>> Zobraziť všetky právne zmluvy

Firemné pravidlá ochrany údajov používateľov

 

Cieľom skupiny PayPal je uplatňovať pri narábaní so všetkými osobnými údajmi používateľov v rámci celej skupiny jednotné, adekvátne a globálne štandardy na ochranu údajov.  Tieto firemné pravidlá ochrany údajov používateľov sa vzťahujú na všetky osobné údaje používateľov spracovávané členmi skupiny po celom svete.

Používatelia z celého sveta poskytujú svoje osobné údaje členom skupiny pri používaní ponúkaných služieb.  Väčšina osobných údajov používateľov je zhromažďovaná a uchovávaná v Spojených štátoch.  Keďže skupina PayPal vykonáva svoju činnosť na celom svete, osobné údaje používateľov potrebuje poskytovať aj iným subjektom PayPal v rámci USA a v iných krajinách, v ktorých v súčasnosti pôsobí alebo plánuje pôsobiť.

Prístup k osobným údajom používateľov môžu mať v súčasnosti zamestnanci v týchto krajinách Európskeho hospodárskeho priestoru (EHP): Belgicko, Francúzsko, Holandsko, Írsko, Luxembursko, Nemecko, Poľsko, Španielsko, Švédsko a Taliansko.

Prístup k osobným údajom používateľov môžu v súčasnosti mať aj zamestnanci v týchto krajinách mimo EÚ: Argentína, Austrália, Brazília, Britské Panenské ostrovy, Čína, Filipíny, Hongkong, India, Indonézia, Izrael, Japonsko, Kanada, Kórejská republika, Malajzia, Maurícius, Mexiko, Rusko, Singapur, Spojené kráľovstvo, Švajčiarsko, Taiwan, Turecko a USA.

Spoločnosť PayPal sa zaväzuje náležite chrániť údaje používateľov bez ohľadu na to, kde sa tieto osobné údaje nachádzajú, a poskytovať primeranú ochranu osobných údajov používateľov všade tam, kde sa mimo EHP tieto údaje prenášajú.

Keď spoločnosť rozšíri svoje podnikanie, tento zoznam krajín sa môže zmeniť.

 

1. Štruktúra riadenia ochrany osobných údajov a zodpovednosť

Firemné pravidlá ochrany údajov používateľov sú právne záväzné na základe dohody (ďalej len „IGA“) medzi spoločnosťou PayPal (Europe) S.à r.l. & Cie, S.C.A. (ďalej len „hlavný člen skupiny“) a ostatnými subjektmi skupiny PayPal.  Dohoda IGA vyžaduje, aby sa členovia skupiny riadili týmito firemnými pravidlami ochrany údajov používateľov. A členovia skupiny vyžadujú od svojich zamestnancov, aby sa riadili týmito firemnými pravidlami ochrany údajov používateľov pri narábaní s osobnými údajmi používateľov.

Riaditelia a vyšší manažment spoločností skupiny PayPal nesú zodpovednosť za dodržiavanie týchto firemných pravidiel ochrany údajov používateľov a tiež za to, aby boli zamestnanci oboznámení s týmito firemnými pravidlami a dodržiavali ich.

Program ochrany osobných údajov PayPal presadzuje vedúci pre dodržiavanie pravidiel ochrany osobných údajov. Vedúci má v rámci spoločnosti PayPal Holdings, Inc. vyššiu manažérsku pozíciu a zodpovedá sa priamo hlavnému vedúcemu pre dodržiavanie pravidiel alebo najvyššiemu výkonnému riaditeľovi, ktorý je v spoločnosti PayPal zodpovedný za dodržiavanie pravidiel.  Vedúci pre dodržiavanie pravidiel ochrany osobných údajov dohliada na tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov a spolupracuje s inými internými organizáciami alebo tímami, napríklad s prevádzkovým tímom, tímom zabezpečenia údajov, dodržiavanie predpisov, riadenie rizika a vnútorný audit, aby zaistil neustálu komunikáciu, dodržiavanie postupov a pravidiel na ochranu osobných údajov v rámci skupiny PayPal na celom svete. Tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov vyvíja stratégiu dodržiavania pravidiel a riadi jej implementáciu v rámci celej skupiny PayPal a zároveň overuje dodržiavanie pravidiel pri prevádzke.  Tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov má v rámci skupiny PayPal priamych aj nepriamych zástupcov, ktorí okrem iného pomáhajú dodržiavať firemné pravidlá ochrany osobných údajov používateľov a príslušné právne predpisy o ochrane údajov.

Vedúci pre právnu ochranu osobných údajov dohliada na právny tím PayPal pre globálnu ochranu osobných údajov a zodpovedá sa priamo hlavnému vedúcemu právneho oddelenia alebo najvyššiemu výkonnému riaditeľovi, ktorý je v spoločnosti PayPal zodpovedný za právne záležitosti.  Vedúci pre právnu ochranu osobných údajov definuje záväzky spoločnosti na základe platných právnych predpisov o ochrane údajov a týchto firemných pravidiel ochrany osobných údajov používateľov. Vedúci pre právnu ochranu osobných údajov a právny tím PayPal pre globálnu ochranu osobných údajov úzko spolupracuje s vedúcim pre dodržiavanie pravidiel ochrany osobných údajov a tímom PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov. Spolupracuje tiež s ďalšími internými organizáciami a tímami, napríklad s právnym tímom, s prevádzkovým tímom, tímom pre bezpečnosť údajov a riadenie rizika a poskytuje právne poradenstvo a vysvetľuje právne a regulačné dosahy na meniace sa záležitosti v súvislosti s ochranou osobných údajov v rámci skupiny PayPal na celom svete.

Tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov a právny tím PayPal pre globálnu ochranu osobných údajov spolu tvoria tím PayPal pre globálnu ochranu osobných údajov.

Európsky úradník pre ochranu údajov, ktorý sa nachádza v Luxembursku, je vymenovávaný vedením spoločnosti PayPal (Europe) S.à r.l. et Cie, S.C.A. a zodpovedá sa mu. Európsky úradník pre ochranu údajov pôsobí ako hlavná kontaktná osoba pre orgány na ochranu údajov EHP a má okrem iného nasledujúce povinnosti: poskytovať informácie a poradenstvo členom skupiny a ich zamestnancom spracovávajúcim osobné údaje v súvislosti s ich povinnosťami vyplývajúcimi z právnych predpisov, aby sa zaistilo dodržiavanie týchto firemných pravidiel ochrany údajov používateľov, ďalej spolupracovať s tímom PayPal pre globálnu ochranu osobných údajov na monitorovaní dodržiavania právnych predpisov a súvisiacich pravidiel členov skupiny a tiež v prípade potreby poskytovať právne poradenstvo členom skupiny pri hodnoteniach vplyvu ochrany osobných údajov a ich implementácii.

 

2. Zásady spracovávania osobných údajov používateľov

Členovia skupiny dodržiavajú nasledujúce zásady spracovávania osobných údajov používateľov.

2.1 Obmedzenie účelu

Osobné údaje používateľa sa spracovávajú len na konkrétne, jednoznačné a zákonné účely.  Osobné údaje používateľa sa spracovávajú predovšetkým na tieto účely:

– ponúkanie a poskytovanie služieb na základe žiadosti používateľa vrátane otvorenia účtu;

– zlepšovanie služieb a vývoj nových;

– riešenie sporov, spravovanie súdnych žalôb, riešenie problémov a poskytovanie služieb zákazníkom;

– riadenie rizík;

– spracovávanie transakcií a inkasovanie poplatkov;

– kontrola bonity a platobnej schopnosti;

– zistenie záujmu používateľov o služby prostredníctvom spätnej väzby a názorov na služby, ako aj informovanie používateľov o online a offline ponukách, službách a aktualizáciách;

– prispôsobenie rozhrania používateľovi;

– odhaľovanie chýb, podvodov a inej trestnej činnosti a ochrana pred nimi;

– plnenie zákonných, zmluvných alebo regulačných povinností skupiny PayPal;

– dodržiavanie zmluvných a iných podmienok služby opísaných používateľom v čase zhromažďovania údajov alebo v pravidlách ochrany osobných údajov služby;

– ochrana zabezpečenia, integrity a dostupnosti poskytovaných služieb a siete skupiny PayPal a

– ochrana zákonných práv a záujmov skupiny PayPal vrátane, nie však výhradne, vzniku a uplatňovania právnych nárokov alebo ochrany pred právnymi nárokmi.

Spracovávanie osobných údajov používateľov na iné účely podlieha predchádzajúcemu schváleniu právnym tímom PayPal pre globálnu ochranu osobných údajov.  Ak majú členovia skupiny nejaké pochybnosti, budú ich konzultovať s právnym tímom PayPal pre globálnu ochranu osobných údajov.

Osobné údaje používateľa sa nemajú ďalej spracovávať spôsobom, ktorý nie je v súlade s vyššie uvedenými účelmi, pokiaľ sa na to nevzťahuje právny základ podľa právnych predpisov platných pre člena skupiny v rámci EHP zodpovedného za zhromažďovanie alebo prevod osobných údajov používateľa.   

2.2 Kvalita a primeranosť údajov

Osobné údaje používateľov majú byť:

  • presné a v prípade potreby aktualizované;
  • primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracovávajú, a
  • uchovávané len na nevyhnutný čas potrebný na splnenie účelov, na ktoré boli pôvodne zhromaždené alebo ďalej spracované.  

Pokiaľ neexistuje právny dôvod na ďalšie spracovanie alebo platné právne predpisy nevyžadujú uchovanie, osobné údaje používateľov, ktoré už nie sú potrebné na účely, na ktoré boli spracované, sa majú vymazať, odstrániť, zničiť alebo anonymizovať.

2.3 Právne dôvody na spracovávanie

Členovia skupiny zabezpečia, aby sa osobné údaje používateľov spracovávali korektne a zákonne a predovšetkým na základe aspoň jedného z týchto právnych dôvodov:

  • jednoznačný súhlas používateľa;
  • spracovanie údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je používateľ, alebo na žiadosť používateľa na podniknutie krokov pred uzavretím zmluvy;
  • spracovanie údajov je nevyhnutné na splnenie zákonnej povinnosti, ktorej podliehajú členovia skupiny;
  • spracovanie údajov je nevyhnutné na ochranu dôležitých záujmov používateľa;
  • spracovanie údajov je nevyhnutné na plnenie úlohy vykonávanej vo verejnom záujme alebo v rámci uplatňovania oficiálneho oprávnenia zvereného členom skupiny alebo tretím stranám, ktorým sa údaje poskytujú, alebo
  • spracovanie údajov je nevyhnutné na dosiahnutie oprávnených záujmov člena skupiny alebo tretej strany či strán, ktorým sa údaje poskytujú, okrem prípadov, keď ich prevýšia záujmy týkajúce sa základných práv a slobôd používateľa.

