>> Juridiska alla juridiska avtal

 

Regler för PayPals företagsinterna användare

 

PayPal-koncernens mål är att tillämpa enhetliga, lämpliga och globala dataskydd och integritetsstandarder för hantering av alla användarpersonuppgifter i hela PayPal-Koncernnen.  Dessa regler för företagsinterna användare är tillämpbara för alla användarpersonuppgifter behandlade av Gruppmedlemmar världen över.

Användare tillhandahåller globalt sina personuppgifter till Gruppmedlemmar för att utnyttja de tjänster som Koncernen erbjuder.  Somliga användarpersonuppgifter är insamlade och lagrade i USA.  PayPals globala verksamhet erfordrar att användarpersonuppgifter delas med sig av till andra PayPals enheter i USA och globalt där PayPal för närvarande har eller avser att ha närvaro.

För närvarande kan anställda i följande EES-länder ha tillgång till användarpersonuppgifter: Luxemburg, Belgien, Frankrike, Tyskland, Irland, Italien, Nederländerna, Polen, Spanien, Sverige och Storbritannien.

Anställda som för närvarande befinner sig i följande länder utanför EU kan också få tillgång till användarpersonuppgifter: USA, Taiwan, Turkiet, Jungfruöarna (brittiska), Australien, Kanada, Kina, Hong Kong, Indien, Indonesien, Israel, Japan, Republiken Korea, Malaysia, Mauritius, Filippinerna, Ryssland, Singapore, Schweiz, Argentina, Brasilien och Mexiko.

PayPal har åtagit sig att skydda användarinformationen på ett lämpligt sätt oavsett var personuppgifterna finns och att tillhandahålla lämpligt skydd för användaruppgifterna där de överförs utanför EES.

Denna lista över länder kan förändras när företagets verksamhet expanderar.

 

1. Struktur och Ansvar för Integritetsstyrning

Användarföretagetsregler är juridiskt bindande enligt ett avtal ("IGA") mellan PayPal (Europe) S.à rl & Cie, SCA ("Lead Group Member") och andra PayPal Group-enheter.  IGA:n kräver att gruppmedlemmar att efterfölja dessa regler för företagsinterna användare. Gruppmedlemmar kräver att deras anställda efterföljer dessa regler för företagsinterna användare när de hanterar användarpersonuppgifter.

Företagsledare och ledande befattningshavare i PayPal Koncernen ansvarar för att upprätthålla att dessa regler för företagsinterna användare efterföljs, inklusive att se till att anställda är medvetna om och följer dessa regler för företagsinterna användare.

Den person som leder överensstämmelse med integritetsskydd driver PayPal-integritetssprogrammet. Han/hon innehar en högre befattning inom PayPal Holdings, Inc och rapporterar direkt till huvudansvarige för regelefterlevnad eller högsta chef som leder regelefterlevnads funktionen i PayPal.  Den person som leder överensstämmelse med integritetsskydd övervakar teamet för Paypals globala integritetsskydds efterlevnad och samspelar med andra interna organisationer eller team, t ex drift, informationssäkerhet, efterlevnad, risk och interna granskning för att hjälpa till att försäkra konsekvent integritetskommunkationer, praxis och ordningar över PayPal koncernen globalt. PayPals globala teamet för integritetsskydds efterlevnad utvecklar och samordnar genomförandet av dess överensstämmelsestrategi över PayPal-koncernen och verifierar operativ överensstämmelse.   PayPal Global Privacy Compliance Team har direkt eller indirekt representanter under PayPal-gruppen som, bland annat hjälper till att säkerställa överensstämmelse med gällande dataskyddslagar och användares företagsinterna regler.

Den juridiska integritetssledaren övervakar PayPals globala teamet för integritetsskydd och rapporterar direkt till chefsjurist eller högsta chef som leder den juridiska funktionen hos PayPal.  Den juridiska integritetssledaren definierar koncernens skyldigheter under tillämpliga dataskyddslagstiftningar och reglerna för företagsinterna användare. Den juridiska integritetssledaren och PayPals globala juridiska teamet för integritetsskydd samarbetar väl koordinerat med huvudansvarige för överensstämmelse med integritetsskydd samt med PayPals globala team för överensstämmelse med integritetsskydd, och samspelar med andra interna organisationer och team t ex juridik, drift, informationssäkerhet, och risk för att tillhandahålla juridiska råd och tolka juridiska och regelverk vid pågående integritetsfrågor över PayPal globalt.

Sammantaget, utgör PayPals globala team för överensstämmelse med integritetsskydd och PayPals globala integritets- och juridiska team PayPals globala integritetsteam.

