>> Skatīt visus juridiskos līgumus

“PayPal” Lietotāju datu korporatīvie noteikumi

 

“PayPal” grupas mērķis ir piemērot vienotus, atbilstošus un globālus datu aizsardzības un privātuma standartus visu lietotāju personas datu apstrādei “PayPal” grupas ietvaros.  Šie Lietotāju datu korporatīvie noteikumi attiecas uz visiem lietotāju personas datiem, kurus grupas dalībnieki apstrādā visā pasaulē.

Lietotāji visā pasaulē sniedz savus personas datus grupas dalībniekiem, lai izmantotu grupas piedāvātos pakalpojumus.  Lielākā daļa lietotāju personas datu tiek apkopoti un glabāti Amerikas Savienotajās Valstīs.  “PayPal” globālajā uzņēmējdarbībā ir nepieciešama lietotāja personas datu koplietošana ar citām “PayPal” struktūrvienībām Amerikas Savienotajās Valstīs un visā pasaulē, kur “PayPal” pašlaik izvērš vai plāno izvērst darbību.

Pašlaik piekļuve lietotāju Personas datiem var būt Darbiniekiem, kuri atrodas šādās EEZ valstīs: Luksemburga, Beļģija, Francija, Vācija, Īrija, Itālija, Nīderlande, Polija, Spānija, Zviedrija.

Darbiniekiem, kuri šobrīd atrodas tālāk norādītajās valstīs, kuras neietilpst Eiropas Savienībā, arī var būt pieeja lietotāju Personas datiem: Amerikas Savienotās Valstis, Taivāna, Turcija, Virdžīnu salas (Britu), Austrālija, Kanāda, Ķīna, Honkonga, Indija, Indonēzija, Izraēla, Japāna, Korejas Republika, Malaizija, Maurīcija, Filipīnas, Krievija, Singapūra, Šveice, Apvienotā Karaliste, Argentīna, Brazīlija un Meksika.

“PayPal” ir apņēmies pienācīgi aizsargāt lietotāja informāciju neatkarīgi no personas datu atrašanās vietas un nodrošināt atbilstošu lietotāja personas datu aizsardzību gadījumos, kad tie tiek pārsūtīti ārpus EEZ.

Šis valstu saraksts var mainīties līdz ar uzņēmuma darbības paplašināšanos.

 

1. Privātuma pārvaldības struktūra un pienākumi

Lietotāja korporatīvie noteikumi ir juridiski saistoši, pamatojoties uz nolīgumu (“IGA”) starp “PayPal” (Europe) S.à r.l. & Cie, S.C.A. (“Vadošās grupas loceklis”) un citām “PayPal” grupas struktūrvienībām.  IGA nosaka, ka grupas dalībniekiem jāievēro šie lietotāju korporatīvie noteikumi. Grupas dalībnieki pieprasa, lai viņu darbinieki, apstrādājot lietotāju personas datus, ievērotu šos lietotāju korporatīvos noteikumus.

Uzņēmumu vadītāji un “PayPal” grupas augstākā vadība ir atbildīgi par atbilstības nodrošināšanu šiem Lietotāju datu korporatīvajiem noteikumiem, tai skaitā nodrošinot, ka darbinieki zina un ievēro šos Lietotāju datu korporatīvos noteikumus.

“PayPal” privātuma programmu virza vadītājs privātuma atbilstības jautājumos. Viņš/viņa ieņem augstākā līmeņa vadības amatu uzņēmumā “PayPal” Holdings, Inc. un ir tieši pakļauts(-ta) galvenajam atbilstības speciālistam vai augstākajam vadītājam, kurš uzņēmumā “PayPal” vada atbilstības jomu.  Vadītājs privātuma atbilstības jautājumos pārrauga “PayPal” globālo privātuma atbilstības komandu un sadarbojas ar citām iekšējām organizācijām vai komandām, piemēram, operāciju, informācijas drošības, atbilstības, riska un iekšējā audita jomās, lai palīdzētu nodrošināt konsekventus privātuma ziņojumus, praksi un politikas visā “PayPal” grupā visā pasaulē. “PayPal” globālā privātuma atbilstības komanda izstrādā un koordinē savas atbilstības stratēģijas ieviešanu visā “PayPal” grupā un pārbauda darbības atbilstību.  “PayPal” globālajai privātuma atbilstības komandai ir tiešie un netiešie pārstāvji visā “PayPal” grupā, kas, cita starpā, palīdz nodrošināt Lietotāju datu korporatīvo noteikumu un piemērojamo datu aizsardzības tiesību aktu ievērošanu.

Vadītājs privātuma juridiskajos jautājumos pārrauga “PayPal” globālo privātuma juridisko komandu un ir tieši pakļauts galvenajam juridiskajam vadītājam vai augstākajam vadītājam, kurš uzņēmumā “PayPal” vada juridisko jomu.  Juridiskā privātuma vadība nosaka uzņēmuma pienākumus saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem un šiem Lietotāju datu korporatīvajiem noteikumiem. Vadītājs privātuma juridiskajos jautājumos un “PayPal” globālā privātuma juridiskā komanda strādā ciešā sadarbībā ar vadītāju privātuma atbilstības jautājumos un “PayPal” globālo privātuma atbilstības komandu, kā arī sadarbojas ar citām iekšējām organizācijām un komandām, piemēram, juridiskajā, operāciju, informācijas drošības un riska pārvaldības jomās, lai sniegtu juridiskas konsultācijas un interpretētu juridisko un normatīvo ietekmi uz mainīgajiem privātuma jautājumiem visā “PayPal” grupā visā pasaulē.

PayPal globālā privātuma atbilstības komanda un PayPal globālā privātuma juridiskā komanda kopā veido PayPal globālo privātuma komandu.

