Phụ lục về bảo vệ dữ liệu dành cho các sản phẩm xử lý thẻ của PayPal

Phụ lục về bảo vệ dữ liệu dành cho các sản phẩm xử lý thẻ của PayPal (“Phụ lục” này) áp dụng cho bất kỳ sản phẩm, dịch vụ hay đối tượng được chào bán nào khác trong đó thành viên của Tập đoàn PayPal (“PayPal”) cung cấp dịch vụ xử lý thẻ, cổng và/hoặc phòng chống gian lận (“Dịch vụ thanh toán”) cho bạn với tư cách là Người bán (“Người bán” hoặc “Bạn”). Phụ lục này không áp dụng cho các dịch vụ ví PayPal như thanh toán bằng PayPal hoặc Pay Later của PayPal. Phụ lục này là một phần của thỏa thuận liên quan giữa Người bán và PayPal điều chỉnh việc cung cấp Dịch vụ thanh toán của PayPal cho bạn (“Thỏa thuận”) và được đưa vào thỏa thuận dưới dạng dẫn chiếu. Trong trường hợp có bất kỳ mâu thuẫn nào giữa các điều khoản của Phụ lục này và Thỏa thuận thì các điều khoản của Phụ lục này sẽ được ưu tiên áp dụng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Phụ lục này sẽ có ý nghĩa như trình bày trong Thỏa thuận.

Phụ lục này có hiệu lực kể từ (i) ngày có hiệu lực nêu trong Thỏa thuận hoặc (ii) ngày có hiệu lực nêu trong thông báo được đăng hoặc cung cấp cho bạn liên quan đến Phụ lục này (ngày đến sau sẽ được áp dụng). Chúng tôi có thể sửa đổi Phụ lục này tùy từng thời điểm. Phiên bản sửa đổi sẽ có hiệu lực tại thời điểm chúng tôi đăng tải lên trang web của mình, trừ khi có ghi chú khác. Nếu những thay đổi của chúng tôi làm giảm quyền hoặc tăng trách nhiệm của bạn, chúng tôi sẽ đăng thông báo lên trang “Cập nhật về chính sách” trên trang web của mình trong khung thời gian quy định của Thỏa thuận. Nếu không đồng ý với bất kỳ thay đổi nào đối với Phụ lục, bạn có thể ngừng sử dụng Dịch vụ thanh toán.

Định nghĩa
Các thuật ngữ dưới đây có ý nghĩa như sau khi được sử dụng trong Phụ lục này:

“Bên kiểm soát” có nghĩa là một pháp nhân xác định mục đích và phương tiện xử lý Dữ liệu cá nhân, hoặc nếu thuật ngữ này (hoặc thuật ngữ chỉ các chức năng tương tự) được định nghĩa trong Luật bảo vệ dữ liệu, “Bên kiểm soát” sẽ có ý nghĩa giống như được định nghĩa trong Luật bảo vệ dữ liệu hiện hành.

“Khách hàng” có nghĩa là khách hàng sử dụng Dịch vụ thanh toán và là chủ thể dữ liệu theo mục đích của Phụ lục này.

“Dữ liệu khách hàng” có nghĩa là Dữ liệu cá nhân mà (i) Khách hàng cung cấp cho Người bán và Người bán chuyển cho PayPal thông qua quá trình Người bán sử dụng các Dịch vụ thanh toán và (ii) PayPal có thể thu thập từ thiết bị và trình duyệt của Khách hàng thông qua quá trình Người bán sử dụng các Dịch vụ thanh toán.

“Luật bảo vệ dữ liệu” có nghĩa là các luật, quy định, chỉ thị, yêu cầu pháp lý và quy tắc thực hành về bảo vệ dữ liệu áp dụng cho quá trình cung cấp Dịch vụ thanh toán, bao gồm mọi nội dung sửa đổi theo đó và các quy định hoặc công cụ có liên quan (ví dụ: Đạo luật về quyền riêng tư người tiêu dùng California 2018, Bộ luật Dân sự California § 1798.100 và các bộ luật sau đó, Quy định chung về bảo vệ dữ liệu (Liên minh Châu Âu) 2016/679 (GDPR), Đạo luật về quyền riêng tư Úc 1988 (Cth), Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (Canada), Sắc lệnh về (quyền riêng tư) dữ liệu cá nhân (Chương 486) (Hồng Kông), Bộ luật chung về bảo vệ dữ liệu Brazil, Luật liên bang số 13.709/2018 và Đạo luật bảo vệ dữ liệu cá nhân năm 2012 (Singapore)).

“Tập đoàn PayPal” có nghĩa là PayPal, Inc. và tất cả các công ty mà PayPal hoặc tổ chức kế nhiệm của PayPal trực tiếp hoặc gián tiếp sở hữu hoặc kiểm soát.

“Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân đã định danh hoặc có thể định danh (“chủ thể dữ liệu”); thể nhân có thể định danh là một thể nhân có thể được định danh theo cách trực tiếp hoặc gián tiếp, đặc biệt là khi tham chiếu đến một thông tin định danh như tên, mã số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến hoặc một hay nhiều yếu tố định danh cụ thể về thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.

“Quy trình” hoặc các thuật ngữ đề cập đến các chức năng tương tự khi được sử dụng trong Phụ lục này sẽ có ý nghĩa như định nghĩa trong Luật bảo vệ dữ liệu hiện hành.

PayPal với tư cách là bên kiểm soát

PayPal sẽ tuân thủ các yêu cầu của Luật bảo vệ dữ liệu áp dụng cho Bên kiểm soát đối với công tác xử lý dữ liệu khách hàng theo Phụ lục này (bao gồm nhưng không giới hạn ở việc thực hiện và luôn duy trì tất cả biện pháp bảo mật thích hợp liên quan đến quá trình xử lý dữ liệu khách hàng) và sẽ không cố ý thực hiện hay cho phép thực hiện bất kỳ điều gì liên quan đến dữ liệu khách hàng có thể sẽ khiến Người bán vi phạm Luật bảo vệ dữ liệu. PayPal sẽ chỉ chuyển dữ liệu khách hàng cho các bên thứ ba, bên xử lý phụ hoặc thành viên của Tập đoàn PayPal sẽ ký thỏa thuận bằng văn bản có chứa các điều khoản để bảo vệ dữ liệu khách hàng, mức độ bảo vệ của các điều khoản đó sẽ không kém hơn các điều khoản trong Phụ lục này.

Xử lý dữ liệu khách hàng liên quan đến Dịch vụ thanh toán

Các bên thừa nhận và đồng ý rằng Người bán và PayPal là Bên kiểm soát độc lập riêng biệt đối với tất cả Dữ liệu khách hàng được xử lý liên quan đến Dịch vụ thanh toán. Do đó, PayPal độc lập xác định mục đích và phương thức Xử lý dữ liệu khách hàng đó và không phải là bên đồng kiểm soát với Người bán đối với dữ liệu khách hàng đó.

Các bên thừa nhận và đồng ý rằng PayPal được phép sử dụng, sao chép và xử lý dữ liệu khách hàng và dữ liệu giao dịch thanh toán cho các mục đích giới hạn sau đây:

• khi cần thiết một cách hợp lý để cung cấp và cải thiện Dịch vụ thanh toán cho Người bán và Khách hàng của họ, bao gồm các công cụ phòng chống gian lận;
• để theo dõi, ngăn chặn và phát hiện các giao dịch thanh toán gian lận và tránh tổn hại cho Người bán, PayPal cũng như các bên thứ ba,
• để tuân thủ các nghĩa vụ pháp lý hoặc quy định áp dụng cho công tác Xử lý và lưu giữ dữ liệu thanh toán mà PayPal phải tuân thủ, bao gồm các nghĩa vụ theo quy định hiện hành về chống rửa tiền và xác minh danh tính;
• để phân tích, phát triển và cải thiện các sản phẩm và dịch vụ của PayPal;
• sử dụng nội bộ, bao gồm nhưng không giới hạn ở việc phân tích dữ liệu và chỉ số;
• để biên soạn và tiết lộ Dữ liệu khách hàng cũng như dữ liệu giao dịch thanh toán dưới dạng tổng hợp trong đó không thể nhận dạng dữ liệu khách hàng cá nhân hoặc người dùng của bạn, bao gồm việc tính các số liệu trung bình của bạn theo khu vực hoặc ngành;
• tuân thủ các yêu cầu pháp lý hiện hành và hỗ trợ các cơ quan thực thi pháp luật bằng cách phản hồi các yêu cầu tiết lộ thông tin theo quy định của pháp luật; và
• bất kỳ mục đích nào khác mà PayPal thông báo cho Người bán, với điều kiện là mục đích đó phù hợp với Luật bảo vệ dữ liệu.

Thông báo của người bán cho khách hàng

Người bán sẽ nỗ lực một cách hợp lý về mặt thương mại để (i) thông báo cho Khách hàng thông qua chính sách quyền riêng tư của họ rằng PayPal là Bên kiểm soát độc lập trong quy trình Xử lý dữ liệu khách hàng theo như mô tả trong Phụ lục này và (ii) cung cấp liên kết dẫn đến Tuyên bố về Quyền riêng tư của PayPal có tại www.paypal.com trong chính sách quyền riêng tư của Người bán.

