>> Vizualizați toate acordurile juridice

Reguli corporatiste privind utilizatorii PayPal

 

Obiectivul Grupului PayPal este să aplice standarde uniforme, adecvate și globale de protecție a datelor și de confidențialitate în cazul prelucrării tuturor Datelor cu caracter personal ale utilizatorilor în ansamblul Grupului PayPal.  Aceste Reguli corporatiste privind utilizatorii se aplică tuturor Datelor cu caracter personal ale utilizatorilor Prelucrate de Membrii Grupului din întreaga lume.

Utilizatorii transmit la nivel global Datele lor cu caracter personal Membrilor Grupului, pentru a utiliza serviciile pe care le oferă Grupul.  Majoritatea Datelor cu caracter personal ale utilizatorilor sunt colectate și stocate în Statele Unite ale Americii.  Activitatea globală a PayPal necesită ca Datele cu caracter personal ale utilizatorilor să fie comunicate altor entități PayPal din Statele Unite ale Americii și la nivel global, acolo unde PayPal este sau intenționează să fie prezentă.

În prezent, Datele cu caracter personal ale utilizatorilor pot fi accesate de Angajați din următoarele țări din SEE (Spațiul Economic European): Luxemburg, Belgia, Franța, Germania, Irlanda, Italia, Țările de Jos, Polonia, Spania, Suedia.

Datele cu caracter personal ale utilizatorilor pot fi accesate și de Angajați aflați în prezent în următoarele țări din afara UE: Statele Unite ale Americii, Taiwan, Turcia, Insulele Virgine Britanice, Australia, Canada, China, Hong Kong, India, Indonezia, Israel, Japonia, Republica Coreea, Malaysia, Mauritius, Filipine, Rusia, Singapore, Elveția, Regatul Unit, Argentina, Brazilia și Mexic.

PayPal se angajează să protejeze în mod adecvat Informațiile despre utilizatori, indiferent de locul în care se află Datele cu caracter personal și să asigure protecția adecvată a Datelor cu caracter personal ale utilizatorilor în cazul în care acestea sunt transferate în afara SEE.

Această listă de țări se poate modifica pe măsură ce activitatea companiei se extinde.

 

1. Structura și responsabilitățile guvernării în ceea ce privește confidențialitatea

Regulile corporatiste privind utilizatorii au forță juridică obligatorie în temeiul acordului „IGA” (Intra-Group Agreement – Acordul intragrup) încheiat între PayPal (Europe) S.à.r.l. & Cie, S.C.A. („Membrul principal al Grupului”) și alte entități din Grupul PayPal.  IGA impune Membrilor Grupului să respecte aceste Reguli corporatiste privind utilizatorii. Membrii Grupului impun Angajaților lor să respecte aceste Reguli corporatiste privind utilizatorii atunci când tratează Datele cu caracter personal ale utilizatorilor.

Directorii entităților și conducerea superioară a Grupului PayPal răspund pentru asigurarea respectării acestor Reguli corporatiste privind utilizatorii, inclusiv pentru garantarea faptului că Angajații au cunoștință de aceste Reguli corporatiste privind utilizatorii și le respectă.

Responsabilul cu conformitatea în materie de confidențialitate coordonează programul de confidențialitate PayPal. Acest responsabil ocupă o funcție de conducere în cadrul PayPal Holdings, Inc. și se subordonează direct directorului de conformitate sau directorului de la cel mai înalt nivel ierarhic care conduce funcția de conformitate în cadrul PayPal.  Responsabilul cu conformitatea în materie de confidențialitate supervizează Echipa PayPal globală de conformitate în materie de confidențialitate și interacționează cu alte organizații sau echipe interne, cum ar fi operațiunile, securitatea informației, conformitatea, riscul și auditul intern, pentru a contribui la asigurarea unor comunicări, practici și politici privind confidențialitatea consecvente în ansamblul Grupului PayPal la nivel global. Echipa PayPal globală de conformitate în materie de confidențialitate dezvoltă și coordonează punerea în aplicare a strategiei sale de conformitate în ansamblul Grupului PayPal și verifică conformitatea operațională.  Echipa PayPal globală de conformitate în materie de confidențialitate are reprezentanți direcți și indirecți în întregul Grup PayPal, care, printre altele, contribuie la asigurarea respectării Regulilor corporatiste privind utilizatorii și a legilor aplicabile privind protecția datelor.

Responsabilul juridic cu confidențialitatea supervizează Echipa PayPal globală juridică de confidențialitate și se subordonează direct consilierului juridic principal sau directorului de la cel mai înalt nivel ierarhic care conduce funcția juridică în cadrul PayPal.  Responsabilul juridic cu confidențialitatea definește obligațiile companiei în conformitate cu legile aplicabile privind protecția datelor și cu prezentele Reguli corporatiste privind utilizatorii. Responsabilul juridic cu confidențialitatea și Echipa PayPal globală juridică de confidențialitate colaborează strâns cu responsabilul cu conformitatea în materie de confidențialitate și cu Echipa PayPal globală de conformitate în materie de confidențialitate și interacționează cu alte organizații și echipe interne, cum ar fi cele juridice, operațiunile, securitatea informației și riscul, pentru a oferi consiliere juridică și pentru a interpreta implicațiile legale și de reglementare asupra aspectelor legate de confidențialitate în continuă evoluție, în ansamblul Grupului PayPal la nivel global.

În mod colectiv, Echipa PayPal globală de conformitate în materie de confidențialitate și Echipa PayPal globală juridică de confidențialitate formează Echipa PayPal globală de confidențialitate.