Europeiska datatillsynsmannen i Luxemburg utnämns av och rapporterar till förvaltningen av PayPal (Europe) S.àlc et Cie, SCA. Europeiska datatillsynsmannen agerar som den primära kontakten för EES dataskyddsmyndigheter och har bl a följande skyldighter: att informera och rådgöra gruppmedlemmarna och deras anställda, som behandlar personuppgifter, för deras skyldigheter under integritetslagstiftningen för att försäkra överensstämmelse med dessa regler för företagsinterna användare; att arbeta med PayPals globala team för överensstämmelse med integritetsskydd för att övervaka efterlevnad med integritetslagstiftning och med relaterade förordningar från gruppmedlemmarna; och, att tillhandahålla juridiska råd till gruppmedlemmarna där det begärs angående utvädering av dataskyddets inverkan och dess implementering.

 

2. Principer för behandling av användarpersonuppgifter

Gruppmedlemmar observerar följande behandlingsprinciper för användarpersonuppgifter.

2.1 Syftesbegränsning

Användarpersonuppgifter ska behandlas endast för specifika, explicita och legitima ändamål.  I synnerhet kan användarpersonuppgifter behandlas för:

- Erbjuda och underlätta tillhandahållandet av tjänster på användarnas begäran, inklusive att öppna ett konto;

– Förbättra tjänsterna och utveckla nya tjänster;

- lösa tvister, hantera tvister, felsöka problem och ge kundservice;

-Utföra riskhantering;

– Behandla transaktioner och samla in erforderliga avgifter;

– Kontrollera kreditvärdighet och betalningsförmåga;

– Utvärdera användares intressen i och feedback och synpunkter om tjänster och informera användare om erbjudanden online och offline, tjänster och uppdateringar;

– Anpassa användares upplevelse;

- Upptäck och förebygga mot fel, bedrägeri och annan brottslig verksamhet;

- Uppfylla PayPal koncernens juridiska, kontraktuella eller lagstadgade skyldigheter;

- Genomdriva tjänstens rättigheter och skyldigheter och, som annars beskrivs till användare vid tidpunkten för insamling och i tjänstens integritetspolicy;

- Skydda säkerheten, integriteten och tillgängligheten av tjänsterna och PayPal-koncernens nätverk; och

- Skydda PayPal-koncernens juridiska rättigheter och intressen, inklusive men inte begränsat till att etablera, utöva eller försvara mot rättsliga krav.

Behandling av användarpersonuppgifter för andra ändamål är föremål för förhandsgodkännande från PayPals globala juridiska integritetsteam.  Vid tvivel, kommer gruppmedlemmar att rådfråga PayPals globala juridiska integritetsteam.

Användarpersonuppgifter skall inte vidare behandlas på ett sätt som är oförenligt med de ovan angivna ändamålena, såvida det inte finns en rättslig grund för att göra det enligt den tillämpliga lagen för Gruppmedlemmen i EES som är ansvarig för insamlingen eller överföringen av användarpersonuppgifterna.   

2.2 Datakvalitet och proportionalitet

Användarpersonuppgifter ska vara:

  • Noggranna och, om nödvändigt, uppdaterade;
  • Lämpliga, relevanta och inte överdrivna i förhållande till syften som de behandlas för; och
  • Behållna inte längre än nödvändigt för ändamålet för vilket de ursprungligen samlades eller vidarebehandlades.  

Användarpersonuppgifter som inte längre krävs för ändamålen för vilka de var behandlade ska raderas, raderas, förstöras eller anonymiseras, såvida det inte finns rättslig grund för vidare behandling eller behållning krävs enligt gällande lag.

2.3 Juridiska grunder för behandling

Gruppmedlemmar ska se till att användarpersonuppgifter behandlas rättvist och lagligt och i synnerhet på grundval av minst en av följande juridiska skäl:

  • Otvetydigt medgivande från användaren;
  • Behandlingen som är nödvändig för att fullgöra ett avtal i vilket användaren är part eller för att vidta åtgärder på begäran av användaren innan ett sådant avtal ingås;
  • Behandling som är nödvändig för att följa en laglig skyldighet för vilken gruppmedlemmar är föremålet;
  • Behandling som är nödvändig för att skydda användarens vitala intressen;
  • Behandling som är nödvändig för att utföra en aktivitet utförd för allmänintresse eller inom ramen för myndighet för gruppmedlemmar eller i en tredje part till vilken uppgifterna röjs; eller
  • Behandling som är nödvändig för de legitima intressen hos gruppmedlemmen eller den tredje parten eller parterna till vilka uppgifterna röjs, förutom då sådana intressen uppvägs av intressen för användarens grundläggande rättigheter och friheter.