Hỗ trợ lẫn nhau

Các bên đồng ý hợp tác với nhau trong phạm vi cần thiết một cách hợp lý để cho phép bên còn lại thực hiện đầy đủ trách nhiệm của mình với tư cách là Bên kiểm soát độc lập theo Luật bảo vệ dữ liệu. Các bên đồng ý rằng khi Người bán nhận được yêu cầu truy cập của chủ thể dữ liệu hoặc khi Khách hàng thực thi bất kỳ quyền nào của họ theo Luật bảo vệ dữ liệu thì Người bán sẽ trực tiếp trả lời yêu cầu truy cập của Khách hàng đó. Người bán cũng sẽ thông báo cho Khách hàng rằng họ có thể thực thi các quyền của mình với tư cách là chủ thể dữ liệu liên quan đến Dịch vụ thanh toán với PayPal theo các hướng dẫn được mô tả trong Tuyên bố về Quyền riêng tư có tại www.paypal.com.. Ngoài ra, nếu có sự cố bảo mật xảy ra và PayPal tự xác định rằng cần phải thông báo cho Khách hàng bị ảnh hưởng nhưng PayPal không có thông tin liên hệ cần thiết về một Khách hàng bị ảnh hưởng nào đó để thực hiện thông báo thì Người bán sẽ nỗ lực hợp lý về mặt thương mại nhằm cung cấp cho PayPal thông tin liên quan đến Khách hàng mà Người bán có thể sở hữu để phục vụ mục đích duy nhất là giúp PayPal hoàn thành nghĩa vụ của mình trong việc thông báo cho Khách hàng bị ảnh hưởng theo Luật bảo vệ dữ liệu.

Chuyển dữ liệu ra nước ngoài

Các bên đồng ý rằng PayPal có thể chuyển Dữ liệu khách hàng được xử lý theo Thỏa thuận này ra bên ngoài quốc gia nơi dữ liệu đó được thu thập khi cần thiết để cung cấp Dịch vụ thanh toán. Nếu PayPal chuyển Dữ liệu khách hàng được bảo vệ theo Phụ lục này đến một khu vực pháp lý nhưng cơ quan quản lý có thẩm quyền tại quốc gia nơi dữ liệu được thu thập chưa đưa ra quyết định về khả năng bảo vệ dữ liệu của khu vực pháp lý đó thì PayPal sẽ đảm bảo rằng các biện pháp bảo vệ thích hợp đã được áp dụng cho quá trình chuyển dữ liệu khách hàng theo Luật bảo vệ dữ liệu hiện hành. Ví dụ: nhằm mục đích tuân thủ GDPR, chúng tôi áp dụng Quy tắc ràng buộc doanh nghiệp được các cơ quan giám sát có thẩm quyền phê duyệt và các cơ chế chuyển dữ liệu khác để thực hiện chuyển dữ liệu khách hàng đến các thành viên khác của Tập đoàn PayPal.

Đối với việc bạn chuyển cho PayPal dữ liệu về Khách hàng của mình tại Liên minh Châu Âu, Thụy Sĩ, Khu vực kinh tế Châu Âu và/hoặc các quốc gia thành viên của họ hoặc Vương quốc Anh, chúng ta đều đồng ý rằng (i) trong phạm vi được áp dụng, việc bạn ký Thỏa thuận sẽ được coi là đã ký kết và chấp nhận Quyết định thực hiện 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban Châu Âu (EU) về điều khoản hợp đồng tiêu chuẩn đối với việc chuyển dữ liệu cá nhân đến quốc gia thứ ba theo GDPR (“Điều khoản chuyển giao của Liên minh Châu Âu”) do Người bán thực hiện, với tư cách là bên xuất dữ liệu và với vai trò là bên kiểm soát và sẽ được coi là đã ký kết và chấp nhận các điều khoản bảo vệ dữ liệu tiêu chuẩn được trình bày trong quy định của Bộ trưởng Bộ Ngoại giao theo mục 17C(b) của Đạo luật bảo vệ dữ liệu năm 2018 và hiện đang có hiệu lực tại Vương quốc Anh (“Điều khoản chuyển giao của Vương quốc Anh”), với tư cách là bên xuất dữ liệu (ii) trong phạm vi được áp dụng, việc PayPal ký Thỏa thuận sẽ được coi là đã PayPal đã ký kết và chấp nhận Điều khoản chuyển giao của Liên minh Châu Âu với tư cách là bên nhập dữ liệu và với vai trò là bên kiểm soát và sẽ được coi là đã ký kết và chấp nhận Điều khoản chuyển giao của Vương quốc Anh, với tư cách là bên nhập dữ liệu; và (iii) các bên phải tuân thủ các quy định của Phần 1 trong Điều khoản chuyển giao của Liên minh Châu Âu. Trong trường hợp Ủy ban Châu Âu hoặc Bộ trưởng Bộ Ngoại giao Vương quốc Anh (hoặc cơ quan hiện hành được ủy quyền khác của Vương quốc Anh) sửa đổi và sau đó công bố Điều khoản chuyển giao mới của Liên minh Châu Âu hoặc Điều khoản chuyển giao mới của Vương quốc Anh (hoặc theo yêu cầu hoặc hoạt động thực thi khác của Ủy ban Châu Âu hoặc Bộ trưởng Bộ Ngoại giao Vương quốc Anh (hoặc cơ quan hiện hành được ủy quyền khác của Vương quốc Anh)), các bên đồng ý rằng Điều khoản chuyển giao mới của Liên minh Châu Âu hoặc Điều khoản chuyển giao mới của Vương quốc Anh, nếu có, sẽ thay thế Điều khoản chuyển giao hiện hành của Liên minh Châu Âu hoặc Điều khoản chuyển giao hiện hành của Vương quốc Anh theo thứ tự tương ứng và các bên đồng ý thực hiện tất cả các hành động cần thiết để thực hiện Điều khoản chuyển giao mới của Liên minh Châu Âu hoặc Điều khoản chuyển giao mới của Vương quốc Anh, nếu có. Điều khoản chuyển giao của Liên minh Châu Âu (Phần 1) và Điều khoản chuyển giao của Vương quốc Anh sẽ được đưa vào Thỏa thuận này bằng cách dẫn chiếu và được coi là ký kết hợp lệ giữa các bên khi Thỏa thuận này có hiệu lực theo các chi tiết sau:

A) Điều khoản chuyển giao của Liên minh Châu Âu

1. tùy chọn 1 của Khoản 17 (Luật điều chỉnh) sẽ được áp dụng và luật của Luxembourg sẽ chi phối các Điều khoản của Liên minh Châu Âu;
2. theo Khoản 18 (Lựa chọn tòa án và quyền tài phán), tòa án Luxembourg sẽ giải quyết bất kỳ tranh chấp nào phát sinh từ Điều khoản của Liên minh Châu Âu; và
3. Các bên đồng ý rằng các chi tiết cần thiết theo Phụ lục của Điều khoản chuyển giao của Liên minh Châu Âu tuân theo quy định trong Tài liệu đính kèm 1.

B) Điều khoản chuyển giao của Vương quốc Anh

1. Khoản II(h)(iii) được đưa vào và chữ ký của PayPal trong Thỏa thuận sẽ được coi là chữ ký tắt cần thiết của PayPal với tư cách là bên nhập dữ liệu;
2. Các bên đồng ý rằng các chi tiết cần thiết theo Phụ lục B trong Điều khoản chuyển giao của Vương quốc Anh tuân theo quy định trong Tài liệu đính kèm 1 (trong phạm vi được áp dụng).

Tài liệu đính kèm 1

Phụ lục Điều khoản chuyển giao của Liên minh Châu Âu và Phụ lục B của Điều khoản chuyển giao của Vương quốc Anh

A) Các điều khoản sau đây được áp dụng trong phạm vi yêu cầu theo Điều khoản chuyển giao của Liên minh Châu Âu và Điều khoản chuyển giao của Vương quốc Anh

Phụ lục 1.A. Danh sách các bên

Bên xuất dữ liệu

• Tên và địa chỉ: Bên xuất dữ liệu là Người bán và địa chỉ như được quy định trong Thỏa thuận
• Tên, vị trí và chi tiết liên hệ của người liên hệ: như được quy định trong Thỏa thuận
• Các hoạt động liên quan đến dữ liệu được chuyển theo Điều khoản hợp đồng tiêu chuẩn: như được quy định trong Thỏa thuận
• Chữ ký và ngày tháng: vui lòng xem phần “Chuyển dữ liệu ra nước ngoài” trong Phụ lục này
• Vai trò (bên kiểm soát/bên xử lý): bên kiểm soát

Bên nhập dữ liệu

• Tên và địa chỉ: Bên nhập dữ liệu là thành viên của Tập đoàn PayPal cung cấp dịch vụ theo Thỏa thuận và địa chỉ như được quy định trong Thỏa thuận
• Tên, vị trí và chi tiết liên hệ của người liên hệ: như được quy định trong Thỏa thuận
• Các hoạt động liên quan đến dữ liệu được chuyển theo Điều khoản hợp đồng tiêu chuẩn: như được quy định trong Thỏa thuận Chữ ký và ngày tháng: vui lòng xem phần “Chuyển dữ liệu ra nước ngoài” của Phụ lục này
• Vai trò (bên kiểm soát/bên xử lý): bên kiểm soát

Phụ lục 1.B. Mô tả hoạt động chuyển dữ liệu

Chủ thể dữ liệu
Dữ liệu cá nhân được chuyển liên quan đến các danh mục chủ thể dữ liệu sau:

Bên xuất dữ liệu và Khách hàng, nhân viên và người liên hệ khác của doanh nghiệp.

