>> Zobrazit všechny právní smlouvy
Firemní pravidla týkající se uživatelů služby PayPal
Cílem skupiny PayPal je uplatňovat jednotné, přiměřené a globální standardy ochrany dat a osobních údajů, které budou platit pro zpracování všech osobních údajů uživatelů v celé skupině PayPal. Tato firemní pravidla týkající se uživatelů platí pro všechny osobní údaje uživatelů zpracovávané členy skupiny po celém světě.
Uživatelé po celém světe poskytují členům skupiny své osobní údaje, aby mohli využívat služby, které skupina nabízí. Většina osobních údajů uživatelů je shromažďována a ukládána v USA. Vzhledem k tomu, že společnost PayPal působí po celém světě, je nutné, aby byly osobní údaje uživatelů sdíleny s ostatními subjekty společnosti PayPal v USA i všude ve světě, kde společnost PayPal v současné době působí nebo to má v úmyslu.
V současné době mohou mít přístup k osobním údajům uživatelů zaměstnanci v následujících zemích Evropského hospodářského prostoru: Lucembursko, Belgie, Francie, Německo, Irsko, Itálie, Nizozemsko, Polsko, Španělsko a Švédsko.
Přístup k osobním údajům uživatelů mohou mít také zaměstnanci v následujících zemích mimo EU: USA, Tchaj-wan, Turecko, Austrálie, Britské Panenské ostrovy, Austrálie, Kanada, Čína, Hongkong, Indie, Indonésie, Izrael, Japonsko, Jižní Korea, Malajsie, Mauricius, Filipíny, Rusko, Singapur, Švýcarsko, Spojené království, Argentina, Brazílie a Mexiko.
Společnost PayPal se zavazuje odpovídajícím způsobem chránit údaje uživatelů bez ohledu na to, kde se tyto osobní údaje nacházejí, a zajistit jejich odpovídající ochranu v případě, že jsou údaje předávány mimo EHP.
Seznam zemí se může měnit podle toho, jak společnost rozšiřuje své podnikatelské aktivity.
1. Struktura a odpovědnost při práci s osobními údaji
Firemní pravidla týkající se uživatelů jsou smlouvou („smlouva v rámci skupiny“ nebo „IGA“) mezi společností PayPal (Europe) S. à r.l. & Cie, S.C.A. („vedoucí člen skupiny“) a ostatními subjekty skupiny PayPal ustavena jako právně závazná. Smlouva v rámci skupiny vyžaduje, aby členové skupiny tato firemní pravidla týkající se uživatelů dodržovali. Členové skupiny zase vyžadují, aby tato firemní pravidla týkající se uživatelů dodržovali při práci s osobními údaji uživatelů jejich zaměstnanci.
Ředitelé a vyšší vedení skupiny PayPal jsou zodpovědní za prosazování dodržování těchto firemních pravidel týkajících se uživatelů, včetně zajištění toho, aby zaměstnanci tato firemní pravidla týkající se uživatelů znali a řídili se jimi.
Program společnosti PayPal na ochranu osobních údajů řídí vedoucí pro dodržování předpisů v oblasti ochrany osobních údajů. Tato osoba zastává vysokou pozici ve společnosti PayPal Holdings, Inc. a je podřízena přímo generálnímu řediteli pro dodržování předpisů nebo nejvyššímu vedoucímu pracovníkovi, který se ve společnosti PayPal stará o dodržování předpisů. Vedoucí pro dodržování předpisů dohlíží na tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů a ve spolupráci s ostatními interními organizacemi a odděleními, například s provozním oddělením nebo oddělením pro bezpečnost údajů, dodržování předpisů, posuzování rizik a vnitřní audit, pomáhá zajistit konzistentní komunikaci, postupy a zásady týkající se ochrany osobních údajů v celé společnosti PayPal. Tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů vyvíjí a koordinuje implementaci strategie dodržování předpisů v rámci celé skupiny PayPal a ověřuje dodržování předpisů v provozu. Tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů má přímé i nepřímé zástupce v celé skupině PayPal. Tito zástupci mimo jiné pomáhají zajišťovat dodržování firemních pravidel týkajících se uživatelů a příslušných zákonů o ochraně osobních údajů.
Právní vedoucí pro ochranu osobních údajů dohlíží na tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů a je podřízen přímo generálnímu řediteli pro právní záležitosti nebo nejvyššímu vedoucímu pracovníkovi, který se ve společnosti PayPal stará o právní záležitosti. Právní vedoucí pro ochranu osobních údajů definuje povinnosti společnosti podle příslušných zákonů na ochranu osobních údajů a těchto firemních pravidel týkajících se uživatelů. Právní vedoucí pro ochranu osobních údajů a tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů úzce spolupracují s vedoucím pro dodržování předpisů a týmem společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů a ve spolupráci s ostatními interními organizacemi a odděleními, například právním a provozním oddělením nebo oddělením bezpečnosti údajů a posuzování rizik, poskytují právní rady a interpretují dopady zákonů a předpisů na měnící se situaci v oblasti ochrany osobních údajů v celé společnosti PayPal.
Tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů a tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů společně tvoří tým společnosti PayPal pro globální ochranu osobních údajů.
