>> Prikaži vse pravne pogodbe

Poslovna pravila za uporabnike storitev sistema PayPal

 

Cilj skupine PayPal je uporaba enotnih, ustreznih in globalnih standardov varstva podatkov in zasebnosti pri obravnavi vseh uporabniških osebnih podatkov v celotni skupini PayPal. Poslovna pravila za uporabnike storitev veljajo za vse osebne podatke uporabnikov, ki jih obdelujejo člani skupine po vsem svetu.

Uporabniki po vsem svetu posredujejo svoje osebne podatke članom skupine, da lahko uporabljajo storitve, ki jih nudi skupina.  Večina osebnih podatkov uporabnikov se zbira in shranjuje v Združenih državah.  Globalno poslovanje družbe PayPal zahteva, da se osebni podatki uporabnikov delijo z drugimi pravnimi osebami PayPal v Združenih državah Amerike in drugod po svetu, kjer je PayPal trenutno prisoten ali namerava biti prisoten v prihodnosti.

Trenutno imajo lahko dostop do osebnih podatkov uporabnikov zaposleni, ki se nahajajo v naslednjih državah EGP: Luksemburg, Belgija, Francija, Nemčija, Irska, Italija, Nizozemska, Poljska, Španija in Švedska.

Tudi zaposleni, ki se trenutno nahajajo v naslednjih državah, ki niso članice EU, imajo lahko dostop do osebnih podatkov uporabnikov: Združene države Amerike, Tajvan, Turčija, Deviški otoki (britanski), Avstralija, Kanada, Kitajska, Hongkong, Indija, Indonezija, Izrael, Japonska, Republika Koreja, Malezija, Mavricij, Filipini, Rusija, Singapur, Švica, Združeno kraljestvo, Argentina, Brazilija in Mehika.

PayPal se zavzema za ustrezno zaščito podatkov o uporabnikih ne glede na to, kje se osebni podatki nahajajo, in za zagotovitev ustrezne zaščite osebnih podatkov uporabnikov v primerih, ko so ti preneseni izven EGP.

Ta seznam držav se lahko spremeni zaradi širjenja poslovanja podjetja.

 

1. Struktura za varovanje zasebnosti in odgovornosti

Poslovna pravila za uporabnike storitev so pravno zavezujoča zaradi medvladnega sporazuma (»IGA«), sklenjenega med PayPal (Evropa) S. à r.l. in Cie, S.C.A. (»član vodilne skupine«) in drugimi pravnimi osebami skupine PayPal. IGA od članov skupine zahteva, da ravnajo v skladu s tem poslovnim pravilnikom za uporabnike. Člani skupine od svojih zaposlenih zahtevajo, da ravnajo v skladu s tem poslovnim pravilnikom, ko ravnajo z osebnimi podatki uporabnika.

Vodilni v podjetju in višje vodstvo skupine PayPal so odgovorni za uveljavljanje skladnosti s temi poslovnimi pravili za uporabnike storitev, vključno z zagotovitvijo, da se delavci zavedajo poslovnih pravil za uporabnike storitev in jih spoštujejo.

Vodja za skladnost s politiko zasebnosti skrbi za program varstva zasebnosti družbe PayPal. Je na vodilnem položaju družbe PayPal Holdings, Inc. in poroča neposredno glavnemu nadzorniku za skladnost ali najvišjemu vodstvenemu delavcu, ki je zadolžen za spremljanje skladnosti pri družbi PayPal.  Vodja za skladnost s politiko zasebnosti nadzoruje globalno pravno skupino za zasebnost PayPal in sodeluje z drugimi notranjimi organizacijami ali ekipami, kot so operacije, informacijska varnost, skladnost, revizijsko tveganje in notranja revizija, da bi zagotovil dosledno zasebnost pri komunikaciji, praksah in pravilnikih v skupini PayPal po vsem svetu. Globalna ekipa za skladnost razvija in usklajuje izvajanje svoje strategije skladnosti v skupini PayPal in preveri operativno skladnost. PayPal globalna ekipa za skladnost z zasebnostjo ima neposredne in posredne predstavnike v celotni skupini PayPal, ki med drugim prispevajo k zagotovitvi skladnosti z veljavnimi poslovnimi pravili za uporabnike storitev in veljavnimi zakoni o varstvu podatkov.

