อัปเดตล่าสุดเมื่อ 1 ธันวาคม ค.ศ. 2021
อัปเดตล่าสุดเมื่อ 1 ธันวาคม ค.ศ. 2021
บทต่อท้ายนโยบายคุ้มครองข้อมูลของ PayPal สำหรับผลิตภัณฑ์ประมวลผลบัตร ("บทต่อท้าย") นี้มีผลบังคับใช้กับผลิตภัณฑ์ บริการใดๆ หรือข้อเสนออื่นๆ ที่บริษัทในเครือ PayPal ("PayPal") ให้บริการประมวลผลบัตร เกตเวย์ และ/หรือการป้องกันการฉ้อโกง ("บริการการเงิน") แก่คุณ ผู้ค้า ("ผู้ค้า" หรือ "คุณ") บทต่อท้ายนี้ไม่มีผลบังคับใช้กับบริการกระเป๋าสตางค์ของ PayPal เช่น ข้อเสนอชำระเงินด้วย PayPal หรือชำระเงินในภายหลังของ PayPal บทต่อท้ายนี้เป็นส่วนหนึ่งของข้อตกลงที่เกี่ยวข้องระหว่างผู้ค้าและ PayPal ที่ควบคุมการให้บริการชําระเงินของ PayPal แก่คุณ ("ข้อตกลง") และรวมไว้ในที่นี้โดยการอ้างอิง ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดของบทต่อท้ายนี้กับสัญญา ข้อกำหนดของบทต่อท้ายนี้จะถูกนำมาบังคับใช้ คำที่เป็นตัวหนาที่ใช้แต่ไม่ได้นิยามไว้ในบทต่อท้ายนี้จะมีความหมายตามที่กำหนดไว้ในสัญญา
บทต่อท้ายนี้มีผลบังคับใช้หลังจาก (i) วันที่มีผลบังคับใช้ที่ระบุไว้ในสัญญา หรือ (ii) วันที่มีผลบังคับใช้ที่ระบุไว้ในประกาศที่ประกาศไว้หรือที่ให้ไว้แก่คุณซึ่งเกี่ยวกับบทต่อท้ายนี้ เราอาจแก้ไขบทต่อท้ายนี้เป็นครั้งคราว สัญญาฉบับแก้ไขจะมีผลทันทีที่เราลงประกาศบนเว็บไซต์ของเรา เว้นแต่จะระบุไว้เป็นอย่างอื่น ถ้าการเปลี่ยนแปลงของเราลดสิทธิ์ของคุณหรือเพิ่มความรับผิดชอบของคุณ เราจะประกาศให้ทราบในหน้า "การอัปเดตนโยบาย" ในเว็บไซต์ของเราภายในกรอบเวลาที่กำหนดไว้โดยสัญญา ถ้าคุณไม่ยอมรับการเปลี่ยนแปลงใดๆ ในบทต่อท้ายนี้ คุณสามารถยุติการใช้บริการชำระเงิน
คำจำกัดความ
คำต่อไปนี้มีความหมายตามที่ระบุด้านล่างเมื่อใช้ในบทต่อท้ายนี้:
"ผู้ควบคุม" หมายถึง นิติบุคคลที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล หรือในกรณีที่คำดังกล่าว (หรือคำที่มีการใช้งานที่คล้ายคลุงกัน) มีการให้คำจำกัดความไว้ในกฎหมายคุ้มครองข้อมูล "ผู้ควบคุม" จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
"ลูกค้า" หมายถึง ลูกค้าของคุณที่ใช้บริการชำระเงิน และเพื่อวัตถุประสงค์ของบทต่อท้ายนี้ หมายถึงเจ้าของข้อมูล
“ข้อมูลของลูกค้า” หมายถึง ข้อมูลส่วนบุคคลที่ (i) ลูกค้าให้ไว้แก่ผู้ค้า และผู้ค้าได้ส่งต่อไปยัง PayPal ผ่านการใช้บริการชำระเงินของผู้ค้า และ (ii) PayPal อาจเก็บรวบรวมจากอุปกรณ์และเบราว์เซอร์ของลูกค้าผ่านการใช้บริการชำระเงินโดยผู้ค้า
"กฎหมายคุ้มครองข้อมูล" หมายถึง กฎหมายคุ้มครองข้อมูล ข้อบังคับ คำสั่ง ข้อกำหนดตามกฎหมาย และประมวลการปฏิบัติที่เกี่ยวข้องกับการให้บริการชำระเงิน รวมถึงการแก้ไขใดๆ เกี่ยวกับบริการดังกล่าว และข้อบังคับหรือเครื่องมือใดๆ ที่เกี่ยวข้อง (เช่น กฎหมายความเป็นส่วนตัวผู้บริโภคแคลิฟอร์เนีย ค.ศ. 2018 Cal. Civ. Code § 1798.100 et seq, กฎหมายคุ้มครองข้อมูลส่วนบุคคล (สหภาพยุโรป) 2016/679 (GDPR) กฎหมายความเป็นส่วนตัวของออสเตรเลีย ค.ศ. 1988 (Cth) กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารทางอิเล็กทรอนิกส์ (แคนาดา) กฎหมายคุ้มครองข้อมูลส่วนบุคคล (ความเป็นส่วนตัว) (Cap.486) (ฮ่องกง) กฎหมายคุ้มครองข้อมูลส่วนบุคคลของบราซิล, กฎหมายของรัฐบาลกลางเลขที่ 13,709/2018 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ค.ศ. 2012 (สิงคโปร์))