Responsabilul european cu protecția datelor din Luxemburg este numit de conducerea PayPal (Europe) S. à r.l. et Cie, S.C.A. și se subordonează acesteia. Responsabilul european cu protecția datelor acționează ca punct de contact principal pentru autoritățile de protecția datelor din SEE și are, printre altele, atribuțiile următoare: informează și consiliază Membrii Grupului și angajații acestora care prelucrează date cu caracter personal cu privire la obligațiile care le revin în temeiul legislației privind confidențialitatea, pentru a asigura conformitatea cu prezentele Reguli corporatiste privind utilizatorii; colaborează cu Echipa PayPal globală de confidențialitate în vederea monitorizării conformității cu legislația privind confidențialitatea și cu politicile referitoare la aceasta ale Membrilor Grupului și furnizează consiliere juridică Membrilor Grupului, atunci când i se solicită, cu privire la evaluările impactului asupra protecției datelor și la punerea lor în aplicare.

 

2. Principii de prelucrare a Datelor cu caracter personal ale utilizatorilor

Membrii Grupului respectă următoarele principii de Prelucrare a Datelor cu caracter personal ale utilizatorilor.

2.1 Limitarea scopului

Datele cu caracter personal ale utilizatorilor se Prelucrează doar în scopuri specifice, explicite și legitime.  În special, Datele cu caracter personal ale utilizatorilor pot fi Prelucrate:

- pentru a oferi și a facilita furnizarea de Servicii la cererea Utilizatorilor, inclusiv pentru a deschide un cont;

- pentru a îmbunătăți Serviciile și a dezvolta Servicii noi;

-pentru a soluționa dispute, a gestiona litigii, a depana probleme și a furniza serviciul de asistență clienți;

- pentru a efectua managementul riscurilor;

- pentru a procesa tranzacții și a încasa comisioanele datorate;

- pentru a verifica bonitatea și solvabilitatea;

-pentru a măsura interesul Utilizatorilor față de Servicii și feedbackul și opiniile acestora privind Serviciile și pentru a informa Utilizatorii despre oferte, Servicii și actualizări online și offline;

- pentru a personaliza experiențele Utilizatorilor;

- pentru a detecta erori, fraude și alte activități infracționale și a asigura protecția împotriva acestora;

- pentru a îndeplini obligațiile legale, contractuale sau de reglementare ale Grupului PayPal;

- pentru a pune în aplicare termenii și condițiile Serviciului și astfel cum s-a explicat în alte moduri Utilizatorilor la data colectării și prin politica de confidențialitate a Serviciului;

- pentru a proteja securitatea, integritatea și disponibilitatea Serviciilor și a rețelei Grupului PayPal și

- pentru a proteja drepturile și interesele legale ale Grupului PayPal, inclusiv, fără limitare, pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Prelucrarea Datelor cu caracter personal ale utilizatorilor în alte scopuri trebuie să fie aprobată în prealabil de Echipa PayPal globală juridică de confidențialitate.  Atunci când există îndoieli, Membrii Grupului se vor consulta cu Echipa PayPal globală juridică de confidențialitate.

Datele cu caracter personal ale utilizatorilor nu se Prelucrează suplimentar, într-un mod incompatibil cu scopurile enumerate mai sus, cu excepția cazului în care există un temei juridic al acestei Prelucrări, în conformitate cu legea aplicabilă Membrului Grupului din SEE care răspunde de colectarea și/sau transferul Datelor cu caracter personal ale utilizatorilor.   

2.2 Calitatea și proporționalitatea datelor

Datele cu caracter personal ale utilizatorilor trebuie:

  • să fie exacte și, dacă este necesar, să fie actualizate;
  • să fie adecvate, relevante și neexcesive în raport cu scopurile în care sunt Prelucrate și
  • să nu fie reținute mai mult decât este necesar pentru atingerea scopurilor în care au fost colectate inițial sau Prelucrate ulterior.  

Datele cu caracter personal ale utilizatorilor care nu mai sunt necesare pentru scopurile în care au fost Prelucrate sunt șterse, eliminate, distruse sau anonimizate, cu excepția cazului în care există un temei juridic pentru continuarea Prelucrării sau reținerii, în conformitate cu legea aplicabilă.

2.3 Temeiurile juridice ale Prelucrării

Membrii Grupului vor asigura că Datele cu caracter personal ale utilizatorilor sunt Prelucrate în mod echitabil și legal și, în special, pe baza a cel puțin unuia dintre următoarele temeiuri juridice:

  • consimțământul lipsit de ambiguitate al Utilizatorului;
  • Prelucrarea este necesară pentru executarea unui contract la care Utilizatorul este parte sau pentru a face demersuri la cererea Utilizatorului înainte de încheierea unui contract;
  • Prelucrarea este necesară în vederea îndeplinirii unei obligații legale care le revine Membrilor Grupului;
  • Prelucrarea este necesară pentru a proteja interesele vitale ale Utilizatorului;
  • prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care sunt învestiți Membrii Grupului sau un Terț căruia îi sunt divulgate datele sau
  • Prelucrarea este necesară în scopul intereselor legitime urmărite de Membrul Grupului sau de Terțul sau Terții cărora le sunt divulgate datele, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale Utilizatorului.