Eiropas datu aizsardzības speciālistu, kas atrodas Luksemburgā, ieceļ uzņēmums “PayPal” (Europe) S.à r.l. et Cie, S.C.A. vadībai. Eiropas datu aizsardzības speciālists darbojas kā galvenā kontaktpersona EEZ datu aizsardzības iestādēm un, cita starpā, pilda šādus pienākumus: informē un konsultē grupas dalībniekus un viņu darbiniekus, kuri apstrādā personas datus, par viņu saistībām saskaņā ar privātuma jomas tiesību aktiem, lai nodrošinātu šo Lietotāju datu korporatīvo noteikumu ievērošanu, sadarbojas ar “PayPal” globālo privātuma komandu, lai uzraudzītu atbilstību privātuma jomas tiesību aktiem un saistītajām grupas dalībnieku politikām un pēc pieprasījuma sniedz juridiskās konsultācijas grupas dalībniekiem attiecībā uz datu aizsardzības ietekmes novērtējumiem un to piemērošanu.

 

2. Lietotāju personas datu apstrādes principi

Grupas dalībnieki ievēro tālāk aprakstītos Lietotāju personas datu apstrādes principus.

2.1. Mērķa ierobežojums

Lietotāju personas dati tiek apstrādāti tikai konkrētiem, precīzi formulētiem un likumīgiem mērķiem.  Jo īpaši lietotāju personas dati var tikt apstrādāti, lai:

- piedāvātu un atvieglotu pakalpojumu sniegšanu pēc lietotāju pieprasījumiem, tostarp konta atvēršanas nolūkos;

-  uzlabotu Pakalpojumus un izstrādātu jaunus;

- risinātu strīdus, vadītu tiesvedību, nodarbotos ar problēmu novēršanu un nodrošinātu klientu apkalpošanu;

-  nodrošinātu riska pārvaldību;

-  apstrādātu darījumus un iekasētu maksājamās nodevas;

- pārbaudītu kredītspēju un maksātspēju;

- izvērtētu lietotāju interesi par pakalpojumiem, kā arī atsauksmes un viedokli par pakalpojumiem un informēt lietotājus par tiešsaistes un bezsaistes piedāvājumiem, pakalpojumiem un atjauninājumiem;

-  pielāgot lietotāju pieredzi;

-  konstatēt kļūdas, krāpšanu un citas noziedzīgas darbības un aizsargāt pret tām;

-  izpildīt “PayPal” grupas juridiskās, līgumiskās vai normatīvās saistības;

- piemērot pakalpojuma noteikumus un nosacījumus un citus noteikumus, kas tiek norādīti lietotājiem informācijas apkopošanas laikā un Pakalpojuma privātuma politikā;

- aizsargāt pakalpojumu un “PayPal” grupas tīkla drošību, integritāti un pieejamību; un

- aizsargāt “PayPal” grupas likumīgās tiesības un intereses, tostarp, bet ne tikai izveidot, īstenot juridiskās prasības, bet arī aizstāvēt pret tām.

Lietotāja personas datu apstrādei citiem mērķiem ir nepieciešama “PayPal” globālās privātuma juridiskās komandas iepriekšēja piekrišana.  Ja rodas šaubas, grupas dalībnieki konsultēsies ar “PayPal” globālo privātuma juridisko komandu.

Lietotāja personas dati netiks tālāk apstrādāti tādā veidā, kas nav savienojams ar iepriekš uzskaitītajiem mērķiem, ja vien tam nav juridiska pamatojuma saskaņā ar spēkā esošajiem normatīvajiem aktiem, kuri attiecas uz to grupas locekli EEZ, kurš ir atbildīgs par lietotāja personas datu apkopošanu un/vai pārsūtīšanu.   

2.2. Datu kvalitāte un proporcionalitāte

Lietotāja personas dati ir:

  • precīzi un, ja nepieciešams, atjaunināti;
  • pietiekami, atbilstīgi un ne pārmērīgi saistībā ar nolūkiem, kādiem tie tiek apstrādāti; un
  • saglabāti tikai tik ilgi, cik nepieciešams, lai sasniegtu mērķus, kuriem dati sākotnēji tika apkopoti vai papildus apstrādāti.  

Lietotāju personas dati, kas vairs nav nepieciešami nolūkiem, kādiem tie tika apkopoti, tiek dzēsti, iznīcināti vai anonimizēti, ja vien piemērojamajos tiesību aktos nav noteikta turpmāka apstrāde vai saglabāšana.

2.3. Apstrādes juridiskais pamatojums

Grupas dalībnieki nodrošina, ka lietotāju personas dati tiek apstrādāti taisnīgā un likumīgā veidā, un jo īpaši, balstoties uz vismaz vienu no šiem juridiskajiem pamatojumiem:

  • nepārprotama lietotāja piekrišana;
  • apstrāde, kas nepieciešama, lai izpildītu līgumu, kurā lietotājs ir līgumslēdzēja puse, vai lai veiktu pasākumus pēc lietotāja pieprasījuma pirms līguma noslēgšanas;
  • apstrāde, kas nepieciešama, lai izpildītu juridiskos pienākumus, kuri jāievēro grupas dalībniekiem;
  • apstrāde, kas nepieciešama, lai aizsargātu lietotāja būtiskās intereses;
  • apstrāde, kas nepieciešama, lai veiktu kādu uzdevumu sabiedrības interesēs vai lai īstenotu grupas dalībniekiem vai trešajai pusei, kurai dati tiek izpausti, piešķirtās oficiālās pilnvaras; vai
  • apstrāde, kas nepieciešama tādu likumīgo interešu sasniegšanai, kuras tiecas īstenot grupas dalībnieks vai trešā puse vai puses, kurām dati tiek izpausti, izņemot gadījumus, kad pār šādām interesēm dominē ar lietotāja pamattiesībām un brīvībām saistītās intereses.

Parasti Grupas dalībnieki neapkopo sensitīvus lietotāja personas datus.  Ja šāda apkopošana ir nepieciešama vai ja lietotāji brīvprātīgi sniedz šādu informāciju, grupas dalībnieki nodrošina, ka sensitīvus lietotāja personas datus apstrādā tikai, bastoties uz vienu no šādiem pamatojumiem:

  • lietotāja skaidra piekrišana;
  • apstrāde, kas nepieciešama, lai aizsargātu lietotāja vai citas personas vitāli svarīgas intereses, ja lietotājs fiziski vai juridiski nespēj dot savu piekrišanu;
  • apstrāde attiecas uz lietotāja personas datiem, kurus lietotājs ir publiski izpaudis; vai
  • apstrāde, kas nepieciešama juridisku prasību iesniegšanai, īstenošanai vai aizstāvībai.