"บริษัทในเครือ PayPal" หมายถึง PayPal, Inc. และบริษัททั้งหมดที่ PayPal หรือผู้สืบทอดของ PayPal เป็นเจ้าของหรือควบคุมโดยตรงหรือโดยอ้อมในวาระใดวาระหนึ่งหรือหลายวาระ
"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ถูกระบุหรือสามารถระบุตัวตนได้ ("เจ้าของข้อมูล") บุคคลธรรมดาที่สามารถระบุตัวตนได้คือผู้ที่สามารถระบุตัวตนได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยการอ้างอิงข้อมูลระบุตัวตน เช่น ชื่อ หมายเลขประจำตัวประชาชน ข้อมูลตำแหน่งที่ตั้ง ข้อมูลระบุตัวตนทางออนไลน์ หรือโดยการอ้างอิงปัจจัยหนึ่งข้อหรือมากกว่าที่เจาะจงถึงอัตลักษณ์ทางกายภาพ ทางสรีรวิทยา ทางพันธุกรรม ทางสภาพจิตใจ ทางเศรษฐกิจ ทางวัฒนธรรม หรือทางสังคมของบุคคลธรรมดาดังกล่าว
"ประมวลผล" หรือคำที่ระบุถึงการใช้งานที่คล้ายคลึงกันเมื่อใช้ในบทต่อท้ายนี้จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
PayPal ในฐานะผู้ควบคุม
PayPal จะปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้กับผู้ควบคุมในแง่เกี่ยวกับการประมวลผลข้อมูลของลูกค้าภายใต้บทต่อท้ายนี้ (รวมถึงโดยไม่จำกัดเฉพาะการดำเนินการและการดูแลรักษามาตรการความปลอดภัยที่เหมาะสมทั้งหมดตลอดเวลาที่เกี่ยวกับการประมวลผลข้อมูลของลูกค้า) และจะไม่จงใจดำเนินการใดๆ หรืออนุญาตให้มีการดำเนินการใดๆ กับข้อมูลของลูกค้าที่อาจนำไปสู่การละเมิดกฎหมายคุ้มครองข้อมูลโดยผู้ค้า PayPal จะโอนเฉพาะข้อมูลของลูกค้าเท่านั้นให้กับบุคคลภายนอก ผู้ประมวลผลย่อยหรือสมาชิกของบริษัทในเครือ PayPal ซึ่งได้ลงนามในข้อตกลงเป็นลายลักษณ์อักษรที่ประกอบด้วยข้อกำหนดสำหรับการคุ้มครองข้อมูลของลูกค้า ซึ่งมีระดับการคุ้มครองไม่น้อยไปกว่าข้อกำหนดที่ระบุไว้ในบทต่อท้ายนี้
การประมวลผลข้อมูลของลูกค้าที่เกี่ยวข้องกับบริการชำระเงิน
คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่าผู้ค้าและ PayPal คือผู้ควบคุมที่เป็นอิสระต่อกันในส่วนที่เกี่ยวข้องกับข้อมูลของลูกค้าทั้งหมดที่ประมวลผลโดยเกี่ยวข้องกับบริการชำระเงิน ดังนั้น PayPal จึงกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลของลูกค้าดังกล่าวโดยอิสระ และไม่ได้เป็นผู้ควบคุมร่วมกับผู้ค้าในแง่ที่เกี่ยวข้องกับข้อมูลของลูกค้าดังกล่าว
คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า PayPal ได้รับอนุญาตให้ใช้ ทำสำเนา และประมวลผลข้อมูลของลูกค้าและข้อมูลการทำรายการชำระเงินเพื่อวัตถุประสงค์ที่จำกัดดังต่อไปนี้:
ประกาศจากผู้ค้าไปยังลูกค้า
ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อ (i) แจ้งให้ลูกค้าทราบในนโยบายความเป็นส่วนตัวของตนว่า PayPal เป็นผู้ควบคุมโดยอิสระเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลของลูกค้าตามที่ระบุไว้ในบทต่อท้ายนี้ และ (ii) ใส่ลิงก์ไปยังนโยบายความเป็นส่วนตัวของ PayPal ซึ่งสามารถอ่านได้ที่ www.paypal.com ในนโยบายความเป็นส่วนตัวของผู้ค้า