Ca practică generală, Membrii Grupului nu colectează Date cu caracter personal sensibile ale utilizatorilor.  Dacă o astfel de colectare este necesară sau dacă Utilizatorii furnizează în mod voluntar astfel de informații, Membrii Grupului vor asigura că Datele cu caracter personal sensibile ale utilizatorilor sunt Prelucrate numai pe baza a cel puțin unuia dintre următoarele temeiuri:

  • consimțământul expres al Utilizatorului;
  • Prelucrarea este necesară pentru protejarea intereselor vitale ale Utilizatorului sau ale unei alte persoane fizice, atunci când Utilizatorul se află în incapacitate fizică sau juridică de a-și da consimțământul;
  • Prelucrarea se referă la Date cu caracter personal ale utilizatorilor care sunt făcute publice în mod manifest de către Utilizator sau
  • Prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Dacă Prelucrarea presupune un proces decizional automatizat („Decizii automatizate”), Membrii Grupului vor lua măsuri adecvate pentru a proteja interesele legitime ale Utilizatorului, de exemplu asigurând că Utilizatorul are posibilitatea să solicite ca un reprezentant al serviciului de asistență clienți să verifice decizia în mod individual și să permită Utilizatorului să își prezinte punctul de vedere. Reprezentantul serviciului de asistență clienți va trimite cazul la nivelul superior al Responsabilului cu protecția datelor din UE în cazul în care Utilizatorul nu este de acord în continuare cu o Decizie automatizată. Dacă este necesar, va fi consultat Responsabilul juridic cu confidențialitatea și va fi informat Responsabilul cu conformitatea în materie de confidențialitate.  

2.4 Transparență

Atunci când colectează Date cu caracter personal ale utilizatorilor, Membrii Grupului vor comunica Utilizatorilor:

  • numele și adresa Membrului Grupului care răspunde pentru colectarea inițială și Prelucrare;
  • categoriile de Date cu caracter personal ale utilizatorilor în cauză;
  • scopurile preconizate ale Prelucrării;
  • categoriile de Persoane împuternicite de operator și de Terți care primesc Datele cu caracter personal ale utilizatorilor;
  • dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și posibilele consecințe ale nefurnizării răspunsurilor;
  • existența drepturilor Utilizatorilor și
  • în cazul procesului decizional automatizat, logica utilizată.

Membrii Grupului pot comunica aceste informații printr-o politică de confidențialitate a Serviciului, accesibilă printr-un link și/sau afișată într-un loc vizibil din fiecare site web sau aplicație a Serviciului și în timpul înregistrării.  Obligația de a informa Utilizatorii nu se aplică dacă Utilizatorii cunosc deja informațiile.  

În cazul în care comunicarea informațiilor se dovedește imposibilă sau ar necesita un efort disproporționat, Membrii Grupului pot omite să furnizeze informațiile.  Această posibilitate se referă numai la Datele cu caracter personal ale utilizatorilor care nu au fost obținute direct de la Utilizatori. 

În circumstanțe excepționale, comunicarea unor informații specifice poate fi amânată sau omisă, de exemplu, în contextul investigării unor comportamente ilicite sau în vederea respectării legilor aplicabile sau atunci când comunicarea informațiilor ar putea periclita integritatea investigației.

2.5 Confidențialitate și securitate

Membrii Grupului utilizează controale de securitate fizice, tehnice și organizatorice, proporționale cu volumul și cu caracterul sensibil al Datelor cu caracter personal ale utilizatorilor, pentru a preveni Prelucrarea neautorizată, inclusiv, fără limitare, accesul neautorizat la Datele cu caracter personal ale utilizatorilor, achiziția și utilizarea, pierderea, distrugerea sau deteriorarea neautorizată a acestora. Membrii Grupului utilizează criptarea, sisteme de firewall, controale ale accesului, standarde și alte proceduri pentru a proteja Informațiile despre utilizatori împotriva accesului neautorizat.  Accesul fizic și logic la fișiere electronice și pe suport de hârtie este restricționat suplimentar, în funcție de responsabilitățile postului și de necesitățile activității.

2.6 Opțiuni și drepturi ale Utilizatorilor

Utilizatorii pot să acceseze și să rectifice majoritatea Datelor cu caracter personal ale utilizatorilor care îi privesc și care sunt menținute de Membrii Grupului, utilizând instrumentului online adecvat sau procesul de autoservire care le este pus la dispoziție prin intermediul site-ului web sau al aplicației Serviciului.

În toate cazurile, Utilizatorii au dreptul să transmită o solicitare de acces în calitate de persoană vizată, pentru a vizualiza sau a primi o copie a Datelor cu caracter personal ale utilizatorilor care îi privesc și care nu sunt accesibile prin intermediul site-ului web sau al aplicației Serviciului. Se recomandă Utilizatorilor să contacteze serviciul de asistență clienți urmând indicațiile oferite prin intermediul site-ului web sau al aplicației Serviciului. Membrii Grupului vor da curs solicitărilor în termenele prevăzute de legea aplicabilă, cu excepția cazului în care legea aplicabilă prevede o excepție de la această obligație.  Este posibil să se solicite Utilizatorilor să își dovedească identitatea și să li se aplice un comision pentru serviciu, în măsura permisă de legea aplicabilă.

De asemenea, Utilizatorii pot solicita rectificarea datelor lor dacă acestea sunt incomplete sau inexacte. Membrii Grupului vor da curs acestei solicitări și vor informa Utilizatorii când datele lor au fost rectificate. Membrii Grupului vor notifica orice rectificare terților cărora le-au fost divulgate datele Utilizatorilor, cu excepția cazului în care acest lucru se dovedește imposibil sau necesită un efort disproporționat.