Členovia skupiny vo všeobecnosti nezhromažďujú citlivé osobné údaje používateľov.  V prípade, že sa vyžaduje zhromaždenie citlivých osobných údajov používateľov alebo ak ich používatelia dobrovoľne poskytnú, členovia skupiny zabezpečia, že sa takéto údaje spracujú len na základe aspoň jedného z nasledujúcich dôvodov:

  • výslovný súhlas používateľa;
  • spracovanie údajov je nevyhnutné na ochranu dôležitých záujmov používateľa alebo inej osoby, ak používateľ nie je fyzicky alebo právne schopný poskytnúť svoj súhlas;
  • spracovanie údajov sa vzťahuje na osobné údaje používateľa, ktoré evidentne zverejnil, alebo
  • spracovanie údajov je nevyhnutné na vznik, uplatnenie alebo ochranu právnych nárokov.

Ak spracovávanie údajov zahŕňa automatické prijímanie rozhodnutí (ďalej len „automatizované rozhodnutia“), členovia skupiny by mali zabezpečiť vhodné opatrenia na ochranu oprávnených záujmov používateľa, ako napríklad poskytnúť používateľovi možnosť, aby zástupca oddelenia služieb zákazníkom skontroloval jednotlivé rozhodnutia a umožnil používateľovi vyjadriť svoj názor. V prípade, že používateľ s automatizovaným rozhodnutím naďalej nesúhlasí, zástupca oddelenia služieb zákazníkom by mal záležitosť postúpiť úradníkovi pre ochranu osobných údajov pre Európu. Ak je to vhodné, záležitosť bude prekonzultovaná s vedúcim pre právnu ochranu osobných údajov a bude o nej informovaný aj vedúci pre dodržiavanie pravidiel ochrany osobných údajov.  

2.4 Transparentnosť

Pri zhromažďovaní osobných údajov používateľov by mali členovia skupiny poskytnúť používateľom tieto informácie:

  • názov a adresa člena skupiny zodpovedného za pôvodné zhromaždenie a spracovanie údajov;
  • kategórie príslušných osobných údajov používateľa;
  • zamýšľané účely spracovania údajov;
  • kategórie príjemcu spracovateľov a tretích strán osobných údajov používateľa;
  • údaje o tom, či sú odpovede na otázky povinné alebo dobrovoľné, ako aj možné dôsledky neposkytnutia odpovedí;
  • informácie o existencii práv používateľa a
  • v prípade automatizovaného rozhodovania informácie o postupe.

Členovia skupiny môžu tieto informácie uviesť v pravidlách ochrany osobných údajov služby, ktoré by mali byť prístupné prostredníctvom odkazu alebo zobrazené na poprednom mieste na každej webovej lokalite alebo v každej aplikácii služby a počas registrácie.  Povinnosť informovať používateľov neplatí, ak používatelia už boli s týmito informáciami oboznámení.  

Ak poskytnutie informácií nie je možné alebo by si vyžadovalo neprimerané úsilie, členovia skupiny môžu od neho upustiť.  Platí to len v prípade, že osobné údaje používateľa neboli získané priamo od neho. 

Vo výnimočných prípadoch môže byť poskytnutie konkrétnych informácií odložené alebo vynechané, napríklad v prípade preverovania protiprávneho správania, v záujme dodržania platných právnych predpisov alebo v prípade, že poskytnutie informácií by mohlo ohroziť integritu vyšetrovania.

2.5 Dôvernosť a zabezpečenie údajov

Členovia skupiny používajú fyzické, technické a organizačné kontroly zabezpečenia primerané množstvu a citlivosti osobných údajov používateľov, aby zabránili neoprávnenému spracovávaniu údajov vrátane, nie však výhradne, neoprávneného prístupu k osobným údajom používateľov, k ich získaniu a použitiu, strate, poškodeniu alebo zničeniu. Členovia skupiny používajú na ochranu údajov používateľa pred neoprávneným prístupom šifrovanie, brány firewall, kontroly prístupu, normy a ďalšie postupy.  Fyzický a logický prístup k elektronickým súborom a papierovým kópiám je navyše obmedzený na základe pracovných úloh a obchodných potrieb.

2.6 Možnosti voľby a práva používateľov

Používatelia majú prístup k väčšine svojich osobných údajov, ktoré uchovávajú členovia skupiny, a môžu ich opraviť použitím príslušného online nástroja alebo samoobslužného procesu, ktorý majú k dispozícii prostredníctvom webovej lokality alebo aplikácie služby.

V každom prípade majú právo predložiť žiadosť o prístup k svojim osobným údajom, ktoré nie sú k dispozícii prostredníctvom webovej lokality alebo aplikácie služby, aby si ich mohli zobraziť alebo dostať ich kópiu. Používatelia by mali kontaktovať oddelenie služieb zákazníkom prostredníctvom pokynov uvedených na webovej lokalite alebo v aplikácii služby. Členovia skupiny vyhovejú žiadostiam v lehote stanovenej v platných právnych predpisoch okrem prípadov, keď platné právne predpisy poskytujú v súvislosti s touto povinnosťou výnimku.  Používatelia môžu byť požiadaní, aby poskytli doklad totožnosti. Ak to umožňujú platné právne predpisy, môže im byť účtovaný poplatok za poskytnutie služby.

Ak sú údaje používateľov neúplné alebo nepresné, môžu požiadať o ich opravu. Členovia skupiny vyhovejú takýmto žiadostiam, a keď budú údaje používateľov opravené, oznámia im to. Pokiaľ je to možné a ak si to nevyžaduje neprimerané úsilie, členovia skupiny upozornia tretie strany, ktorým boli údaje používateľov poskytnuté, na akúkoľvek opravu údajov.

Používatelia môžu zo závažných oprávnených dôvodov namietať proti spracovávaniu svojich osobných údajov. Členovia skupiny vyhovejú takýmto žiadostiam, pokiaľ uchovávanie osobných údajov používateľov nevyžadujú platné právne predpisy alebo ochrana skupiny PayPal pred právnymi nárokmi. Používatelia budú informovaní o výsledku svojej žiadosť a o opatreniach, ktoré členovia skupiny prijali.