Danh mục dữ liệu cá nhân được chuyển

Dữ liệu cá nhân được chuyển có thể bao gồm các danh mục dữ liệu sau:

Tên, số tiền cần thanh toán, ngày/giờ, chi tiết tài khoản ngân hàng, chi tiết thẻ thanh toán, mã CVC, mã bưu chính, mã quốc gia, địa chỉ, địa chỉ email, fax, điện thoại, trang web, ngày hết hạn, chi tiết vận chuyển, tình trạng thuế, mã định danh khách hàng duy nhất, Địa chỉ IP, vị trí và bất kỳ dữ liệu nào khác mà PayPal nhận được theo Thỏa thuận.

Dữ liệu nhạy cảm (nếu thích hợp) và các hạn chế hoặc biện pháp bảo vệ được áp dụng

Dữ liệu cá nhân được chuyển liên quan đến các danh mục dữ liệu nhạy cảm sau:

• Không áp dụng, trừ khi Người bán sắp xếp dịch vụ để thu thập dữ liệu đó.

• Áp dụng các hạn chế và biện pháp bảo vệ:

• Không áp dụng, trừ khi Người bán sắp xếp dịch vụ để thu thập dữ liệu đó.

Bản chất của quá trình xử lý

• Theo quy định trong Thỏa thuận này.

Mục đích chuyển
Việc chuyển dữ liệu được thực hiện cho các mục đích sau:

• Thực hiện các dịch vụ do bên nhập dữ liệu cung cấp cho bên xuất dữ liệu theo Thỏa thuận.
• Để xác định hoạt động gian lận và rủi ro sẽ hoặc có thể gây ảnh hưởng đến bên nhập dữ liệu, bên xuất dữ liệu hoặc khách hàng khác của bên nhập dữ liệu.
• Để tuân thủ luật pháp được áp dụng cho bên nhập dữ liệu.
• Theo quy định trong Phụ lục bảo vệ dữ liệu.

Khoảng thời gian lưu giữ dữ liệu cá nhân hoặc các tiêu chí được sử dụng để xác định khoảng thời gian đó (nếu không thể lưu giữ dữ liệu)

Bên nhập dữ liệu chỉ lưu giữ dữ liệu cá nhân trong khoảng thời gian cần thiết cho (các) mục đích liên quan mà theo đó dữ liệu được thu thập (vui lòng xem các mục đích ở trên). Để xác định khoảng thời gian lưu giữ thích hợp cho dữ liệu cá nhân, bên nhập dữ liệu xem xét số lượng, tính chất và mức độ nhạy cảm của dữ liệu cá nhân, nguy cơ gây tổn hại tiềm ẩn từ việc sử dụng trái phép hoặc tiết lộ dữ liệu cá nhân, mục đích xử lý dữ liệu cá nhân và liệu có thể đạt được những mục đích này thông qua các phương thức khác hay không, cũng như các yêu cầu pháp lý hiện hành, các yêu cầu về quy định, thuế, kế toán hoặc các yêu cầu khác.

Đối với việc chuyển dữ liệu cho bên xử lý (phụ), cũng như xác định vấn đề, tính chất và khoảng thời gian xử lý

Bên nhập dữ liệu có thể chia sẻ dữ liệu cá nhân với các nhà cung cấp dịch vụ bên thứ ba thực hiện dịch vụ và chức năng theo chỉ dẫn của bên nhập dữ liệu và thay mặt cho bên nhập dữ liệu. Ví dụ: các nhà cung cấp dịch vụ bên thứ ba này có thể cung cấp một phần của các dịch vụ được cung cấp theo Thỏa thuận như xác minh khách hàng, xử lý giao dịch hoặc hỗ trợ khách hàng hoặc cung cấp dịch vụ cho bên nhập dữ liệu để hỗ trợ các dịch vụ được cung cấp theo thỏa thuận như lưu trữ. Khi xác định khoảng thời gian xử lý do các nhà cung cấp dịch vụ bên thứ ba thực hiện, bên nhập dữ liệu sẽ áp dụng các tiêu chí được trình bày ở phần trên trong Phụ lục 1.B này.

Phụ lục 1.C. Cơ quan giám sát

Theo Khoản 13(a) Điều khoản chuyển giao của Liên minh Châu Âu, cơ quan giám sát có trách nhiệm đảm bảo bên xuất dữ liệu tuân thủ Quy định 2016/679 của Liên minh Châu Âu về chuyển giao dữ liệu nêu trên sẽ hoạt động với tư cách là cơ quan giám sát có thẩm quyền.