Vodja pravne službe za varstvo zasebnosti nadzoruje globalno pravno skupino za varstvo zasebnosti PayPal in poroča neposredno glavnemu pravniku ali najvišjemu vodstvenemu delavcu, ki vodi pravno funkcijo v družbi PayPal.  Vodja pravne službe za varstvo zasebnosti opredeljuje obveznosti družbe v skladu z veljavnimi zakoni o varstvu podatkov in poslovnimi pravili za uporabnike storitev. Vodja pravne službe za varstvo zasebnosti in globalna pravna skupina za varstvo zasebnosti PayPal tesno sodelujeta z vodilno vlogo pri spoštovanju zasebnosti in globalno politiko spoštovanja zasebnosti družbe PayPal ter se povežeta z drugimi notranjimi organizacijami in ekipami, kot so pravna služba, operacije, varnost informacij in tveganje za zagotavljanje pravnega svetovanja ter razlago pravnih in regulativnih posledic pri razvijajočih se zadevah v zvezi z zasebnostjo v skupini PayPal po vsem svetu.

PayPalova globalna skupina za skladnost s pravilnikom o zasebnosti in PayPalova globalna pravna skupina za varstvo zasebnosti sestavljata globalno skupino za varstvo zasebnosti.

Evropski pooblaščenec za varstvo podatkov, ki se nahaja v Luksemburgu, je imenovan in poroča upravi družbe PayPal (Europe) S. à r.l. et Cie, S.C.A. Evropski pooblaščenec za varstvo podatkov deluje kot glavni stik z organi za varstvo podatkov v EGP in ima med drugim naslednje dolžnosti: obveščati in svetovati članom skupine in njihovim zaposlenim, ki obdelujejo osebne podatke, glede njihovih obveznosti v skladu z zakonodajo o zasebnosti, z namenom, da se zagotovi skladnost s poslovnimi pravili za uporabnike storitev; sodelovati z globalno skupino za varstvo zasebnosti PayPal za spremljanje skladnosti z zakonodajo o zasebnosti in povezanimi politikami članov skupine ter članom skupine zagotoviti pravno svetovanje, kadar je to zahtevano v zvezi z ocenami učinka varstva podatkov in njihovim izvajanjem.

 

2. Načela za obdelavo osebnih podatkov uprabnikov

Člani skupine upoštevajo naslednja načela obdelave osebnih podatkov uporabnikov.

2.1 Omejitev namena

Osebni podatki o uporabnikih se obdelujejo samo za specifične, izrecne in zakonite namene.  Zlasti se lahko osebni podatki uporabnikov obdelujejo z namenom:

-  ponujanja in lažjega zagotavljanja storitev na zahtevo uporabnikov, vključno z odprtjem računa,

-  izboljšanja storitev in razvijanja novih storitev,

- reševanja sporov, obvladovanja pravdnih sprov, odpravljanja težav in zagotavljanja storitev za stranke,

-  obvladovanja tveganj,

-  obdelave transakcij in pobiranja dolgovanih provizij,

-  preverjanja kreditne sposobnosti in plačilne sposobnosti,

- merjenja interesa uporabnikov, povratnih informacij in mnenj o storitvah ter obveščanja uporabnikov o spletnih in nespletnih ponudbah, storitvah in posodobitvah,

-  prilagajanja uporabniških izkušenj,

-  odkrivanja in zaščite pred napakami, goljufijami in drugimi kaznivimi dejanji,

-  izpolnjevanja pravnih, pogodbenih ali regulativnih obveznosti skupine PayPal,

- uveljavljenja pogojev poslovanja storitve in kot je drugače opisano uporabnikom v času izterjave in v pravilniku o zasebnosti storitve,

- zaščite varnosti, celovitosti in razpoložljivosti storitev in mreže skupine PayPal,

- zaščitite zakonskih pravic in interesov skupine PayPal, ki brez omejevanja vključujejo ustvarjanje, izvajanje ali obrambo pravnih zahtevkov.

Obdelava osebnih podatkov uporabnikov za druge namene je predmet predhodne odobritve globalne pravne skupine za varstvo zasebnosti PayPal.  V primeru dvoma se bodo člani skupine posvetovali z Globalno pravno skupino za varstvo zasebnosti PayPal.