Evropský pověřenec pro ochranu osobních údajů se sídlem v Lucembursku je jmenován vedením společnosti PayPal (Europe) S.à r.l. et Cie, S.C.A. a je mu podřízen. Evropský pověřenec pro ochranu osobních údajů působí jako primární kontakt pro úřady zabývající se ochranou osobních údajů v EHP a má mimo jiné následující povinnosti: informovat a radit členům skupiny a jejich zaměstnancům, kteří zpracovávají osobní údaje, ohledně jejich povinností v rámci předpisů o ochraně osobních údajů za účelem zajištění dodržování souladu s těmito firemními pravidly týkajícími se uživatelů; ve spolupráci s týmem společnosti PayPal pro globální ochranu osobních údajů sledovat dodržování předpisů o ochraně osobních údajů a souvisejících zásad členů skupiny; a na vyžádání poskytovat právní poradenství členům skupiny ohledně posuzování dopadu ochrany osobních údajů a implementace.
2. Zásady zpracování osobních údajů uživatelů
Členové skupiny dodržují při práci s osobními údaji uživatelů následující zásady zpracovávání.
2.1 Omezení účelu
Osobní údaje uživatelů mohou být zpracovávány pro určité, výslovně vyjádřené a legitimní účely. Osobní údaje uživatelů mohou být konkrétně zpracovávány pro tyto účely:
– nabízení a zajišťování poskytování služeb podle požadavků uživatelů, včetně založení účtu;
– vylepšování služeb a vyvíjení nových služeb;
– řešení a správa sporů, odstraňování problémů a poskytování služeb zákazníkům;
– řízení rizik;
– zpracovávání transakcí a vybírání poplatků;
– kontrola úvěruschopnosti a solventnosti;
– měření zájmu uživatelů a získávání zpětné vazby a názorů ke službám a informování uživatelů o online i offline nabídkách online, službách a aktualizacích;
– přizpůsobování prostředí uživatelům;
– zjišťování chyb, podvodů a jiných trestných činů a ochrana proti nim;
– plnění zákonných, smluvních či stanovených povinností skupiny PayPal;
– vymáhání dodržování smluvních podmínek služby a jiných povinností, které jsou uživatelům vysvětleny při shromažďování údajů a v zásadách ochrany osobních údajů této služby;
– ochrana bezpečnosti, integrity a dostupnosti služeb a sítě skupiny PayPal; a
– ochrana zákonných práv a zájmů společnosti PayPal, mimo jiné včetně vzniku a uplatňování právních nároků nebo ochrany před právními nároky.
Zpracování osobních údajů uživatelů pro jiné účely musí být předem schváleno týmem společnosti PayPal pro právní aspekty globální ochrany osobních údajů. V případě pochybností požádají členové skupiny o konzultaci tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů.
Osobní údaje uživatelů nebudou zpracovávány způsobem, který není v souladu s výše uvedenými účely. Výjimkou jsou situace, kdy pro takové zpracování existuje zákonný podklad v rámci zákonů platných pro člena skupiny v EHP odpovědného za shromažďování a/nebo přenos osobních údajů uživatelů.
2.2 Kvalita a přiměřenost údajů
Osobní údaje uživatelů musí být:
- přesné a v případě potřeby aktualizované;
- přiměřené, relevantní a nepřesahující potřeby účelů, pro které jsou zpracovávány; a
- uchovávány pouze po dobu nezbytně nutnou k dosažení účelu, ke kterému byly původně shromážděny nebo dále zpracovány, a nikdy déle.
Osobní údaje uživatelů, které již nejsou potřebné pro účely, pro které byly zpracovány, musí být smazány, odstraněny, zničeny nebo anonymizovány, pokud neexistuje zákonný důvod pro další zpracování nebo pokud není jejich uchovávání vyžadováno příslušnými zákony.
2.3 Zákonné důvody pro zpracování
Členové skupiny musí zajistit, aby byly osobní údaje uživatelů zpracovávány korektně a v souladu se zákony, a především na základě nejméně jednoho z následujících zákonných důvodů, kterými jsou:
- jednoznačný souhlas uživatele;
- zpracování nezbytné k plnění smlouvy, jejíž je uživatel smluvní stranou, nebo provádění kroků vyžádaných uživatelem před uzavřením smlouvy;
- zpracování nezbytné ke splnění zákonné povinnosti člena skupiny;
- zpracování nezbytné k ochraně životně důležitých zájmů uživatele;
- zpracování nezbytné k plnění úkonů ve veřejném zájmu nebo při výkonu veřejné moci svěřeném členům skupiny nebo třetí straně, které jsou údaje předávány; nebo
- zpracování nezbytné pro účely oprávněných zájmů sledovaných členem skupiny nebo třetí stranou nebo stranami, kterým jsou údaje předány, s výjimkou případů, kdy jsou tyto zájmy převyšovány zájmy základních práv a svobod uživatele.