Din motive legitime și imperioase, Utilizatorii se pot opune Prelucrării Datelor cu caracter personal ale utilizatorilor care îi privesc. Membrii Grupului vor da curs acestor solicitări, cu excepția cazului în care păstrarea Datelor cu caracter personal ale utilizatorilor este impusă de legea aplicabilă sau este necesară pentru apărarea Grupului PayPal împotriva acțiunilor în justiție. Utilizatorii vor fi informați cu privire la rezultatul solicitării lor și la măsurile luate de Membrii Grupului.

De asemenea, Utilizatorii pot solicita închiderea conturilor lor, urmând instrucțiunile oferite prin intermediul site-ului web sau al aplicației Serviciului. Membrii Grupului vor elimina sau vor anonimiza informațiile unui Utilizator dintr-un Serviciu cât mai curând posibil, în funcție de activitatea contului.  În unele cazuri, Membrii Grupului pot să întârzie închiderea unui cont sau să păstreze Datele cu caracter personal ale utilizatorilor pentru a efectua o investigație sau pentru a respecta legea aplicabilă. Membrii Grupului pot să păstreze Informațiile despre utilizatori din conturi închise și pentru a detecta și preveni fraudele, pentru a încasa orice comisioane datorate, pentru a soluționa dispute, pentru a depana probleme, pentru a asista orice investigații, pentru a gestiona riscurile, pentru a pune în aplicare termenii și condițiile unui Serviciu, pentru a respecta cerințele legale sau de reglementare și pentru a întreprinde alte acțiuni permise de legea aplicabilă. Datele vor fi păstrate într-o formă care permite identificarea persoanelor vizate doar atât timp cât este necesar pentru scopurile în care au fost colectate datele sau în care sunt prelucrate în continuare și vor fi șterse după ce motivul pentru care au fost păstrate a fost soluționat sau rezolvat.

Membrii Grupului pot folosi Datele cu caracter personal ale Utilizatorilor pentru a adresa utilizatorilor comunicări bazate pe interesele lor, în conformitate cu legea aplicabilă și exceptând Utilizatorii care au ales să nu primească anumite comunicări.  Utilizatorii care nu doresc să primească comunicări de marketing de la Grupul PayPal vor avea la dispoziție mijloace ușor accesibile pentru a se opune publicității ulterioare, de exemplu, în setările conturilor lor sau urmând instrucțiunile trimise printr-un e-mail sau printr-un link privind comunicarea.

Utilizatorii își pot exercita drepturile de mai sus contactând serviciul de asistență clienți.  Dacă identitatea unui Utilizator este dificil de verificat, Membrii Grupului pot solicita Utilizatorului să prezinte dovezi suplimentare ale identității.

2.7 Divulgarea Datelor cu caracter personal

Membrii Grupului pot comunica Date cu caracter personal ale utilizatorilor, în cursul obișnuit al activității lor și în sfera lor de activitate, altor Membri ai Grupului din întreaga lume, în scopurile identificate în secțiunea 2.1.

În conformitate cu legile, tratatele sau convențiile internaționale aplicabile, Membrii Grupului pot comunica Date cu caracter personal autorităților de aplicare a legii și autorităților de reglementare, atunci când este necesar, într-o societate democratică, pentru a garanta securitatea națională, apărarea, siguranța publică și prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor și, în special, pentru a se conforma sancțiunilor prevăzute de actele normative internaționale și/sau naționale, cerințelor de raportare fiscală sau cerințelor privind combaterea spălării banilor.

Membrii Grupului nu vând sau închiriază Terților Date cu caracter personal ale utilizatorilor în scopuri de marketing proprii în lipsa consimțământului expres, lipsit de ambiguitate și în cunoștință de cauză al Utilizatorului. Membrii Grupului pot divulga Informații despre utilizatori altor Terți în conformitate cu instrucțiunile sau cu consimțământul Utilizatorului (dacă legea aplicabilă permite acest lucru).

Atunci când se transferă Date cu caracter personal ale utilizatorilor către Persoane împuternicite de operator, acestea din urmă se vor supune unei evaluări a riscurilor legate de confidențialitate, protecția datelor și securitatea informațiilor înainte de inițierea activității și înainte de efectuarea oricărui transfer de Date cu caracter personal ale utilizatorilor.  Domeniul de aplicare al evaluării va varia în funcție de sensibilitatea Datelor cu caracter personal ale utilizatorilor care sunt prelucrate. Persoanele împuternicite de operator, inclusiv un Membru al Grupului care intervine în calitate de Persoană împuternicită de operator, trebuie să încheie cu Membrii relevanți ai Grupului un acord privind luarea măsurilor adecvate de asigurare a confidențialității, protecției datelor și securității informațiilor. Un astfel de acord conține clauze care asigură utilizarea adecvată a Datelor cu caracter personal ale utilizatorilor și măsuri de securitate proporționale cu volumul, natura și caracterul sensibil al Datelor cu caracter personal ale utilizatorilor care sunt vizate.  Garanțiile contractuale trebuie să acopere cel puțin următoarele aspecte:

  • cerințe de a respecta legea și de a Prelucra Datele cu caracter personal ale utilizatorilor numai în conformitate cu termenii acordului și cu instrucțiunile Membrilor respectivi ai Grupului;
  • măsuri tehnice și organizatorice adecvate, adaptate la caracterul sensibil al Datelor cu caracter personal ale utilizatorilor și la Prelucrarea respectivă;
  • dreptul de a audita respectarea garanțiilor contractuale de către Persoana împuternicită de operator;
  • obligații de notificare a încălcării securității și
  • dispoziții privind remedierea în caz de nerespectare de către Persoana împuternicită de operator a obligațiilor sale legale sau contractuale.