Osebni podatki uporabnikov se ne smejo dalje obdelovati na način, ki ni združljiv z zgoraj navedenimi nameni, razen če obstaja pravna podlaga za to v skladu z veljavnim pravom člana skupine v EGP, ki je odgovoren za zbiranje in/ali prenos osebnih podatkov uporabnika.  

2.2 Kakovost podatkov in sorazmernost

Osebni podatki uporabnika naj bodo:

  • točni in po potrebi posodobljeni,
  • ustrezni, primerni in ne pretirani glede na namene, za katere se obdelujejo in
  • hranjeni toliko časa, kot je potrebno za dosego namenov, za katere so bili prvotno zbrani ali nadalje obdelani. 

Osebni podatki uporabnikov, ki niso več potrebni za namene, za katere so bili obdelani, se izbrišejo, pobrišejo, uničijo ali anonimizirajo, razen če obstaja pravna podlaga za njihovo nadaljnjo obdelavo ali hrambo, ki jo zahteva veljavna zakonodaja.

2.3 Pravna podlaga za obdelavo

Člani skupine zagotavljajo, da se osebni podatki uporabnikov obdelujejo pošteno in zakonito in zlasti na podlagi vsaj ene od naslednjih pravnih podlag:

  • nedvoumna privolitev uporabnika,
  • obdelava, ki je potrebna za izvedbo pogodbe, katere pogodbenica je uporabnik, ali jer je pred sklenitvijo pogodbe treba sprejeti določene ukrepe na zahtevo uporabnika,
  • obdelava, potrebna za skladnost s pravno obveznostjo, ki velja za člane skupine,
  • obdelava, potrebna za zaščito pomembnih interesov uporabnika,
  • obdelava, potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvrševanju javne oblasti, dodeljene članom skupine ali tretji osebi, ki so ji podatki posredovani, ali
  • obdelava, potrebna za namene zakonitih interesov, ki jih zasleduje član skupine ali tretja oseba ali stranke, ki so jim podatki posredovani, razen če nad temi interesi prevladajo interesi za ohranjanje temeljnih pravic in svoboščin uporabnika.

Člani skupine praviloma ne zbirajo občutljivih osebnih podatkov uporabnikov. Če je takšno zbiranje zahtevano ali če uporabniki prostovoljno posredujejo takšne informacije, člani skupine zagotovijo, da se občutljivi osebni podatki o uporabnikih obdelujejo samo na podlagi vsaj ene od naslednjih podlag:

  • izrecna privolitev uporabnika,
  • obdelava, ki je potrebna za zaščito pomembnih interesov uporabnika ali druge osebe, če je uporabnik fizično ali pravno nezmožen podati privolitev,
  • obdelava, ki se nanaša na osebne podatke uporabnika, ki jih je uporabnik očitno objavil, ali
  • obdelava, potrebna za pripravo, izvajanje ali obrambo pravnih zahtevkov.

Če obdelava vključuje samodejno sprejemanje odločitev (»avtomatizirane odločitve«), člani skupine zagotovijo ustrezne ukrepe za zaščito zakonitih interesov uporabnika, kot je zagotovitev možnosti, da predstavnik službe za pomoč strankam uporabniku individualno pregleda odločitev in mu omogoči, da predstavi svoje stališče. Predstavnik službe za podporo strankam posreduje zadevo pooblaščencu za varstvo podatkov, če se uporabnik še naprej ne strinja z avtomatizirano odločitvijo. Če je primerno, bo možno posvetovanje z vodjo pravne službe za varstvo zasebnosti in vodjo za skladnost s politiko zasebnosti glede ocene. 

2.4 Preglednost

Pri zbiranju osebnih podatkov uporabnikov člani skupine obvestijo uporabnike o:

  • imenu in naslovu člana skupine, odgovornega za prvotno zbiranje podatkov in njihovo obdelavo,
  • kategorijah zadevnih osebnih podatkov uporabnika,
  • predvidenih namenih obdelave,
  • kategorijah obdelovalcev prejemnikov in tretjih oseb osebnih podatkov uporabnikov,
  • tem, ali so odgovori na vprašanja obvezni ali prostovoljni, kakor tudi o morebitnih posledicah izostanka odgovora,
  • obstoju pravic uporabnika in
  • v primeru avtomatskega odločanja, o logiki, ki je vplivala na odločitev.

