>> Visa alla avtal

Dataskyddstillägg gällande personuppgiftsansvarig för produkter med direkt kortbehandling

 

Version 1.0

Detta dataskyddstillägg gällande personuppgiftsansvarig (detta "tillägg") gäller alla produkter där en PayPal-koncernenhet ("PayPal") tillhandahåller Braintree och andra liknande kortbetalningstjänster och gatewaytjänster och/eller verktyg för underhåll mot bedrägeri till dig, handlaren ("handlaren" eller "du").  Tillägget gäller inte för PayPal-märkta plånbokstjänster, till exempel Express Checkout, eller för betalning med PayPal-knappen.  Detta tillägg ska ingå i det relevanta avtalet mellan handlaren och PayPal som reglerar PayPals tillhandahållande av betalningstjänster till dig ("avtalet"). Om det uppstår en konflikt mellan villkoren i detta tillägg och avtalet gäller villkoren i detta tillägg.  Termer med inledande versal (stor bokstav) som används men inte definieras i detta tillägg ska ha den betydelse som anges i avtalet.

Tillägget gäller från och med det som infaller senast av (i) det datum för ikraftträdande som anges i avtalet eller (ii) det datum för ikraftträdande som anges i det meddelande du har fått i samband med en ändring av avtalet eller detta tillägg.  Vi kan komma att ändra detta tillägg när som helst genom att publicera en reviderad version på vår webbplats. Den reviderade versionen träder i kraft vid den tidpunkt då vi publicerar den. Om vi ändrar tillägget på ett sätt som minskar dina rättigheter eller ökar ditt ansvar ger vi dig skriftligt besked i förväg inom den tidsram som krävs enligt avtalet genom att publicera meddelandet på sidan Policyuppdateringar på vår webbplats. Vi kan också meddela dig om ändringen via e-post eller på annat sätt.  Om du inte samtycker till en ändring av tillägget kan du när som helst avsluta din användning av avtalet.

Definitioner
Termerna nedan har följande innebörd när de används i detta tillägg:   

"Personuppgiftsansvarig" avser en enhet som fastställer ändamålen och medlen för behandlingen av personuppgifter, eller, om en sådan term (eller termer för liknande uppgifter) definieras i dataskyddslagstiftningen, ska "personuppgiftsansvarig" ha den innebörd som definieras i tillämplig dataskyddslagstiftning.

"Kunden" avser dina kunder som använder betalningstjänster utanför USA och som enligt detta tillägg är registrerade.

"Kunduppgifter" avser de personuppgifter som (i) kunden tillhandahåller handlaren och handlaren vidarebefordrar till PayPal genom att använda betalningstjänsterna och som (ii) PayPal kan samla in från kundens enhet och webbläsare genom att handlaren använder betalningstjänsterna. Så som termen "kunduppgifter" används i detta tillägg omfattar den inte personuppgifter om handlarens amerikanska kunder.

"Dataskyddslagar" avser alla tillämpliga dataskyddslagar, bestämmelser, direktiv, lagstadgade krav och vedertagen praxis som är tillämpliga för att tillhandahålla betalningstjänster inklusive eventuella ändringar därav, samt eventuella tillhörande regelverk eller instrument (t.ex. den allmänna dataskyddsförordningen (EU) 2016/679 (GDPR), den australiska sekretesslagen 1988 (Cth), lagen om skydd av personuppgifter och elektroniska dokument (Kanada), Personuppgiftsförordningen (Cap. 486) (Hongkong), den brasilianska allmänna dataskyddslagstiftningen, federal lag nr 13,709/2018 och lagen om skydd av personuppgifter 2012 (Singapore)).

PayPal-koncernenheten” avser PayPal, Inc. och alla företag som PayPal eller dess efterföljare direkt eller indirekt från tid till annan äger eller kontrollerar.  Sådana enheter ska, utan begränsning, inkludera PayPal (Europe) S.à r. l. et Cie, S.C.A., PayPal do Brasil Serviços de Pagamentos Ltda., PayPal Australia Pty Limited, PayPal Hong Kong Ktd., PayPal Canada Co. och PayPal Pte. Ltd.

"Personuppgifter" avser all information som rör en identifierad eller identifierbar fysisk person (en "registrerad"). En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom referens till en identifierare, till exempel ett namn, ett ID-nummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten för den fysiska personen.

 "Process" eller termer som gäller liknande funktioner när de används i detta tillägg, ska ha den innebörd som definieras i tillämpliga dataskyddslagar.

PayPal som personuppgiftsansvarig

PayPal ska uppfylla kraven i de dataskyddslagar som är tillämpliga på personuppgiftsansvariga när det gäller användningen av personuppgifter enligt detta schema (bland annat genom att vid alla tidpunkter implementera och upprätthålla alla lämpliga säkerhetsåtgärder i samband med behandlingen av personuppgifter) och ska inte medvetet göra något, eller tillåta att något görs, med personuppgifterna som kan leda till att handlaren bryter mot dataskyddslagstiftningen.  PayPal ska bara överföra personuppgifter till tredje parter, underhanterare eller medlemmar av PayPal-koncernenheten i syfte att tillhandahålla betalningstjänster och ska ha skriftliga avtal med sådana tredje parter och underhanterare. Dessa avtal ska innehålla villkor för skydd av kunduppgifter som inte är mindre skyddande än de villkor som anges i detta tillägg.

