa Global de Privacidade de PayPal e respondem aos Utilizadores de acordo com as políticas, procedimentos e diretrizes de PayPal.  Se os Utilizadores acreditarem que as suas preocupações não foram tratadas adequadamente ou se não obtiverem resposta, podem solicitar que a preocupação seja encaminhada para o Responsável Europeu pela Proteção de Dados. O responsável jurídico de privacidade será consultado e o responsável pela conformidade de privacidade será informado. Os processos de encaminhamento devem ser determinados com base na natureza e no âmbito da preocupação e devem ser encaminhados para a equipa apropriada sem atrasos.  A resposta à reclamação deve ser fornecida ao Utilizador num prazo razoável e, em qualquer caso, dentro de um período de três (3) meses após a data da consulta, exceto em circunstâncias incomuns ou questões complexas, caso em que o Utilizador será informado de que demorará mais de três (3) meses a obter uma resposta.

O mecanismo de processamento de reclamações não prejudica o direito dos Utilizadores de apresentarem reclamações perante as Autoridades de Proteção de Dados competentes ou os tribunais.

 

4. Responsabilidade e direitos dos beneficiários externos

Os Utilizadores do EEE que suspeitem de uma violação das Regras Empresariais do Utilizador fora do EEE têm o direito de reclamar a aplicação das Regras Empresariais do Utilizador como beneficiários externos, de acordo com as Secções 2, 3, 4, 7 e 8 das Regras Empresariais do Utilizador, perante as autoridades competentes de proteção de dados, perante os tribunais do Membro do Grupo Principal ou perante os tribunais do Membro do Grupo que atua como exportador de dados.  Esses direitos de aplicação são adicionais a outros recursos ou direitos fornecidos por PayPal ou disponíveis de acordo com as leis aplicáveis.

Embora não seja necessário, recomenda-se que os Utilizadores do EEE comuniquem primeiro a sua preocupação diretamente ao Membro do Grupo, em vez de às Autoridades de Proteção de Dados ou aos tribunais.  Isto possibilita uma resposta eficiente e rápida do Grupo PayPal e minimiza possíveis atrasos das Autoridades de Proteção de Dados ou procedimentos judiciais.

PayPal (Europe) S.a r. l et Cie, S.C.A., uma sociedade anónima privada do Luxemburgo, assume a responsabilidade por e concorda em supervisionar a adesão do Membro do Grupo às Regras Empresariais do Utilizador.  O Membro do Grupo Principal compromete-se a (i) tomar as medidas necessárias para remediar uma infração cometida pelos Membros do Grupo fora do EEE; e a (ii) pagar a compensação aos Utilizadores do EEE concedida pela Autoridade Principal de Proteção de Dados ou pelos tribunais do Luxemburgo por quaisquer danos diretamente resultantes da infração das Regras Empresariais do Utilizador pelos Membros do Grupo fora do EEE, caso o Membro do Grupo esteja impossibilitado ou não esteja disposto a pagar a compensação ou cumprir a ordem. 

O Membro do Grupo Principal reconhece e aceita que assume o ónus da prova relativamente a uma suposta infração das Regras Empresariais do Utilizador.

O Grupo Principal (ou qualquer outro Membro do Grupo) não será responsável se demonstrar razoavelmente, com base nos factos disponíveis e tendo em conta os comentários do Utilizador, que o Membro do Grupo fora do EEE não violou as Regras Empresariais do Utilizador ou não é responsável por qualquer dano alegado pelo Utilizador.

 

5. Formação

Os Membros do Grupo garantirão que todos os funcionários que processam Dados Pessoais do Utilizador, bem como os funcionários envolvidos na criação de ferramentas que serão utilizadas para recolher ou processar Dados Pessoais do Utilizador, recebem formação de sensibilização sobre privacidade e segurança das informações de modo a informar os funcionários e a salientar a necessidade de proteger os Dados Pessoais do Utilizador, de acordo com estas Regras Empresariais do Utilizador. 

Os funcionários são obrigados a concluir anualmente uma formação de conformidade online centrada no Código de Conduta e Ética Empresarial, que inclui uma secção sobre proteção de dados.  Os novos funcionários são obrigados a concluir a formação de conformidade online quando começam a trabalhar.