Ja apstrāde ietver automātisku lēmumu pieņemšanu (turpmāk — “Automatizētie lēmumi”), grupas dalībnieki nodrošina piemērotus pasākumus, lai aizsargātu lietotāja likumīgās intereses, piemēram, sniedzot lietotājam tādu iespēju, ka klientu atbalsta pārstāvis izskata lēmumu individuāli un atļauj lietotājam sniegt tā viedokli. Ja lietotājs turpina nepiekrist automatizētajam lēmumam, klientu atbalsta pārstāvis jautājumu nodod izskatīšanai ES datu aizsardzības speciālistam. Attiecīgos gadījumos notiks apspriešanās ar privātuma juridisko vadību un tiks informēts vadītājs privātuma atbilstības jautājumos.  

2.4. Pārredzamība

Vācot Lietotāja personas datus, Grupas dalībnieki informē Lietotājus par:

  • par sākotnējo vākšanu un apstrādi atbildīgā Grupas dalībnieka vārdu vai nosaukumu un adresi;
  • attiecīgo Lietotāja personas datu kategorijām;
  • paredzētajiem apstrādes mērķiem;
  • Lietotāju personas datu saņēmēju apstrādātāju un Trešo personu kategorijām;
  • to, vai atbildes uz jautājumiem ir obligātas vai brīvprātīgas, kā arī par iespējamām neatbildēšanas sekām;
  • lietotāja tiesību esamību; un
  • automatizētas lēmumu pieņemšanas gadījumā — par ietverto loģiku.

Grupas dalībnieki var sniegt informāciju Pakalpojuma privātuma politikā, kas ir pieejama, izmantojot saiti un/vai apskatāma redzamā vietā katrā Pakalpojuma tīmekļa vietnē vai pieteikumā, kā arī reģistrācijas laikā.  Pienākums informēt Lietotājus nav attiecināms, ja Lietotāji jau zina šo informāciju.  

Ja informācijas sniegšana izrādās neiespējama vai ir saistīta ar nesamērīgām pūlēm, Grupas dalībnieki var atturēties no informācijas sniegšanas.  Tas attiecas tikai uz tādiem Lietotāja personas datiem, kas nav tieši iegūti no Lietotāja. 

Izņēmuma gadījumos īpašas informācijas sniegšanu var atlikt vai izlaist, piemēram, lai izmeklētu nelikumīgu rīcību vai lai ievērotu piemērojamos tiesību aktus, vai arī gadījumos, kad informācijas sniegšana varētu apdraudēt izmeklēšanas integritāti

2.5. Konfidencialitāte un drošība

Grupas dalībnieki izmanto fiziskus, tehniskus un organizatoriskus drošības kontroles līdzekļus, kas ir proporcionāli lietotāja personas datu apjomam un sensitivitātei, lai novērstu nesankcionētu apstrādi, ieskaitot, bet ne tikai lietotāja personas datu ieguvi un izmantošanu, zaudēšanu, iznīcināšanu vai bojāšanu. Grupas dalībnieki izmanto šifrēšanu, ugunsmūrus, piekļuves vadību, standartus un citas procedūras, lai aizsargātu lietotāju informāciju no nesankcionētas piekļuves.  Fiziskā un loģiskā piekļuve elektroniskajiem un drukātajiem failiem tiek vēl vairāk ierobežota, pamatojoties uz darba pienākumiem un uzņēmējdarbības vajadzībām.

2.6. Lietotāju izvēles iespējas un tiesības

Lietotāji var piekļūt un labot lielāko daļu Lietotāja personas datu, kas attiecas uz viņiem, ko Grupas dalībnieki uztur, izmantojot atbilstošu tiešsaistes rīku vai pašapkalpošanās procesu, kas viņiem pieejams Pakalpojuma tīmekļa vietnē vai lietojumprogrammā.

Visos gadījumos Lietotājiem ir tiesības iesniegt datu subjekta piekļuves pieprasījumu, lai apskatītu vai saņemtu savu Lietotāja personas datu kopiju, kas nav pieejama Pakalpojuma tīmekļa vietnē vai lietojumprogrammā. Lietotājiem jāsazinās ar klientu atbalsta dienestu, izmantojot Pakalpojuma tīmekļa vietnē vai lietojumprogrammā sniegtos norādījumus. Grupas dalībnieki pieprasījumus izpilda spēkā esošajos normatīvajos aktos noteiktajos termiņos, izņemot gadījumus, kad spēkā esošie normatīvie akti paredz izņēmumu šādam pienākumam.  Lietotājiem var prasīt uzrādīt identitātes apliecinājumu, un par to var tikt piemērota apkalpošanas maksa, kā to pieļauj spēkā esošie normatīvie akti.

Lietotāji var arī pieprasīt savu datu labošanu, ja tie ir nepilnīgi vai neprecīzi. Grupas dalībnieki šo prasību izpilda un informē Lietotājus, kad viņu dati ir izlaboti. Grupas dalībnieki ziņo trešajām pusēm, kurām ir izpausti lietotāja dati, par jebkādiem labojumiem, ja vien tas nav neiespējami vai nav saistīts ar nesamērīgām pūlēm.

Pārliecinošu likumīgu iemeslu dēļ Lietotāji var iebilst pret savu lietotāja Personas datu apstrādi. Grupas dalībnieki izpildīs šādus pieprasījumus, ja vien lietotāja Personas datu saglabāšanu neparedz piemērojamie tiesību akti vai arī tas nepieciešams, lai aizstāvētu PayPal Grupu pret tiesiskajām prasībām. Lietotājus informēs par to, vai viņu pieprasījums tiks izpildīts, un pasākumiem, ko veikuši Grupas dalībnieki.