Behandling av personuppgifter i samband med betalningstjänster

Parterna bekräftar och samtycker till att handlaren och PayPal är oberoende personuppgiftsansvariga när det gäller alla personuppgifter som behandlas i samband med betalningstjänster.  Som sådan fastställer PayPal oberoende ändamålet och medlen för behandlingen av dessa personuppgifter och är inte en gemensam personuppgiftsansvarig med handlaren när det gäller dessa personuppgifter.

Parterna bekräftar och samtycker till att PayPal får använda, reproducera och behandla kunduppgifter och betalningstransaktionsuppgifter för följande begränsade ändamål:

  • Så som rimligen är nödvändigt för att tillhandahålla och förbättra betalningstjänsterna för handlaren och dess kunder, inklusive verktyg för bedrägeriskydd.
  • För att övervaka, förhindra och upptäcka bedrägliga betalningstransaktioner och förhindra att handlare, PayPal och tredje parter kommer till skada.
  • För att uppfylla juridiska eller lagstadgade skyldigheter som gäller för behandling och lagring av betalningsuppgifter som PayPal omfattas av, inklusive tillämpliga åtgärder mot penningtvätt och identitetsverifiering.
  • För att analysera, utveckla och förbättra PayPals produkter och tjänster.
  • För intern användning, bland annat dataanalys och mätvärden.
  • För att sammanställa och lämna ut kunduppgifter och betalningstransaktionsuppgifter i sammanlagd form där dina enskilda eller användares personuppgifter inte kan identifieras, inklusive för att beräkna dina medelvärden efter region eller bransch.
  • För att efterleva tillämpliga juridiska krav och bistå brottsbekämpande myndigheter genom att svara på förfrågningar om att utlämna information i enlighet med lagstiftning.
  • För alla andra ändamål som PayPal meddelar handlare om så länge de är i enlighet med dataskyddslagar.

Handlarens meddelande till kunder

Handlaren ska vidta kommersiellt rimliga ansträngningar för att (i) meddela kunder i sin sekretesspolicy att PayPal är en oberoende personuppgiftsansvarig som behandlar kunduppgifter enligt beskrivningen i detta tillägg och (ii) inkludera en länk till tillämplig sekretesspolicy för PayPal eller Braintree i handlarens sekretesspolicy.

Ömsesidig hjälp

Parterna är överens om att samarbeta med varandra i den omfattning som rimligen är nödvändig för att den andra parten på ett adekvat sätt ska kunna fullgöra sitt ansvar som en självständig personuppgiftsansvarig enligt dataskyddslagar.  Parterna är överens om att i den mån handlaren får en förfrågan om en registrerad, eller om en kund vill utöva någon av sina rättigheter enligt dataskyddslagar, ska handlaren svara på kundens förfrågan direkt. Handlaren ska också informera kunden om att denne kan utöva sina rättigheter som registrerad i anslutning till betalningstjänster genom PayPal enligt de anvisningar som beskrivs i sekretessmeddelandet, vilket är tillgängligt på www.braintreepayments.com för Braintree-kunder och www.paypal.com för PayPal-kunder.  Dessutom gäller följande: Om PayPal i samband med en säkerhetsincident i sitt enhälliga beslut fastställer att de måste meddela berörda kunder, och PayPal inte har den kontaktinformation om en berörd kund som krävs för sådan kommunikation, ska handlaren göra kommersiellt rimliga ansträngningar för att tillhandahålla PayPal med information om kunder som handlaren kan inneha. Det begränsade syftet är då att PayPal ska efterleva tillämpliga meddelandekrav gällande berörda kunder enligt dataskyddslagar.

Gränsöverskridande dataöverföringar

Parterna är överens om att PayPal vid behov kan komma att överföra personuppgifter som behandlas enligt detta avtal utanför det land där de samlats in för att tillhandahålla betalningstjänster. Om PayPal överför personuppgifter som skyddas av detta tillägg till en jurisdiktion till vilken den tillämpliga tillsynsmyndigheten för det land där uppgifterna samlades in inte har utfärdat ett beslut om adekvat skyddsnivå, kommer PayPal se till att lämpliga skyddsåtgärder har genomförts för överföringen av personuppgifter i enlighet med tillämpliga dataskyddslagar.  Exempelvis, och i syfte att efterleva GDPR, följer vi bindande verksamhetsregler som godkänts av behöriga tillsynsmyndigheter och andra förfaranden för överföring av kunders personuppgifter till andra enheter i  PayPal-koncernen.