Além desta formação de conformidade online, a Equipa Global de Privacidade de PayPal e o Responsável Europeu pela Proteção de Dados realizam formações de sensibilização sobre privacidade e segurança das informações de modo a informar os funcionários e a salientar a necessidade de proteger os Dados Pessoais. Essas formações são realizadas anualmente ou com mais frequência se as circunstâncias assim o exigirem.

A formação que os Funcionários recebem deve ser adaptada aos respetivos níveis de acesso aos Dados Pessoais do Utilizador e deverá ser fornecida formação adicional aos Funcionários com níveis de acesso superiores. 

Os Membros do Grupo devem informar os Funcionários de que o não cumprimento destas Regras Empresariais do Utilizador pode resultar em ações disciplinares e outras ações permitidas pela lei aplicável.  Uma cópia destas Regras Empresariais do Utilizador e outros procedimentos e políticas relevantes relacionados com privacidade e segurança está disponível para os Funcionários a qualquer momento na Intranet da empresa. As Regras Empresariais do Utilizador também estão incluídas no Código de Ética e Conduta Empresarial, que todos os Funcionários devem rever e concordar em cumprir. 

 

6. Auditorias e monitorização

Para ajudar a garantir a conformidade com estas Regras Empresariais do Utilizador, a Equipa Global de Conformidade de Privacidade de PayPal analisa, de forma contínua, as práticas e atividades de processamento de Dados Pessoais. Estas atividades são coordenadas em estreita colaboração com o Responsável Europeu pela Proteção de Dados.

A equipa de Auditoria Interna é um consultor independente e objetivo da administração e do Conselho de Administração que, através da comissão de auditoria, comunica os resultados da auditoria ao Conselho de Administração, aos responsáveis pela privacidade e ao Responsável Europeu pela Proteção de Dados. 

A equipa de Auditoria Interna pode realizar regularmente uma análise de atividades ou práticas identificadas pela Equipa Global de Privacidade. A equipa de Auditoria Interna, os responsáveis pela privacidade e o Responsável Europeu pela Proteção de Dados devem, se necessário, exigir que um plano de ação seja executado de modo a garantir a conformidade com as BCRs. Na medida em que os grupos internos não resolvam as questões adequadamente, o Grupo pode nomear auditores externos independentes para posterior resolução.

O Responsável Europeu pela Proteção de Dados, a Equipa Global de Conformidade de Privacidade de PayPal ou as equipas de auditoria interna e auditores externos desenvolvem agendas e planos de auditoria detalhados com base no risco do Processamento.

Os resultados da auditoria de privacidade estarão disponíveis para as APD competentes.  PayPal reserva-se o direito de redigir partes dos relatórios de auditoria para garantir a confidencialidade das informações proprietárias ou de outras empresas. 

 

7. Relação entre as Regras Empresariais do Utilizador e a legislação nacional

Com requisitos legais variados em todo o mundo relacionados com a proteção de dados, as Regras Empresariais do Utilizador estabelecem um conjunto consistente de requisitos para ajudar a garantir o Processamento apropriado dos Dados Pessoais do Utilizador. Embora as Regras Empresariais do Utilizador criem um requisito base para ser cumprido pelos Membros do Grupo, estes cumprirão as leis aplicáveis que poderão impor um padrão mais rígido do que os estabelecidos nestas Regras Empresariais.

Nada nestas Regras Empresariais do Utilizador afeta as obrigações de um Membro do Grupo de acordo com as leis bancárias aplicáveis, em particular relativas ao sigilo bancário.   Se a lei aplicável entrar em conflito com estas Regras Empresariais do Utilizador, no sentido em que pode impedir que um Membro do Grupo cumpra as suas obrigações ao abrigo das Regras Empresariais do Utilizador e ter um efeito substancial nas garantias previstas nas mesmas, o Membro do Grupo notificará imediatamente o Responsável Europeu pela Proteção de Dados, exceto quando o fornecimento de tais informações for proibido por uma lei ou autoridade de aplicação da lei.  O Responsável Europeu pela Proteção de Dados, os responsáveis pela privacidade e o Membro do Grupo Principal devem determinar o curso de ação adequado e, em caso de dúvida, consultar a Autoridade de Proteção de Dados competente.

 

8. Assistência mútua e cooperação com Autoridades de Proteção de Dados

Os Membros do Grupo irão cooperar e ajudar-se mutuamente a lidar com pedidos ou reclamações dos Utilizadores relativos a estas Regras Empresariais do Utilizador.

