>> Az összes jogi megállapodás megtekintése

 

A PayPal-felhasználókkal kapcsolatos vállalati szabályok

 

A PayPal-csoport célja, hogy a csoporton belül a felhasználók minden személyes adatának kezelésére vonatkozóan egységes, megfelelő és globális adatvédelmet és adatvédelmi szabványokat alkalmazzon.  A felhasználókkal kapcsolatos vállalati szabályok a csoport tagjai által világszerte feldolgozott minden személyes adatra vonatkoznak.

A felhasználók világszerte személyes adatokat biztosítanak a csoport tagjai számára a csoport által kínált szolgáltatások igénybevétele érdekében.  A legtöbb felhasználói személyes adat gyűjtése és tárolása az Amerikai Egyesült Államokban történik.  A PayPal globális üzletvitele miatt a felhasználók személyes adatait az Amerikai Egyesült Államokban működő más PayPal-entitásokkal, valamint a PayPal jelenlegi és jövőbeli működési területein globális szinten is meg kell osztanunk.

Jelenleg az Európai Gazdasági Térség következő országaiban dolgozó alkalmazottak férhetnek hozzá a felhasználók személyes adataihoz: Luxemburg, Belgium, Franciaország, Németország, Írország, Olaszország, Hollandia, Lengyelország, Spanyolország, Svédország és az Egyesült Királyság.

A felhasználók személyes adataihoz a jelenleg a következő, Európai Unión kívüli országokban dolgozó alkalmazottak is hozzáférhetnek: Amerikai Egyesült Államok, Tajvan, Törökország, Brit Virgin-szigetek, Ausztrália, Kanada, Kína, Hongkong, India, Indonézia, Izrael, Japán, Dél-Korea, Malajzia, Mauritius, Fülöp-szigetek, Oroszország, Szingapúr, Svájc, Argentína, Brazília és Mexikó.

A PayPal kötelezettséget vállal arra, hogy megfelelő védelmet biztosít a felhasználók adatai számára, függetlenül attól, hogy a személyes adatok hol találhatók, illetve megfelelő védelmet nyújt a felhasználók személyes adatai számára akkor is, amikor ezeket az Európai Gazdasági Térségen kívülre továbbítják.

A vállalat üzleti tevékenységeinek bővülésével változhat az országok listája.

 

1. Adatvédelmi szabályozási struktúra és kötelezettségek

A felhasználókkal kapcsolatos vállalati szabályokat a PayPal (Europe) S.à r.l. & Cie, S.C.A. („Vezető csoporttag”) és a PayPal-csoport más entitásai között létrejött szerződés („Államközi megállapodás”) teszi jogilag kötelező erejűvé.  Az Államközi megállapodás értelmében a csoport tagjainak be kell tartaniuk a felhasználókkal kapcsolatos vállalati szabályokat. A csoport tagjai minden alkalmazottól megkövetelik, hogy a felhasználók személyes adatainak kezelése során betartsák a felhasználókkal kapcsolatos vállalati szabályokat.

A PayPal-csoport üzletvezetői és felső vezetői felelősek a felhasználókkal kapcsolatos vállalati szabályoknak való megfelelés betartatásért és azért, hogy minden alkalmazott pontosan ismerje és betartsa a felhasználókkal kapcsolatos vállalati szabályokat.

A PayPal adatvédelmi programját az adatvédelmi megfelelőségért felelős személy vezeti. Az adatvédelmi megfelelőségért felelős személy vezető pozíciót tölt be a PayPal Holdings, Inc. vállaltál, és a megfelelés-ellenőrzési vezető vagy a PayPal megfelelőségi részlegét vezető legmagasabb beosztású igazgató felé tartozik jelentési kötelezettséggel.  Az adatvédelmi megfelelőségért felelős vezető felügyeli a PayPal globális adatvédelmi megfelelőségi csapatát, és a PayPal-csoport globális szinten egységes adatvédelmi kommunikációja, gyakorlatai és irányelvei érdekében olyan belső szervezetekkel és csapatokkal is együttműködik, mint az üzemeltetési, információbiztonsági, megfelelőségi, kockázatelemzési csapat, valamint a belső auditokat végző csoport. A PayPal globális adatvédelmi megfelelőségi csapata felelős a megfelelőségi stratégia kidolgozásáért és megvalósításáért, valamint a működési megfelelőség ellenőrzéséért a teljes PayPal-csoporton belül.  A PayPal globális adatvédelmi megfelelőségi csapata közvetlen és közvetett képviselőkkel rendelkezik a PayPal-csoport valamennyi vállalatában. Ezek a képviselők többek között azért felelősek, hogy gondoskodjanak a felhasználókkal kapcsolatos vállalati szabályok és a vonatkozó adatvédelmi törvények betartásáról.

A jogi adatvédelmi vezető a PayPal globális adatvédelmi jogi csapatát felügyeli, és a jogi vezető vagy a PayPal jogi részlegét vezető legmagasabb beosztású igazgató felé tartozik jelentési kötelezettséggel.  A jogi adatvédelmi vezető határozza meg a vállalat vonatkozó adatvédelmi törvények és a felhasználókkal kapcsolatos vállalati szabályok értelmében fennálló kötelezettségeit. A jogi adatvédelmi vezető és a PayPal globális adatvédelmi jogi csapata szorosan együttműködik az adatvédelmi megfelelőségért felelős vezetővel és a PayPal globális adatvédelmi megfelelőségi csapatával, valamint jogi tanácsok biztosítása és a PayPal-csoporton belül globális felmerülő adatvédelmi problémák jogi és szabályozási vonzatainak értelmezése érdekében olyan belső szervezetekkel és csapatokkal is együttműködik, mint a jogi, üzemeltetési, információbiztonsági és kockázatelemzési csapat.

A PayPal globális adatvédelmi megfelelőségi csapata és a PayPal globális adatvédelmi jogi csapata közösen alkotja a PayPal globális adatvédelmi csapatát.