Okrem toho môžu používatelia požiadať o zrušenie účtu tak, že budú postupovať podľa pokynov na webovej lokalite alebo v aplikácii služby. Členovia skupiny odstránia alebo anonymizujú údaje používateľa zo služby hneď, ako to bude možné, v závislosti od aktivity na účte.  V niektorých prípadoch môžu členovia skupiny zrušenie účtu odložiť, prípadne môžu uchovať osobné údaje používateľov aj po zrušení účtu, aby mohli uskutočniť preverovanie alebo vyhovieť platným právnym predpisom. Členovia skupiny môžu tiež uchovávať údaje používateľov zo zrušených účtov na odhaľovanie a prevenciu podvodov, na inkasovanie všetkých nezaplatených poplatkov, riešenie sporov a problémov, pomoc pri vyšetrovaní, na riadenie rizika, uplatnenie zmluvných podmienok služby, v záujme dodržania právnych a regulačných požiadaviek a na podniknutie ďalších krokov, ktoré povoľujú platné právne predpisy. Údaje sa uchovajú vo forme, ktorá umožňuje identifikáciu dotknutých osôb, ale len dovtedy, pokiaľ to bude potrebné na účely, na ktoré boli tieto údaje zhromaždené alebo na ktoré sa ďalej spracovávajú, a budú odstránené, keď príslušný dôvod na ich uchovávanie pominie.

S výnimkou tých používateľov, ktorí si vybrali, že nechcú dostávať určité oznámenia, členovia skupiny môžu používať osobné údaje používateľov v súlade s platnými právnymi predpismi na cielenú komunikáciu s používateľmi na základe ich záujmov.  Používateľom, ktorí si neprajú dostávať marketingové oznámenia od skupiny PayPal, budú ponúknuté ľahko dostupné spôsoby na zamietnutie ďalšej reklamy, napríklad v nastaveniach účtu alebo prostredníctvom pokynov uvedených v e-maile či v odkaze uvedenom v oznámení.

Používatelia môžu uplatniť vyššie uvedené práva tak, že sa obrátia na oddelenie služieb zákazníkom.  V prípade, že bude ťažké overiť totožnosť používateľa, členovia skupiny môžu vyžadovať, aby používateľ poskytol ďalší doklad totožnosti.

2.7 Poskytovanie osobných údajov

Členovia skupiny môžu na účely uvedené v časti 2.1 poskytovať v rámci bežnej obchodnej činnosti osobné údaje používateľov iným členom skupiny na celom svete.

V súlade s platnými právnymi predpismi, zmluvami alebo medzinárodnými dohovormi môžu členovia skupiny v prípade potreby v demokratických spoločnostiach poskytovať osobné údaje orgánom činným v trestnom konaní a regulačným orgánom, aby chránili národnú bezpečnosť, obranu a verejnú bezpečnosť, aby predchádzali, vyšetrovali, odhaľovali a stíhali trestné činy a predovšetkým, aby dodržiavali sankcie uvalené na základe medzinárodných alebo vnútroštátnych dokumentov a aby dodržiavali požiadavky na ohlasovanie dane a ohlasovanie v súvislosti s bojom proti praniu špinavých peňazí.

Bez výslovného súhlasu používateľa nebudú členovia skupiny predávať ani prenajímať osobné údaje používateľov tretím stranám na marketingové účely. Členovia skupiny môžu poskytnúť údaje používateľov ďalším tretím stranám na základe pokynu alebo súhlasu používateľa (ak je to prípustné podľa platných právnych predpisov).

Pri prenose osobných údajov používateľov spracovateľom sú spracovatelia pred začatím práce a pred uskutočnením akéhokoľvek prenosu osobných údajov používateľov podrobení hodnoteniu, či spĺňajú podmienky ochrany osobných a iných údajov, ako aj zabezpečenia informácií.  Rozsah hodnotenia sa líši v závislosti od citlivosti spracovávaných osobných údajov používateľov. Spracovatelia vrátane členov skupiny, ktorí vystupujú ako spracovatelia, musia uzavrieť s príslušnými členmi skupiny zmluvu, že prijmú primerané opatrenia na ochranu osobných a iných údajov, ako aj zabezpečenie informácií. Táto zmluva musí obsahovať ustanovenia zabezpečujúce, že sa s osobnými údajmi používateľov bude nakladať vhodným spôsobom a že sa pri spracovávaní použijú bezpečnostné opatrenia primerané objemu, charakteru a citlivosti osobných údajov používateľov.  Zmluvné záruky sa musia vzťahovať minimálne na tieto veci:

  • požiadavky dodržiavať právne predpisy a spracovávať osobné údaje používateľov výlučne v súlade s podmienkami zmluvy a len na základe pokynov príslušných členov skupiny;
  • vhodné technické a organizačné opatrenia prispôsobené citlivosti osobných údajov používateľov a príslušnému spôsobu spracovávania;
  • právo na audit toho, či spracovateľ dodržiava zmluvné záruky;
  • oznamovacia povinnosť pri narušení zabezpečenia údajov a
  • ustanovenia týkajúce sa nápravy v prípade, že spracovateľ nedodrží svoje zákonné a zmluvné povinnosti.

Zmluva musí okrem ďalších opravných prostriedkov obsahovať ustanovenia zabezpečujúce, že nedodržanie zmluvných podmienok môže mať za následok pozastavenie alebo ukončenie zmluvy.

Spracovatelia, ktorí už boli v minulosti podrobení hodnoteniu, či spĺňajú podmienky ochrany osobných a iných údajov, ako aj zabezpečenia informácií, nie sú povinní sa takémuto hodnoteniu podrobiť znova okrem prípadov, keď spracovávanie zahŕňa vysokorizikové činnosti, berúc do úvahy charakter a objem spracovávaných osobných údajov, ako aj typ príslušného spracovávania.