ความช่วยเหลือร่วมกัน
คู่สัญญาทั้งสองฝ่ายตกลงที่จะดำเนินการร่วมกับแต่ละฝ่ายภายในขอบเขตที่จำเป็นตามสมควร เพื่อช่วยให้อีกฝ่ายดำเนินการตามความรับผิดชอบของตนอย่างเพียงพอในฐานะผู้ควบคุมอิสระภายใต้กฎหมายคุ้มครองข้อมูล คู่สัญญาทั้งสองฝ่ายตกลงว่า ภายในขอบเขตที่ผู้ค้าได้รับคำขอเข้าถึงข้อมูลจากเจ้าของข้อมูลหรือการใช้สิทธิ์ใดๆ ของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูล ผู้ค้าจะดำเนินการตามคำขอเข้าถึงดังกล่าวของลูกค้าโดยตรง ผู้ค้ายังต้องแจ้งให้ลูกค้าทราบว่าลูกค้าสามารถใช้สิทธิ์ในฐานะเจ้าของข้อมูลที่เกี่ยวข้องกับบริการชำระเงินกับ PayPal ตามคําแนะนําที่ระบุไว้ในนโยบายความเป็นส่วนตัวซึ่งสามารถอ่านได้ที่ www.paypal.com นอกจากนี้ ในกรณีที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยใดๆ ซึ่ง PayPal ได้ตัดสินใจแต่เพียงผู้เดียวว่าจะต้องแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบ และ PayPal ไม่มีข้อมูลติดต่อที่จำเป็นของลูกค้าที่ได้รับผลกระทบเพื่อทำการติดต่อสื่อสารดังกล่าว ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อให้ข้อมูลเกี่ยวกับลูกค้าที่ผู้ค้าอาจมีไว้ในครอบครองแก่ PayPal เพื่อวัตถุประสงค์ที่จำกัดในการช่วยให้ PayPal ปฏิบัติตามภาระหน้าที่ในการแจ้งข้อมูลให้ลูกค้าที่ได้รับผลกระทบทราบภายใต้กฎหมายคุ้มครองข้อมูล
การโอนข้อมูลข้ามพรมแดน
คู่สัญญาทั้งสองฝ่ายตกลงว่า PayPal อาจโอนข้อมูลของลูกค้าที่ประมวลผลภายใต้สัญญาฉบับนี้ไปนอกประเทศที่เก็บรวบรวมได้ตามความจําเป็นเพื่อให้บริการชำระเงิน ถ้า PayPal โอนข้อมูลของลูกค้าที่ได้รับการคุ้มครองภายใต้บทต่อท้ายนี้ไปยังเขตอํานาจศาลที่หน่วยงานกำกับดูแลที่เกี่ยวข้องในประเทศที่เก็บรวบรวมข้อมูลไม่ได้ออกคำวินิจฉัยที่เพียงพอ PayPal จะตรวจสอบให้แน่ใจว่ามีการดำเนินการป้องกันที่เหมาะสมเพื่อให้การโอนข้อมูลของลูกค้าสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ตัวอย่างเช่น และเพื่อให้เป็นไปตามกฎข้อบังคับของ GDPR เรายึดถือกฎองค์กรที่มีผลผูกพันที่ได้รับการอนุมัติโดยหน่วยงานกำกับดูแลที่มีอำนาจและกลไกการโอนข้อมูลอื่นๆ ในการโอนข้อมูลของลูกค้าไปยังบริษัทอื่นๆ ในเครือ PayPal
เกี่ยวกับการโอนข้อมูลลูกค้าของคุณซึ่งอยู่ในสหภาพยุโรป สวิตเซอร์แลนด์ เขตเศรษฐกิจยุโรป และ/หรือรัฐที่เป็นสมาชิกหรือสหราชอาณาจักรไปยัง PayPal โดยคุณ แต่ละฝ่ายตกลงว่า (i) ในขอบเขตที่เกี่ยวข้อง การลงนามในข้อตกลงของคุณจะถือเป็นลายเซ็นและการยอมรับคําตัดสินของคณะกรรมาธิการยุโรปที่นําไปปฏิบัติ (สหภาพยุโรป) 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับมาตรามาตรฐานทางสัญญาสําหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม ตามกฎหมาย GDPR ("มาตราการโอนของสหภาพยุโรป" ) โดยผู้ค้า ในฐานะผู้ส่งออกข้อมูลและในบทบาทของผู้ควบคุม และจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการคุ้มครองข้อมูลมาตรฐานที่ระบุไว้ในกฎข้อบังคับของรัฐมนตรีต่างประเทศภายใต้มาตรา 17C (ข) ของกฎหมายคุ้มครองข้อมูล 2018 และมีผลบังคับใช้ในสหราชอาณาจักรในขณะนั้น ("มาตราการโอนของสหราชอาณาจักร") ในฐานะผู้ส่งออกข้อมูล (ii) ภายในขอบเขตที่เกี่ยวข้อง ลายเซ็นของ PayPal ในข้อตกลงจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการโอนของสหภาพยุโรปโดย PayPal ในฐานะผู้นําเข้าข้อมูลและในบทบาทของผู้ควบคุม และจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการโอนของสหราชอาณาจักรในฐานะผู้นําเข้าข้อมูล และ (iii) คู่สัญญาจะต้องอยู่ภายใต้บทบัญญัติของโมดูล 1 ของมาตราการโอนของสหภาพยุโรป ในกรณีที่คณะกรรมาธิการยุโรปหรือรัฐมนตรีต่างประเทศของสหราชอาณาจักร (หรือหน่วยงานอื่นที่ได้รับอนุญาตของสหราชอาณาจักร) ได้มีการแก้ไข และหลังจากนั้นเผยแพร่มาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ตามลําดับ (หรือตามที่กําหนดหรือดําเนินการโดยคณะกรรมาธิการยุโรปหรือรัฐมนตรีต่างประเทศของสหราชอาณาจักร (หรือหน่วยงานอื่นที่ได้รับอนุญาตของสหราชอาณาจักรที่เกี่ยวข้อง)) คู่สัญญาทั้งสองฝ่ายตกลงว่ามาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ดังกล่าว ตามความเหมาะสม จะแทนที่มาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรในปัจจุบันตามความเหมาะสม และคู่สัญญาทั้งสองฝ่ายตกลงที่จะดําเนินการดังกล่าวทั้งหมดที่จําเป็นต่อการดําเนินการตามมาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ตามที่เกี่ยวข้อง มาตราการโอนของสหภาพยุโรป (โมดูล 1) และมาตราการโอนของสหราชอาณาจักรจะถูกรวมไว้ในสัญญาโดยการอ้างอิงและจะถือว่าได้มีการดำเนินการอย่างถูกต้องระหว่างคู่สัญญาทั้งสองฝ่ายเมื่อทำให้สัญญาฉบับนี้มีผลบังคับใช้ตามรายละเอียดต่อไปนี้:
ก) มาตราการโอนของสหภาพยุโรป
ข) มาตราการโอนของสหราชอาณาจักร
เอกสารแนบ 1
ภาคผนวกของมาตราการโอนของสหภาพยุโรปและภาคผนวก ข ของมาตราการโอนของสหราชอาณาจักร
ภาคผนวก 1.A. รายชื่อของคู่สัญญา
ผู้ส่งออกข้อมูล
ผู้ส่งออกข้อมูล
ส่วนเพิ่ม 1.B รายละเอียดการโอนเงิน
เจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับเจ้าของข้อมูลในประเภทต่อไปนี้:
ประเภทของข้อมูลส่วนบุคคลที่โอน
ข้อมูลส่วนบุคคลที่โอนอาจรวมถึงข้อมูลประเภทต่อไปนี้:
ชื่อ, จำนวนเงินที่จะเรียกเก็บ, วันที่/เวลา, รายละเอียดบัญชีธนาคาร, รายละเอียดบัตรชำระเงิน, รหัส CVC, รหัสไปรษณีย์, รหัสประเทศ, ที่อยู่, ที่อยู่อีเมล, โทรสาร, โทรศัพท์, เว็บไซต์, ข้อมูลวันหมดอายุ, รายละเอียดการจัดส่ง, สถานะทางภาษี, รหัสระบุลูกค้าที่ไม่ซ้ำกัน, ที่อยู่ IP, ตำแหน่งที่ตั้ง และข้อมูลอื่นใดที่ PayPal ได้รับภายใต้สัญญา
ข้อมูลที่ละเอียดอ่อน (ถ้าเหมาะสม) และข้อจํากัดหรือการป้องกันที่ใช้
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนประเภทต่อไปนี้:
ใช้ข้อจํากัดและการป้องกัน:
ลักษณะของการประมวลผล
วัตถุประสงค์ของการโอน