Turklāt Lietotāji var pieprasīt slēgt savus kontus, izpildot izmantojot Pakalpojuma tīmekļa vietnē vai lietojumprogrammā sniegtos norādījumus. Grupas dalībnieki izņem vai anonimizē Lietotāja informāciju Pakalpojumā cik drīz vien iespējams, pamatojoties uz naudas kustību kontos.  Dažos gadījumos Grupas dalībnieki var atlikt konta slēgšanu vai saglabāt Lietotāja personas datus izmeklēšanas veikšanai, vai, ja to pieprasa spēkā esošie normatīvie akti. Grupas dalībnieki Lietotāja informāciju var saglabāt arī no slēgtiem kontiem, lai atklātu un novērstu krāpšanu, iekasētu visas nesamaksātās maksas, atrisinātu strīdus, nodarbotos ar problēmu risināšanu, palīdzētu jebkādas izmeklēšanas darbā, pārvaldītu risku, īstenotu Pakalpojuma noteikumus un nosacījumus, ievērotu juridiskās vai normatīvās prasības un veiktu citas darbības, kas citādi atļautas spēkā esošajos normatīvajos aktos. Datus glabā tādā veidā, kas ļauj identificēt datu subjektus ne ilgāk, kā tas ir nepieciešams nolūkiem, kuriem dati tika vākti vai kuriem tos turpmāk apstrādā, un dzēš, tiklīdz ir novērsts vai atrisināts to saglabāšanas galvenais iemesls.

Izņemot tos Lietotājus, kuri ir izvēlējušies nesaņemt noteiktus paziņojumus, grupas dalībnieki var izmantot Lietotāja personas datus, lai adresētu paziņojumus lietotājiem, balstoties uz viņu interesēm saskaņā ar spēkā esošajiem tiesību aktiem.  Lietotājiem, kuri nevēlas saņemt mārketinga paziņojumus no “PayPal” grupas, tiek piedāvāti viegli pieejami līdzekļi, lai iebilstu pret turpmāku reklāmu, piemēram, viņu konta iestatījumos vai sekojot norādījumiem e-pastā vai paziņojumā.

Lietotāji var izmantot iepriekš minētās tiesības, sazinoties ar klientu atbalsta dienestu.  Ja Lietotāja identitāti ir grūti pārbaudīt, Grupas dalībnieki var pieprasīt, lai Lietotājs iesniedz papildu identifikācijas apliecinājumu.

2.7. Personas datu atklāšana

Grupas Dalībnieki var kopīgot Lietotāja personīgos datus parastā uzņēmējdarbības gaitā un apjomā ar citiem Grupas dalībniekiem visā pasaulē 2.1. sadaļā noteiktajiem mērķiem.

Saskaņā ar spēkā esošajiem tiesību aktiem, līgumiem vai piemērojamajām starptautiskajām konvencijām grupas dalībnieki var kopīgot personas datus ar tiesībaizsardzības un regulatīvajām iestādēm, ja tas nepieciešams demokrātiskā sabiedrībā valsts drošībai, aizsardzībai, sabiedrības drošībai, noziedzīgu nodarījumu novēršanai, izmeklēšanai, atklāšanai un saukšanai pie atbildības par tiem, un jo īpaši sankciju ievērošanai, kā noteikts starptautiskajos un/vai vietējos instrumentos, nodokļu pārskatu prasībās vai prasības ziņot par nelikumīgi iegūtu līdzekļu legalizācijas novēršanu.

Grupas dalībnieki nepārdod un neiznomā lietotāja personas datus trešajām pusēm saviem mārketinga mērķiem bez lietotāja skaidri izteiktas, nepārprotamas informētas piekrišanas. Grupas dalībnieki var izpaust lietotāja informāciju citām trešajām pusēm saskaņā ar lietotāja norādījumiem vai piekrišanu (ja tas ir atļauts saskaņā ar piemērojamiem tiesību aktiem).

Pārsūtot Lietotāja personas datus Apstrādātājiem, pirms darba uzsākšanas un pirms Lietotāja personas datu pārsūtīšanas Apstrādātājiem tiks piemērots privātuma, datu aizsardzības un informācijas drošības riska novērtējums.  Novērtējuma apjoms atšķirsies atkarībā no apstrādāto Lietotāja personas datu jutīguma. Apstrādātājiem, ieskaitot Grupas Dalībnieku, kurš iestājas kā Apstrādātājs, ir jānoslēdz līgums ar attiecīgajiem Grupas Dalībniekiem, lai nodrošinātu atbilstošus privātuma, datu aizsardzības un informācijas drošības pasākumus. Šāds līgums ietver punktus, kas paredz Lietotāja personas datu pareizu izmantošanu un iesaistīto Lietotāja personas datu apjomam, raksturam un jutīgumam atbilstošus drošības pasākumus.  Līgumiskajām garantijām jāattiecas vismaz uz šādiem aspektiem:

  • prasības ievērot tiesību aktus un apstrādāt lietotāja personas datus tikai saskaņā ar līguma noteikumiem un attiecīgo grupas dalībnieku norādījumiem;
  • atbilstošiem tehniskajiem un organizatoriskajiem pasākumiem, kas pielāgoti attiecīgo lietotāja personas datu un apstrādes sensitivitātei;
  • tiesībām veikt auditu attiecībā uz apstrādātāju atbilstību līgumsaistībām;
  • drošības pārkāpumu ziņošanas pienākumiem;
  • noteikumiem par atlīdzināšanu gadījumā, ja apstrādātājs neievēro savas likumīgās vai līgumsaistības.

Līgumos starp citiem līgumā noteiktajiem tiesiskās aizsardzības līdzekļiem jāiekļauj noteikumi, kas paredz, ka līguma noteikumu neievērošana var apturēt vai izbeigt līguma darbību.

Privātuma, datu aizsardzības un informācijas drošības novērtējums nav obligāts tiem Apstrādātājiem, kuriem šāds novērtējums jau ir veikts, ja vien Apstrādes darbības nav saistītas ar augsta riska darbībām, ņemot vērā Personas datu raksturu un apjomu, kā arī konkrēto apstrādes darbību veidu.