Acordurile trebuie să conțină dispoziții care să asigure că nerespectarea termenilor acordului poate avea ca rezultat suspendarea sau rezilierea acordului, printre alte drepturi la acțiune identificate în acord.

Evaluarea confidențialității, a protecției datelor și a securității informațiilor nu este obligatorie pentru Persoanele împuternicite de operator care au fost deja supuse unei astfel de evaluări, cu excepția cazului în care activitățile de Prelucrare implică activități cu risc ridicat, ținând seama de natura și de volumul Datelor cu caracter personal și de tipul activităților de Prelucrare respective.

Fără a aduce atingere dispozițiilor de mai sus, în cazul în care Membrii Grupului transferă Date cu caracter personal ale utilizatorilor din SEE unor Terți sau unor Persoane împuternicite de operator care nu sunt Membri ai Grupului și care (i) se situează în țări care nu oferă niveluri adecvate de protecție (în sensul Directivei 95/46/CE), (ii) nu se supun regulilor corporatiste obligatorii aprobate sau (iii) nu au încheiat alte înțelegeri care ar satisface cerințele de adecvare ale UE, Membrul Grupului va asigura, în raport cu:

  • Terții, că aceștia vor pune în aplicare controale contractuale corespunzătoare, cum ar fi clauzele contractuale model aprobate de Comisia Europeană, asigurând niveluri de protecție care corespund prezentelor Reguli corporatiste privind utilizatorii sau, alternativ, va asigura că transferul (i) are loc cu consimțământul lipsit de ambiguitate al Utilizatorului, (ii) este necesar în vederea încheierii sau executării unui contract încheiat cu Utilizatorul, (iii) este necesar sau impus prin lege din motive importante de interes public sau (iv) este necesar pentru a proteja interesele vitale ale Utilizatorului;
  • Persoanele împuternicite de operator, că acestea vor pune în aplicare controale contractuale, cum ar fi clauzele contractuale model aprobate de Comisia Europeană, asigurând niveluri de protecție care corespund prezentelor Reguli corporatiste privind utilizatorii.
     

3. Mecanismul de tratare a reclamațiilor

Dacă Utilizatorii consideră că Datele cu caracter personal ale utilizatorilor care îi privesc au fost prelucrate cu încălcarea Regulilor corporatiste privind utilizatorii, pot raporta motivele de îngrijorare funcției serviciului de asistență clienți al Membrului relevant al Grupului, prin site-ul web al serviciului relevant, prin e-mail sau astfel cum se indică în termenii și condițiile aplicabile.  În general, Utilizatorii pot găsi răspunsuri la cele mai frecvente întrebări și motive de îngrijorare legate de confidențialitate tastând cuvântul „confidențialitate” în secțiunea de ajutor a serviciului relevant, care, de obicei, va direcționa Utilizatorul către o anumită pagină sau politică privind confidențialitatea.  Secțiunea „ajutor” a serviciului relevant este punctul de intrare unic pentru toate interogările Utilizatorilor referitoare la confidențialitatea lor sau la prelucrarea Informațiilor despre utilizatori care îi privesc și oferă Utilizatorilor posibilitatea să contacteze serviciul de asistență clienți. 

Dacă nu sunt siguri care este canalul care trebuie utilizat pentru a raporta motive de îngrijorare legate de confidențialitate, Utilizatorii pot contacta Responsabilul cu protecția datelor online.

Serviciul de asistență clienți investighează și încearcă să soluționeze motivele de îngrijorare semnalate de Utilizatori. Angajații care au sarcina să soluționeze motivele de îngrijorare legate de confidențialitate colaborează îndeaproape cu Echipa PayPal globală de confidențialitate și răspund Utilizatorilor în conformitate cu politicile, procedurile și îndrumările PayPal.  Dacă Utilizatorii consideră că motivele lor de îngrijorare nu au fost soluționate adecvat sau nu au primit răspuns, pot solicita ca motivele lor de îngrijorare să fie trimise către nivelul superior al Responsabilului european cu protecția datelor. Responsabilul juridic cu confidențialitatea va fi consultat și responsabilul cu conformitatea în materie de confidențialitate va fi informat. Căile de trimitere a cazurilor la nivelul superior se stabilesc pe baza naturii și a obiectului motivului de îngrijorare și vor fi transmise fără întârziere echipei corespunzătoare.  Utilizatorul va primi răspuns la reclamație într-un termen rezonabil și, în orice caz, în termen de trei (3) luni de la data interogării, cu excepția circumstanțelor neobișnuite sau a întrebărilor complexe, când Utilizatorul va fi informat că primirea răspunsului va dura mai mult de trei (3) luni.

Mecanismul de tratare a reclamațiilor nu prejudiciază dreptul Utilizatorilor de a depune reclamații la Autoritățile de protecție a datelor sau la instanțele competente.

 

4. Drepturile și răspunderea beneficiarului terț

Utilizatorii din SEE care suspectează o încălcare a Regulilor corporatiste privind utilizatorii în afara SEE au dreptul să solicite punerea în executare a Regulilor corporatiste privind utilizatorii, în calitate de beneficiari terți ai secțiunilor 2, 3, 4, 7 și 8 din Regulile corporatiste privind utilizatorii, în fața autorităților de protecția datelor competente, în fața instanțelor cu jurisdicție asupra Membrul principal al Grupului sau în fața instanțelor cu jurisdicție asupra Membrului Grupului care acționează în calitate de exportator de date.  Aceste drepturi de a solicita punerea în executare sunt suplimentare față de alte drepturi la acțiune sau drepturi subiective conferite de PayPal sau de legea aplicabilă.