Bez ohľadu na uvedené vyššie, keď členovia skupiny prenášajú osobné údaje používateľov z EHP tretím stranám alebo spracovateľom, ktorí nie sú členmi skupiny: i) nachádzajúcim sa v krajinách, ktoré neposkytujú primeranú úroveň ochrany (v zmysle smernice 95/46/ES), ii) na ktorých sa nevzťahujú schválené záväzné firemné pravidlá alebo iii) ktorí nemajú iné opatrenia, ktoré by vyhovovali požiadavkám primeranosti podľa práva EÚ, člen skupiny zabezpečí, aby:

  • tretie strany zaviedli vhodné zmluvne dohodnuté kontroly, napríklad modelové zmluvné doložky schválené Európskou komisiou, ktoré poskytujú úroveň ochrany zodpovedajúcej týmto firemným pravidlám ochrany údajov používateľov, alebo sa uistili, že prevod i) sa uskutoční s jednoznačným súhlasom používateľa, ii) je potrebný na uzatvorenie alebo plnenie zmluvy s používateľom, iii) je potrebný alebo jeho uskutočnenie si vyžadujú právne predpisy z dôvodu dôležitého verejného záujmu alebo iv) je nevyhnutný na ochranu dôležitých záujmov používateľa;
  • spracovatelia zaviedli zmluvne dohodnuté kontroly, napríklad modelové zmluvné doložky schválené Európskou komisiou, ktoré poskytujú úroveň ochrany zodpovedajúcej týmto firemným pravidlám ochrany údajov používateľov.
     

3. Mechanizmus podávania a vybavovania sťažností

Ak sú používatelia presvedčení, že ich osobné údaje boli spracované v rozpore s firemnými pravidlami ochrany údajov používateľov, obavy môžu oznámiť oddeleniu služieb zákazníkom príslušného člena skupiny cez príslušnú webovú lokalitu služby, e-mail služby alebo iným spôsobom uvedeným v príslušných zmluvných podmienkach.  Odpovede na najčastejšie otázky týkajúce sa ochrany osobných údajov môžu používatelia zvyčajne nájsť zadaním výrazu „ochrana osobných údajov“ v časti Pomoc príslušnej služby, ktorá používateľa zvyčajne presmeruje na konkrétnu stránku, kde sa nachádzajú pravidlá ochrany osobných údajov.  Časť Pomoc príslušnej služby slúži na to, aby tu používatelia mohli získať odpovede na všetky otázky týkajúce sa ochrany alebo spracovania osobných údajov a používateľom tiež umožňuje kontaktovať oddelenie služieb zákazníkom. 

Ak majú používatelia pochybnosti o tom, akým spôsobom majú oznámiť svoje obavy týkajúce sa ochrany osobných údajov, môžu kontaktovať európskeho úradníka pre ochranu údajov online.

Obavy používateľov preveruje a rieši oddelenie služieb zákazníkom. Zamestnanci zodpovední za riešenie otázok týkajúcich sa ochrany osobných údajov úzko spolupracujú s tímom PayPal pre globálnu ochranu osobných údajov a odpovedajú používateľom v súlade s pravidlami, postupmi a pokynmi spoločnosti PayPal.  Ak sa používatelia domnievajú, že ich sťažnosť nebola náležitým spôsobom vyriešená, alebo ak nedostali odpoveď, môžu požiadať, aby bola ich sťažnosť postúpená európskemu úradníkovi pre ochranu údajov. Záležitosť bude prekonzultovaná s vedúcim pre právnu ochranu osobných údajov a bude o nej informovaný aj vedúci pre dodržiavanie pravidiel ochrany osobných údajov. Spôsob postúpenia sťažnosti bude určený na základe jej charakteru a rozsahu. Sťažnosť má byť bezodkladne odoslaná príslušnému tímu.  Odpoveď na sťažnosť má byť poskytnutá v primeranej lehote, a to do troch (3) mesiacov od podania. Výnimočne, v prípade nezvyčajných okolností alebo zložitých otázok, to môže trvať aj dlhšie. V tom prípade však bude používateľ informovaný, že odpoveď bude trvať dlhšie ako tri (3) mesiace.

Mechanizmus podávania sťažností nemá vplyv na právo používateľa podať sťažnosť na príslušný orgán na ochranu údajov alebo na súd.

 

4. Práva a záväzky oprávnenej tretej strany

Používatelia z EHP, ktorí majú podozrenie, že došlo k porušeniu firemných pravidiel ochrany údajov používateľov mimo EHP, majú právo domáhať sa uplatnenia firemných pravidiel ochrany údajov používateľov ako oprávnené tretie strany pre časti 2, 3, 4, 7 a 8 firemných pravidiel ochrany údajov používateľov pred príslušnými orgánmi na ochranu údajov, pred súdmi hlavného člena skupiny alebo pred súdmi člena skupiny, ktorý koná ako vývozca údajov.  Tieto práva presadzovania dopĺňajú iné prostriedky nápravy či práva poskytované spoločnosťou PayPal alebo dostupné podľa platných právnych predpisov.

Hoci to nie je povinné, používateľom z EHP sa odporúča, aby svoju sťažnosť nahlásili skôr priamo členovi skupiny ako orgánom na ochranu údajov alebo súdom.  Vďaka tomu môže skupina PayPal rýchlo a efektívne reagovať a minimalizuje sa tak zdržanie spôsobené postupmi orgánov na ochranu údajov alebo súdnym konaním.