Neatkarīgi no iepriekšminētā, ja grupas dalībnieks pārsūta EEZ lietotāju personas datus trešajām pusēm vai apstrādātājiem, kas nav grupas dalībnieki, i) kuri atrodas valstīs, kas nenodrošina pietiekamu aizsardzības līmeni (Direktīvas 95/46/EK izpratnē), ii) uz kuriem neattiecas apstiprinātie saistošie korporatīvie noteikumi vai iii) kuriem nav citu pasākumu, kas atbilstu ES pietiekamības prasībām, grupas dalībnieks nodrošina attiecībā uz:

  • trešajām pusēm, ka tās ievieš atbilstošu līgumisko kontroli, piemēram, Eiropas Komisijas apstiprinātās parauga līguma klauzulas, nodrošinot aizsardzības līmeni, kas ir samērojams ar šiem Lietotāju datu korporatīvajiem noteikumiem, vai arī pārliecinās, ka pārsūtīšana i) notiek ar lietotāja nepārprotamu piekrišanu, ii) ir nepieciešama, lai noslēgtu līgumu vai izpildītu ar lietotāju noslēgto līgumu, iii) ir nepieciešama vai tiek likumīgi pieprasīta svarīgu sabiedrības interešu apsvērumu dēļ, vai arī iv) ir nepieciešama lietotāja būtisku interešu aizsardzībai;
  • apstrādātājiem, ka tie ievieš līgumisko kontroli, piemēram, Eiropas Komisijas apstiprinātās parauga līguma klauzulas, nodrošinot aizsardzības līmeni, kas ir samērojams ar šiem Lietotāju datu korporatīvajiem noteikumiem.
     

3. Sūdzību izskatīšanas mehānisms

Ja Lietotāji uzskata, ka viņu Lietotāja personas dati ir apstrādāti, pārkāpjot Lietotāja korporatīvos noteikumus, viņi par savām bažām var ziņot attiecīgā Grupas dalībnieka klientu apkalpošanas funkcijai attiecīgajā pakalpojuma tīmekļa vietnē, pa e-pastu vai kā citādi norādīts piemērojamajos noteikumos un nosacījumos.  Lietotāji parasti var atrast atbildes uz visbiežāk sastopamajiem jautājumiem par privātumu un bažām, attiecīgā pakalpojuma palīdzības sadaļā ierakstot vārdu “privātums”, kas parasti novirza Lietotāju uz konkrētu privātuma lapu vai politiku.  Attiecīgā pakalpojuma sadaļa “Palīdzība” ir unikāls piekļuves punkts visiem Lietotāju vaicājumiem, kas saistīti ar viņu privātumu vai viņu Lietotāja informācijas apstrādi, un sniedz Lietotājam iespēju sazināties ar klientu atbalsta dienestu. 

Ja rodas šaubas par to, kuru kanālu izmantot, lai ziņotu par bažām saistībā ar privātumu, Lietotāji var tiešsaistē sazināties ar Eiropas datu aizsardzības speciālistu.

Klientu atbalsts izmeklē un mēģina atrisināt lietotāju paustās problēmas. Darbinieki, kas atbild par ar privātumu saistītu problēmu risināšanu, cieši sadarbojas ar “PayPal” Globālo privātuma komandu un atbild lietotājiem saskaņā ar “PayPal” politikām, procedūrām un norādījumiem.  Ja Lietotāji uzskata, ka viņu bažām nav pievērsta pienācīga uzmanība vai ja viņi nav saņēmuši atbildi, viņi var pieprasīt, lai viņu bažas tiktu eskalētas Eiropas datu aizsardzības inspektoram. Notiks apspriešanās ar vadītāju privātuma juridiskajos jautājumos, un tiks informēts vadītājs privātuma atbilstības jautājumos. Eskalācijas ceļus nosaka, ņemot vērā bažu raksturu un apjomu, un jautājumu nekavējoties nosūta attiecīgajai komandai.  Atbilde uz sūdzību Lietotājam tiek sniegta saprātīgā termiņā un katrā ziņā trīs (3) mēnešu laikā pēc izmeklēšanas dienas, izņemot neparastu apstākļu vai sarežģītu jautājumu gadījumā, par kuriem Lietotājam tiks paziņots, ka atbilde prasīs vairāk nekā trīs (3) mēnešus.

Sūdzību izskatīšanas mehānisms neierobežo lietotāju tiesības iesniegt sūdzības kompetentajās datu aizsardzības iestādēs vai tiesās.

 

4. Trešo pušu saņēmēju tiesības un atbildība

EEZ lietotājiem, kuriem ir aizdomas par Lietotāju datu korporatīvo noteikumu pārkāpumu ārpus EEZ, ir tiesības pieprasīt Lietotāju datu korporatīvo noteikumu izpildi kā trešo pušu saņēmējiem attiecībā uz Lietotāju datu korporatīvo noteikumu 2., 3., 4., 7. un 8. punktu, vēršoties kompetentajās datu aizsardzības iestādēs, vadošā grupas dalībnieka jurisdikcijas tiesās vai tā grupas dalībnieka jurisdikcijas tiesās, kas rīkojas kā datu nosūtītājs.  Šīs izpildes tiesības papildina citus tiesiskās aizsardzības līdzekļus vai tiesības, ko nodrošina “PayPal” vai kas ir pieejamas saskaņā ar spēkā esošajiem tiesību aktiem.

Lai gan tas nav nepieciešams, EEZ lietotāji tiek aicināti vispirms ziņot par savām bažām tieši grupas dalībniekam, nevis datu aizsardzības iestādēm vai tiesām.  Tas ļauj “PayPal” grupai efektīvi un ātri reaģēt un samazina iespējamo kavēšanos, kas var rasties saistībā ar datu aizsardzības iestādēm vai tiesas procedūrām.