การโอนมีขึ้นเพื่อวัตถุประสงค์ดังต่อไปนี้:
ระยะเวลาที่จะเก็บข้อมูลส่วนบุคคลไว้ หรือถ้าที่ไม่สามารถทําได้ เกณฑ์ที่ใช้ในการกําหนดระยะเวลาดังกล่าว
ผู้นําเข้าข้อมูลจะเก็บรักษาข้อมูลส่วนบุคคลไว้ตราบเท่าที่จําเป็นเกี่ยวกับวัตถุประสงค์ที่เกี่ยวข้องกับการเก็บรวบรวมไว้ (โปรดดูวัตถุประสงค์ข้างบน) เพื่อกำหนดระยะเวลาการเก็บรักษาที่เหมาะสมสำหรับข้อมูลส่วนบุคคล ผู้นําเข้าข้อมูลจะพิจารณาจํานวนเงิน ลักษณะ และความละเอียดอ่อนของข้อมูลส่วนบุคคล ความเสี่ยงที่อาจเกิดขึ้นจากการใช้งานโดยไม่ได้รับอนุญาตหรือการเปิดเผยข้อมูลส่วนบุคคล วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และว่าจะสามารถดําเนินการตามวัตถุประสงค์ดังกล่าวผ่านวิธีอื่นได้หรือไม่ และตามกฎหมายที่บังคับใช้ ระเบียบข้อบังคับ ข้อกำหนดทางภาษี การบัญชี หรือข้อกําหนดอื่นๆ
สําหรับการโอนเงินไปยังผู้ประมวลผล (ย่อย) ให้ระบุหัวเรื่อง ลักษณะ และระยะเวลาของการประมวลผล
ผู้นําเข้าข้อมูลอาจแบ่งปันข้อมูลส่วนบุคคลกับผู้ให้บริการที่เป็นบุคคลภายนอกที่ให้บริการและทํางานตามคำสั่งของผู้นําเข้าข้อมูลและในนามของผู้นําเข้าข้อมูล ผู้ให้บริการที่เป็นบุคคลภายนอกเหล่านี้อาจมอบองค์ประกอบของบริการที่จัดไว้ให้ภายใต้สัญญา เช่น การยืนยันตัวตนลูกค้า การประมวลผลการทํารายการ หรือการให้บริการสนับสนุนลูกค้า หรือให้บริการแก่ผู้นําเข้าข้อมูลที่สนับสนุนบริการที่จัดไว้ให้ภายใต้สัญญา เช่น การจัดเก็บข้อมูล เมื่อการกําหนดระยะเวลาของการประมวลผลที่ดําเนินการโดยผู้ให้บริการที่เป็นบุคคลภายนอก ผู้นําเข้าข้อมูลจะใช้เกณฑ์ที่กำหนดไว้ข้างบนในภาคผนวก 1.B นี้
ภาคผนวก 1.C. หน่วยงานกํากับดูแล
ตามมาตรา 13(ก) ของมาตราการโอนของสหภาพยุโรป หน่วยงานกํากับดูแลที่มีหน้าที่รับผิดชอบในการตรวจสอบให้มั่นใจว่าผู้ส่งออกข้อมูลปฏิบัติตามข้อบังคับ (สหภาพยุโรป) 2016/679 เกี่ยวกับการโอนข้อมูล ตามที่ระบุไว้ จะดําเนินการในฐานะหน่วยงานกํากับดูแลที่มีอํานาจ
ภาคผนวก II มาตรการทางเทคนิคและองค์กร รวมถึงมาตรการทางเทคนิคและองค์กรเพื่อรับรองความปลอดภัยของข้อมูล
นโยบายของ PayPal รับรองการปฏิบัติตามหลักการนี้และต้องใช้การควบคุมทางเทคนิคเพื่อป้องกันความเสี่ยงในการเปิดเผยข้อมูลส่วนบุคคล PayPal ใช้การเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดในระหว่างการจัดส่งและขณะที่จัดเก็บไว้ นอกจากนี้ เรายังใช้เทคนิคการปกปิดตัวตนตามมาตรฐานอุตสาหกรรม เช่น การใช้โทเค็นเพื่อปกป้องข้อมูลส่วนบุคคลตามความเหมาะสม PayPal มีนโยบายที่ครอบคลุมซึ่งกำหนดภาระผูกพันและกระบวนการที่สําคัญเพื่อคุ้มครองข้อมูลเมื่อมีการโอนภายในองค์กรและภายนอกกับบุคคลภายนอก
กระบวนการจัดการการเปลี่ยนแปลงที่มีประสิทธิภาพของ PayPal ช่วยปกป้องความพร้อมใช้งานต่อเนื่องและความยืดหยุ่นของข้อมูลและระบบตลอดวงจรการใช้งานโดยการตรวจสอบให้แน่ใจว่าการเปลี่ยนแปลงได้รับการวางแผน อนุมัติ ดําเนินการ และตรวจสอบอย่างเหมาะสม กระบวนการจัดการความต่อเนื่องของธุรกิจของบริษัทช่วยกำหนดกรอบในการสร้างความยืดหยุ่นขององค์กรด้วยการมอบความสามารถในการตอบสนองอย่างมีประสิทธิภาพเพื่อปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสียที่สําคัญ