Os Membros do Grupo responderão de forma diligente e adequada aos pedidos das Autoridades de Proteção de Dados acerca das Regras Empresariais do Utilizador.  Se um Funcionário receber tal pedido de uma Autoridade de Proteção de Dados, deve informar imediatamente o Responsável Europeu pela Proteção de Dados.   

Os Membros do Grupo cooperarão com as consultas e aceitarão auditorias das Autoridades de Proteção de Dados competentes no EEE relativamente ao cumprimento dessas Regras Empresariais do Utilizador, e respeitarão as respetivas decisões, de acordo com a lei aplicável e os direitos do devido processo.   

 

9. Atualizações ao conteúdo destas Regras Empresariais do Utilizador e lista de membros associados

PayPal reserva-se o direito de modificar estas Regras Empresariais do Utilizador conforme necessário, por exemplo, para cumprir alterações nas leis, regras, regulamentos, práticas PayPal, procedimentos e estrutura organizacional ou requisitos aplicáveis impostos pelas autoridades relevantes de proteção de dados.

A Equipa Global Jurídica de Privacidade de PayPal (sob a liderança do responsável jurídico de privacidade) irá propor quaisquer alterações necessárias a estas Regras Empresariais do Utilizador. A Equipa Global de Conformidade de Privacidade de PayPal (sob a liderança do responsável pela conformidade de privacidade) e o Responsável Europeu pela Proteção de Dados têm de aprovar todas as alterações às Regras Empresariais do Utilizador e acompanhar todas as modificações às Regras Empresariais do Utilizador, bem como qualquer alteração na lista de Membros do Grupo. Os Membros do Grupo deverão reportar às Autoridades de Proteção de Dados competentes as alterações às Regras Empresariais do Utilizador para aprovação formal e conforme exigido pela lei aplicável.

O Membro do Grupo Principal consultará a Autoridade Principal de Proteção de Dados relativamente às alterações materiais às Regras Empresariais do Utilizador que afetariam a conformidade com a proteção de dados ou a operação das Regras Empresariais do Utilizador.  O Membro do Grupo Principal comunicará as alterações materiais às Regras Empresariais do Utilizador e as alterações à lista de Membros do Grupo pelo menos uma vez por ano à Autoridade Principal de Proteção de Dados.  A Equipa Global de Privacidade de PayPal trabalhará em conjunto para apoiar o Responsável Europeu pela Proteção de Dados que, em particular, coordenará as respostas e encaminhará prontamente comentários, sugestões ou objeções às alterações levantadas pela Autoridade Principal de Proteção de Dados em nome de PayPal. Quaisquer comentários, sugestões ou objeções levantados por outras Autoridades de Proteção de Dados serão comunicados ao Responsável Europeu pela Proteção de Dados pela Autoridade Principal de Proteção de Dados que atuará em nome das outras Autoridades de Proteção de Dados.  

As alterações às Regras Empresariais do Utilizador serão aplicáveis a todos os Membros do Grupo na data efetiva de implementação.  Os Membros do Grupo fornecerão aos Utilizadores notificações acerca de alterações materiais às Regras Empresariais do Utilizador, de acordo com as preferências do Serviço do Utilizador, através de um e-mail em massa ou de uma publicação no site com um aviso claro para os Utilizadores, antecipadamente, de que as Regras do Utilizador foram alteradas. Os Membros do Grupo deverão publicar as Regras Empresariais do Utilizador revistas em sites externos selecionados ou aplicações acessíveis pelos Utilizadores.  As revisões das Regras Empresariais do Utilizador entram em vigor num prazo de dois meses após os Membros do Grupo terem notificado os Utilizadores e publicado as Regras Empresariais do Utilizador revistas.

 

10. Publicação

As Regras Empresariais do Utilizador serão publicadas e será disponibilizado um link no site ou aplicações do Serviço.  Os Utilizadores podem solicitar uma cópia do Responsável Europeu pela Proteção de Dados (RPD), PayPal (Europe) S.a r. l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburgo ou enviar-nos um e-mail para DPO@paypal.com.