Člani skupine lahko informacije zagotovijo v pravilniku o zasebnosti storitev, ki je dostopen prek povezave in/ali prikazan na vidnem mestu vsakega spletnega mesta storitve ali aplikacije in med registracijo.  Obveznost obveščanja uporabnikov se ne uporablja, če uporabniki že poznajo informacije.  

Če se zagotavljanje informacij izkaže za nemogoče ali bi vključevalo nesorazmerne napore, se lahko člani skupine vzdržijo posredovanja informacij.  To velja samo za osebne podatke uporabnika, ki niso bili neposredno pridobljeni od uporabnika. 

V izjemnih okoliščinah se lahko zagotavljanje posebnih informacij odloži ali opusti, na primer v okviru preiskav o nepravilnem ravnanju ali ravnanju v skladu z veljavnimi zakoni, ali tam, kjer lahko zagotavljanje informacij ogrozi celovitost preiskave.

2.5 Zaupnost in varnost

Člani skupine uporabljajo fizične, tehnične in organizacijske varnostne nadzore, sorazmerne s količino in občutljivostjo osebnih podatkov uporabnika, da preprečijo nepooblaščeno obdelavo, ki brez omejevanja vključuje nepooblaščen dostop, pridobitev in uporabo, izgubo, uničenje ali škodo osebnih podatkov uporabnika. Člani skupine uporabljajo šifriranje, požarne zidove, dostop do kontrolnikov, standardov in drugih postopkov za zaščito informacij uporabnikov pred nepooblaščenim dostopom. Fizični in logični dostop do elektronskih datotek in kopij datotek v fizični obliki je nadalje omejen glede na delovne pristojnosti in poslovne potrebe.

2.6 Izbire uporabnikov in pravice

Uporabniki lahko dostopajo in popravijo večino osebnih uporabniških podatkov, ki se nanašajo nanje, ki jih člani skupine hranijo z uporabo ustreznega spletnega orodja ali samopostrežnega postopka, ki jim je na voljo prek spletne strani ali aplikacije.

V vseh primerih imajo uporabniki pravico do predložitve zahteve za dostop posameznika, na katerega se nanašajo osebni podatki, da si ogledajo ali prejmejo kopijo svojih osebnih podatkov uporabnika, ki niso dostopni prek spletnega mesta ali aplikacije storitve. Uporabniki naj se obrnejo na službo za podporo strankam s pomočjo navodil, ki so na voljo na spletnem mestu ali v aplikaciji storitve. Člani skupine bodo ravnali v skladu z zahtevami v časovnih okvirih, ki jih predpisuje veljavna zakonodaja, razen če je po veljavni zakonodaji določena izjema glede takšne obveznosti. Od uporabnikov se lahko zahteva predložitev dokazila o identiteti, morda pa bodo morali poravnati tudi vzdrževalnino, kot dovoljuje veljavna zakonodaja.

Uporabniki lahko zahtevajo tudi popravek svojih podatkov, če so nepopolni ali netočni. Člani skupine bodo ravnali v skladu s takšno zahtevo in bodo uporabnike obvestili, ko bodo njihovi podatki popravljeni. Člani skupine bodo obvestili tretje osebe, ki so jim bili podatki o uporabnikih razkriti, o vseh popravkih, razen če se to izkaže za nemogoče ali vključuje nesorazmerne napore.

Uporabniki lahko nasprotujejo obdelavi svojih osebnih podatkov na podlagi prepričljivih in upravičenih razlogov. Člani skupine bodo take zahtevke upoštevali, razen če je ohranitev osebnih podatkov uporabnika potrebna v skladu z veljavno zakonodajo ali če skupini PayPal omogoča obrambo pred pravnimi zahtevki. Uporabniki bodo o rezultatih obravnave zahtevka in ukrepih, ki jih bodo sprejeli člani skupin, obveščeni.