โปรแกรมการกู้คืนจากภัยพิบัติที่มีประสิทธิภาพของ PayPal มีกระบวนการกู้คืนข้อมูลหรือระบบเทคโนโลยีในกรณีที่มีการหยุดชะงักที่สําคัญโดยมุ่งเน้นไปที่ระบบไอทีที่สนับสนุนกระบวนการทางธุรกิจที่สําคัญและกิจกรรมของลูกค้า โครงสร้างพื้นฐานด้านเทคโนโลยีของ PayPal ตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัยหลายศูนย์ ด้วยความสามารถหลักและรอง แต่ละศูนย์ติดตั้งด้วยเครือข่ายและโครงสร้างพื้นฐานความปลอดภัย แอปพลิเคชันเฉพาะ และเซิร์ฟเวอร์และการจัดเก็บฐานข้อมูล
PayPal วางแผน ดําเนินการ และรายงานผลโปรแกรมการทดสอบของบริษัทอย่างสม่ำเสมอเพื่อประเมินผลและประเมินประสิทธิภาพของมาตรการทางเทคโนโลยีและองค์กรของตน โปรแกรมได้รับการจัดการโดยทีมความเสี่ยงและการปฏิบัติตามกฎระเบียบขององค์กรซึ่งทํางานร่วมกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องเพื่อรับและประเมินข้อมูลที่จําเป็นสําหรับการทดสอบ การรายงาน และการแก้ไขตามความจําเป็น
กระบวนการจัดการการเข้าใช้ของ PayPal กําหนดให้ผู้ใช้ต้องเข้าสู่ระบบเครือข่ายองค์กรโดยใช้ ID บัญชีและรหัสผ่านของเครือข่ายองค์กรที่ไม่ซ้ํากันสําหรับรหัสประจําตัวผู้ใช้และการตรวจสอบสิทธิ์ก่อนที่จะเข้าถึงแอปพลิเคชันอื่นๆ ที่อยู่ภายในขอบเขต จะมีการใช้นโยบายอัตโนมัติเกี่ยวกับการประกอบรหัสผ่าน ความยาว การเปลี่ยนแปลง การนํากลับมาใช้ใหม่ และการล็อก การเข้าถึงและการอนุมัติตามบทบาทหน้าที่ซึ่งได้รับการรับรองทุกไตรมาสจะดําเนินการในระบบที่อยู่ในขอบเขตทั้งหมดเพื่อบังคับใช้หลักการที่มีสิทธิ์การใช้งานน้อยที่สุด
นโยบายความปลอดภัยและความมั่นคงระดับโลกและกระบวนการของ PayPal ได้ระบุข้อกําหนดที่จําเป็นเพื่ออํานวยความสะดวกในกระบวนการด้านความปลอดภัยและความมั่นคง รวมถึงความปลอดภัยทางกายภาพตามกฎหมาย กฎข้อบังคับ และข้อกําหนดของพันธมิตรที่บังคับใช้ การให้ความสําคัญเป็นพิเศษกับระบบรักษาความปลอดภัยและการป้องกันเมื่อสร้างพื้นที่พิเศษหรือที่ละเอียดอ่อน เช่น ห้องจดหมาย ที่เก็บอุปกรณ์ พื้นที่จัดส่งและรับสินค้า ห้องคอมพิวเตอร์/ห้องเซิร์ฟเวอร์ ห้องนิรภัยสําหรับการสื่อสาร หรือพื้นที่จับเก็บขั้อมูล/เอกสารลับสุดยอดตามมาตรฐานการจัดการความปลอดภัยของข้อมูลของบริษัท
PayPal ได้ระบุประเภทและกำหนดบันทึกเหตุการณ์ รวมทั้งประเภทและคุณลักษณะของการตรวจสอบไว้ บริษัทเก็บรวบรวมบันทึกหลายประเภทไปยังระบบการตรวจสอบความปลอดภัยจากส่วนกลาง มีการควบคุมการจัดการการกําหนดค่ามาตรฐานเพื่อให้แน่ใจว่ามีการรวบรวมบันทึกจากระบบ แล้วส่งต่อไปยังระบบการตรวจสอบความปลอดภัยจากส่วนกลางของเรา นโยบายความปลอดภัยและกระบวนการสนับสนุนระบุไว้ว่าจะต้องมีการกำหนดค่าระบบและเกณฑ์พื้นฐานการเสริมความปลอดภัยในทุกระบบ