Som allmän praxis, samlar gruppmedlemmar inte in känsliga användarpersonuppgifter.  Där sådan insamling krävs eller användare frivilligt tillhandahåller sådan information, skall gruppmedlemmar se till att de känsliga användarpersonuppgifterna är behandlade på basis av minst en av följande grunder:

  • Uttryckligt medgivande från användaren;
  • Behandling som är nödvändig för att skydda de vitala intressen till användaren eller till annan person där användaren är fysiskt eller rättsligt oförmögen att ge sitt medgivande;
  • Behandling relaterar till användarpersonuppgifter som uppenbart offentliggörs av användaren; eller
  • Behandlarsom är nödvändig för grundandet, utövandet eller försvaret mot juridiska krav.

Om behandlingen innefattar automatiska beslutsfattande (”automatiska beslut”), skall medlemmar tillhandahålla lämpliga åtgärder för att skydda användarens legitima intressen, till exempel tillhandahållande till användaren möjlighet att få en kundtjänstrepresentant att granska beslutet individuellt och gör det möjligt för användaren att ange sin ståndpunkt. Kundtjänstsrepresentanten ska trappa upp problemet till EUs dataskyddsombud om användaren fortsätter att bestrida ett automatiskt beslut. När det är lämpligt kommer den juridiska integritetsansvarige att höras och ledningen för integritetsöverensstämmelse kommer att upplysas.  

2.4 Insyn

Vid insamling av användarpersonuppgifter, ska gruppmedlemmar informera användare om:

  • Namnet och adressen till gruppmedlemmen ansvarig för den ursprungliga insamlingen och behandlingen;
  • Kategorierna av användarpersonuppgifterna i frågan;
  • Syften med behandlingen;
  • Kategorierna av mottagande behandlare och tredje parter till användarpersonuppgifter;
  • Om svar på frågorna är obligatoriska eller frivilliga, samt de möjliga följderna om svar inte ges;
  • Förekomsten av användarrättigheter; och
  • Om automatiskt beslutsfattande, den involverade logiken.

Gruppmedlemmar kan tillhandahålla informationen i en tjänsts integritetspolicy som ska vara tillgänglig via en länk och / eller visas på en framträdande plats för varje tjänsts webbplats eller ansökan och under registrering.  Skyldigheten att informera användaren gäller inte, om användare redan är medveten om informationen.  

Om tillhandahållandet av information är omöjligt eller skulle innebära en oproportionerligt stor ansträngning, får gruppmedlemmar avstå från att tillhandahålla informationen.  Detta skulle bara vara fallet för användarpersonuppgifter som inte har erhållits direkt från användaren. 

I undantagsfall kan tillhandahållandet av specifik information skjutas upp eller utelämnas, till exempel i samband med undersökningar om rättstridigt beteende eller för att följa gällande lagar eller där tillhandahållande av informationen skulle äventyra integriteten i undersökningen.

2.5 Sekretess och Säkerhet

Grupmedlemmar använder fysiska, tekniska och organisationens säkerhetskontroller motsvarande volymen och känsligheten för användarpersonuppgifter för att förhindra obehörig behandling, inklusive men inte begränsat till, obehörig åtkomst till, förvärv och användning av, förlust, skada till användarpersonuppgifter eller förstörelse. Gruppmedlemmar använder kryptering, brandväggar, åtkomstkontroller, normer och andra förfaranden för att skydda användarinformation från obehörig åtkomst.  Fysiska och logiska åtkomst till elektroniska dokument och paperskopior är ytterligare begränsade baserat på arbetsuppgifter och verksamhetsbehov.

2.6 Användares val och Rättigheter

Användare kan få tillgång till och korrigera mest av sina användarpersonuppgifter relaterad till dem som gruppmedlemmar upprätthåller genom verktyg på nätet eller självbetjäningsprocess tillgängliga via tjänstens webbplats eller programm.

I samtliga fall ska användare ha rätt att begära ett dataåtkomst att visa eller ta emot en kopia av deras personliga användardata som inte är tillgängliga via tjänstens webbplats eller programm. Användare bör kontakta kundtjänst via anvisningar som tillhandahålls via tjänstens webbplats eller programm. Gruppmedlemmar skall följa de tidsfrister som föreskrivs av tillämplig lag, utom där tillämplig lag innehåller undantag på en sådan skyldighet.  Användare kan behöva ange sina identitetsbevis och kan bli föremål för en avgift som tillåts enligt tillämplig lag.

Användare kan även begära rättelse av sina uppgifter om de är ofullständiga eller felaktiga. Gruppmedlemmar skall följa sådan begäran och informera användare om när deras uppgifter har åtgärdats. Gruppmedlemmar kommer att meddela tredje parter som användarens data har lämnats om varje rättelse, såvida inte detta är omöjligt eller innebär en oproportionerligt stor ansträngning.