Obecně platí, že členové skupiny neshromažďují citlivé osobní údaje uživatelů. Tam, kde je takové shromažďování nutné nebo kde uživatelé takové údaje poskytují dobrovolně, musí členové skupiny zajistit, aby byly citlivé osobní údaje uživatelů zpracovávány pouze na základě nejméně jednoho z následujících zákonných důvodů, kterými jsou:
- výslovný souhlas uživatele;
- zpracování nezbytné k ochraně životně důležitých zájmů uživatele nebo jiné osoby, pokud je uživatel fyzicky nebo právně neschopen poskytnout svůj souhlas;
- zpracování se týká osobních údajů uživatele zjevně zveřejněných uživatelem; nebo
- zpracování nezbytné ke vzniku a uplatňování právních nároků nebo ochrany před právními nároky.
Pokud zpracování zahrnuje automatizovaný rozhodovací proces (dále jen „automatizovaná rozhodnutí“), musí členové skupiny podniknout vhodná opatření k ochraně legitimních zájmů uživatele, například poskytnout uživateli příležitost, aby požádal o individuální přezkoumání rozhodnutí pracovníkem oddělení podpory zákazníků, a umožnit mu vyjádřit názor. Pokud uživatel i nadále nesouhlasí s automatizovaným rozhodnutím, musí pracovník oddělení podpory zákazníků předat záležitost pověřenci EU pro ochranu osobních údajů. Pokud je to vhodné, bude o vyjádření požádán právní vedoucí pro ochranu osobních údajů a bude informován vedoucí pro dodržování předpisů.
2.4 Transparentnost
Při shromažďování osobních údajů uživatelů musí členové skupiny uživatele informovat o:
- názvu a adrese člena skupiny, odpovědnému za původní shromažďování a zpracování;
- dotčených kategoriích osobních údajů uživatele;
- zamýšleném účelu zpracování;
- kategoriích zpracovatelů uživatele a třetích stran při zpracování osobních údajů uživatele;
- povinnosti nebo dobrovolnosti odpovědí na dotazy a o možných následcích neodpovězení;
- existenci práv uživatele; a
- logice automatického rozhodování, pokud je používáno.
Členové skupiny mohou tyto informace poskytnout v zásadách ochrany osobních údajů služby, které musí být dostupné prostřednictvím odkazu anebo zobrazené na dobře viditelném místě každé webové stránky nebo aplikace služby a během registrace. Povinnost informovat uživatele neplatí, pokud jsou již uživatelé o těchto skutečnostech informováni.
Pokud je poskytnutí informací prokazatelně nemožné nebo by na ně bylo nutné vynaložit nepřiměřené úsilí, mohou se členové skupiny poskytnutí informací zdržet. Týká se to pouze osobních údajů uživatele, které nebyly získány přímo od uživatele.
Ve výjimečných případech může být poskytnutí konkrétních informací odloženo nebo vynecháno. Příkladem může být souvislost s vyšetřováním protiprávního jednání nebo dodržování příslušných zákonů nebo situace, kdy by poskytnutí informací mohlo ohrozit integritu vyšetřování.
2.5 Důvěrnost a zabezpečení
Členové skupiny využívají fyzická, technická a organizační bezpečnostní opatření přiměřená množství a citlivosti osobních údajů uživatelů, aby zabránili neoprávněnému zpracování, mimo jiné včetně neoprávněného přístupu, získávání a používání, ztráty, zničení nebo poškození osobních údajů uživatelů. Členové skupiny chrání údaje uživatelů před neoprávněným přístupem pomocí šifrování, bran firewall, omezení přístupu, standardů a dalších postupů. Fyzický a logický přístup k elektronickým a vytištěným souborům je dále omezen podle pracovních povinností a firemních potřeb.
2.6 Možnosti a práva uživatelů
Uživatelé mají přístup a mohou měnit většinu osobních údajů uživatelů udržovaných u členů skupiny, které se jich týkají, přes příslušný online nástroj nebo samoobslužný proces, který je jim k dispozici přes web nebo aplikaci služby.
Uživatelé mají v každém případě právo podat žádost o přístup k údajům, které nejsou přístupné přes web nebo aplikaci služby, aby si je mohli prohlédnout nebo obdržet jejich kopii. Uživatelé musí kontaktovat oddělení podpory zákazníků podle pokynů uvedených na webu nebo v aplikaci služby. Členové skupiny požadavkům vyhoví ve lhůtách stanovených příslušnými zákony, s výjimkou situací, kdy příslušný zákon povoluje výjimky. Uživatelé mohou být vyzváni k prokázání totožnosti a může jim být účtován poplatek za službu podle příslušného zákona.
Pokud jsou údaje neúplné nebo nepřesné, mohou uživatelé požádat o jejich opravu. Členové skupiny takovému požadavku vyhoví, a jakmile budou údaje opraveny, informují o tom uživatele. Pokud to není prokazatelně nemožné nebo to nepředstavuje neúměrné úsilí, uvědomí členové skupiny o opravách třetí strany, kterým byly údaje uživatelů předány.
Na základě přesvědčivých oprávněných důvodů mohou uživatelé vznést proti zpracování svých osobních údajů námitku. Členové skupiny takovým požadavkům vyhoví, pokud uchovávání osobních údajů uživatele není vyžadováno příslušným zákonem nebo pokud není potřebné k ochraně skupiny PayPal proti právním krokům. Uživatelé budou o výsledku svého požadavku a o opatřeních přijatých členy skupiny informováni.