A Luxemburgban működő európai adatvédelmi biztost a PayPal (Europe) S.à r.l. et Cie, S.C.A. jelöli ki, és az a PayPal (Europe) S.à r.l. et Cie, S.C.A. felé tartozik jelentési kötelezettséggel. Az európai adatvédelmi biztos az Európai Gazdasági Térség adatvédelmi hatóságaival szemben elsődleges kapcsolattartóként működik, és többek között a következő kötelezettségeket látja el: a személyes adatokat feldolgozó csoporttagok és alkalmazottak tájékoztatása az adatvédelmi jogszabályok értelmében fennálló kötelezettségekről a felhasználókkal kapcsolatos vállalati szabályoknak való megfelelés biztosítása érdekében; együttműködés a PayPal globális adatvédelmi csapatával az adatvédelmi jogszabályoknak és a csoporttagok kapcsolódó irányelveinek való megfelelés ellenőrzésében; és szükség esetén jogi tanácsok biztosítása a csoporttagok számára az adatvédelmi hatásvizsgálatokkal és azok megvalósításával kapcsolatban.

 

2. A felhasználók személyes adatainak feldolgozására vonatkozó alapelvek

A csoport tagjai a következő elveket tartják szem előtt a felhasználók személyes adatainak feldolgozása során.

2.1 Adott célra való korlátozás

A felhasználók személyes adatait csak meghatározott, egyértelmű és törvényes célokból lehet feldolgozni.  A felhasználók személyes adatai a következő célokból dolgozhatók fel:

-  A felhasználó által kért szolgáltatások (többek között számlanyitás) biztosítása és elősegítése;

-  A szolgáltatások javítása és új szolgáltatások fejlesztése;

- Viták rendezése, peres eljárások kezelése, problémák megoldása és ügyfélszolgálat biztosítása;

-  Kockázatkezelés végzése;

-  Tranzakciók feldolgozása és a fizetendő díjak begyűjtése;

-  Hitelképesség és fizetőképesség ellenőrzése;

- A felhasználók szolgáltatásokkal kapcsolatos érdeklődésének felmérése, a szolgáltatásokkal kapcsolatos visszajelzések és vélemények begyűjtése, valamint a felhasználók tájékoztatása az online és offline ajánlatokról, szolgáltatásokról és frissítésekről;

-  A felhasználói élmény személyre szabása;

-  Hibák, csalások és bűncselekmények észlelése és megelőzése;

-  A PayPal-csoport jogi, szerződéses vagy jogszabályi kötelezettségeinek teljesítése;

- A szolgáltatásokra vonatkozó általános szerződési feltételek vagy az adatgyűjtés időpontjában a felhasználók számára más néven megadott feltételek, valamint a szolgáltatásra vonatkozó adatvédelmi irányelvek betartatása;

- A szolgáltatások és a PayPal-csoport hálózata biztonságának, integritásának és elérhetőségének védelme; és

- A PayPal-csoport törvényes jogainak és érdekeinek védelme, korlátozás nélkül ideértve a jogszerű követelések megállapítását, érvényesítését és az ilyen követelések elleni védekezést.

A felhasználók személyes adatainak egyéb célokból történő feldolgozásához a PayPal globális adatvédelmi jogi csapatának előzetes jóváhagyására van szükség.  Kétség esetén a csoport tagjai a PayPal globális adatvédelmi jogi csapatától kérhetnek segítséget.

A felhasználók személyes adatai nem dolgozhatók fel tovább a fent felsorolt célokkal összeegyeztethetetlen módon, kivéve abban az esetben, ha a személyes adatok begyűjtéséért és/vagy továbbításáért felelős, az Európai Gazdasági Térségben működő csoporttagra vonatkozó törvények értelmében ennek jogi alapja van.   

2.2 Adatminőség és arányosság

A felhasználók személyes adataival kapcsolatban mindig szem előtt kell tartani a következőket:

  • Az adatoknak pontos és ha szükséges, naprakésznek kell lenniük;
  • Az adatoknak megfelelőnek, relevánsnak és a feldolgozás célját tekintve nem túlzott mértékűnek kell lenniük; és
  • Az adatok legfeljebb addig őrizhetők meg, amíg az eredeti adatgyűjtés vagy a további feldolgozás céljának teljesítéséhez arra szükség van.  

Azokat a személyes felhasználói adatokat, amelyekre a feldolgozás céljából már nincs szükség, törölni kell, meg kell semmisíteni vagy névtelenné kell tenni, kivéve, ha a további feldolgozásnak megfelelő jogi alapja van, vagy az adatok megőrzését a vonatkozó törvények írják elő.

2.3 A feldolgozás jogi alapjai

A csoporttagoknak gondoskodjuk kell arról, hogy a felhasználók személyes adatainak feldolgozása tisztességesen és törvényesen, és legalább a következő jogi indokok egyike alapján történjen:

  • A felhasználó egyértelmű hozzájárulása;
  • A feldolgozásra egy olyan szerződés teljesítéséhez van szükség, amelynek a felhasználó az egyik szerződő fele, vagy a feldolgozás a felhasználó által a szerződéskötés előtt kért lépések teljesítéséhez szükséges;
  • A feldolgozásra a csoporttagokra vonatkozó jogi kötelezettségek teljesítése érdekében van szükség;
  • A feldolgozásra a felhasználó létfontosságú érdekeinek védelme érdekében van szükség;
  • A feldolgozásra valamely közérdekű vagy a csoporttagokra vagy az adatokat átvevő harmadik félre ruházott hivatalos hatáskör gyakorlásának keretében végzett feladat végrehajtásához van szükség; vagy
  • A feldolgozásra egy csoporttag vagy az adatokat átvevő harmadik fél jogos érdekének érvényesítéséhez van szükség, kivéve abban az esetben, ha ezeket az érdekeket felülírják a felhasználó alapvető jogaihoz és szabadságaihoz fűződő érdekek.