Phụ lục II. Các biện pháp kỹ thuật và tổ chức, bao gồm cả những biện pháp kỹ thuật và tổ chức để đảm bảo bảo mật dữ liệu

1. Giả danh tính, mã hóa và bảo vệ dữ liệu trong quá trình truyền tải.

Các chính sách của PayPal đảm bảo việc tuân thủ nguyên tắc này và yêu cầu sử dụng các biện pháp kiểm soát kỹ thuật để phòng tránh nguy cơ tiết lộ dữ liệu cá nhân. PayPal thực hiện mã hóa tất cả dữ liệu cá nhân cả khi truyền tải và không truyền tải. Chúng tôi cũng sử dụng các kỹ thuật giả danh tính tiêu chuẩn trong ngành, chẳng hạn như mã hóa thông báo, để bảo vệ dữ liệu cá nhân nếu phù hợp. PayPal có những chính sách toàn diện đặt ra các nghĩa vụ và quy trình quan trọng để bảo vệ dữ liệu khi được chuyển giao trong nội bộ doanh nghiệp và bên ngoài với các bên thứ ba.

2. Quản lý sự thay đổi và kinh doanh liên tục.

Quy trình quản lý sự thay đổi mạnh mẽ của PayPal giúp bảo vệ tình trạng khả dụng và khả năng phục hồi liên tục của dữ liệu và hệ thống trong suốt vòng đời bằng cách đảm bảo các thay đổi được lên kế hoạch, phê duyệt, thực hiện và xem xét thích hợp. Quy trình quản lý kinh doanh liên tục của Công ty tạo khuôn khổ giúp xây dựng năng lực phục hồi của tổ chức với khả năng ứng phó hiệu quả nhằm bảo vệ lợi ích của các bên liên quan quan trọng.

3. Khôi phục sau thảm họa.

Chương trình khôi phục sau thảm họa mạnh mẽ của PayPal có các quy trình phục hồi hệ thống thông tin hoặc công nghệ trong trường hợp xảy ra gián đoạn đáng kể, tập trung vào hệ thống CNTT hỗ trợ các quy trình kinh doanh tối quan trọng và các hoạt động của khách hàng. Cơ sở hạ tầng công nghệ của PayPal được đặt tại nhiều trung tâm dữ liệu bảo mật, có chức năng chính và phụ, mỗi trung tâm đều được trang bị cơ sở hạ tầng mạng và bảo mật, ứng dụng chuyên dụng và máy chủ cơ sở dữ liệu cũng như thiết bị lưu trữ.

4. Thường xuyên kiểm tra, xem xét và đánh giá tính hiệu quả của các biện pháp kỹ thuật và tổ chức.

PayPal thường xuyên lên kế hoạch, thực hiện và báo cáo kết quả chương trình kiểm tra của Công ty để xem xét và đánh giá tính hiệu quả từ các biện pháp công nghệ và tổ chức. Chương trình được quản lý thông qua nhóm phụ trách các vấn đề về rủi ro và tuân thủ của doanh nghiệp, họ làm việc với các bên liên quan để thu thập và đánh giá thông tin cần thiết nhằm kiểm tra, báo cáo và khắc phục khi cần thiết.

5. Nhận dạng người dùng và ủy quyền.

Quy trình quản lý truy cập của PayPal yêu cầu người dùng đăng nhập vào mạng của công ty bằng ID tài khoản mạng công ty và mật khẩu duy nhất để nhận dạng và xác thực người dùng trước khi truy cập vào bất kỳ ứng dụng trong phạm vi nào khác. Các chính sách tự động liên quan đến thành phần, độ dài, việc thay đổi, sử dụng lại mật khẩu và mất quyền truy cập được áp dụng. Truy cập và phê duyệt dựa trên vai trò được chứng nhận hằng quý và triển khai trên tất cả các hệ thống trong phạm vi để thực thi các nguyên tắc ít đặc quyền nhất.

6. Bảo mật tại chỗ cho các địa điểm nơi dữ liệu cá nhân được xử lý.

Các chính sách và quy trình bảo mật toàn cầu của PayPal quy định các yêu cầu cần thiết để tạo điều kiện cho các quy trình an toàn và bảo mật hoàn chỉnh, bao gồm bảo mật tại chỗ, theo luật, quy định hiện hành và các yêu cầu của đối tác. Chúng tôi đặc biệt chú ý đến hệ thống bảo mật và các biện pháp bảo vệ khi xây dựng các khu vực đặc biệt hoặc nhạy cảm như phòng thư, khu vực lưu trữ, vận chuyển và nhận thiết bị, phòng máy tính/máy chủ, kho thông tin liên lạc hoặc khu vực lưu trữ tài liệu/thông tin được phân loại theo tiêu chuẩn xử lý bảo mật thông tin của Công ty.