Kromě toho mohou uživatelé podle pokynů uvedených na webu nebo v aplikaci služby požádat o zrušení svého účtu. Členové skupiny údaje o uživateli ze služby odstraní nebo je anonymizují, a to v co nejkratší rozumné lhůtě (v závislosti na aktivitě na účtu). V některých případech mohou členové skupiny zrušení účtu odložit, případně mohou osobní údaje uživatele nadále uchovávat kvůli vyšetřování nebo v případech požadovaných příslušnými zákony. Členové skupiny mohou údaje uživatelů uzavřených účtů uchovávat za účelem zjišťování podvodů a ochrany proti nim, vybírání dlužných poplatků, řešení sporů, řešení problémů, pomoci při jakémkoli vyšetřování, správy rizik, vymáhání dodržování smluvních podmínek služby, dodržování požadavků zákonů či předpisů či podnikání jiných kroků povolených příslušnými zákony. Údaje nebudou uchovávány ve formě umožňující identifikaci subjektů údajů déle než je nutné pro účely, pro které byly údaje shromažďovány nebo pro které byly dále zpracovány, a budou odstraněny, jakmile důvod pro jejich uchovávání pomine.
S výjimkou uživatelů, kteří se rozhodli nepřijímat určitá sdělení, mohou členové skupiny na základě osobních údajů uživatelů posílat uživatelům cílená sdělení podle jejich zájmů (v souladu s platnými zákony). Uživatelům, kteří si nepřejí přijímat od skupiny PayPal marketingová sdělení, budou nabídnuty snadno dostupné možnosti pro zamítnutí zasílání dalších reklam (například v nastavení účtu nebo podle pokynů uvedených v e-mailu nebo odkazu ve sdělení).
Výše uvedená práva mohou uživatelé uplatnit tak, že kontaktují zákaznickou podporu. Pokud je obtížné ověřit totožnost uživatele, mohou členové skupiny uživatele požádat, aby poskytl další doklad totožnosti.
2.7 Zpřístupnění osobních údajů
Členové skupiny mohou osobní údaje uživatelů v rámci běžných postupů podnikání sdílet s ostatními členy skupiny po celém světě pro účely uvedené v části 2.1.
V souladu s příslušnými zákony, smlouvami a příslušnými mezinárodními úmluvami mohou členové skupiny sdílet osobní údaje s policejními a regulačními orgány, pokud je to v demokratické společnosti nutné pro zajištění národní bezpečnosti, obrany, veřejné bezpečnosti, prevence, vyšetřování, odhalování a stíhání trestných činů a především pro dodržování sankcí stanovených mezinárodními nebo národními předpisy, požadavků na podávání daňových informací nebo požadavků na oznamování praní špinavých peněz.
Bez výslovného a jednoznačného informovaného souhlasu uživatele nemohou členové skupiny prodávat ani pronajímat osobní údaje uživatelů třetím stranám pro marketingové účely. Pokud to povolují příslušné zákony, mohou členové skupiny zpřístupnit informace o uživatelích třetím stranám v souladu s pokyny nebo souhlasem uživatelů.
Při předávání osobních údajů uživatelů zpracovatelům podstupují zpracovatelé před zahájením práce a před předáním jakýchkoli osobních údajů uživatelů proces posouzení rizik z hlediska ochrany osobních údajů, ochrany dat a zabezpečení informací. Rozsah posouzení se bude lišit podle citlivosti zpracovávaných osobních údajů uživatelů. Zpracovatelé včetně členů skupiny působících v roli zpracovatele musí s příslušnými členy skupiny uzavřít smlouvu o zajištění odpovídající opatření pro ochranu osobních údajů a soukromí a pro zabezpečení informací. Součástí takové smlouvy jsou ustanovení zajišťující odpovídající nakládání s osobními údaji uživatelů a bezpečnostní opatření přiměřená objemu, povaze a citlivosti osobních údajů uživatelů, kterých se týká. Smluvní záruky musí zahrnovat přinejmenším následující prvky:
- požadavky na dodržování zákonů a zpracování osobních údajů uživatelů výhradně v souladu s podmínkami smlouvy a výhradně podle pokynů příslušného člena skupiny;
- příslušná technická a organizační opatření přizpůsobená citlivosti daných osobních údajů uživatelů a jejich zpracování;
- právo provádět audity dodržování smluvních záruk ze strany zpracovatele;
- povinnost hlásit narušení bezpečnosti; a
- ustanovení o nápravě v případě nedodržení právních a smluvních povinností zpracovatele.
Smlouvy musí obsahovat ustanovení o tom, že kromě jiných opravných prostředků uvedených ve smlouvě může nedodržení podmínek smlouvy vést k pozastavení nebo ukončení platnosti smlouvy.
Posouzení ochrany soukromí a osobních údajů a zabezpečení informací není nutné u zpracovatelů, kteří již takové posouzení absolvovali. Výjimkou jsou případy, kdy činnosti při zpracování zahrnují velmi rizikové činnosti vzhledem k povaze a objemu osobních údajů a druhu zpracování.