 

11. Disposições finais

Data de entrada em vigor: 25 de maio de 2018

Contacto: os Utilizadores podem levantar dúvidas ou questões relativamente a estas Regras Empresariais do Utilizador ao contactar:

O Responsável Europeu pela Proteção de Dados (RPD)

PayPal (Europe) S.a r. l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburgo

 

12. Definições

Os Membros do Grupo devem interpretar as Regras Empresariais do Utilizador de uma forma que seja mais consistente com os conceitos básicos dos princípios da Diretiva 95/46/CE da UE ou qualquer diretriz ou regulamento substituto. 

Para efeitos destas Regras Empresariais do Utilizador, aplicam-se as seguintes definições:

Conselho de Administração significa o conselho de administração do Membro do Grupo Principal.

Autoridades de Proteção de Dados significa as autoridades públicas que são responsáveis por monitorizar e aplicar, nos respetivos territórios, as leis nacionais adotadas pelos Estados Membros do EEE - de acordo com a Diretiva de Proteção de Dados da UE (95/46/CE).

EEE significa o Espaço Económico Europeu, que compreende atualmente os Estados-Membros da UE, a Islândia, o Liechtenstein e a Noruega.

Funcionário significa funcionários, trabalhadores, estagiários e outros funcionários ou colaboradores, incluindo trabalhadores temporários ou contingentes, força de trabalho alternativa ou contratados por um Membro do Grupo, sejam empregados ou integrados em período integral ou parcial e independentemente do tipo de emprego ou integração.

Responsável Europeu pela Proteção de Dados (RPD) significa o funcionário que é nomeado e subordinado à administração do Membro do Grupo Principal e também funciona como membro da Equipa Global Jurídica de Privacidade de PayPal. O RPD Europeu está localizado no Luxemburgo.

Membro do Grupo significa uma entidade do Grupo PayPal que executou uma cópia do AEG.

AEG significa Acordo Entre Grupos

Autoridade Principal de Proteção de Dados significa "Commission nationale pour la protection des données" ("CNPD") no Luxemburgo.

Membro do Grupo Principal significa PayPal (Europe) S.a r. l et Cie, S.C.A., uma sociedade anónima privada do Luxemburgo.

Equipa Global de Privacidade de PayPal significa a Equipa Global de Conformidade de Privacidade de PayPal e a Equipa Global Jurídica de Privacidade de PayPal.

Equipa Global de Conformidade de Privacidade de PayPal significa os membros da Organização de Conformidade que lidam especificamente com a conformidade e a operação do programa de privacidade de PayPal. 

Equipa Global Jurídica de Privacidade de PayPal significa os membros do Departamento Jurídico que lidam especificamente com privacidade e proteção de dados.

Grupo PayPal significa PayPal Holdings, Inc. ("PayPal") e qualquer entidade direta ou indiretamente controlada por PayPal que processe Informações do Utilizador, em que Controlo significa a propriedade superior a cinquenta por cento (50%) do poder de voto para eleger os administradores da empresa, ou superior a cinquenta por cento (50%) da participação na empresa.

Dados Pessoais significa qualquer informação relativa a uma pessoa física identificada ou identificável; uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um número de identificação ou a um ou mais fatores específicos da respetiva identidade física, fisiológica, mental, económica, cultural ou social.

Processo significa qualquer operação ou conjunto de operações que são executados nos Dados Pessoais, por meios automáticos ou não, como recolha, registo, organização, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, disseminação ou, de outra forma, disponibilização, alinhamento ou combinação, bloqueio, eliminação ou destruição.

Processador significa qualquer pessoa física ou jurídica que processa Dados Pessoais em nome de um Membro do Grupo.

Dados Pessoais Confidenciais significa Dados Pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, informações relacionadas com infrações penais ou informações sobre saúde ou vida sexual.

Serviço significa um site, aplicação ou outro produto ou serviço fornecidos por um Grupo PayPal para utilização por parte de um Utilizador.

Terceiro significa qualquer pessoa singular ou coletiva, autoridade pública, agência ou qualquer outro organismo que não seja o Utilizador, o Membro do Grupo, o Processador e os indivíduos que, sob a autoridade direta do Membro do Grupo ou do Processador, tais como Funcionários, estão autorizados a processar Dados Pessoais.

Utilizador significa antigos e atuais clientes, potenciais clientes, investidores, parceiros comerciais e vendedores.

Dados Pessoais do Utilizador significa Dados Pessoais relativos a Utilizadores.