PayPal ส่งเสริมปรัชญาด้านความปลอดภัยที่เข้มงวดทั่วทั้งบริษัท ประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสารสนเทศของเราดูแลเรื่องความปลอดภัยข้อมูลทั่วทั้งองค์กรทั่วโลกของเรา ในฐานะส่วนหนึ่งของโปรแกรมการจัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบของเรา โปรแกรมกำกับดูแลด้านเทคโนโลยีและความปลอดภัยของสารสนเทศของเราได้รับการออกแบบมาเพื่อสนับสนุนบริษัทในการจัดการเทคโนโลยีและความเสี่ยงด้านความปลอดภัยของข้อมูล และการระบุ ปกป้อง ตรวจจับ ตอบสนอง และกู้คืนจากภัยคุกคามด้านความปลอดภัยของข้อมูล PayPal รับรองและรับประกันกระบวนการและผลิตภัณฑ์ของตนผ่านโปรแกรมองค์กรที่หลากหลาย รวมถึง (i) การตรวจสอบและการประเมินภาระผูกพันด้านมาตรฐานอุตสาหกรรมทางเทคนิคของ PayPal รวมถึงแต่ไม่จํากัดเพียง ISO 27001 มาตรฐานที่บังคับใช้ของอุตสาหกรรมบัตรชําระเงิน (PCI) (DSS, PIN, P2PE ฯลฯ) และสถาบันนักบัญชีสาธารณะที่ได้รับการรับรองของสหรัฐอเมริกา (AICPA) SOC-1 และ SOC-2, (ii) กระบวนการระบุการควบคุมความเสี่ยง (RCIP) ซึ่งช่วยให้มั่นใจถึงการมีส่วนร่วมในระยะแรกและแนวทางมาตรฐานสำหรับมาตรการ การจัดการ และการตรวจสอบความเสี่ยงที่เกี่ยวข้องกับการพัฒนาและการเผยแพร่โซลูชันผลิตภัณฑ์ (iii) การประเมินผลกระทบด้านความเป็นส่วนตัวซึ่งรวมอยู่ในขั้นตอนแรกของกระบวนการพัฒนาผลิตภัณฑ์และซอฟต์แวร์ และ (iv) โปรแกรมการจัดการบุคคลภายนอกที่ครอบคลุม ซึ่งให้การรับรองผ่านการจัดการความเสี่ยงอย่างต่อเนื่องตลอดวงจรการว่าจ้างบุคคลภายนอก
นโยบายของเรากําหนด ผ่านมาตรการควบคุมทางเทคนิค ว่าองค์ประกอบข้อมูลที่เก็บรวบรวมและสร้างขึ้นคือองค์ประกอบที่เพียงพอ เกี่ยวข้อง และจํากัดเฉพาะข้อมูลที่จําเป็นซึ่งเกี่ยวข้องกับวัตถุประสงค์ในการประมวลผล กระบวนการประเมินผลกระทบด้านความเป็นส่วนตัวของ PayPal ช่วยให้มั่นใจว่ามีการปฏิบัติตามนโยบายเหล่านี้
นโยบายการเข้าถึงและคุณภาพของ PayPal ช่วยให้มั่นใจว่าข้อมูลส่วนบุคคลทั้งหมดถูกต้อง สมบูรณ์ และเป็นปัจจุบัน จึงช่วยให้ผู้ใช้แต่ละคนสามารถเข้าถึงระบบเพื่อทำการเปลี่ยนแปลงแก้ไขข้อมูลเฉพาะของตนได้ (เช่น ที่อยู่ รายละเอียดการติดต่อ ฯลฯ) และให้บริการที่ให้สิทธิ์ในการแก้ไข เมื่อได้รับคําขอให้ทำการแก้ไขจากเจ้าของข้อมูล โปรแกรมการกํากับดูแลข้อมูลของเราจะตรวจสอบคุณภาพ ปัญหา และการแก้ไขข้อมูลตามความจําเป็น เรากำหนดให้มีการจัดประเภทข้อมูลทั้งหมดตามมูลค่าธุรกิจและมีการกำหนดระยะเวลาการเก็บรักษา ซึ่งเป็นไปตามข้อกําหนดทางกฎหมาย ระเบียบข้อบังคับ และการจัดทำบันทึกทางธุรกิจของ PayPal เมื่อสิ้นสุดระยะเวลาในการเก็บรักษา ข้อมูลจะถูกกำจัดทิ้ง ลบ หรือทําลาย
PayPal ได้พัฒนาชุดรักษาความปลอดภัยของข้อมูล เทคโนโลยี การกํากับดูแลข้อมูล การจัดการบุคคลภายนอก นโยบายและความเป็นส่วนตัว และหลักการต่างๆ ที่สอดคล้องกับมาตรฐานอุตสาหกรรม และออกแบบมาเพื่อสร้างการมีส่วนร่วมและเป็นพันธมิตรกับผู้มีส่วนได้ส่วนเสียในการตระหนักรู้และปฏิบัติตามนโยบายและการควบคุมดังกล่าวทั่วทั้งองค์กรเพื่อให้แน่ใจว่าทุกฝ่ายในองค์กรตั้งแต่ระดับบนถึงล่างสุดมีส่วนร่วมและมีความรับผิดชอบ แต่ละโปรแกรมกําหนดความรับผิดชอบในการตัดสินใจเกี่ยวกับข้อมูล