Bez ohledu na výše uvedená ustanovení musí členové skupiny předávající osobní údaje uživatelů z EHP třetím stranám nebo zpracovatelům, kteří nejsou členy skupiny a: i) sídlí v zemích, které neposkytují příslušnou úroveň ochrany (ve smyslu směrnice 95/46/ES), ii) nejsou vázáni schválenými závaznými firemními pravidly nebo iii) nemají jiná ujednání, která by splňovala požadavky přiměřenosti EU, zajistit následující opatření:
- U třetích stran musí zajistit zavedení příslušných smluvních ujednání, například vzorových smluvních ustanovení schválených Evropskou komisí, zajišťujících úroveň ochrany odpovídající těmto firemním pravidlům týkajícím se uživatelů, případně zajistit, aby předávání i) bylo prováděno s jednoznačným souhlasem uživatele, ii) bylo nutné pro plnění smlouvy uzavřené s uživatelem, iii) bylo nutné nebo zákonem vyžadované v důležitém veřejném zájmu nebo iv) bylo nutné k ochraně životních zájmů uživatele.
- U zpracovatelů musí zajistit zavedení příslušných smluvních ujednání, například vzorových smluvních ustanovení schválených Evropskou komisí, která zajišťují úroveň ochrany odpovídající těmto firemním pravidlům týkajícím se uživatelů.
3. Mechanismus podávání a řešení stížností
Pokud se uživatelé domnívají, že byly jejich osobní údaje zpracovány v rozporu s firemními pravidly týkajícími se uživatelů, mohou situaci oznámit pracovníkům oddělení služeb zákazníkům příslušného člena skupiny na webu příslušné služby, e-mailem nebo jiným způsobem uvedeným v příslušných smluvních podmínkách. Odpovědi na nejčastější dotazy k ochraně osobních údajů mohou uživatelé obecně získat zadáním hesla „ochrana osobních údajů“ v nápovědě příslušné služby, čímž budou obvykle nasměrováni na stránku o ochraně osobních údajů nebo příslušné zásady. Nápověda příslušné služby představuje jednotný vstupní bod pro všechny uživatele, kteří mají dotazy týkající se ochrany osobních údajů nebo zpracování údajů uživatelů, a rovněž uživatelům umožňuje kontaktovat zákaznickou podporu.
Pokud má uživatel pochybnosti o tom, kterým kanálem má nahlásit obavy týkající se ochrany osobních údajů, může se obrátit na evropského pověřence pro ochranu osobních údajů online.
Obavy nahlášené uživateli prověřuje a řeší oddělení podpory zákazníků. Zaměstnanci odpovědní za řešení dotazů týkajících se ochrany osobních údajů úzce spolupracují s týmem společnosti PayPal pro globální ochranu osobních údajů a odpovídají uživatelům v souladu se zásadami, postupy a pokyny společnosti PayPal. Pokud se uživatelé domnívají, že na své dotazy neobdrželi postačující odpověď, nebo pokud nedostali odpověď vůbec, mohou se obrátit na evropského pověřence pro ochranu osobních údajů. O vyjádření bude požádán právní vedoucí pro ochranu osobních údajů a bude uvědomen vedoucí pro dodržování předpisů. Postup, jakým probíhá postoupení požadavku pracovníkům na vyšší pozici, se řídí povahou a rozsahem záležitosti a požadavek musí být příslušnému týmu předán neprodleně. Odpověď na stížnost bude uživateli poskytnuta v přiměřené době, v každém případě však do tří (3) měsíců od data zaslání dotazu. Výjimkou jsou neobvyklé okolnosti nebo složité otázky – v takovém případě bude uživatel informován, že odpověď bude trvat déle než tři (3) měsíce.
Mechanismem řešení stížností není dotčeno právo uživatelů podat stížnost příslušným orgánům pro ochranu osobních údajů nebo k soudu.
4. Práva a odpovědnost oprávněných třetích stran
Uživatelé z EHP, kteří mají podezření na porušení firemních pravidel týkajících se uživatelů mimo oblast EHP, mají právo domáhat se dodržování firemních pravidel týkajících se uživatelů jako oprávněné třetí strany pro oddíly 2, 3, 4, 7 a 8 firemních pravidel týkajících se uživatelů u příslušných orgánů pro ochranu osobních údajů, u soudů příslušných pro vedoucího člena skupiny nebo u soudů příslušných pro člena skupiny působícího v roli vývozce údajů. Tato práva na domáhání se doplňují ostatní práva a opravné prostředky poskytované společností PayPal nebo dostupné podle příslušných zákonů.
Přestože to není povinné, doporučujeme uživatelům z EHP, aby své záležitosti nejprve nahlásili přímo danému členu skupiny a teprve poté orgánům pro ochranu osobních údajů nebo soudům. Skupina PayPal tak bude moci rychle a efektivně reagovat a minimalizují se možná zdržení při projednávání u orgánů pro ochranu osobních údajů nebo soudů.