7. Ghi nhật ký và cấu hình sự kiện.

PayPal đã nêu và định nghĩa các loại cũng như đặc tính ghi nhật ký và theo dõi sự kiện. Công ty thu thập và tổng hợp một số loại nhật ký vào hệ thống giám sát bảo mật trung tâm. Việc kiểm soát quản lý cấu hình tiêu chuẩn được áp dụng nhằm đảm bảo các nhật ký được thu thập từ hệ thống, sau đó được chuyển tiếp đến hệ thống giám sát bảo mật tập trung của chúng tôi. Các chính sách và quy trình hỗ trợ của PayPal quy định rằng việc cấu hình hệ thống và kế hoạch củng cố cơ sở phải được thực hiện trên tất cả các hệ thống.

8. Quản trị và quản lý CNTT; Chứng nhận và đảm bảo các quy trình và sản phẩm.

PayPal thúc đẩy một triết lý bảo mật mạnh mẽ trong Công ty. Giám đốc bảo mật thông tin của chúng tôi giám sát việc bảo mật thông tin trong toàn doanh nghiệp toàn cầu. Là một phần trong Chương trình quản lý rủi ro và tuân thủ của doanh nghiệp, Chương trình giám sát công nghệ và bảo mật thông tin của chúng tôi được thiết kế để hỗ trợ Công ty quản lý các rủi ro công nghệ và bảo mật thông tin cũng như xác định, bảo vệ, phát hiện, phản ứng và phục hồi từ các mối đe dọa bảo mật thông tin. PayPal xác nhận và đảm bảo các quy trình và sản phẩm của mình thông qua một loạt các chương trình doanh nghiệp, bao gồm (i) kiểm tra và đánh giá các nghĩa vụ tiêu chuẩn trong ngành về kỹ thuật của PayPal, bao gồm nhưng không giới hạn ở ISO 27001, các tiêu chuẩn hiện hành của Ngành thẻ thanh toán (PCI) (ví dụ như DSS, PIN, P2PE, v.v.), SOC-1 và SOC-2 của Viện Kế toán Công chứng Hoa Kỳ (AICPA), (ii) Quy trình xác định và kiểm soát rủi ro (RCIP) giúp đảm bảo triển khai sớm và cách tiếp cận tiêu chuẩn đối với công tác đo lường, quản lý và giám sát rủi ro liên quan đến việc phát triển và phát hành các giải pháp sản phẩm, (iii) đánh giá tác động về quyền riêng tư được tích hợp vào giai đoạn ban đầu của quá trình phát triển sản phẩm và phần mền, và (iv) một chương trình quản lý bên thứ ba toàn diện mang đến sự đảm bảo thông qua việc liên tục quản lý các rủi ro trong suốt thời gian hợp tác với bên thứ ba.

9. Giảm thiểu dữ liệu.

Thông qua các biện pháp kiểm soát kỹ thuật, các chính sách của chúng tôi yêu cầu thành phần dữ liệu được thu thập và tạo ra phải luôn đầy đủ, phù hợp và chiri giới hạn ở những thành phần cần thiết cho các mục đích xử lý. Quy trình đánh giá tác động về quyền riêng tư của PayPal đảm bảo việc tuân thủ các chính sách này.

10. Chất lượng dữ liệu và lưu giữ.

Chính sách về chất lượng và quyền truy cập của PayPal đảm bảo rằng tất cả dữ liệu cá nhân đều chính xác, đầy đủ và cập nhật, cho phép từng người dùng truy cập vào hệ thống để chỉnh sửa và sửa đổi các thông tin cụ thể của họ (ví dụ: địa chỉ, chi tiết liên hệ, v.v.) và, nếu nhận được yêu cầu chỉnh sửa từ chủ thể dữ liệu, chúng tôi sẽ cung cấp dịch vụ cho phép họ thực hiện chỉnh sửa. Chương trình quản trị dữ liệu của chúng tôi theo dõi chất lượng dữ liệu, các vấn đề và biện pháp khắc phục khi cần thiết. Chúng tôi yêu cầu tất cả các dữ liệu được phân loại theo giá trị kinh doanh với khoảng thời gian lưu giữ được chỉ định dựa trên luật pháp, quy định và các yêu cầu về lưu giữ hồ sơ kinh doanh của PayPal. Sau khi hết thời gian lưu giữ, các dữ liệu và thông tin sẽ được loại bỏ, xóa hoặc hủy.