På tvingande legitima grunder kan användare göra invändningar mot behandlingen av deras användarpersonuppgifter. Gruppmedlemmar skall efterleva sådana begäran, förutom behållning av användarpersonuppgifter krävs av tillämpliga lagar eller för att försvara PayPals Koncern mot rättsliga krav. Användare kommer att informeras om utfallet på deras begäran och åtgärderna tagna av gruppmedlemmarna.

Dessutom kan användarna begära att deras konton är stängda genom att följa anvisningarna som tillhandahålls via Tjänstens webbplats eller ansökan. Gruppmedlemmar skall ta bort eller anonymesera en användares information från en tjänst så fort som möjligt baserat på deras aktivitet på kontot.  I vissa fall, kan gruppmedlemmar fördröja avstängning av ett konto eller behålla användarpersonuppgifter för att utföra en undersökning eller där det krävs av tillämpliga lagar. Gruppmedlemmar kan också bohålla användarinformation från stängda konto för att upptäcka och förebygga bedrägeri, ta betalt för avgifter, lösa tvister, felsöka problem, undertlätta undersökningar, riskhantering, genomdrivande av tjänsts villkor, efterlevnads av juridiska och myndighetskrav och vidta andra åtgärder tillåtna av tillämpliga lagar. Uppgifterna kommer att förvaras i en form som tillåter identifiering av dataobjekt för inte längre än nödvändigt för ändamålet för vilket data var insamlade eller för vilket de är vidarebehandlade och kommer att tas bort så fort underliggande orsaken till behållning är uppklarade eller upplöst.

Med undantag för de användare som har valt att inte ta emot viss kommunikation kan gruppmedlemmar använda användarpersonuppgifter för att rikta kommunikation till användare utifrån deras intressen enligt gällande lag.  Användare som inte vill ta emot försäljningsmaterial från PayPal Koncernen kommer att ges lätt tillgängliga medel att invända mot vidare reklam, t ex i deras montouppställning eller genom att följa anvisningar givna i enepost eller från en länk i materialet.

Användare kan utöva ovanstående rättigheter genom att kontakta kundsupport.  Där en användares identitet är svår att verifiera, kan gruppmedlemmar kräva att användaren att tillhandahålla ytterligare identifieringsbevis.

2.7 Utlämnande av personuppgifter

Gruppmedlemmar kan dela användarpersonuppgifter i den normala praxis och omfattningen av företag med andra gruppmedlemmar i hela världen för de ändamål som anges i avsnitt 2.1.

I enlighet med gällande lag, avtal eller gällande internationella konventioner kan medlemmar delar personuppgifter med polismyndigheter och tillsynsmyndigheter vid behov i ett demokratiska samhälle att skydda nationell säkerhet, försvar, offentligt säkerhet, förebyggande, undersökning, upptäcka och åtal brott och, i synnerhet följa sanktioner som fastställs i internationella eller nationell instrument, skatterapportering krav eller bekämpning av penningtvätt rapportering kraven.

Gruppmedlemmar säljer eller hyr inte användaruppgifter till tredje parter för egna marknadsföringsändamål utan användarens uttryckliga entydiga informerade samtycke. Gruppmedlemmar kan utlämna användarinformation till andra tredje parter i enlighet med användarens anvisningar eller samtycke (där det är tillåtet under tillämpliga lagar).

Vid överföring av användaruppgifter till processorer kommer processorerna att bli föremål för en personuppgifter, dataskydd och informationssäkerhetsriskbedömning före arbetets start och före överföring av användaruppgifter.  Omfattningen av bedömningen kommer att variera baserat på känsligheten hos de behandlade användarpersonuppgifterna. Processorer, inkl. en gruppmedlem agerande som en processor, måste ingå i ett avtal med de relevanta gruppmedlemmarna för att tillhandahålla lämpliga åtgärder för integritet, dataskydd och informationssäkerhet. Sådant avtal includerar klausuler som försäkrar lämpliga användning av användarpersonuppgifter och säkerhetsåtgärder motsvrande volymen, arten och känsligheten hos användarpersonuppgifterna i frågan.  Som ett minimum, skall de kontraktsmässiga garantierna åtminstone omfatta följande frågor:

  • Kraven enligt lagen och för att behandla användarens personuppgifter i enlighet med villkoren i avtalet och bara på uppdrag av de berörda gruppmedlemmar;
  • Lämpliga tekniska och organisatoriska åtgärder anpassade för känsligheten till de personliga användardata och behandling berörd;
  • Rätt att granska processorer i överensstämmelse med kontraktsenliga garantier;
  • Förpliktelser för säkerhetsbrottsavisering; och
  • Bestämmelser om förebygga överträdelse av Processors skyldigheter enligt lag eller avtal.

Avtalen måste innehålla bestämmelser för att säkerställa att underlåtenhet att följa villkoren i avtalet kan resultera i uppsägningen för avtalet bland andra åtgärder som anges i avtalet.