Általános gyakorlatként a csoport tagjai nem gyűjtenek a felhasználóktól érzékeny személyes adatokat.  Ha ilyen adatok begyűjtésére van szükség, vagy a felhasználó önkéntesen szolgáltat ilyen információkat, a csoporttagoknak gondoskodniuk kell arról, hogy a felhasználók érzékeny személyes adatainak feldolgozása kizárólag az alábbi indokok egyike alapján történjen:

  • A felhasználó kifejezett beleegyezése;
  • A feldolgozásra a felhasználó alapvető érdekeinek vagy, ha a felhasználó fizikailag vagy jogilag képtelen a hozzájárulását adni, egy másik személy alapvető érdekeinek védelme érdekében van szükség;
  • A feldolgozás a felhasználó által kifejezetten nyilvánosságra hozott személyes adatokhoz kapcsolódik; vagy
  • A feldolgozásra jogszerű követelések megállapításához, érvényesítéséhez vagy védelméhez van szükség.

Ha a feldolgozás automatikus döntéshozatallal („Automatizált döntések”) jár, a csoporttagoknak megfelelő intézkedéseket kell tenniük a felhasználó törvényes érdekeinek védelme érdekében, például biztosítaniuk kell a felhasználó számára azt a lehetőséget, hogy egy ügyfélszolgálati képviselő felülvizsgálja a döntést, illetve hogy a felhasználó ismertesse a döntéssel kapcsolatos álláspontját. Ha a felhasználó nem ért egyet az automatizált döntéssel, az ügyfélszolgálati képviselőnek az Európai Unió adatvédelmi biztosa felé kell továbbítania az ügyet. Szükség esetén a jogi adatvédelmi vezetővel és az adatvédelmi megfelelőségi vezetővel történő konzultációra is sor kerülhet.  

2.4 Átláthatóság

A felhasználók személyes adatainak gyűjtése során a csoporttagoknak a következőkről kell tájékoztatniuk a felhasználót:

  • Az eredeti begyűjtésért és feldolgozásért felelős csoporttag neve és címe;
  • Az érintett személyes adatok kategóriái;
  • A feldolgozás tervezett céljai;
  • A személyes adatokat átvevő adatfeldolgozók és harmadik felek kategóriái;
  • Annak ismertetése, hogy a válaszadás kötelező vagy önkéntes jellegű-e, valamint a válaszadás elmulasztásának lehetséges következményei;
  • A felhasználó jogai; és
  • Automatizált döntéshozatal esetén az alkalmazott logika.

A csoporttagok hivatkozáson keresztül elérhető és/vagy az egyes szolgáltatások webhelyén vagy az alkalmazásokban megjelenített adatvédelmi irányelvekben, illetve a regisztráció során adhatják meg ezeket az információkat.  A felhasználók tájékoztatására vonatkozó kötelezettség nem vonatkozik arra az esetre, ha a felhasználóknak már tudomásuk van ezekről az információkról.  

Ha az információk biztosítása nem megoldható vagy aránytalanul nagy erőfeszítést igényel, a csoporttagok eltekinthetnek a tájékoztatástól.  Ez kizárólag olyan személyes adatok esetén engedhető meg, amelyeket a csoporttagok nem közvetlenül a felhasználóktól gyűjtöttek be. 

Kivételes esetekben a specifikus információk rendelkezésre bocsátása elhalasztható vagy elhagyható, például jogellenes magatartás kivizsgálása során a vonatkozó törvényeknek való megfelelés érdekében, illetve olyan esetben, ha az információnyújtás veszélyeztetné a kivizsgálás integritását.

2.5 Titoktartás és biztonság

A csoport tagjai a személyes adatok mennyiségének és érzékenységének megfelelő fizikai, technikai és szervezeti biztonsági intézkedésekkel védik a személyes adatokat a jogosulatlan feldolgozás ellen, ideértve többek között illetéktelen hozzáférést, gyűjtés és használatot, valamint az adatok elvesztését, megsemmisítését és károsodását. A csoport tagjai titkosítással, tűzfalakkal, hozzáférés-szabályozással, szabványokkal és egyéb eljárásokkal védik a felhasználók adatait a jogosulatlan hozzáférés ellen.  A csoporttagok a munkaköri felelősségek és az üzleti igények alapján további korlátozásokat is alkalmazhatnak az elektronikus és papíralapú dokumentumokhoz való fizikai és logikai hozzáférés tekintetében.

2.6 A felhasználók választási lehetőségei és jogai

A felhasználók a csoporttagok által velük kapcsolatban tárolt személyes adatok nagy részét elérhetik és helyesbíthetik a megfelelő online eszköz vagy a szolgáltatás weboldalán vagy az ahhoz kapcsolódó alkalmazáson keresztül elérhetővé tett önkiszolgáló folyamat használatával.

A felhasználóknak minden esetben jogukban hozzáférési kérést küldeni a szolgáltatás webhelyén vagy az ahhoz kapcsolódó alkalmazásban nem elérhető személyes adatok megtekintése, illetve az azokról készült másolat megküldése érdekében. A felhasználók a szolgáltatás webhelyén vagy az ahhoz kapcsolódó alkalmazásban megadott utasításoknak megfelelően kell felvenniük a kapcsolatot az ügyfélszolgálattal. A csoporttagok a vonatkozó törvényekben meghatározott határidőn belül teljesítik a kéréseket, kivéve, ha a vonatkozó törvények kivételt biztosítanak az ilyen kötelezettségek alól.  A felhasználóktól a csoporttagok személyazonosságuk igazolását kérhetik, illetve a vonatkozó törvények által megengedett mértékben a felhasználók szolgáltatási díj megfizetésére lehetnek kötelesek.

Nem teljes vagy pontatlan adatok esetén a felhasználók az adatok helyesbítését is kérhetik. A csoport tagjai minden esetben eleget tesznek az ilyen kéréseknek, és értesítik a felhasználót, ha az adatok helyesbítése megtörtént. A csoporttagok a felhasználó adatait használó harmadik feleket is értesítik a helyesbítésről, kivéve abban az esetben, ha a tájékoztatás nem oldható meg, vagy aránytalanul nagy erőfeszítést igényel.