11. Trách nhiệm giải trình.

PayPal thiết lập một tập hợp các chính sách và nguyên tắc về bảo mật thông tin, công nghệ, quản trị dữ liệu, quản lý bên thứ ba và quyền riêng tư phù hợp với các tiêu chuẩn trong ngành và được thiết kế để thu hút sự cộng tác và hợp tác của các bên liên quan trong việc nhận thức và tuân thủ các chính sách cũng như hoạt động kiểm soát đó trên toàn tổ chức nhằm đảm bảo việc tham gia và trách nhiệm giải trình từ trên xuống trên toàn tổ chức. Mỗi chương trình xác định các trách nhiệm giải trình đối với các quyết định, quy trình và hoạt động kiểm soát liên quan đến dữ liệu của nhiều bộ phận chức năng khác nhau. Là bên kiểm soát dữ liệu, PayPal chịu trách nhiệm và chứng minh sự tuân thủ các điều khoản liên quan mang nghĩa vụ trách nhiệm giải trình trong GDPR và các luật bảo vệ dữ liệu hiện hành khác thông qua việc thực hiện chính sách chương trình quyền riêng tư và cấu trúc kiểm soát kỹ thuật và tổ chức phân lớp cơ sở để đảm bảo toàn bộ doanh nghiệp tuân thủ luật về quyền riêng tư, quy định, chính sách và quy trình. Trong đó bao gồm việc có thể chứng minh sự tuân thủ luật bảo vệ dữ liệu thông qua: 1) văn hóa tuân thủ chặt chẽ, 2) cấu trúc quản trị rủi ro và tuân thủ doanh nghiệp bao gồm các ban quản lý, vai trò giám sát, báo cáo quyền riêng tư, 3) trách nhiệm giải trình chức năng doanh nghiệp đối với việc tuân thủ chương trình quyền riêng tư, bao gồm thành lập, lập tài liệu và duy trì các quy trình và hoạt động kiểm soát doanh nghiệp, 4) một bộ phận về quyền riêng tư toàn cầu trong Tổ chức tuân thủ doanh nghiệp để giám sát việc tuân thủ của doanh nghiệp đối với chương trình quyền riêng tư và xác định các chính sách, tiêu chuẩn, quy trình và công cụ được vận hành bởi các bộ phận chức năng của doanh nghiệp, 5) thông tin liên lạc với doanh nghiệp thông qua bộ phận chức năng về quyền riêng tư toàn cầu để thúc đẩy nhận thức và hiểu biết về quyền riêng, 6) Khung quản lý rủi ro và tuân thủ doanh nghiệp để đảm bảo việc sử dụng các quy trình nhất quán, bao gồm đánh giá tác động về quyền riêng tư, giám sát và kiểm tra về quyền riêng tư, quản lý vấn đề về quyền riêng tư, đào tạo về quyền riêng tư, lập kế hoạch về quyền riêng tư hàng năm, và 7) báo cáo và phân tích cho các ban quản lý giám sát Chương trình quyền riêng tư.

12. Các quyền của chủ thể dữ liệu.

PayPal áp dụng một chương trình để đảm bảo các quyền của chủ thể dữ liệu được thực hiện, bao gồm quyền truy cập, chỉnh sửa và xóa bỏ. Yêu cầu xóa dữ liệu được thực hiện trừ khi PayPal có nghĩa vụ theo luật pháp, quy định hoặc lý do xác đáng khác về kinh doanh để giữ lại dữ liệu. Chính sách của PayPal đảm bảo rằng quy trình xóa bỏ sẽ xảy ra trong suốt vòng đời khách hàng.

13. Bên xử lý.

PayPal có một chương trình quản lý bên thứ ba toàn diện và đảm bảo, giúp liên tục quản lý rủi ro trong suốt vòng đời cam kết với bên thứ ba. Chúng tôi có các biện pháp kiểm soát theo hợp đồng để yêu cầu các bên xử lý và bên xử lý phụ của họ áp dụng các tiêu chuẩn bảo mật dữ liệu và quyền riêng tư toàn diện trong suốt chuỗi xử lý. Tất cả các bên xử lý phụ phải yêu cầu chúng tôi phê duyệt trước khi tham gia.

B) Các nội dung sau chỉ áp dụng cho Điều khoản chuyển giao của Vương quốc Anh

Người nhận
Dữ liệu cá nhân được chuyển chỉ có thể được tiết lộ cho những người nhận sau đây:

• Các nhà cung cấp dịch vụ, chi nhánh và nhân viên thực hiện dịch vụ của bên nhập dữ liệu theo Thỏa thuận.

Thông tin đăng ký bảo vệ dữ liệu của bên xuất dữ liệu (nếu có)

Không áp dụng.

Thông tin hữu ích bổ sung (hạn mức lưu trữ và thông tin liên quan khác)

Như quy định trong Thỏa thuận và nội dung ở phần trên của Tài liệu đính kèm 1 này.