Integritets-, dataskydds- och informationssäkerhetsbedömningen är inte obligatorisk för processorer som redan har varit föremål för en sådan bedömning, såvida inte behandlingsaktiviteter inbegriper högriskaktiviteter med hänsyn till arten och mängden personuppgifter och typen av beahandlingsaktiviteter som berörs.

Trots ovanstående där gruppmedlemmar överför EES användarens personuppgifter till tredje parter eller processorer som inte är gruppmedlemmar: (i) som finns i länder som inte tillhandahåller adekvata skyddsnivåer (enligt definitionen i direktivet 95/46/EG),) (II) inte omfattas av godkända bindande företagsinterna regler, eller (iii) som inte har andra åtgärder som skulle uppfylla EU: S tillräcklighetskrav kommer gruppmedlemme att tillförsäkra i förhållande till:

  • Tredje parter, som de ska implementera lämpliga kontraktsenliga kontroller, till exempel avtalsvillkor som godkänts av Europeiska kommissionen, och att tillhandahålla skyddnivåer motsvararande dessa företagsinterna regler för användare eller, alternativt, se till att överföringen (i) äger rum med tydliga medgivande från användaren, (ii) är nödvändigt att avsluta eller utföra ett avtal med användaren, (iii) är nödvändig eller juridiskt med viktigt allmänintresse skäl eller (iv) som är nödvändiga för att skydda de vitala intressen för användaren;
  • Processorer, att de ska implementera kontraktsenliga kontroller, till exempel avtalsvillkor som godkänts av Europeiska kommissionen, och att tillhandahålla skyddsnivåer motsvararande dessa företagsinterna regler för användaren.
     

3. Klagomåls förfarnde

Om användare tror att deras personliga användardata har behandlats och detta bryter mot den användare företagsinterna regler, kan de rapportera problem till kundservicefunktionen av den relevanta medlem via webbplatsen till den relevanta tjänsten, e-post eller annat sätt som anges i tillämpliga regler och villkor.  Användare kan i allmänhet hitta svar på de vanligaste integritetsfrågorna och problemen genom att skriva ordet "integritet" i den relevanta tjänstens hjälpsektion, som vanligtvis leder användaren till en integritetsspecifik sida eller policy.  Avsnitt “Hjälp” för den relevanta tjänsten är en unik ingång för alla användares frågor relaterande till deras integritet eller behandlingen av deras användarinformation och tillhandahåller användare tillfället att kontakta kundtjänst. 

Vid tvivel om vilken kanal att använda för att rapportera integritets relaterade frågor kan användare skicka ett mejl till Europeiska dataskyddsombud på: DPO@paypal.com.

Kundtjänst undersöker och försöker att lösa problem som uppkommer av användare. Anställda som är ansvariga för hantering av integritetsrelaterade frågor arbetar med PayPals globala integritetsteam och svarar mot användare i enlighet med PayPals policy, procedurer och vägledning.  Om användare tror deras frågor inte har omhandtagits väl, eller om de inte har fått svar, kan de begära att deras frågor upptrappas till Europeiska dataskyddsombud. Den juridiska integritetsledaren kommer att rådgöras och ledaren om integritetsafterlevnad upplysas. Upptrappningsvägar skall bestämmas baserat på arten och omfattningen av frågorna och skall vidarebefordras till de lämpliga teamen utan fördröjning.  Ett svar till klagomålgöraren skall ges till användaren inom rimlig tidsram, och i alla fall inom en period av tre (3) månader efter klagomålsdagen, utom i ovanliga omständigheter eller komplicerade frågor i vilket användarenn kommer att informeras att svaret skall äga rum bortom tre (3) månader.

Klagomålhanterings system påverkar inte användares rätt att föra klagomål till behöriga dataskyddsmyndigheter eller domstolar.

 

4. Rättigheter och Skyldigheter till tredje parters betalningsmottagare

EES användare som misstänker brott mot användarföretagsreglerna utanför EES har rätt att kräva att användarföretagsreglerna tillämpas som tredjepartsmottagare för avsnitt 2, 3, 4, 7 och 8 i användarföretagets regler innan det behöriga dataskyddet myndigheter, inför domstolarna i ledningsgruppen eller före gruppmedlemmarnas domstol som agerar som exportör.  Dessa genomdrivande rättigheter är ytterligare till andra rättmedel eller rättigheter tillhandahålna av PayPal eller tillgängliga under tillämplig lag.

Även om det inte är obligatoriska, uppmuntras EES användare först rapportera hans/hennes problem direkt till att gruppmedlemmen snarare än dataskyddsmyndigheterna eller domstolarna.  Detta möjliggör ett effektivt och snabbt svar från PayPal-koncernen och minimerar eventuella förseningar från dataskyddsmyndigheter eller domstolsförfaranden.