Tényleges jogos érdek esetén a felhasználók tiltakozhatnak személyes adataik feldolgozás ellen. A csoporttagot eleget tesznek az ilyen kéréseknek, kivéve abban az esetben, ha a személyes adatok megőrzését törvény írja elő, vagy az adatok megőrzésére a PayPal-csoport követelések elleni védelme érdekében van szükség. A csoporttagok minden esetben értesítik a felhasználót a kérelem végeredményéről és az elvégzett intézkedésekről.

A felhasználók emellett a szolgáltatás weboldalán vagy az ahhoz kapcsolódó alkalmazásban megadott utasítások követésével számlájuk lezárását is kérhetik. A csoporttagok a számlaaktivitás alapján az észszerűen lehetséges legrövidebb időn belül eltávolítják a szolgáltatásból vagy névtelenné teszik a felhasználó adatait.  A csoporttagok elhalaszthatják a számla lezárását, illetve megőrizhetik a felhasználó személyes adatait, ha arra kivizsgálás lefolytatása vagy a vonatkozó törvényeknek való megfelelés érdekében van szükség. A csoporttagok emellett csalások észlelése és megelőzése, tartozások begyűjtése, vitás ügyek rendezése, problémák megoldása, kivizsgálások támogatása, kockázatkezelés, egy szolgáltatás szerződési feltételeinek érvényesítése, törvényi vagy jogszabályi követelményeknek való megfelelés, illetve a vonatkozó törvények által megengedett egyéb tevékenységek elvégzése érdekében a lezárt számlákhoz tartozó felhasználói adatokat is megőrizhetik. Az adatok megőrzése olyan formában történik, amely az adatalanyok azonítását legfeljebb az eredeti adatgyűjtés céljához szükséges időre vagy a további feldolgozáshoz szükséges időre teszi lehetővé, és az adatok megőrzését szükségessé tevő ok megszűnését követően az adatok törlésre kerülnek.

A vonatkozó törvényeknek megfelelően a csoporttagok a felhasználók személyes adatait az érdeklődési körön alapuló célzott kommunikációhoz is felhasználhatják, kivéve azon felhasználók esetén, akik kifejezetten úgy nyilatkoztak, hogy nem szeretnének ilyen megkereséseket kapni.  Azok a felhasználók, akik nem szeretnének marketingüzeneteket kapni a PayPal-csoporttól, könnyen elérhető módokon, például a számlabeállításokban, az e-mailben kapott utasítások használatával vagy a kommunikációs anyagban elhelyezett hivatkozás segítségével iratkozhatnak le a további reklámokról.

A fenti jogokat a felhasználók az ügyfélszolgálaton keresztül érvényesíthetik.  Ha egy felhasználó személyazonossága nehezen ellenőrizhető, a csoporttagok további adatokat kérhetnek a felhasználótól a személyazonosság igazolása érdekében.

2.7 Személyes adatok közzététele

A csoporttagok a normál üzletmenet keretében a 2.1. részben meghatározott célokból világszerte megoszthatják a felhasználók személyes adatait más csoporttagokkal.

A vonatkozó törvényeknek, szerződéseknek vagy nemzetközi egyezményeknek megfelelően a csoporttagok bűnüldözési és szabályozó hatóságokkal is megoszthatják a személyes adatokat, ha arra egy demokratikus társadalomban a nemzetbiztonság vagy a közbiztonság védelme, bűncselekmények megelőzése, kivizsgálása és észlelése, büntetőeljárás lefolytatása, illetve a nemzetközi és/vagy nemzeti aktusokban lefektetett szankcióknak, adóbevallási követelményeknek vagy pénzmosás megelőzését szolgáló bejelentési követelményeknek való megfelelés érdekében van szükség.

A csoport tagjai a felhasználó kellő tájékoztatás birtokában kinyilvánított, egyértelmű beleegyezése nélkül nem értékesítik és nem adják bérbe harmadik feleknek a felhasználók személyes adatait saját marketingcéljaikra. A csoporttagok a felhasználó utasításainak, illetve hozzájárulásának megfelelően további harmadik feleknek is átadhatják a felhasználók személyes adatait (ha ezt a vonatkozó törvények lehetővé teszik).

A személyes adatok adatfeldolgozók felé történő továbbítása esetén az adatfeldolgozókról adatvédelmi és információbiztonsági kockázatértékelést kell végezni a munka megkezdése, illetve a felhasználók személyes adatainak továbbítása előtt.  Az értékelés hatókörét a feldolgozandó személyes adatok érzékenysége alapján kell megállapítani. Az adatfeldolgozóknak (az adatfeldolgozóként eljáró csoporttagokat is beleértve) szerződést kell kötniük az érintett csoporttagokkal a megfelelő adatvédelmi és információbiztonsági intézkedések biztosításáról. Ennek a szerződésnek tartalmaznia kell a személyes adatok megfelelő felhasználását, illetve az érintett személyes adatok mennyiségének, természetének és érzékenységének megfelelő biztonsági óvintézkedések használatát biztosító rendelkezéseket.  A szerződésben meghatározott óvintézkedéseknek legalább a következőkre ki kell terjedniük:

  • A törvényeknek való megfeleléssel, illetve a személyes adatok általános szerződési feltételeknek megfelelő és az érintett csoporttag utasításai szerint történő feldolgozására vonatkozó követelmények;
  • Az érintett személyes adatok érzékenységének és a feldolgozás módjának megfelelő technikai és szervezeti óvintézkedések;
  • Az adatfeldolgozó szerződéses kötelezettségei betartásának ellenőrzésére vonatkozó jog;
  • Értesítési kötelezettség a biztonság sérülése esetén; és
  • Jogorvoslatra vonatkozó rendelkezések arra az esetre, ha az adatfeldolgozó nem tartja be a jogszabályon vagy szerződésen alapuló kötelezettségeit.