“PayPal” (Europe) S.a r.l. et Cie, S.C.A., Luksemburgas privātā sabiedrība ar ierobežotu atbildību uzņemas atbildību un piekrīt pārraudzīt grupas dalībnieka atbilstību Lietotāju datu korporatīvajiem noteikumiem.  Vadošais grupas dalībnieks apņemas i) veikt nepieciešamos pasākumus, lai novērstu pārkāpumu, ko izdarījuši grupas dalībnieki ārpus EEZ un ii) izmaksāt kompensāciju EEZ lietotājiem, ko piešķīrusi vadošā datu aizsardzības iestāde vai Luksemburgas tiesas, par visiem zaudējumiem, kas tiešā veidā radušies, grupas dalībniekiem pārkāpjot Lietotāju datu korporatīvos noteikumus ārpus EEZ, ja attiecīgais grupas dalībnieks nespēj vai nevēlas izmaksāt kompensāciju vai izpildīt rīkojumu. 

Vadošais grupas dalībnieks atzīst un piekrīt, ka tam ir pierādīšanas pienākums attiecībā uz iespējamu Lietotāju datu korporatīvo noteikumu pārkāpumu.

Vadošā grupa (vai jebkurš cits grupas dalībnieks) neuzņemas atbildību, ja tā, balstoties uz pieejamajiem faktiem un ņemot vērā lietotāja komentārus, pamatoti pierāda, ka grupas dalībnieks, kas darbojas ārpus EEZ, nav pārkāpis Lietotāju datu korporatīvos noteikumus vai nav atbildīgs par iespējamo kaitējumu lietotājam.

 

5. Apmācība

Grupas dalībnieki nodrošina to, ka visi Darbinieki, kas apstrādā Lietotāja personas datus, kā arī Darbinieki, kuri ir iesaistīti tādu rīku izstrādē, kas tiks izmantoti Lietotāja personas datu vākšanai vai apstrādei, saņem privātuma un informācijas drošības izpratnes apmācību, uzsverot un informējot Darbiniekus par nepieciešamību aizsargāt un nodrošināt Lietotāja personas datus saskaņā ar šiem Lietotāju korporatīvajiem noteikumiem. 

Darbiniekiem katru gadu ir jāiziet tiešsaistes atbilstības apmācība par atbilstības nodrošināšanu, pamatojoties uz Uzņēmējdarbības un ētikas kodeksu, kurā iekļauta sadaļa par datu aizsardzību.  Jaunajiem darbiniekiem, sākot darbu, ir jāiziet tiešsaistes apmācība par atbilstību.

Papildus šai tiešsaistes atbilstības apmācībai “PayPal” globālā privātuma komanda un Eiropas datu aizsardzības speciālists nodrošina privātuma un informācijas drošības izpratnes apmācību, lai uzsvērtu darbiniekiem nepieciešamību aizsargāt un glabāt drošībā personas datus un informētu viņus par to. Šāda apmācība notiek katru gadu vai biežāk, ja to prasa apstākļi.

Darbinieku apmācība tiek pielāgota viņu lietotāja personas datu piekļuves līmenim, un darbiniekiem ar augstāku piekļuves līmeni jānodrošina papildu apmācība. 

Grupas dalībnieki informē darbiniekus, ka šo Lietotāju datu korporatīvo noteikumu neievērošana var novest pie disciplināras rīcības un citām piemērojamajos tiesību aktos atļautām darbībām.  Šo Lietotāju datu korporatīvo noteikumu un citu ar privātumu un drošību saistīto politiku un procedūru kopijas darbiniekiem ir pieejamas jebkurā laikā uzņēmuma iekštīklā. Lietotāju datu korporatīvie noteikumi ir iekļauti arī Uzņēmuma rīcības un ētikas kodeksā, kas visiem darbiniekiem jāizskata un jāpiekrīt tā ievērošanai. 

 

6. Auditi un uzraudzība

Lai palīdzētu nodrošināt šo Lietotāju datu korporatīvo noteikumu ievērošanu, “PayPal” globālā privātuma atbilstības komanda regulāri pārskata personas datu apstrādes darbības un praksi. Šīs darbības tiek koordinētas ciešā sadarbībā ar Eiropas datu aizsardzības speciālistu.

Iekšējā audita grupa ir neatkarīgs un objektīvs vadības un Direktoru padomes padomnieks, kas ar audita komitejas starpniecību paziņo audita konstatējumus Direktoru padomei, vadītājiem privātuma jautājumos un Eiropas datu aizsardzības inspektoram. 

Iekšējās audita grupa var regulāri pārskatīt Globālās privātuma komandas noteiktās darbības vai praksi. Iekšējā audita grupa, vadītāji privātuma jautājumos un Eiropas datu aizsardzības speciālists nepieciešamības gadījumā pieprasa sagatavot rīcības plānu, lai nodrošinātu atbilstību saistošajiem uzņēmuma noteikumiem (BCR). Ja iekšējās grupas neatrisina jautājumus pienācīgā mērā, grupa var iecelt neatkarīgus ārējos auditorus turpmākai risināšanai.

Eiropas datu aizsardzības speciālists, “PayPal” globālā privātuma atbilstības komanda vai iekšējās audita grupas un ārējie auditori izstrādā detalizētus audita plānus un grafikus, pamatojoties uz apstrādes risku.

Privātuma audita rezultāti būs pieejami kompetentajām datu aizsardzības iestādēm.  “PayPal” patur tiesības rediģēt audita ziņojumu daļas, lai nodrošinātu patentētas vai citas uzņēmuma konfidenciālas informācijas konfidencialitāti. 

 

7. Saistība starp Lietotāju datu korporatīvajiem noteikumiem un valsts tiesību aktiem

Tā kā visā pasaulē pastāv atšķirīgas juridiskās prasības attiecībā uz datu aizsardzību Lietotāju datu korporatīvajos noteikumos ir paredzēts konsekvents prasību kopums, kas palīdz nodrošināt atbilstošu lietotāja personas datu apstrādi. Lai gan Lietotāju datu korporatīvie noteikumi nodrošina pamatprasības, kas jāievēro grupas dalībniekiem, tiem jāievēro arī spēkā esošie tiesību akti, kas var paredzēt stingrākus standartus par šajos korporatīvajos noteikumos izklāstītajiem.