PayPal Europe S.à r.l. et Cie, S.C.A., ett Luxemburgskt privat aktiebolag ansvarar för och samtycker till att övervaka gruppmedlemmens efterlevnad av användaren företagsinterna regler.  Ledande gruppmedlemmen åtar sig (i) att vidta nödvändiga åtgärder för att avhjälpa ett brott som begåtts av gruppmedlemmar utanför EES; och (ii) betala ersättningen till EES-användare som tilldelats av ledande datatillsynsmyndigheten eller luxemburgska domstolar för eventuella skador som direkt beror på överträdelsen av reglerna för företagsinterna användare av gruppmedlemmar utanför EES, om den berörda gruppmedlemmen inte kan eller vill betala ersättningen eller följa ordern. 

Ledande gruppmedlemmen erkänner och accepterar att den bär bevisbörden i fråga om en påstådd överträdelse av regler för företagetsinterna användare.

Ledande gruppen (eller någon annan grupp) ansvarar inte om den visar rimligen på grundval av tillgängliga uppgifterna och med hänsyn till användarens kommentarer att icke-EES gruppmedlem inte har brutit mot reglerna för företagetsinterna användare eller ansvarar inte för eventuella skador som hävdas av användaren.

 

5. Utbildning

Gruppmedlemmar kommer att se till att alla anställdasom behandlar personliga användardata samt de anställda som är inblandade i konstruktionen av verktyg som ska användas för att samla in eller behandla användarens personuppgifter får medvetenhetsutbildning om integritet och informationssäkerhet för att betona och informera anställda behovet av att skydda och säkra personliga användardata för verensstämmer med dessa företagsinterna regler för användaren. 

Anställda är skyldiga att genomföra onlineöverensstämmelsesträning fokuserade kring uppförandekoden och etik, som innehåller en sektion om dataskydd på års basis.  Nya anställda krävs för att genomgå efterlevnadsutbildningen på nätet vid uppstart av anställning.

Utöver denna online-efterlevnadsstjänst genomför PayPals globala integritetsteam och Europeiska dataskyddsombud medvetenhetsutbildning för integritet och informationssäkerhet för att betona och informera anställda om behovet av att skydda och försäkra personuppgifter. Sådan utbildning genomförs på års basis eller oftare om omständigheter kräver det.

Utbildningen anställda få ska anpassas till deras åtkomstnivåer för användarpersonuppgifter och ytterligare utbildning ska lges till anställda med högre åtkomstnivåer. 

Gruppmedlemmar ska informera anställda om att underlåtenhet att följa dessa användarföretagsregler kan leda till disciplinära åtgärder och andra åtgärder som tillåts enligt gällande lag.  En kopia av dessa användarföretagsregler och andra relevanta integritets- och informationssäkerhetsrelaterade policy och procedurer är tillgängliga till anställda hela tiden genom intranätet till företaget. Användarföretagsreglerna inkluderas också i uppförandekoden och etik som alla anställda skall granska och accepetera att efterfölja. 

 

6. Granskningar och övervakning

För att säkerställa överensstämmelse med dessa användarföretagsregler, övervakar PayPals globala integritetsefterlevnadsteam kontinuerligt behandlingsaktiviteter och praxis om personuppgifter. Dessa aktiviteter är koordinerade i samråd med Europeiska dataskyddsombuden.

Internrevisionsgruppen är en oberoende och objektiv rådgivare till ledningen och styrelsen, som genom revisionsutskottet kommunicerar revisionsresultat till styrelsen, personuppgifterna och till Europeiska datatillsynsmannen. 

Internrevisionsgruppen kan regelbundet göra en översyn av aktiviteter eller praxis som identifieras av det globala integritetsteamet. Internrevisionsgruppen, integritetsledarna och Europeiska datatillsynsmannen skall, om behövs, kräva att en aktionsplan att genom föras för att försäkra efterlevnads med BCRerna. I den utsträckning som interna grupper inte löser sig tillräckligt, kan koncernen utse oberoende externa revisorer för vidare upplösning.

Europeiska datatillsynsmannen, PayPals globala integritetsefterlevnadseam eller internrevisionsgrupper och externa revisorer utvecklar detaljerade revisionsplaner och scheman baserat på risken för behandlingen.

Integritetsrevisions slutsatser kommer att vara tillgängliga till behöriga tillsynsmyndigheter.  PayPal förbehåller sig rätten att redigera delar av revisionsrapporterna för att säkerställa konfidentialitet av proprietär eller annan företags konfidentiell information. 