A szerződésnek olyan rendelkezéseket is tartalmaznia kell, amelynek kimondják, hogy a szerződéses feltételek betartásának elmulasztása a szerződésben meghatározott egyéb jogorvoslatok mellett a szerződés felfüggesztésével vagy megszüntetésével járhat.

Az adatvédelmi és információbiztonsági értékelést nem kötelező elvégezni azoknál az adatfeldolgozóknál, amelyek korábban már átestek ilyen értékelésen, kivéve abban az esetben, ha a feldolgozás a személyes adatok természetét és mennyiségét, valamint a feldolgozás módját tekintve magas kockázatú tevékenységeket tartalmaz.

A fentiektől eltérően, ha a csoporttagok az Európai Gazdasági Térségben élő felhasználók személyes adatait olyan, a csoporton kívüli harmadik feleknek vagy adatfeldolgozóknak továbbítják, amelyek (i) olyan országban működnek, amely nem biztosít megfelelő szintű védelmet (a 95/46/EK irányelv szerint), (ii) nem rendelkeznek jóváhagyott és kötelező erejű vállalati szabályokkal, vagy (iii) nem rendelkeznek az Európai Unió által előírt követelményeknek való megfeleléshez szükséges egyéb intézkedésekkel, a csoporttagoknak biztosítaniuk kell, hogy:

  • A harmadik felek olyan szerződéses intézkedéseket, például az Európai Bizottság által jóváhagyott szerződésbeli záradékmintákat alkalmazzanak, amelyek a vállalati felhasználói adatoknak megfelelő szintű védelmet biztosítanak, vagy másik lehetőségként meg kell győződniük arról, hogy az adattovábbítás (i) a felhasználó egyértelmű hozzájárulásával történik, (ii) a felhasználóval kötött szerződés megkötéséhez vagy teljesítéséhez szükséges, (iii) fontos közérdekből szükséges, illetve a jog írja elő, vagy (iv) a felhasználó alapvető érdekeinek védelme érdekében szükséges;
  • Az adatfeldolgozók olyan szerződéses intézkedéseket, például az Európai Bizottság által jóváhagyott szerződésbeli záradékmintákat alkalmazzanak, amelyek a vállalati felhasználói adatoknak megfelelő szintű védelmet biztosítanak.
     

3. Panaszkezelési mechanizmus

Ha felhasználók úgy vélik, hogy személyes adatok feldolgozása nem a felhasználókkal kapcsolatos vállalati szabályoknak megfelelően történt, az érintett szolgáltatás webhelyén keresztül, e-mailben vagy a vonatkozó általános szerződés feltételekben jelölt egyéb módon jelenthetik aggályaikat az ügyfélszolgálat vagy az érintett csoporttag felé.  Az érintett szolgáltatás súgójában a felhasználók általában megtalálhatják a leggyakoribb adatvédelmi kérdésekre és aggályokra vonatkozó válaszokat. A súgóban az „adatvédelem” szót beírva a rendszer általában átirányítja a felhasználót egy adatvédelemmel kapcsolatos oldalra vagy irányelvre.  Az érintett szolgáltatás súgója egyedi ügyintézési pontként szolgál a felhasználók adatvédelemmel és felhasználói adatok feldolgozásával kapcsolatos kérdéseihez, és az ügyfélszolgálattal való kapcsolatfelvétel lehetőségét is biztosítja a felhasználók számára. 

Ha felhasználó nem biztos abban, hogy melyik csatornát használja az adatvédelemmel kapcsolatos aggályok jelentéséhez, a kérdéseket az európai adatvédelmi biztosnak is el lehet küldeni a DPO@paypal.com címre.

Az ügyfélszolgálat a felhasználók által felvetett minden aggályt kivizsgál és megpróbál megoldani. Az adatvédelemmel kapcsolatos aggályok kezeléséért felelős alkalmazottak szorosan együttműködnek a PayPal globális adatvédelmi csapatával, és a PayPal irányelveinek, eljárásainak és útmutatásának megfelelően válaszolnak a felhasználók kérdéseire.  Ha a felhasználó úgy véli, hogy az aggályaival nem megfelelő módon foglalkoztak, vagy a kérdéseire nem kapott választ, az aggályok európai adatvédelmi biztos felé történő továbbítását kérheti. Ilyen esetben a jogi adatvédelmi vezetővel és az adatvédelmi megfelelőségi vezetővel történő konzultációra is sor kerül. A kérdés továbbításának útvonalát az aggályok természete és köre alapján kell meghatározni, és a kérdést haladéktalanul továbbítani kell a megfelelő csapat felé.  A felhasználónak észszerű időn belül, de legkésőbb a vizsgálat dátumától számított három (3) hónapon meg kell küldeni a választ, kivéve szokatlan körülmények vagy összetett kérdések esetén, mely esetben a felhasználót értesíteni kell arról, hogy a válasz megküldése három (3) hónapnál több időt vesz igénybe.

A panaszkezelési mechanizmus nem befolyásolja a felhasználó arra vonatkozó jogát, hogy az illetékes adatvédelmi hatóságnál vagy bíróságnál panasszal éljen.

 

4. Kedvezményezett harmadik felek jogai és kötelezettségei

Ha az Európai Gazdasági Térségen belüli felhasználók úgy vélik, hogy a felhasználókkal kapcsolatos vállalati szabályokat megsértették az Európai Gazdasági Térségen kívül, a felhasználókkal kapcsolatos vállalati szabályok 2., 3., 4., 7. és 8. részének kedvezményezett harmadik feleként a felhasználókkal kapcsolatos vállalati szabályok végrehajtását kérhetik az illetékes adatvédelmi hatóságoknál, a vezető csoporttag székhelye szerinti illetékes bíróságnál vagy az adatátadóként tevékenykedő csoporttag székhelye szerinti illetékes bíróságnál.  Ezek az érvényesítési jogok a PayPal vagy a vonatkozó törvények által biztosított egyéb jogorvoslatok vagy jogok kiegészítései.