Nekas šajos Lietotāju datu korporatīvajos noteikumos neietekmē grupas dalībnieku saistības saskaņā ar piemērojamajiem banku nozares tiesību aktiem, jo īpaši attiecībā uz bankas noslēpumu.   Ja piemērojamie tiesību akti ir pretrunā šiem Lietotāju datu korporatīvajiem noteikumiem, neļaujot grupas dalībniekam pildīt tā saistības saskaņā ar Lietotāju datu korporatīvajiem noteikumiem, un būtiski ietekmē tajos paredzētā garantijas, grupas dalībnieks nekavējoties informē Eiropas datu aizsardzības speciālistu, izņemot gadījumus, kad šādas informācijas sniegšanu aizliedz tiesībaizsardzības iestāde vai tiesību akti.  Eiropas datu aizsardzības speciālists, vadītāji privātuma jautājumos un vadošais grupas dalībnieks nosaka piemērotu rīcību un šaubu gadījumā konsultējas ar kompetento datu aizsardzības iestādi.

 

8. Savstarpēja palīdzība un sadarbība ar datu aizsardzības iestādēm

Grupas locekļi sadarbojas un palīdz viens otram apstrādāt Lietotāju pieprasījumus vai sūdzības saistībā ar šiem Lietotāja korporatīvajiem noteikumiem.

Grupas dalībnieki rūpīgi un atbilstoši atbildēs uz datu aizsardzības iestāžu pieprasījumiem par Lietotāju datu korporatīvajiem noteikumiem.  Ja darbinieks no datu aizsardzības iestādes saņem šādu pieprasījumu, viņam nekavējoties jāinformē Eiropas datu aizsardzības speciālists.   

Grupas dalībnieki sadarbojas izmeklēšanā un pieņem EEZ kompetento datu aizsardzības iestāžu auditus attiecībā uz šo Lietotāju datu korporatīvo noteikumu ievērošanu, kā arī ņem vērā viņu lēmumus saskaņā ar spēkā esošajiem tiesību aktiem un paredzētajām procesuālajām tiesībām.  

 

9. Jauninājumi šajos Lietotāju datu korporatīvajos noteikumos un sarakstā ar dalībniekiem, kuriem šie noteikumi ir saistoši

PayPal patur tiesības vajadzības gadījumā grozīt šos Lietotāju datu korporatīvos noteikumus, piemēram, lai nodrošinātu atbilstību izmaiņām spēkā esošajos tiesību aktos, likumos, noteikumos, PayPal praksē, procedūrās un organizatoriskajā struktūrā vai prasībās, kādas nosaka attiecīgās datu aizsardzības iestādes.

PayPal globālā privātuma juridiskā komanda (ko pārrauga vadītājs privātuma juridiskajos jautājumos), ierosina visas nepieciešamās izmaiņas šajos Lietotāju datu korporatīvajos noteikumos. PayPal globālā privātuma atbilstības komandai (ko pārrauga vadītājs privātuma atbilstības jautājumos) un Eiropas datu aizsardzības speciālistam jāapstiprina visas izmaiņas Lietotāju datu korporatīvajos noteikumos un jāseko līdzi visām Lietotāju datu korporatīvo noteikumu izmaiņām, kā arī jebkādām grupas dalībnieku saraksta izmaiņām. Grupas dalībnieki ziņo attiecīgajām datu aizsardzības iestādēm par izmaiņām Lietotāju datu korporatīvajos noteikumos, lai saņemtu oficiālu apstiprinājumu un kā to paredz spēkā esošie tiesību akti.

Vadošais grupas dalībnieks konsultēsies ar vadošo datu aizsardzības iestādi par būtiskām izmaiņām Lietotāju datu korporatīvajos noteikumos, kuras ietekmēs datu aizsardzības atbilstību vai Lietotāju datu korporatīvo noteikumu darbību.  Vadošais grupas dalībnieks vismaz reizi gadā informēs vadošo datu aizsardzības iestādi par būtiskām izmaiņām Lietotāju datu korporatīvajos noteikumos un izmaiņām grupas dalībnieku sarakstā.  PayPal globālā privātuma komanda sadarbosies, lai sniegtu atbalstu Eiropas datu aizsardzības speciālistam, kura galvenie uzdevumi būs Paypal vārdā saskaņot atbildes un nevilcinoties izteikt komentārus, priekšlikumus vai iebildumus attiecībā uz vadošās datu aizsardzības iestādes ierosinātajām izmaiņām. Pārējo datu aizsardzības iestāžu izteiktos komentārus, priekšlikumus vai iebildumus Eiropas datu aizsardzības speciālistam nodos vadošā datu aizsardzības iestāde, kura rīkosies pārējo datu aizsardzības iestāžu vārdā.  

Visiem Grupas dalībniekiem jāsāk ievērot izmaiņas Lietotāju datu korporatīvajos noteikumos no dienas, kad šīs izmaiņas stājās spēkā.  Grupas dalībnieki savlaicīgi informēs Lietotājus par būtiskām izmaiņām Lietotāju datu korporatīvajos noteikumos, ievērojot konkrētā Lietotāja Pakalpojumu preferences vai nu izsūtot masveida e-pasta ziņojumus, vai arī publicējot tīmekļa vietnē nepārprotamu brīdinājumu Lietotājiem par gaidāmajām izmaiņām Lietotāju noteikumos. Grupas dalībniekiem jāpublicē grozītie Lietotāju datu korporatīvie noteikumi šim nolūkam izvēlētās ārējās tīmekļa vietnēs vai lietotājiem pieejamās lietotnēs.  Grozījumi Lietotāju datu korporatīvajos noteikumos stāsies spēkā divu mēnešu laikā pēc tam, kad Grupas dalībnieki būs informējuši par tiem Lietotājus un publicējuši grozītos Lietotāju datu korporatīvos noteikumus.