Lucemburská soukromá společnost s ručením omezeným PayPal Europe S.à r.l. et Cie, S.C.A. přijímá odpovědnost za dodržování firemních pravidel týkajících se uživatelů členy skupiny a souhlasí s tím, že na ně bude dohlížet. Pokud není příslušný člen skupiny schopen nebo ochoten vyplatit kompenzaci nebo splnit nařízení, zavazuje se vedoucí člen skupiny (i) podniknout potřebná opatření k nápravě porušení pravidel, kterého se dopustil člen skupiny mimo EHP, a (ii) vyplatit uživatelům z EHP kompenzaci za jakékoli škody přímo způsobené porušením firemních předpisů týkajících se uživatelů členem skupiny, které byly přiznány hlavním orgánem pro ochranu osobních údajů nebo lucemburskými soudy.
Vedoucí člen skupiny uznává a potvrzuje, že s ohledem na údajné porušení firemních pravidel týkajících se uživatelů nese důkazní břemeno.
Vedoucí člen skupiny (nebo kterýkoli člen skupiny) nenese zodpovědnost, pokud na základě dostupných faktů a s ohledem na připomínky uživatele přiměřeně prokáže, že člen skupiny mimo EHP neporušil firemní pravidla týkající se uživatelů nebo není zodpovědný za žádnou škodu udávanou uživatelem.
5. Školení
Členové skupiny zajistí, aby všichni zaměstnanci zpracovávající osobní údaje uživatelů a zaměstnanci, kteří se podílejí na vytváření nástrojů pro shromažďování nebo zpracovávání osobních údajů uživatelů, absolvovali školení týkající se ochrany osobních údajů a zabezpečení informací, jehož cílem je informovat zaměstnance a zdůraznit jim potřebu chránit a zabezpečit osobní údaje uživatelů v souladu s těmito firemními pravidly týkajícími se uživatelů.
Zaměstnanci jsou povinni každoročně absolvovat online školení o dodržování předpisů zaměřené na etický kodex, které bude zahrnovat část o ochraně údajů. Noví zaměstnanci jsou povinni absolvovat online školení o dodržování předpisů při vstupu do zaměstnaneckého poměru.
Kromě tohoto online školení o dodržování předpisů povedou tým společnosti PayPal pro globální ochranu osobních údajů a evropský pověřenec pro ochranu osobních údajů školení týkající se ochrany osobních údajů a zabezpečení informací, jehož cílem je informovat zaměstnance a zdůraznit jim potřebu chránit a zabezpečit osobní údaje. Toto školení probíhá každoročně nebo častěji, pokud to vyžadují okolnosti.
Školení, které zaměstnanci absolvují, musí být přizpůsobeno jejich úrovni přístupu k osobním údajům uživatelů, přičemž uživatelé s vyšší úrovní přístupu musí absolvovat doplňující školení.
Členové skupiny musí zaměstnance informovat o tom, že nedodržení těchto firemních pravidel týkajících se uživatelů může mít za následek disciplinární a jiná opatření povolená příslušnými zákony. Kopie těchto firemních pravidel týkajících se uživatelů a jiných souvisejících zásad a postupů týkajících se ochrany osobních údajů mají zaměstnanci neustále k dispozici na firemním intranetu. Firemní pravidla týkající se uživatelů jsou také součástí etického kodexu, který si musí všichni zaměstnanci nastudovat a řídit se jím.
6. Audity a monitorování
Kvůli zajištění dodržování těchto firemních pravidel týkajících se uživatelů provádí tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů pravidelné kontroly aktivit a postupů při zpracování osobních údajů. Tyto aktivity jsou koordinovány v úzké spolupráci s evropským pověřencem pro ochranu osobních údajů.
Tým interního auditu je nezávislým a objektivním poradcem vedení a představenstva. Prostřednictvím výboru pro audity sděluje nálezy z auditů představenstvu, vedoucím zabývajícím se ochranou osobních údajů a evropskému pověřenci pro ochranu osobních údajů.
Tým interního auditu může pravidelně kontrolovat aktivity a postupy určené týmem společnosti PayPal pro globální ochranu osobních údajů. Tým interního auditu, vedoucí zabývající se ochranou osobních údajů a evropský pověřenec pro ochranu osobních údajů musí v případě potřeby vyžadovat realizaci akčního plánu pro zajištění dodržování závazných firemních pravidel. Pokud se interním skupinám nepodaří záležitosti přiměřeným způsobem vyřešit, může skupina dalším řešením pověřit externí auditory.
Evropský pověřenec pro ochranu osobních údajů, tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů nebo tým interního auditu a externí auditoři vytvoří podrobné plány auditů odpovídající rizikům zpracování.
Nálezy z auditů ochrany osobních údajů budou k dispozici příslušným orgánům pro ochranu osobních údajů. Společnost PayPal si vyhrazuje právo redakčně zpracovat části zpráv z auditů tak, aby zajistila důvěrnost chráněných nebo jiných důvěrných informací společnosti.
7. Vztah mezi firemními pravidly týkajícími se uživatelů a vnitrostátními zákony
Vzhledem k odlišným právním požadavkům na ochranu osobních údajů v jednotlivých zemích světa představují firemní pravidla týkající se uživatelů konzistentní soubor požadavků, které pomáhají zajistit řádné zpracování osobních údajů uživatelů. Firemní pravidla týkající se uživatelů představují základní požadavky na členy skupiny, ale členové skupiny musí dodržovat také příslušné zákony, které mohou vyžadovat přísnější standardy než firemní pravidla.