Bár nem kötelező, az Európai Gazdasági Térségen belüli felhasználóknak az adatvédelmi hatóságok vagy a bíróságok felkeresése előtt javasolt először közvetlenül a csoporttag felé jelenteni aggályaikat.  Ez hatékony és gyors választ tesz lehetővé a PayPal-csoport részéről, és csökkenti az adatvédelmi hatóságok és bíróságok eljárásaiból eredő lehetséges késéseket.

A csoporttagok felhasználókkal kapcsolatos vállalati szabályok betartásának felügyeletéért a luxemburgi korlátolt felelősségű társaság, a PayPal Europe S.à r.l. et Cie, S.C.A. tartozik felelősséggel.  A vezető csoporttag vállalja, hogy (i) minden szükséges lépést megtesz a csoporttagok Európai Gazdasági Térségen kívül elkövetett szabálysértésének orvoslása érdekében, és (ii) az Európai Gazdasági Térségen belüli felhasználók számára megfizeti a vezető adatvédelmi hatóság vagy Luxemburg bírósága által megítélt kártérítést minden olyan kárért, amely közvetlenül a csoporttagok a felhasználókkal kapcsolatos vállalati szabályok Európai Gazdasági Térségen kívüli megsértéséből ered, ha az érintett csoporttag nem képes teljesíteni a végzést, vagy nem tudja vagy nem hajlandó megfizetni a kártérítést. 

A vezető csoporttag tudomásul veszi és vállalja, hogy a felhasználókkal kapcsolatos vállalati szabályok megsértésének tekintetében a bizonyítás terhét neki kell viselnie.

A vezető csoporttag (és bármely más csoporttag) nem tehető felelőssé abban az esetben, ha az elérhető tények alapján és a felhasználói megjegyzéseinek figyelembe vételével észszerű módon bizonyítani tudja, hogy a nem az Európai Gazdasági Térségben működő csoporttag nem sértette meg a felhasználókkal kapcsolatos vállalati szabályokat, illetve nem felelős a felhasználó által hivatkozott károkért.

 

5. Képzés

A csoporttagoknak biztosítaniuk kell, hogy a felhasználók személyes adatait feldolgozó alkalmazottak, valamint a személyes adatok begyűjtéséhez vagy feldolgozásához használt eszközök tervezésében érintett alkalmazottak megfelelő adatvédelmi és információbiztonsági képzésben részesüljenek annak érdekében, hogy tisztában legyenek a személyes adatok felhasználókkal kapcsolatos vállalati szabályoknak megfelelő védelmének fontosságával. 

Az alkalmazottaknak évente el kell végezniük egy adatvédelmi modult is tartalmazó, magatartási kódexszel és etikus üzletvitellel kapcsolatos online képzést.  Az újonnan felvett alkalmazottaknak a munkaviszony kezdetekor el kell végezniük a megfelelőséggel kapcsolatos online képzést.

A megfelelőséggel kapcsolatos online képzés mellett a PayPal globális adatvédelmi csapata és az európai adatvédelmi biztos által tartott adatvédelmi és információbiztonsági képzés is hozzájárul ahhoz, hogy az alkalmazottak pontosan tisztában legyenek a személyes adatok védelmének fontosságával. Ezekre a képzésekre évente vagy szükség esetén ennél gyakrabban kerül sor.

Az alkalmazottak számára biztosított képzést a személyes adatokhoz való hozzáférés szintjéhez kell igazítani, és a nagyobb szintű hozzáféréssel rendelkező alkalmazottak számára további képzéseket kell biztosítani. 

A csoporttagoknak tájékoztatniuk kell az alkalmazottakat arról, hogy a felhasználókkal kapcsolatos vállalati szabályok betartásának elmulasztása fegyelmi eljárást és a vonatkozó törvények által megengedett egyéb lépéseket vonhat maga után.  A felhasználókkal kapcsolatos vállalati szabályokat, valamint az egyéb kapcsolódó adatvédelmi és biztonsági irányelveket és eljárásokat az alkalmazottak bármikor elérhetik a vállalat Intranet-hálózatán keresztül. A felhasználókkal kapcsolatos vállalati szabályok emellett a Magatartási kódex és etikus üzletvitel című dokumentumban is megtalálhatók, amelyet minden alkalmazottnak át kell tekintenie és be kell tartania. 

 

6. Ellenőrzések és felügyelet

A felhasználókkal kapcsolatos vállalati szabályoknak való megfelelés biztosítása érdekében a PayPal globális adatvédelmi megfelelőségi csapata rendszeres időközönként felülvizsgálja a személyes adatok feldolgozásával kapcsolatos tevékenységeket és gyakorlatokat. Ezekre a tevékenységekre az európai adatvédelmi biztossal szoros együttműködésben kerül sor.

A belső ellenőrzési csapat a vezetőség és az igazgatótanács független és objektív tanácsadójaként működik, amely az ellenőrző biztosságon keresztül kommunikálja az ellenőrzések eredményeit az igazgatótanács, az adatvédelmi vezetők és az európai adatvédelmi biztos felé. 

A belső ellenőrzés csapat rendszeres időközönként felülvizsgálhatja a globális adatvédelmi csapat által meghatározott tevékenységeket és gyakorlatokat. A belső ellenőrzési csapat, az európai adatvédelmi biztos és az adatvédelmi vezetők a kötelező erejű vállalati szabályoknak való megfelelés biztosítása érdekében szükség esetén cselekvési terv végrehajtását kérhetik. Ha a belső csoportok nem tudják megfelelő módon megoldani az ügyet, a csoport további állásfoglalás érdekében független külső könyvvizsgálót jelölhet ki.

Az európai adatvédelmi biztos, a PayPal globális adatvédelmi megfelelőségi csapata vagy a belső ellenőrzési csapatok és a külső könyvvizsgálók a feldolgozással járó kockázatoknak megfelelő részletes ellenőrzési tervet és ütemezést készítenek.