 

7. Relationen mellan regler för företagsinterna användare och lagstiftning

Med varierande lagkrav i hela världen som rör dataskydd upprättar användarföretagsreglerna en konsekvent uppsättning av krav för att säkerställa lämplig behandling av användarpersonuppgifter. När användarföretagsinterna regler fastställer ett baskrav för gruppmedlemmarna att efterleva, skall gruppmedlemmar efterleva med tillämpliga lagar som kan tvinga på mer strikt norm än de uppsatta i dessa företagsinterna regler.

Ingenting i dessa användarföretagsregler påverkar en gruppmedlems skyldigheter enligt gällande banklagar, särskilt i samband med integritet.   Om tillämpliga lagar är i konflikt med dessa användarföretagsregler i att det skulle kunna förhindra en grupmedlem att fullfölja sina skyldigheter under dessa användarföretagsregler och att det har stor effekt på garantierna givna däri, skall grupmedlemmen snabbt informera Europeiska datatillsynsmannen, utom där tillhandahållande av sådan information är förbjudet av en lagsgenomdrivande myndigheter eller lag.  Europeiska datatillsynsmannen, integritetsledaren och ledande gruppmedlemmen skall bestlämma lämpliga åtgärdsplan och, om tvivel, r ådgöra med den behöriga dataskyddsmyndigheten.

 

8. Ömsesidigt bistånd och samarbete med dataskyddsmyndigheter

Gruppmedlemmar kommer att samarbeta och hjälpa varandra för att hantera frågor eller klagomål från användare i dessa företagsinterna regler för användaren.

Gruppmedlemmar kommer att svara på lämpligt sätt på frågor från dataskyddsmyndigheter om användarföretagsinterna regler.  Om en anställd får sådan begäran från en myndighet för skydd av data, bör han eller hon omedelbart informera den europeiska dataskyddsombud.   

Gruppmedlemmar kommer att samarbeta med förfrågningar och acceptera revisioner från behöriga dataskyddsmyndigheter inom EES när det gäller överensstämmelse med dessa användarföretagsregler och respekterar sina beslut, i enlighet med gällande lag och rättvisa rättigheter.   

 

9. Uppdateringar av innehållet i dessa företagsinterna regler för användare och lista till bundna medlemmar

PayPal förbehåller sig rätten att ändra dessa företagsinterna regler för användare som behövs, till exempel, för att följa förändringar i tillämplig lagstiftning, regler, bestämmelser, PayPal praxis, procedurer och organisation eller krav som ställs av uppgifterna dataskyddsmyndigheter.

PayPal Global sekretess juridiska Team (under ledning av juridiska sekretess kandidat), kommer att föreslå eventuella nödvändiga ändringar dessa företagsinterna regler för användare. PayPal Global Privacy Compliance Team (under ledning av överensstämmelse med sekretessledning) och Europeiska datatillsynsmannen måste godkänna alla ändringar i användarföretagets regler och ska spåra alla ändringar av användarföretagets regler samt eventuella ändringar i listan över Gruppmedlemmar. Gruppmedlemmar skall rapportera till de relevanta dataskyddsmyndigheterna förändringar i användarföretagets regler för formelt godkännande och som krav av tillämplig lag.

Ledande gruppmedlemmen kommer att samråda med ledande dataskyddsmyndigheten om väsentliga ändringar av användarföretagets regler som skulle påverka dataskyddsöverensstämmelse eller användarföretagets regler.  Ledande gruppmedlemmen kommer ratt kommunicera materiella ändringar i användarföretagsinterna regler och ändringar i listan för gruppmedlemma minst en gång om året till ledande dataskyddsmyndigheten.  PayPals globala integritetsefterlevnadsteam kommer att samarbeta för att ge support till Europeiska datatillsynsmannen som, i synnerhet, kommer att samordna svar och snabbt tar hand om kommentarer, förslag eller invändningar till ändringarna som tas upp av den ledande dataskyddsmyndigheten på PayPals vägnar. Alla kommentarer, förslag eller invändningar som tas upp av andra dataskyddsmyndigheter kommer att kommuniceras till Europeiska datatillsynsmannen av ledande dataskyddsmyndigheten som skall agera på andra dataskyddsmyndigheters vägnar.  

Ändringar av användarföretagsinterna regler ska tillämpas på alla medlemmar på det angivna datumet till implementeringen.  Medlemmar kommer att ge meddelande om materiella förändringar i användarföretagsinterna regler i enlighet med användarinställningar tjänsten genom att massutskick eller webbplats post med en varning för användare, förväg som användaren reglerna har ändrats. Gruppmedlemmarna ska skicka ut de reviderade användarföretagsreglerna på utvalda externa webbplatser eller program som är tillgängliga för användare.  Revisioner till användarföretagsreglerna är effektiva inom två månader sedan gruppmedlemmar informerar användare och skickar ut de reviderade användarföretagsreglerna.