PayPal Europe S.à r.l. et Cie, S.C.A., spoločnosť s ručením obmedzeným zaregistrovaná v Luxembursku, prijíma zodpovednosť za to, že členovia skupiny budú dodržiavať firemné pravidlá ochrany údajov používateľov, a súhlasí s tým, že bude na dodržiavanie dohliadať.  Hlavný člen skupiny sa zaväzuje (i) podniknúť potrebné kroky na nápravu porušenia pravidiel, ktorého sa dopustil člen skupiny mimo EHP, a (ii) vyplatiť náhradu používateľom z EHP, ktorú im priznal hlavný orgán na ochranu údajov alebo luxemburské súdy za akékoľvek škody priamo vyplývajúce z porušenia firemných pravidiel ochrany údajov používateľov členmi skupiny mimo EHP v prípade, že by príslušný člen skupiny nebol schopný alebo ochotný zaplatiť odškodnenie alebo splniť príkaz. 

Hlavný člen skupiny berie na vedomie a súhlasí s tým, že v prípade údajného porušenia firemných pravidiel ochrany údajov používateľov nesie dôkazné bremeno.

Hlavný člen skupiny (alebo ktorýkoľvek iný člen skupiny) nenesie žiadnu zodpovednosť, ak na základe dostupných skutočností a berúc do úvahy pripomienky používateľa primerane preukáže, že člen skupiny mimo EHP neporušil firemné pravidlá ochrany údajov používateľov alebo nie je zodpovedný za škody uvádzané používateľom.

 

5. Školenia

Členovia skupiny zabezpečia, aby všetci zamestnanci spracovávajúci osobné údaje používateľov, ako aj zamestnanci, ktorí sa podieľajú na navrhovaní nástrojov používaných na zhromažďovanie a spracovávanie osobných údajov používateľov, dostanú školenie týkajúce sa ochrany osobných údajov a zabezpečenia informácií, ktorého cieľom je v súlade s týmito firemnými pravidlami ochrany údajov používateľov informovať zamestnancov a zdôrazniť im potrebu chrániť osobné údaje používateľov. 

Od zamestnancov sa vyžaduje, aby každoročne absolvovali online školenie dodržiavania pravidiel zamerané na kódex obchodného správania a etiky, ktorý obsahuje aj časť o ochrane údajov.  Od nových zamestnancov sa vyžaduje, aby online školenie dodržiavania pravidiel absolvovali ešte pred začatím práce.

Okrem tohto online školenia dodržiavania pravidiel tím PayPal pre globálnu ochranu osobných údajov a európsky úradník pre ochranu údajov organizujú školenia ochrany osobných údajov a zabezpečenia informácií, aby informovali zamestnancov a zdôraznili im potrebu ochrany a zabezpečenia osobných údajov. Takéto školenia sa uskutočňujú každoročne alebo aj častejšie, ak to vyžadujú okolnosti.

Školenia zamestnancov sa majú prispôsobiť úrovni ich prístupu k osobným údajom používateľov. Zamestnancom s vyššou úrovňou prístupu by mali byť poskytnuté dodatočné školenia. 

Členovia skupiny by mali informovať zamestnancov, že nedodržanie týchto firemných pravidiel ochrany údajov používateľov môže viesť k disciplinárnym alebo iným opatreniam, ktoré umožňujú príslušné právne predpisy.  Kópia týchto firemných pravidiel ochrany údajov používateľov a ďalšie príslušné pravidlá a postupy týkajúce sa ochrany a zabezpečenia osobných údajov sú zamestnancom kedykoľvek k dispozícii na intranete spoločnosti. Firemné pravidlá ochrany údajov používateľov sú aj súčasťou kódexu obchodného správania a etiky, ktorý si všetci zamestnanci musia prečítať a vyjadriť súhlas, že ho budú dodržiavať. 

 

6. Audity a monitorovanie

Na zabezpečenie dodržiavania týchto firemných pravidiel ochrany údajov používateľov tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov pravidelne preveruje činnosti a postupy pri spracovávaní osobných údajov. Tieto činnosti sú koordinované v úzkej spolupráci s európskym úradníkom pre ochranu údajov.

Tím vnútorného auditu je nezávislý a objektívny poradca manažmentu a predstavenstva, ktorý prostredníctvom výboru pre audit oznamuje zistenia auditu predstavenstvu, vedúcim pre ochranu osobných údajov a európskemu úradníkovi pre ochranu údajov. 

Tím vnútorného auditu môže pravidelne vykonávať kontrolu činností alebo postupov, ktoré určí tím pre globálnu ochranu osobných údajov. Na zabezpečenie dodržiavania záväzných firemných pravidiel by mali tím vnútorného auditu, vedúci pre ochranu osobných údajov a európsky úradník pre ochranu údajov v prípade potreby vykonať akčný plán. Ak sa vnútorným skupinám nepodarí vyriešiť záležitosti náležite, skupina môže ďalším riešením poveriť nezávislých externých audítorov.

Európsky úradník pre ochranu údajov, tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov alebo tímy vnútorného auditu a externí audítori vypracujú na základe miery rizika pri spracovávaní údajov podrobné plány a časové harmonogramy auditu.

Výsledky auditu ochrany osobných údajov budú k dispozícii príslušným orgánom na ochranu údajov.  Spoločnosť PayPal si vyhradzuje právo utajiť niektoré časti správ o audite, aby zabezpečila dôvernosť majetkových alebo iných dôverných informácií o spoločnosti. 

 

7. Vzťah medzi firemnými pravidlami ochrany údajov používateľov a vnútroštátnymi právnymi predpismi

Keďže v rôznych častiach sveta existujú rôzne zákonné požiadavky týkajúce sa ochrany údajov, firemné pravidlá ochrany údajov používateľov tvoria jednotný súbor požiadaviek na zabezpečenie primeranej ochrany pri spracovávaní osobných údajov používateľov. Hoci sa od členov skupiny vyžaduje, aby dodržiavali firemné pravidlá ochrany údajov používateľov obsahujúce základné požiadavky, členovia skupiny majú dodržiavať platné právne predpisy, ktoré môžu stanovovať prísnejšie normy ako normy uvedené v týchto firemných pravidlách.