Az adatvédelmi ellenőrzés eredményeit az illetékes adatvédelmi hatóságok is megkapják.  A PayPal fenntartja a jogot arra, hogy a védett és egyéb bizalmas vállalati adatok titkosságának biztosítása érdekében visszatartsa az ellenőrzések eredményeiről készült jelentések bizonyos részeit. 

 

7. A felhasználókkal kapcsolatos vállalati szabályok és a nemzeti jog közötti kapcsolat

A világszerte eltérő adatvédelmi követelményekre adott válaszul a felhasználókkal kapcsolatos vállalati szabályok egységes követelményrendszert határoznak meg a felhasználók személyes adatainak megfelelő feldolgozásához. Bár a felhasználókkal kapcsolatos vállalati szabályok jelentik a csoporttagok által követendő elsődleges követelményt, a csoporttagoknak minden olyan vonatkozó törvényt is be kell tartaniuk, amelyek a jelen vállalati szabályokban meghatározott szabványoknál szigorúbb rendelkezéseket írnak elő.

A felhasználókkal kapcsolatos vállalati szabályok egy része sem befolyásolja a csoporttagok alkalmazandó banktörvények szerinti kötelezettségeit, különös tekintettel a banktitokkal kapcsolatos kötelezettségekre.   Ha a vonatkozó jog olyan, a felhasználókkal kapcsolatos vállalati szabályokkal ellentétes rendelkezéseket ír elő, amelyek akadályoznák a csoporttagot a felhasználókkal kapcsolatos vállalati szabályok által meghatározott kötelezettségek teljesítésében, vagy amelyek jelentős hatással vannak az itt meghatározott garanciákra, a csoporttagnak haladéktalanul értesítenie kell az európai adatvédelmi biztost, kivéve abban az esetben, ha az ilyen információk átadását egy bűnüldözési hatóság vagy törvény tiltja.  Az európai adatvédelmi biztos, a vezető csoporttag és az adatvédelmi vezetők közösen határozzák meg a megfelelő lépéseket, és kétség esetén az illetékes adatvédelmi hatóssággal is konzultálnak.

 

8. Kölcsönös segítségnyújtás és együttműködés az adatvédelmi hatóságokkal

A csoport tagjai együttműködnek és támogatják egymást a felhasználókkal kapcsolatos vállalati szabályokra vonatkozó kérések és panaszok kezelésében.

A csoporttagok mindig körültekintő és megfelelő módon válaszolják meg az adatvédelmi hatóságok felhasználókkal kapcsolatos vállalati szabályokat érintő kéréseit.  Ha egy alkalmazott ilyen kérést kap egy adatvédelmi hatóságtól, haladéktalanul tájékoztatnia kell erről az európai adatvédelmi biztost.   

A csoporttagok a vonatkozó törvényeknek és a tisztességes eljáráshoz való jognak megfelelően együttműködnek az Európai Gazdasági Térség adatvédelmi hatóságaival a felhasználókkal kapcsolatos vállalati szabályoknak való megfelelést érintő ellenőrzések során, és tiszteletben tartják azok döntését.   

 

9. A felhasználókkal kapcsolatos vállalati szabályok tartalmának és az érintett tagok listájának frissítései

A PayPal fenntartja a jogot, hogy a vonatkozó törvényekben, szabályokban, rendeletekben, valamint PayPal gyakorlataiban, eljárásaiban és szervezeti felépítésében történt változásoknak és az illetékes adatvédelmi hatóságok által előírt követelményeknek való megfelelés érdekében módosítsa a felhasználókkal kapcsolatos vállalati szabályokat.

A szükséges módosításokat a PayPal globális adatvédelmi jogi csapata (az adatvédelmi jogi vezető irányítása alatt) javasolja. A PayPal globális adatvédelmi megfelelőségi csapatának (az adatvédelmi megfelelőségi vezető irányítása alatt) és az európai adatvédelmi biztosnak minden módosítást jóvá kell hagynia, és folyamatosan nyomon kell követnie a felhasználókkal kapcsolatos vállalatai szabályok és a csoporttagokat tartalmazó lista minden módosítását. Formális jóváhagyás céljából és a vonatkozó törvények előírásainak megfelelően a csoporttagoknak minden releváns adatvédelmi hatóság felé jelenteniük kell a felhasználókkal kapcsolatos vállalati szabályok módosításait.

A vezető csoporttagnak a felhasználókkal kapcsolatos vállalati szabályokat érintő minden olyan jelentős módosításról konzultálnia kell a vezető adatvédelmi hatósággal, amely hatással lehet az adatvédelmi előírásoknak való megfelelésre vagy a felhasználókkal kapcsolatos vállalati szabályok működésére.  A vezető csoporttagnak évente legalább egyszer tájékoztatnia kell a vezető adatvédelmi hatóságot a felhasználókkal kapcsolatos vállalati szabályokban és a csoporttagok listájában történt jelentős módosításokról.  A PayPal globális adatvédelmi csapata szorosan együttműködik az európai adatvédelmi biztossal, aki a válaszok koordinálásáért és azért felelős, hogy a PayPal nevében megválaszolja a vezető adatvédelmi hatóság által a módosításokkal kapcsolatban emelt kifogásokat, megjegyzéseket és javaslatok. Az egyéb adatvédelmi hatóságoktól érkező megjegyzéseket, javaslatokat és kifogásokat az egyéb adatvédelmi hatóságok nevében eljáró vezető adatvédelmi hatóság kommunikálja az európai adatvédelmi biztos felé.  

A felhasználókkal kapcsolatos vállalati szabályok módosításai a hatálybalépés dátumával minden csoporttagra vonatkozóan kötelező erejűvé válnak.  A csoporttagok a felhasználók preferenciáinak megfelelően körlevélben vagy a webhelyen közzétett figyelmeztetésben előre értesítik a felhasználókat a felhasználókkal kapcsolatos vállalati szabályok jelentős módosításairól. A csoporttagoknak a megfelelő külső webhelyeken vagy a felhasználók számára elérhető alkalmazásokban közzé kell tenniük a felülvizsgált szabályokat.  A felhasználókkal kapcsolatos vállalati szabályok új verziói a felhasználók értesítésétől és a felülvizsgált szabályok közzétételétől számított két hónapon belül lépnek hatályba.