Deși nu este obligatoriu, Utilizatorii din SEE sunt încurajați să raporteze motivele lor de îngrijorare direct Membrului Grupului înainte de a se adresa Autorităților de protecție a datelor sau instanțelor.  Astfel, Grupul PayPal are posibilitatea să furnizeze un răspuns eficient și prompt și se reduc la minimum întârzierile care pot fi cauzate de procedurile Autorităților de protecție a datelor sau ale instanțelor judecătorești.

PayPal Europe S.à r.l. et Cie, S.C.A., o societate cu răspundere limitată din Luxemburg, acceptă răspunderea pentru respectarea de către Membrul Grupului a Regulilor corporatiste privind utilizatorii și este de acord să supravegheze această respectare.  Membrul principal al Grupului se angajează (i) să ia măsurile necesare pentru a remedia o încălcare comisă de Membrii Grupului în afara SEE și (ii) să plătească Utilizatorilor din SEE despăgubirile acordate de Autoritatea principală de protecție a datelor sau de instanțele din Luxemburg pentru orice daune care rezultă direct din încălcarea Regulilor corporatiste privind utilizatorii de către Membrii Grupului din afara SEE, în cazul în care Membrul relevant al Grupului nu este în măsură sau nu este dispus să plătească despăgubirea sau să se supună hotărârii autorității sau a instanței. 

Membrul principal al Grupului confirmă și acceptă că îi revine sarcina probei în ceea ce privește presupusele încălcări ale Regulilor corporatiste privind utilizatorii.

Membrul principal al Grupului (sau orice alt Membru al Grupului) nu va răspunde dacă demonstrează în mod rezonabil, pe baza faptelor disponibile și luând în considerare observațiile Utilizatorului, că Membrul Grupului din afara SEE nu a încălcat Regulile corporatiste privind utilizatorii sau că acesta nu răspunde pentru orice daune invocate de Utilizator.

 

5. Instruire

Membrii Grupului vor asigura că toți Angajații care Prelucrează Date cu caracter personal ale utilizatorilor, precum și Angajații implicați în conceperea de instrumente care vor fi utilizate pentru a colecta sau a prelucra Date cu caracter personal ale utilizatorilor beneficiază de instruire de conștientizare în materie de confidențialitate și securitate a informațiilor, pentru a accentua și a informa Angajații cu privire la necesitatea de a proteja și securiza Datele cu caracter personal ale utilizatorilor, în conformitate cu prezentele Reguli corporatiste privind utilizatorii. 

Angajații au obligația să urmeze anual cursurile de instruire online privind conformitatea, concentrate asupra Codului de conduită și etică în afaceri, care conține o secțiune despre protecția datelor.  Noii angajați au obligația să urmeze cursul de instruire online privind conformitatea la începutul activității lor.

Pe lângă acest curs de instruire online privind conformitatea, Echipa PayPal globală de confidențialitate și Responsabilul european cu protecția datelor efectuează instruiri privind confidențialitatea și securitatea informațiilor, pentru a accentua și a informa Angajații cu privire la necesitatea de a proteja și securiza Datele cu caracter personal. Aceste instruiri se realizează anual sau mai frecvent, dacă este necesar.

Instruirea de care beneficiază Angajații va fi adaptată la nivelul lor de acces la Datele cu caracter personal ale utilizatorilor, iar Angajații cu niveluri de acces superioare vor beneficia de instruire suplimentară. 

Membrii Grupului vor informa Angajații că nerespectarea prezentelor Reguli corporatiste privind utilizatorii poate avea ca rezultat măsuri disciplinare și alte măsuri permise de legea aplicabilă.  Angajații au la dispoziție în permanență, prin rețeaua Intranet a societății, un exemplar al prezentelor Reguli corporatiste privind utilizatorii, precum și alte politici și proceduri relevante privind confidențialitatea și securitatea. Regulile corporatiste privind utilizatorii sunt, de asemenea, incluse în Codul de conduită și etică în afaceri, pe care toți Angajații au obligația să îl consulte și sunt de acord să îl respecte. 

 

6. Audituri și monitorizare

Pentru a contribui la asigurarea conformității cu prezentele Reguli corporatiste privind utilizatorii, Echipa PayPal globală de conformitate în materie de confidențialitate verifică în mod constant activitățile și practicile de prelucrare a Datelor cu caracter personal. Aceste activități sunt coordonate în strânsă colaborare cu Responsabilul european cu protecția datelor.

Echipa de Audit intern este un consilier independent și obiectiv al conducerii și al Consiliului de administrație, care, prin intermediul comitetului de audit, comunică constatările de audit Consiliului de administrație, responsabililor cu confidențialitatea și Responsabilului european cu protecția datelor. 

Echipa de Audit intern poate verifica periodic activitățile sau practicile identificate de Echipa globală de confidențialitate. Dacă este necesar, echipa de Audit intern, responsabilii cu confidențialitatea și Responsabilul european cu protecția datelor vor solicita să se execute un plan de acțiune pentru a asigura conformitatea cu BCR (Binding Corporate Rules – Regulile corporatiste obligatorii). În măsura în care grupurile interne nu rezolvă problemele în mod adecvat, Grupul poate numi auditori externi independenți care să furnizeze soluții suplimentare.

Responsabilul european cu protecția datelor, Echipa PayPal globală de conformitate în materie de confidențialitate sau echipele de audit intern și auditorii externi elaborează planuri și grafice de audit detaliate, pe baza riscurilor asociate Prelucrării.