 

10. Publicēšana

Lietotāju datu korporatīvie noteikumi jāpublicē, un saitei uz tiem jābūt pieejamai Pakalpojuma tīmekļa vietnē vai lietotnēs.  Lietotāji var pieprasīt kopiju no Eiropas datu aizsardzības speciālista (DAS), rakstot uz adresi: PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburga (Luxembourg) vai tiešsaistē.

 

11. Nobeiguma noteikumi

Spēkā stāšanās datums: 2018. gada 25. maijs

Kontaktinformācija: ja lietotājiem rodas kādi jautājumi vai bažas saistībā ar šiem Lietotāju datu korporatīvajiem noteikumiem, viņi var sazināties ar Eiropas datu aizsardzības speciālistu (DAS), rakstot uz šādu adresi:

Eiropas datu aizsardzības speciālistu (DAS)

PayPal (Europe) S.a r.l. Et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Definīcijas

Grupas dalībniekiem jāinterpretē Lietotāju datu korporatīvie noteikumi veidā, kas visvairāk atbilst ES Direktīvā 95/46/EK vai kādā vēlāk tās vietā pieņemtajā direktīvā vai regulā noteikto principu pamata jēdzieniem. 

Šajos Lietotāju datu korporatīvajos noteikumos izmantotas šādas definīcijas:

“Direktoru padome” ir vadošā grupas dalībnieka direktoru padome.

“Datu aizsardzības iestādes” ir valsts iestādes, kuru pienākums ir pārraudzīt un nodrošināt EEZ dalībvalstu pieņemto valsts tiesību aktu īstenošanu attiecīgās valsts teritorijā saskaņā ar ES Datu aizsardzības direktīvu (95/46/EK).

“EEZ” ir Eiropas Ekonomikas zona, kurā pašlaik ietilpst ES dalībvalstis, Islande, Lihtenšteina un Norvēģija.

“Darbinieks” ir grupas dalībnieka darba ņēmēji, strādnieki, praktikanti un citi personāla pārstāvji vai darbinieki, tostarp līgumstrādnieki vai pagaidu darbinieki, alternatīvs darbaspēks vai darbuzņēmēji, neatkarīgi no tā, vai viņi ir pieņemti darbā vai nolīgti uz pilnu vai nepilnu darba laiku, un neatkarīgi no nodarbinātības vai līgumdarba veida.

“Eiropas datu aizsardzības speciālists (DAS)” ir vadošā grupas dalībnieka iecelts darbinieks, kurš ir vadošā grupas dalībnieka pakļautībā un vienlaikus darbojas arī kā PayPal globālās privātuma juridiskās komandas dalībnieks. Eiropas DAS birojs atrodas Luksemburgā.

“Grupas dalībnieks” ir PayPal grupas uzņēmums, kurš ir parakstījis grupas iekšējo līgumu (IGA).

“IGA” ir grupas iekšējais līgums.

“Vadošā datu aizsardzības iestāde” iestāde ir Luksemburgas Datu aizsardzības valsts komisija (Commission nationale pour la protection des données, CNPD).

“Vadošais grupas dalībnieks” ir “PayPal (Europe) S.à r.l. & Cie, S.C.A.”, Luksemburgas sabiedrība ar ierobežotu atbildību.

“PayPal globālā privātuma komanda” ir PayPal privātuma atbilstības globālās komandas un PayPal globālās privātuma juridiskās komandas apvienojums.

“PayPal globālā privātuma atbilstības komanda” ir atbilstības organizācijas darbinieki, kas atbild konkrēti par PayPal privātuma programmas atbilstību un īstenošanu. 

“PayPal globālā privātuma juridiskā komanda” ir Juridiskās nodaļas darbinieki, kas atbild konkrēti par privātumu un datu aizsardzību.

“PayPal grupa” ir “PayPal Holdings, Inc.” (“PayPal”) un jebkura cita struktūrvienība, kura ir tiešā vai netiešā PayPal kontrolē un apstrādā lietotāju informāciju — šajā gadījumā ar kontroli saprot īpašumtiesības uz vairāk nekā piecdesmit procentiem (50 %) kapitāldaļu ar balsstiesībām ievēlēt uzņēmuma direktorus vai vairāk nekā piecdesmit procentu (50 %) līdzdalību uzņēmumā.

“Personas dati” ir jebkāda ar identificētu vai identificējamu fizisku personu saistīta informācija — identificējama persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši pēc atsauces uz identifikācijas numuru vai vienu vai vairākiem faktoriem, kas raksturīgi personas fiziskajai, fizioloģiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei.

“Apstrāde” ir jebkāda darbība vai darbību kopums, kas tiek veikts (ar automatizētiem vai neautomatizētiem līdzekļiem) ar personas datiem, piemēram, datu apkopošana, reģistrēšana, klasifikācija, glabāšana, pielāgošana vai pārveidošana, izguve, pētīšana, izmantošana, izpaušana, tos pārraidot, izplatot vai kā citādi padarot pieejamus, datu saskaņošana vai apvienošana, bloķēšana, dzēšana vai iznīcināšana.

“Apstrādātājs” ir jebkura fiziska vai juridiska persona, kas veic personas datu apstrādi kāda grupas dalībnieka vārdā.

“Sensitīvi personas dati” ir tādi personas dati, kas atklāj personas rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, ar noziedzīgiem nodarījumiem saistītu informāciju vai informāciju par personas veselību vai seksuālo dzīvi.

“Pakalpojums” ir tīmekļa vietne, lietojumprogramma vai kāds cits produkts vai pakalpojums, kuru lietotājam piedāvā izmantot PayPal grupa.

“Trešā persona” ir jebkura fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kas nav lietotājs, grupas dalībnieks, apstrādātājs un fiziskas personas, kuras ar grupas dalībnieka vai apstrādātāja tiešu atļauju ir pilnvarotas apstrādāt personas datus (piemēram, darbinieki).

“Lietotājs” nozīmē bijušos un esošos klientus, potenciālos klientus, investorus, darījumu partnerus un tirgotājus.

“Lietotāja personas dati” ir ar konkrēto lietotāju saistītie personas dati.