 

10. Közzététel

A felhasználókkal kapcsolatos vállalati szabályokat közzé kell tenni, és a szolgáltatás webhelyén vagy az ahhoz kapcsolódó alkalmazásokban elérhetővé kell tenni egy, a szabályokra mutató hivatkozást.  A felhasználók az európai adatvédelmi biztostól (PayPal (Europe) S.à r.l et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg) vagy a DPO@paypal.com címen igényelhetik a szabályok egy példányát.

 

11. Záró rendelkezések

Hatálybalépés dátuma: 2018. május 25.

Kapcsolat: A felhasználók az alábbi címre küldhetik el a felhasználókkal kapcsolatos vállalat szabályokat érintő kérdéseiket vagy aggályaikat:

Európai adatvédelmi biztos (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg

 

12. Fogalommeghatározások

A csoporttagoknak az Európai Unió 95/46/EK irányelvének, illetve az annak helyébe lépő irányelv vagy rendelet elveivel és alapfogalmaival összhangban kell értelmezniük a felhasználókkal kapcsolatos vállalati szabályokat. 

A felhasználókkal kapcsolatos vállalati szabályok tekintetében a következő definíciók alkalmazandók:

Az Igazgatótanács kifejezés a vezető csoporttag igazgatótanácsát jelenti.

Adatvédelmi hatóság alatt azokat a közjogi hatóságokat értjük, amelyek saját területükön az Európai Gazdasági Térség tagállamai által elfogadott nemzeti jog alkalmazásának felügyeletéért és betartatásáért felelősek – az Európai Unió adatvédelmi irányelvének (95/46/EK) megfelelően.

Az EGT az Európai Gazdasági Térség rövidítése, amely jelenleg az Európai Unió tagállamait, Izlandot, Liechtensteint és Norvégiát foglalja magában.

Az alkalmazott szó valamely csoporttag alkalmazottját, dolgozóját, gyakornokát vagy egyéb dolgozóját jelöli, az alkalmi, ideiglenes és helyettesítő munkaerőt és az alvállalkozókat is beleértve, a foglalkoztatás típusától és a teljes- vagy részmunkaidős státusztól függetlenül.

Az európai adatvédelmi biztos (DPO) a vezető csoporttag vezetősége által kijelölt és annak jelentő alkalmazott, aki egyúttal a PayPal globális adatvédelmi jogi csapatának is tagja. Az európai adatvédelmi biztos székhelye Luxemburgban van.

Csoporttag alatt a PayPal-csoport olyan entitását értjük, amely aláírta az államközi megállapodást.

Az IGA az államközi megállapodás rövidítése

A vezető adatvédelmi hatóság a luxemburgi „Commission nationale pour la protection des données” (CNPD) hatóságot jelenti.

A vezető csoporttag a PayPal (Europe) S.à r.l. & Cie, S.C.A. luxemburgi székhelyű korlátolt felelősségű társaságot jelenti.

A PayPal globális adatvédelmi csapata a PayPal globális adatvédelmi megfelelőségi csapatát és a PayPal globális adatvédelmi jogi csapatát jelenti.

A PayPal globális adatvédelmi megfelelőségi csapata a megfelelőségi szervezet PayPal adatvédelmi program működésével és megfelelőségével foglalkozó tagjait jelenti. 

A PayPal globális adatvédelmi jogi csapata a jogi részleg adatvédelemért felelős tagjait jelenti.

A PayPal-csoport a PayPal Holdings, Inc. („PayPal”) vállalatcsoportot és a PayPal közvetlen vagy közvetett irányítása alatt álló és felhasználói adatokat feldolgozó entitásokat jelöli, ahol az irányítás szó 50%-nál magasabb szavazati jogot vagy 50%-nál nagyobb tulajdonhoz fűződő érdekeltséget jelent.

Személyes adatok alatt az azonosítható vagy azonosított természetes személyekhez kapcsolódó adatokat értjük. Azonosítható személy alatt olyan személyeket értünk, akik egy azonosítószám vagy fizikai, pszichológiai, mentális, gazdasági, kulturális vagy társadalmi identitásukra jellemző egy vagy több tényező alapján közvetlen vagy közvetett módon azonosíthatók.

Folyamat alatt a személyes adatokon automatikusan vagy nem automatikusan végzett műveletet vagy műveletsort értünk, ideértve többek között a személyes adatok gyűjtését, rögzítését, rendszerezését, tárolását, adaptálását vagy módosítását, visszakeresését, megtekintését, felhasználását, közzétételét, terjesztését vagy egyéb módon történő elérhetővé tételét, összehangolását vagy kombinálását, korlátozását, törlését és megsemmisítését.

Az adatfeldolgozó a csoporttag nevében személyes adatokat feldolgozó természetes vagy jogi személy.

Az érzékeny személyes adatok faji és etnikai származással, politikai nézetekkel, vallási és filozófiai meggyőződéssel, szakszervezeti tagsággal, bűncselekményekkel, valamint egészségügyi állapottal és szexuális élettel kapcsolatos személyes adatok.

Szolgáltatás alatt a felhasználó számára a PayPal-csoport által biztosított weboldalt, alkalmazást vagy egyéb terméket vagy szolgáltatást értünk.

Harmadik fél alatt a felhasználón, a csoporttagon, az adatfeldolgozón és a csoporttag vagy az adatfeldolgozó közvetlen irányítása alatt személyes adatokat feldolgozó személyeken, például alkalmazottakon kívüli bármely egyéb természetes vagy jogi személyt, közjogi hatóságot, ügynökséget vagy egyéb szervet értünk.

A felhasználó szó a múltbeli és jelenlegi ügyfeleket, leendő ügyfeleket, befektetőket, üzleti partnereket és kereskedőket takarja.

A felhasználókkal kapcsolatos személyes adatok a felhasználókra vonatkozó személyes adatokat jelentik.