Žádná část těchto firemních pravidel týkajících se uživatelů neovlivňuje povinnosti členů skupiny stanovené příslušnými zákony o bankách, a to především v souvislosti s bankovním tajemstvím. Pokud je příslušný zákon v rozporu s těmito firemními pravidly týkajícími se uživatelů, mohl by členovi skupiny bránit ve splnění povinností stanovených firemními pravidly týkajícími se uživatelů a má podstatný vliv na stanovené záruky, musí člen skupiny neprodleně upozornit evropského pověřence pro ochranu osobních údajů. Výjimkou jsou případy, kdy poskytnutí takových informací zakazuje orgán zabývající se vymáháním práva nebo zákon. Evropský pověřenec pro ochranu osobních údajů, vedoucí zabývající se ochranou osobních údajů a vedoucí člen skupiny musí určit vhodný postup a v případě pochybností se poradit s příslušným orgánem pro ochranu osobních údajů.
8. Vzájemná pomoc a spolupráce s orgány pro ochranu osobních údajů
Členové skupiny vzájemně spolupracují a pomáhají si při zpracování požadavků nebo stížností uživatelů týkajících se těchto firemních pravidel týkajících se uživatelů.
Členové skupiny budou důsledně a přiměřeně reagovat na požadavky orgánů pro ochranu osobních údajů ohledně firemních pravidel týkajících se uživatelů. Pokud zaměstnanec obdrží takový požadavek od orgánu pro ochranu osobních údajů, musí neprodleně informovat evropského pověřence pro ochranu osobních údajů.
Členové skupiny budou spolupracovat při řešení dotazů a přijímání auditů od oprávněných orgánů pro ochranu osobních údajů v EHP ohledně dodržování těchto firemních pravidel týkajících se uživatelů a budou respektovat jejich rozhodnutí v souladu s platnými zákony a právy na řádný proces.
9. Aktualizace obsahu těchto firemních pravidel týkajících se uživatelů a seznam vázaných členů
Společnost PayPal si vyhrazuje právo tato firemní pravidla týkající se uživatelů podle potřeby měnit, například pro zajištění souladu se změnami v příslušných zákonech, pravidlech, předpisech, postupech a organizační struktuře společnosti PayPal nebo s požadavky stanovenými příslušnými orgány pro ochranu osobních údajů.
Potřebné změny těchto firemních pravidel týkajících se uživatelů navrhuje tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů pod vedením právního vedoucího pro ochranu osobních údajů. Všechny změny firemních pravidel týkajících se uživatelů musí schválit tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů (pod vedením vedoucího pro dodržování předpisů v oblasti ochrany osobních údajů) a evropský pověřenec pro ochranu osobních údajů. Tyto subjekty také zaznamenávají veškeré změny firemních pravidel týkajících se uživatelů a změny seznamu členů skupiny. Členové skupiny musí příslušnému orgánu pro ochranu osobních údajů předložit všechny změny firemních pravidel týkajících se uživatelů k formálnímu schválení v souladu s požadavky příslušných zákonů.
Podstatné změny firemních pravidel týkajících se uživatelů, které by ovlivnily dodržování zákonů o ochraně osobních údajů nebo uplatňování firemních pravidel týkajících se uživatelů, musí vedoucí člen skupiny konzultovat s hlavním orgánem pro ochranu osobních údajů. Nejméně jednou ročně bude vedoucí člen skupiny informovat hlavní orgán pro ochranu osobních údajů o podstatných změnách firemních pravidel týkajících se uživatelů a o změnách seznamu členů skupiny. Tým společnosti PayPal pro globální ochranu osobních údajů bude podporovat evropského pověřence pro ochranu osobních údajů, který bude za společnost PayPal především koordinovat reakce a rychle reagovat na připomínky, návrhy nebo námitky hlavního orgánu pro ochranu osobních údajů. Jakékoli připomínky, návrhy nebo námitky jiného orgánu pro ochranu osobních údajů sdělí hlavní orgán pro ochranu osobních údajů jako zástupce ostatních orgánů pro ochranu osobních údajů evropskému pověřenci pro ochranu osobních údajů.
Změny firemních pravidel týkajících se uživatelů budou platit pro všechny členy skupiny od data nabytí účinnosti. Členové skupiny budou uživatele informovat o podstatných změnách firemních pravidel týkajících se uživatelů v souladu s předvolbami uživatelů, a to buď zasláním hromadného e-mailu nebo publikováním na webu, přičemž je nutné uživatele na změnu příslušných pravidel s dostatečným předstihem upozornit. Změněná firemní pravidla týkající se uživatelů musí členové skupiny zveřejnit na vybraných externích webech nebo v aplikacích, ke kterým mají uživatelé přístup. Změny firemních pravidel týkajících se uživatelů začnou platit do dvou měsíců od oznámení členů skupiny uživatelům a zveřejnění změněných firemních pravidel týkajících se uživatelů.
10. Zveřejnění
Firemní pravidla týkající se uživatelů musí být zveřejněna a musí na ně být uveden odkaz na webu nebo v aplikacích služby. Uživatelé si mohou vyžádat kopii od evropského pověřence pro ochranu osobních údajů (DPO) na adrese PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449, Luxembourg nebo online.