Žiadne ustanovenie v týchto firemných pravidlách ochrany údajov používateľov nemá vplyv na povinnosti členov skupiny, ktoré im vyplývajú z platných zákonov o bankách, najmä v súvislosti s bankovým tajomstvom.   Ak sú platné právne predpisy v rozpore s týmito firemnými pravidlami ochrany údajov používateľov, členovi skupiny bránia v plnení jeho povinností podľa týchto firemných pravidiel a majú významný vplyv na záruky v nich poskytnuté, člen skupiny by mal o tom bezodkladne informovať európskeho úradníka pre ochranu údajov okrem prípadov, keď je poskytnutie takýchto informácií zakázané orgánom presadzovania práva alebo zákonom.  Európsky úradník pre ochranu údajov, vedúci pre ochranu osobných údajov a hlavný člen skupiny by mali určiť vhodný postup a v prípade pochybností sa poradiť s príslušným orgánom na ochranu údajov.

 

8. Vzájomná pomoc a spolupráca s orgánmi na ochranu údajov

Členovia skupiny budú pri spracovávaní žiadostí alebo sťažností od používateľov v súvislosti s týmito firemnými pravidlami ochrany údajov používateľov spolupracovať a navzájom si pomáhať.

Členovia skupiny majú na žiadosti od orgánov na ochranu údajov, ktoré súvisia s týmito firemnými pravidlami ochrany údajov používateľov, odpovedať náležite a svedomito.  Ak zamestnanec dostane takúto žiadosť od orgánu na ochranu údajov, mal by okamžite informovať európskeho úradníka pre ochranu údajov.   

Členovia skupiny majú pri zisťovaniach orgánov na ochranu údajov v EHP spolupracovať a prijímať ich audity v súvislosti s dodržiavaním týchto firemných pravidiel ochrany údajov používateľov a budú rešpektovať ich rozhodnutia v súlade s platnými právnymi predpismi a príslušnými procesnými právami.   

 

9. Aktualizácie obsahu týchto firemných pravidiel ochrany údajov používateľov a zoznam viazaných členov

Spoločnosť PayPal si vyhradzuje právo v prípade potreby upraviť tieto firemné pravidlá ochrany údajov používateľov, napríklad zosúladiť ich so zmenami platných právnych predpisov, pravidiel, nariadení, smerníc spoločnosti PayPal, postupov a organizačnej štruktúry alebo požiadaviek uložených príslušnými orgánmi na ochranu údajov.

Všetky potrebné zmeny týchto firemných pravidiel ochrany údajov používateľov navrhuje právny tím PayPal pre globálnu ochranu osobných údajov (pod vedením vedúceho právneho tímu pre ochranu osobných údajov). Všetky zmeny firemných pravidiel ochrany údajov používateľov musí schváliť tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov (pod vedením vedúceho pre dodržiavanie pravidiel ochrany osobných údajov) a európsky úradník pre ochranu údajov. Majú tiež sledovať všetky zmeny vo firemných pravidlách ochrany údajov používateľov, ako aj akékoľvek zmeny v zozname členov skupiny. Členovia skupiny majú nahlásiť zmeny firemných pravidiel ochrany údajov používateľov príslušným orgánom na ochranu údajov na oficiálne schválenie a tak, ako to vyžadujú platné právne predpisy.

Hlavný člen skupiny prekonzultuje s hlavným orgánom na ochranu údajov podstatné zmeny firemných pravidiel ochrany údajov používateľov, ktoré by mohli mať vplyv na dodržiavanie pravidiel ochrany údajov alebo uplatňovanie týchto firemných pravidiel ochrany údajov používateľov.  Hlavný člen skupiny oznámi hlavnému orgánu na ochranu údajov podstatné zmeny firemných pravidiel ochrany údajov používateľov a zmeny v zozname členov skupiny minimálne raz za rok.  Tím PayPal pre globálnu ochranu osobných údajov úzko spolupracuje s európskym úradníkom pre ochranu údajov, ktorý v mene spoločnosti PayPal najmä koordinuje poskytovanie odpovedí a bezodkladne reaguje na pripomienky, návrhy alebo námietky proti zmenám, ktoré vznesie hlavný orgán na ochranu údajov. Akékoľvek pripomienky, návrhy alebo námietky vznesené inými orgánmi na ochranu údajov oznámi európskemu úradníkovi pre ochranu údajov hlavný orgán na ochranu údajov, ktorý bude konať v ich mene.  

Zmeny firemných pravidiel ochrany údajov používateľov platia pre všetkých členov skupiny odo dňa nadobudnutia účinnosti.  O významných zmenách firemných pravidiel ochrany údajov používateľov informujú členovia skupiny používateľov v časovom predstihu spôsobom, ktorý je v súlade s predvoľbami používateľov, a to buď hromadným e-mailom, alebo zverejnením na webovej lokalite s jasným upozornením, že došlo k zmene firemných pravidiel ochrany údajov používateľov. Členovia skupiny zverejnia revidované firemné pravidlá ochrany údajov používateľov na vybraných externých webových lokalitách alebo v aplikáciách, ktoré majú používatelia dostupné.  Revízie firemných pravidiel ochrany údajov používateľov nadobúdajú účinnosť do dvoch mesiacov po tom, ako členovia skupiny informujú používateľov o zmene a zverejnia revidované firemné pravidlá ochrany údajov používateľov.