 

10. Publikation

Användarföretagsinterna regler skall publiceras och en länk ska vara tillgänglig på tjänstens webbplats eller program.  Användare kan begära en kopia från Europeiska datatillsynsmannen (PayPal), PayPal (Europe) S.à rl et Cie, SCA, 22-24 Boulevard Royal, L-2449 Luxembourg eller maila oss på DPO@paypal.com.

 

11. Slutbestämmelser

Giltighetsdatum: 25 maj 2018

Kontaktperson: Användare kan ta upp frågor eller funderingar i samband med dessa företagsinterna regler för användare genom att kontakta:

Europeiska dataskyddsombud (DPO)

PayPal (Europe) S.à r.l. et Cie , S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg

 

12. Definitioner

Gruppmedlemmar ska tolka regler för företagsinterna användare på ett sätt som stämmer bäst överens med de grundläggande koncept av EU-direktivet 95/46/EG eller ersättande direktiv eller förordning. 

I syfte att dessa regler för företagsinterna användare gäller följande definitioner:

Styrelse innebär styrelsen för ledamöter till den ledande gruppmedlemmen.

Dataskyddsmyndigheter avser myndigheter som ansvarar för att övervaka och kräva inomm sina respektive territorium tillämpning av de nationella lagar som EES-medlemsstater – enligt EU: S dataskydd Direktiv (95/46/EG).

EES innebär det Europeiska ekonomiska samarbetsområdet som för närvarande bestående av EU-länder, Island, Liechtenstein och Norge.

Anställd avser anställda, arbetstagare, deltagare och andra personal eller personal, inklusive villkorliga eller tillfälligt anställda, alternativt arbete kraft eller leverantörer av en gruppmedlem i koncernen, anställda eller använts på en fullständig eller deltid och oavsett vilken typ av företag eller engagemang.

Europeiska dataskyddstjänsteman (DPO) avser anställda som utses av och rapporterar till ledningen i ledande gruppmedlemmen och tjänar också som medlem i PayPals globala integritetsteam. Den europeiska DPO ligger i Luxemburg.

Gruppmedlem avser en PayPal-gruppen-enhet som har ingått en kopia av IGA.

IGA avser Intra-grupp avtal

Ledande myndigheten för datasäkerhet avser ”Commission nationale pour la protection des données” (”CNPD”) i Luxemburg.

Ledande gruppmedlem avser PayPal (Europe) S.à r.l. & Cie, S.C.A., ett Luxemburgskt privat aktiebolag.

PayPal-teamet för globala integritet innebär samordning PayPals globala integritetsteam och PayPal global juridiskaintegritetsteam.

PayPals globala integritetsteam avser medlemmar i överensskommelsesorganisation som handlar specifikt med gällande lagar och operativt PayPals integritetsprogramm.

PayPas globala juridiska integritetsteam avser medlemmar i juridisk avdelning handlar specifikt sekretess och skydd av personuppgifter.

PayPal-gruppen avser PayPal Holdings Inc. (”PayPal”) och en enhet direkt eller indirekt kontrollerade av PayPal som behandlar användarinformation där kontroll innebär att du äger är större än femtio procent (50%) av rösträtt befogenhet att utse den styrelseledamöter till företaget, eller större än femtio procent (50%) av ägarandel i företaget.

Personuppgifter avser all information som rör en identifierad eller identifierbar fysisk person. En identifierbar person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till ett ID-nummer eller till en eller flera faktorer som är specifik för hans/hennes fysiska, fysiologiska, mentala, ekonomiska, kulturella eller sociala identitet.

Processen avser åtgärden eller uppsättning åtgärder som utförs vid personuppgifter, oavsett på automatiska sätt, till exempel insamling, registrering, organisation, lagring, anpassning eller ändring, hämtning, konsultation, användning, yppande via överföring, spridning eller annat tillgängliggörande, anpassning eller kombination, blockera, radering eller förstörelse.

Processor avser en fysisk eller juridisk person som behandlar personuppgifter på uppdrag av en medlem i grupp.

Känsliga personuppgifter avser personuppgifter som avslöjar rasdiskriminering eller etnisk tillhörighet, politiska, religiös eller filosofisk, medlemskap, information med anknytning till brott eller information som rör hälsa och sex .

Tjänsten avser en webbplats, appen, eller andra produkt eller tjänst som tillhandahålls av en PayPal-gruppen för användning av användare.

Tredje part avses en fysisk eller juridisk person, myndighet, agentur eller något annat organ än användaren, att medlem, processorn eller personerna som direkt underställd att medlem eller Processor, till exempel anställda, är behörig att behandla personliga uppgifter.

Användaren avser tidigare och befintliga kunder, potentiella kunder, investerare, företag partner och handlare.

Användarens personuppgifter innebär personuppgifter till användare.