11. Závěrečná ustanovení
Datum začátku platnosti: 25. května 2018
Kontaktní osoba: Uživatelé mohou zasílat jakékoli dotazy nebo obavy ohledně těchto firemních pravidel týkajících se uživatelů následující kontaktní osobě:
The European Data Protection Officer (DPO)
PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg
12. Definice
Členové skupiny musí firemní pravidla týkající se uživatelů interpretovat způsobem, který se co nejvíce blíží základním pojmům a zásadám směrnice EU 95/46/ES nebo jakékoli nahrazující směrnice nebo předpisu.
Pro účely těchto firemních pravidel týkajících se uživatelů platí následující definice:
Pojem představenstvo označuje představenstvo vedoucího člena skupiny.
Pojem orgány pro ochranu osobních údajů označuje orgány veřejné správy, které jsou na svém území zodpovědné za monitorování a vymáhání uplatňování vnitrostátních zákonů členských států EHP podle směrnice EU o ochraně osobních údajů (95/46/ES).
Zkratka EHP označuje Evropský hospodářský prostor, který se v současné době skládá z členských států EU, Islandu, Lichtenštejnska a Norska.
Pojem zaměstnanec označuje zaměstnance, pracovníky, stážisty a další personál, včetně pracovníků na dobu určitou nebo dočasných zaměstnanců, náhradních pracovníků nebo smluvních partnerů člena skupiny, ať už jsou zaměstnaní nebo najatí na plný nebo částečný úvazek, a to bez ohledu na typ zaměstnaneckého nebo smluvního vztahu.
Pojem evropský pověřenec pro ochranu osobních údajů (DPO) označuje zaměstnance, který je jmenován vedením vedoucího člena skupiny a zodpovídá se mu. Působí také v rámci týmu společnosti PayPal pro globální ochranu osobních údajů. Evropský pověřenec pro ochranu osobních údajů sídlí v Lucembursku.
Pojem člen skupiny označuje subjekt skupiny PayPal, který uzavřel smlouvu v rámci skupiny.
Zkratkou IGA (z anglického výrazu Intra-Group Agreement) je někdy označována smlouva v rámci skupiny.
Pojem hlavní orgán pro ochranu osobních údajů označuje komisi CNPD (Commission nationale pour la protection des données) v Lucembursku.
Pojem vedoucí člen skupiny označuje společnost PayPal (Europe) S.à r.l. & Cie, S.C.A., což je lucemburská soukromá společnost s ručením omezeným.
Pojem tým společnosti PayPal pro globální ochranu osobních údajů označuje koordinovaný tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů a tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů.
Pojem tým společnosti PayPal pro globální dodržování předpisů o ochraně osobních údajů označuje členy organizace pro dodržování předpisů, kteří se konkrétně zabývají dodržováním a fungováním programu pro ochranu osobních údajů PayPal.
Pojem tým společnosti PayPal pro právní aspekty globální ochrany osobních údajů označuje členy právního oddělení, kteří se konkrétně zabývají ochranou dat a osobních údajů.
Pojem skupina PayPal označuje společnost PayPal Holdings, Inc. („PayPal“) a všechny subjekty přímo či nepřímo ovládané společností PayPal, které zpracovávají údaje uživatelů. Ovládání znamená vlastnictví více než padesáti procent (50 %) hlasů pro volbu ředitelů společnosti nebo více než padesátiprocentního (50%) podílu ve společnosti.
Pojem osobní údaje označuje údaje týkající se identifikované nebo identifikovatelné fyzické osoby. Identifikovatelná osoba je osoba, kterou lze přímo nebo nepřímo identifikovat, především odkazem na identifikační číslo nebo na jeden nebo více specifických faktorů její fyzické, fyziologické, mentální, hospodářské, kulturní nebo sociální identity.
Pod pojmem zpracování se rozumí jakákoli operace nebo soubor operací prováděných s osobními údaji, ať už přímo či automaticky. Patří sem například shromažďování, nahrávání, uspořádání, uchovávání, přizpůsobení nebo změny, načítání, nahlížení, používání, poskytování přenosem, šířením nebo jinými prostředky, připojování či slučování, blokování, vymazání nebo zničení.
Pojem zpracovatel označuje fyzickou nebo právnickou osobu, která zpracovává osobní údaje za člena skupiny.
Pojem citlivé osobní údaje označuje osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborových organizacích, informace týkající se trestných činů nebo informace o zdraví či sexuálním životě.
Pojem služba označuje web, aplikaci nebo jiný produkt či službu, které skupina PayPal nabízí uživateli k používání.
Pojem třetí strana označuje fyzickou nebo právnickou osobu, veřejný orgán, agenturu nebo jakýkoli jiný subjekt, než je uživatel, člen skupiny, zpracovatel a osoby, který je oprávněn pod přímým dohledem člena skupiny nebo zpracovatele (jako jsou například zaměstnanci) zpracovávat osobní údaje.
Pojem uživatel označuje minulé a stávající zákazníky, potenciální zákazníky, investory, obchodní partnery a obchodníky.
Pod pojmem osobní údaje uživatelů se rozumí osobní údaje týkající se uživatelů.