Constatările auditului privind confidențialitatea vor fi puse la dispoziție DPA-urilor (Data Protection Authorities – Autoritățile de protecție a datelor) competente.  PayPal își rezervă dreptul să elimine porțiuni din rapoartele de audit pentru a asigura confidențialitatea informațiilor proprietare sau a altor informații confidențiale ale societății. 

 

7. Relația dintre Regulile corporatiste privind utilizatorii și legislația națională

Deoarece cerințele legale referitoare la protecția datelor variază în întreaga lume, Regulile corporatiste privind utilizatorii stabilesc un set coerent de cerințe, pentru a asigura Prelucrarea adecvată a Datelor cu caracter personal ale utilizatorilor. Regulile corporatiste privind utilizatorii constituie o cerință de referință care trebuie respectată de Membrii Grupului, însă aceștia vor respecta legile aplicabile care pot impune standarde mai stricte decât cele prevăzute în prezentele Reguli corporatiste.

Nicio dispoziție din prezentele Reguli corporatiste privind utilizatorii nu afectează obligațiile Membrilor Grupului prevăzute de dreptul bancar aplicabil, în special cele referitoare la secretul bancar.   Dacă există conflicte între legea aplicabilă și prezentele Reguli corporatiste privind utilizatorii, care ar putea să împiedice un Membru al Grupului să își îndeplinească obligațiile prevăzute în prezentele Reguli corporatiste privind utilizatorii și care au efecte semnificative asupra garanțiilor prevăzute în acestea, Membrul Grupului va notifica de îndată Responsabilul european cu protecția datelor, cu excepția cazurilor în care furnizarea acestor informații este interzisă de o autoritate de aplicare a legii sau de lege.  Responsabilul european cu protecția datelor, responsabilii cu confidențialitatea și Membrul principal al Grupului vor stabili măsurile adecvate și, în caz de îndoială, se vor consulta cu Autoritatea de protecție a datelor competentă.

 

8. Asistența reciprocă și cooperarea cu Autoritățile de protecție a datelor

Membrii Grupului vor coopera și se vor asista reciproc pentru a trata solicitările sau reclamațiile Utilizatorilor având ca obiect prezentele Reguli corporatiste privind utilizatorii.

Membrii Grupului vor răspunde cu diligență și în mod corespunzător la solicitările Autorităților de protecție a datelor referitoare la Regulile corporatiste privind utilizatorii.  Dacă un Angajat primește o astfel de solicitare de la o Autoritate de protecție a datelor, Angajatul trebuie să informeze imediat Responsabilul european cu protecția datelor.   

Membrii Grupului vor coopera în cadrul anchetelor Autorităților de protecție a datelor competente din SEE și vor accepta auditurile efectuate de acestea în ceea ce privește respectarea prezentelor Reguli corporatiste privind utilizatorii și vor respecta deciziile acestor Autorități, în conformitate cu legea aplicabilă și cu respectarea garanțiilor procedurale.   

 

9. Actualizări ale conținutului prezentelor Reguli corporatiste privind utilizatorii și ale listei Membrilor care se supun acestora

PayPal își rezervă dreptul de a modifica prezentele Reguli corporatiste privind utilizatorii după cum este necesar, de exemplu, pentru a respecta modificările legilor, regulilor sau reglementărilor aplicabile, ale practicilor, procedurilor și structurii organizatorice ale PayPal sau ale cerințelor impuse de autoritățile relevante de protecție a datelor.

Echipa PayPal globală juridică de confidențialitate (sub conducerea responsabilului juridic cu confidențialitatea) va propune orice modificări necesare ale prezentelor Reguli corporatiste privind utilizatorii. Echipa PayPal globală de conformitate în materie de confidențialitate (sub conducerea responsabilului cu conformitatea în materie de confidențialitate) și Responsabilul european cu protecția datelor trebuie să aprobe toate modificările Regulilor corporatiste privind utilizatorii și vor urmări toate modificările aduse Regulilor corporatiste privind utilizatorii, precum și orice modificare a listei Membrilor Grupului. Membrii Grupului vor raporta Autorităților relevante de protecție a datelor modificările aduse Regulilor corporatiste privind utilizatorii în vederea aprobării oficiale și conform cerințelor legii aplicabile.

Membrul principal al Grupului se va consulta cu Autoritatea principală de protecție a datelor cu privire la modificările semnificative ale Regulilor corporatiste privind utilizatorii, care ar afecta conformitatea cu cerințele de protecție a datelor sau funcționarea Regulilor corporatiste privind utilizatorii.  Membrul principal al Grupului va comunica Autorității principale de protecție a datelor modificările semnificative aduse Regulilor corporatiste privind utilizatorii și modificările listei Membrilor Grupului cel puțin o dată pe an.  Membrii Echipei PayPal globale de confidențialitate vor colabora pentru a asista Responsabilul european cu protecția datelor, care, în special, va coordona răspunsurile și va răspunde prompt, în numele PayPal, la observațiile, sugestiile sau obiecțiile formulate de Autoritatea de protecție a datelor cu privire la modificările aduse. Orice observații, sugestii sau obiecții formulate de alte Autorități de protecție a datelor vor fi comunicate Responsabilului european cu protecția datelor de către Autoritatea principală de protecție a datelor, care va acționa în numele celorlalte Autorități de protecție a datelor.  