 

10. Zverejnenie

Firemné pravidlá ochrany údajov používateľov majú byť zverejnené a odkaz na ne má byť dostupný na webovej lokalite alebo v aplikáciách služby.  Používatelia môžu o kópiu pravidiel požiadať európskeho úradníka pre ochranu údajov na adrese PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembursko alebo online.

 

11. Záverečné ustanovenia

Dátum nadobudnutia účinnosti: 25. máj 2018

Kontaktné údaje: Ak majú používatelia akékoľvek otázky alebo obavy v súvislosti s týmito firemnými pravidlami ochrany údajov používateľov, môžu sa obrátiť na:

Európskeho úradníka pre ochranu údajov (The European Data Protection Officer)

PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembursko

 

12. Vymedzenie pojmov

Členovia skupiny majú tlmočiť firemné pravidlá ochrany údajov používateľov spôsobom, ktorý sa čo najviac zhoduje so základnými zásadami uvedenými v smernici EÚ č. 95/46/ES alebo v akejkoľvek nahradzujúcej smernici či nariadení. 

Na účely týchto firemných pravidiel ochrany údajov používateľov platí toto vymedzenie pojmov:

Predstavenstvo znamená predstavenstvo hlavného člena skupiny.

Orgány na ochranu údajov sú verejné orgány, ktoré sú v rámci svojho územia zodpovedné za monitorovanie a presadzovanie vnútroštátnych zákonov prijatých štátmi EHP v súlade so smernicou EÚ o ochrane údajov (95/46/ES).

EHP znamená Európsky hospodársky priestor, ktorý v súčasnosti zahŕňa členské štáty EÚ, Island, Lichtenštajnsko a Nórsko.

Zamestnanec je zamestnanec, pracovník, praktikant alebo iný člen personálu vrátane dočasných pracovníkov, alternatívnej pracovnej sily alebo dodávateľov člena skupiny, či už sú v zamestnaneckom, alebo inom vzťahu na plný alebo čiastočný úväzok bez ohľadu na typ zamestnaneckého alebo iného vzťahu.

Európsky úradník pre ochranu údajov je zamestnanec, ktorý je vymenovaný manažmentom hlavného člena skupiny, ktorému sa zodpovedá, a slúži aj ako člen právneho tímu PayPal pre globálnu ochranu osobných údajov. Európsky úradník pre ochranu údajov sa nachádza v Luxembursku.

Člen skupiny je subjekt skupiny PayPal, ktorý podpísal dohodu IGA.

Dohoda IGA (Intra-Group Agreement) je dohoda v rámci skupiny.

Hlavný orgán na ochranu údajov je „Commission nationale pour la ochranu des données“ (CNPD) v Luxembursku.

Hlavný člen skupiny je spoločnosť PayPal (Europe) S.à r.l. & Cie, S.C.A., súkromná spoločnosť s ručením obmedzeným zaregistrovaná v Luxembursku.

Tím PayPal pre globálnu ochranu osobných údajov tvorí tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov a právny tím PayPal pre globálnu ochranu osobných údajov.

Tím PayPal pre globálne dodržiavanie pravidiel ochrany osobných údajov tvoria členovia organizácie pre dodržiavanie pravidiel, ktorí sa konkrétne zaoberajú dodržiavaním a fungovaním programu PayPal na ochranu osobných údajov. 

Právny tím PayPal pre globálnu ochranu osobných údajov tvoria členovia právneho oddelenia, ktorí sa konkrétne zaoberajú ochranou osobných údajov.

Skupina PayPal je PayPal Holdings, Inc. (ďalej len „PayPal“) a ktorýkoľvek subjekt spracovávajúci údaje používateľov, ktorý je priamo alebo nepriamo riadený spoločnosťou PayPal, pričom riadenie znamená vlastníctvo viac ako 50 % hlasovacích práv na zvolenie riaditeľov spoločnosti alebo viac ako 50 % vlastnícky podiel v spoločnosti.

Osobné údaje sú akékoľvek údaje týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná osoba je tá, ktorá sa dá identifikovať priamo alebo nepriamo, najmä podľa identifikačného čísla alebo jedného či viacerých faktorov špecifických pre jej fyzickú, fyziologickú, duševnú, ekonomickú, kultúrnu alebo sociálnu totožnosť.

Spracovanie je akákoľvek operácia alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi, či už automatizovane, alebo neautomatizovane, ako napríklad zhromažďovanie, zaznamenávanie, organizovanie, uchovávanie, prispôsobovanie alebo zmena, načítanie, nahliadanie, používanie, poskytovanie prenosom, šírením alebo iným zverejnením, zosúladenie alebo kombinovanie, blokovanie, vymazanie alebo zničenie osobných údajov.

Spracovateľ je akákoľvek fyzická alebo právnická osoba, ktorá v mene člena skupiny spracováva osobné údaje.

Citlivé osobné údaje sú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborových organizáciách, informácie týkajúce sa trestnej činnosti alebo informácie týkajúce sa zdravotného stavu či sexuálneho života.

Služba znamená webovú lokalitu, aplikáciu alebo iný produkt či službu ponúkanú skupinou PayPal na použitie pre používateľa.

Tretia strana je fyzická alebo právnická osoba, verejný orgán, agentúra alebo akýkoľvek ďalší orgán iný ako používateľ, člen skupiny, spracovateľ alebo jednotlivci, ktorí majú oprávnenie spracovávať osobné údaje pod priamym dohľadom člena skupiny alebo spracovateľa, ako napríklad zamestnanci.

Používateľ je bývalý alebo súčasný zákazník, klient, investor, obchodný partner alebo obchodník.

Osobné údaje používateľa sú osobné údaje týkajúce sa používateľa.