กระบวนการ และการควบคุมข้ามหน่วยงาน ในฐานะผู้ควบคุมข้อมูล PayPal มีหน้าที่รับผิดชอบและปฏิบัติตามมาตราที่เกี่ยวข้องซึ่งกำหนดหน้าที่รับผิดชอบในกฎหมาย GDPR และกฎหมายคุ้มครองข้อมูลที่บังคับใช้อื่นๆ ผ่านการดำเนินนโยบายโปรแกรมความเป็นส่วนตัว และโครงสร้างการควบคุมองค์กรและทางเทคนิคที่แบ่งเป็นระดับชั้นที่สำคัญเพื่อให้แน่ใจว่าทั้งองค์กรได้ปฏิบัติตามกฎหมายความเป็นส่วนตัว ข้อบังคับ นโยบาย และกระบวนการต่างๆ ที่มีอยู่อย่างครอบคลุม ซึ่งรวมถึงความสามารถในการแสดงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลผ่าน: 1) วัฒนธรรมการปฏิบัติตามกฎข้อบังคับที่แข็งแกร่ง 2) โครงสร้างการกำกับดูแลความเสี่ยงและการกํากับดูแลองค์กร ซึ่งประกอบด้วยคณะกรรมการบริหาร บทบาทในการกํากับดูแล การรายงานความเป็นส่วนตัว 3) ความรับผิดชอบของหน่วยธุรกิจในการปฏิบัติตามโปรแกรมความเป็นส่วนตัว ซึ่งรวมถึงการกำหนด การจัดทำเอกสารและการรักษากระบวนการและการควบคุมทางธุรกิจ 4) แผนกความเป็นส่วนตัวทั่วโลกภายในองค์กรการปฏิบัติตามกฎระเบียบขององค์กรมีหน้าที่กํากับดูแลการปฏิบัติตามโปรแกรมความเป็นส่วนตัวของธุรกิจ และกําหนดนโยบาย มาตรฐาน ขั้นตอน และเครื่องมือที่ดําเนินการโดยหน่วยธุรกิจ 5) การสื่อสารไปยังองค์กรโดยหน่วยงานความเป็นส่วนตัวทั่วโลก เพื่อส่งเสริมการรับรู้และเข้าใจความเป็นส่วนตัว 6) กรอบการจัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบขององค์กร เพื่อให้แน่ใจว่ามีการใช้กระบวนการที่สอดคล้องรวมถึงการประเมินผลกระทบด้านความเป็นส่วนตัว การตรวจสอบและทดสอบความเป็นส่วนตัว การจัดการปัญหาความเป็นส่วนตัว การฝึกอบรมด้านความเป็นส่วนตัว แผนความเป็นส่วนตัวประจําปี และ 7) การรายงานและการวิเคราะห์ต่อคณะกรรมการบริหารที่กำกับดูแลโปรแกรมความเป็นส่วนตัว
PayPal มีโปรแกรมเพื่อให้มั่นใจว่าสิทธิ์ของเจ้าของข้อมูลจะได้รับการตอบสนอง รวมถึงการเข้าถึง การแก้ไข และการลบ คําขอลบข้อมูลจะได้รับการดําเนินการเว้นแต่ PayPal จะมีภาระผูกพันตามกฎหมาย ระเบียบข้อบังคับ หรือเหตุผลทางธุรกิจอื่นที่ชอบด้วยกฎหมายเพื่อเก็บรักษาไว้ นโยบายของ PayPal ช่วยให้มั่นใจได้ว่าการลบข้อมูลจะเกิดขึ้นตลอดวงจรการใช้งานของลูกค้า
PayPal มีโปรแกรมการจัดการบุคคลภายนอกที่ครอบคลุม ซึ่งให้ความมั่นใจผ่านการจัดการความเสี่ยงอย่างต่อเนื่องตลอดวงจรการมีส่วนร่วมกับบุคคลภายนอก เรามีการควบคุมตามสัญญาในการขอให้ผู้ประมวลผลและผู้ประมวลผลย่อยของเรากําหนดมาตรฐานด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวที่ครอบคลุมตลอดห่วงโซ่การประมวลผล ผู้ประมวลผลย่อยทั้งหมดต้องได้รับการอนุมัติล่วงหน้าจากเราก่อนจึงจะสามารถว่าจ้างได้
ผู้รับ
ข้อมูลส่วนบุคคลที่โอนสามารถเปิดเผยแก่ผู้รับต่อไปนี้เท่านั้น:
ข้อมูลการลงทะเบียนการคุ้มครองข้อมูลของผู้ส่งออกข้อมูล (ถ้ามี)
ไม่สามารถใช้ได้
ข้อมูลเพิ่มเติมที่เป็นประโยชน์ (ขีดจำกัดการจัดเก็บข้อมูลและข้อมูลที่เกี่ยวข้องอื่นๆ)
ตามที่ระบุไว้ในสัญญาและข้างบนในเอกสารแนบ 1 นี้