Modificările aduse Regulilor corporatiste privind utilizatorii se vor aplica tuturor Membrilor Grupului la data punerii efective în aplicare.  Membrii Grupului vor comunica Utilizatorilor o înștiințare referitoare la modificările semnificative ale Regulilor corporatiste privind utilizatorii, în conformitate cu preferințele Utilizatorului de folosire a Serviciului, fie prin e-mail în masă, fie prin postare pe site-uri web, avertizând clar utilizatorii, în avans, că Regulile privind Utilizatorii s-au modificat. Membrii Grupului vor publica Regulile corporatiste privind utilizatorii revizuite pe site-urile web externe selectate sau în aplicațiile accesibile Utilizatorilor.  Revizuirile Regulilor corporatiste privind utilizatorii intră în vigoare în termen de două luni de la data la care Membrii Grupului notifică Utilizatorii și postează Regulile corporatiste privind utilizatorii revizuite.

 

10. Publicare

Regulile corporatiste privind utilizatorii vor fi publicate și un link va fi pus la dispoziție pe site-ul web sau în aplicațiile Serviciului.  Utilizatorii pot solicita un exemplar Responsabilului european cu protecția datelor (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg sau online.

 

11. Dispoziții finale

Data intrării în vigoare: 25 mai 2018

Contact: Utilizatorii pot transmite orice întrebări sau nelămuriri referitoare la prezentele Reguli corporatiste privind utilizatorii contactând:

Responsabilul european cu protecția datelor (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg

 

12. Definiții

Membrii Grupului vor interpreta Regulile corporatiste privind utilizatorii într-un mod care să se conformeze în cea mai mare măsură noțiunilor de bază ale principiilor Directivei UE 95/46/CE sau ale oricărei directive sau regulament care o înlocuiește. 

În scopurile prezentelor Reguli corporatiste privind utilizatorii, se aplică definițiile următoare:

Consiliu de administrație înseamnă consiliul de administrație al Membrului principal al Grupului.

Autorități de protecție a datelor înseamnă autoritățile publice responsabile cu monitorizarea și impunerea aplicării în teritoriile lor respective a legilor naționale adoptate de statele membre SEE în conformitate cu Directiva UE privind protecția datelor (95/46/CE).

SEE înseamnă Spațiul Economic European, care cuprinde, în prezent, statele membre ale UE, Islanda, Liechtenstein și Norvegia.

Angajat înseamnă angajați, lucrători, stagiari și alți angajați sau membri ai personalului, inclusiv lucrători potențiali sau temporari, forță de muncă alternativă sau contractanți ai unui Membru al Grupului, indiferent dacă sunt angajați sau contractați cu normă întreagă sau cu fracțiune de normă și indiferent de tipul de angajare sau contractare.

Responsabilul european cu protecția datelor (DPO) înseamnă angajatul care este numit de conducerea Membrului principal al Grupului și se subordonează acesteia, fiind, de asemenea, membru al Echipei PayPal globale juridice de confidențialitate. DPO european se află în Luxemburg.

Membru al Grupului înseamnă o entitate din Grupul PayPal care a încheiat un exemplar al IGA.

IGA înseamnă Acordul intragrup

Autoritatea principală de protecție a datelor înseamnă „Commission nationale pour la protection des données” (Comisia națională de protecție a datelor) („CNPD") din Luxemburg.

Membrul principal al Grupului înseamnă PayPal (Europe) S.à r.l. & Cie, S.C.A., o societate privată cu răspundere limitată din Luxemburg.

Echipa PayPal globală de confidențialitate înseamnă Echipa PayPal globală de conformitate în materie de confidențialitate și Echipa PayPal globală juridică de confidențialitate, coordonate.

Echipa PayPal globală de conformitate în materie de confidențialitate înseamnă membrii Organizației de conformitate care se ocupă în mod specific de conformitate și de funcționarea programului de confidențialitate PayPal. 

Echipa PayPal globală juridică de confidențialitate înseamnă membrii Departamentului juridic care se ocupă în mod specific de confidențialitate și de protecția datelor.

Grupul PayPal înseamnă PayPal Holdings, Inc. („Paypal”) și orice entitate Controlată direct sau indirect de PayPal, care prelucrează Informații despre utilizatori, Control însemnând deținerea a peste cincizeci de procente (50%) din drepturile de vot în alegerea administratorilor companiei sau peste cincizeci de procente (50%) din drepturile de proprietate asupra companiei.

Date cu caracter personal înseamnă orice informații privind o persoană fizică identificată sau identificabilă; o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai mulți factori specifici identității sale fizice, fiziologice, psihice, economice, culturale sau sociale.

Prelucrare înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu caracter personal, indiferent dacă acest lucru este realizat sau nu pe căi automate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, divulgarea prin transmitere, difuzare sau punere la dispoziție în alt mod, alinierea sau combinarea, blocarea, ștergerea sau distrugerea.

Persoană împuternicită de operator înseamnă orice persoană fizică sau juridică care Prelucrează Date cu caracter personal în numele unui Membru al Grupului.

Date cu caracter personal sensibile înseamnă Date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filosofice, apartenența la sindicate, informații privind infracțiunile sau informații privind sănătatea sau viața sexuală.

Serviciul înseamnă un site web, o aplicație sau alt produs sau serviciu oferit de un Grup PayPal pentru utilizare de către un Utilizator.

Terț înseamnă orice persoană fizică sau juridică, autoritate publică, agenție sau orice alt organism, exceptând Utilizatorul, Membrul Grupului, Persoana împuternicită de operator și persoanele fizice care, sub conducerea directă a Membrului Grupului sau a Persoanei împuternicite de către operator, cum ar fi Angajații, sunt autorizate să Prelucreze Date cu caracter personal.

Utilizator înseamnă clienți trecuți și existenți, clienți potențiali, investitori, parteneri de afaceri și comercianți.

Date cu caracter personal ale utilizatorilor înseamnă Date cu caracter personal care se referă la Utilizatori.