Poleg tega lahko uporabniki zahtevajo zaprtje svojih računov z upoštevanjem navodil, ki so na voljo prek spletnega mesta ali aplikacije storitve. Člani skupine bodo odstranili ali onemogočili informacije o uporabniku iz storitve takoj, ko bo to razumno mogoče, glede na dejavnost računa.  V nekaterih primerih lahko člani skupine odložijo zaprtje računa ali hranijo osebne podatke uporabnika za izvedbo preiskave ali če to zahteva veljavna zakonodaja. Člani skupine lahko prav tako hranijo informacije o uporabnikih iz zaprtih računov za odkrivanje in preprečevanje goljufij, izterjavo kakršnih koli dolgovanih pristojbin, reševanje sporov, odpravljanje težav, pomoč pri preiskavah, obvladovanje tveganja, uveljavljanje pogojev poslovanja, v skladu s pravnimi ali regulativnimi zahtevami in z drugimi ukrepi, ki jih sicer dovoljuje veljavna zakonodaja. Podatki se hranijo v obliki, ki omogoča identifikacijo posameznikov, na katere se nanašajo osebni podatki, ne dlje, kot je potrebno za namene, za katere so bili podatki zbrani ali za katere se nadalje obdelujejo, in bodo izbrisani, ko je bil vzrok za hrambo naslovljen ali odpravljen.

Z izjemo tistih uporabnikov, ki so navedli, da ne želijo prejemati določenih sporočil, lahko člani skupine uporabljajo osebne podatke uporabnika za usmerjanje sporočil uporabnikom, ki temeljijo na njihovih interesih v skladu z veljavno zakonodajo.  Uporabnikom, ki ne želijo prejemati tržnih sporočil iz skupine PayPal, bodo na voljo enostavno dostopni načini za nasprotovanje nadaljnjemu oglaševanju, na primer v nastavitvah računa ali z upoštevanjem navodil, navedenih v e-poštnem sporočilu ali povezavi iz sporočila.

Uporabniki lahko uveljavljajo zgornje pravice tako, da se obrnejo na službo za podporo strankam.  Če je uporabnikovo identiteto težko preveriti, lahko člani skupine zahtevajo, da uporabnik predloži dodatno dokazilo o identifikaciji.

2.7 Razkritje osebnih podatkov

Člani skupine lahko delijo osebne podatke uporabnikov v normalnem poteku in obsegu poslovanja z drugimi člani skupine po vsem svetu za namene, opredeljene v oddelku 2.1.

V skladu z veljavno zakonodajo, pogodbami ali veljavnimi mednarodnimi konvencijami lahko člani skupine delijo osebne podatke z organi pregona in regulativnimi organi, če je to potrebno v demokratični družbi, za zaščito nacionalne varnosti, obrambe, javne varnosti, preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj in zlasti za upoštevanje sankcij, kot je določeno v mednarodnih in/ali nacionalnih instrumentih, zahtevah za davčno poročanje ali poročanje o preprečevanju pranja denarja.

Člani skupine ne prodajajo ali najemajo osebnih podatkov uporabnikov tretjim osebam za njihove lastne tržne namene brez izrecne nedvoumne poučene privolitve uporabnika. Člani skupine lahko informacije o uporabniku razkrijejo drugim tretjim osebam v skladu z uporabnikovimi navodili ali privolitvijo (kjer je to dovoljeno v skladu z veljavno zakonodajo).

Pri prenosu osebnih podatkov uporabnikov obdelovalcem bodo obdelovalci podvrženi oceni tveganja glede zasebnosti, varstva podatkov in informacij pred začetkom dela in pred vsakim prenosom osebnih podatkov uporabnika.  Obseg ocenjevanja se razlikuje glede na občutljivost obdelanih osebnih podatkov uporabnika. Obdelovalci, vključno s članom skupine, ki deluje kot obdelovalec, morajo skleniti sporazum z ustreznimi člani skupine, da bodo zagotovili ustrezne ukrepe za zasebnost, varstvo podatkov in varnost informacij. Tak sporazum vključuje klavzule, ki zagotavljajo ustrezno uporabo osebnih podatkov uporabnika in varnostnih ukrepov sorazmerno z zneskom, naravo in občutljivostjo vpletenih osebnih podatkov uporabnika.  Pogodbeni zaščitni ukrepi morajo vključevati najmanj naslednje zadeve:

  • zahteve za uskladitev z zakonodajo in obdelavo osebnih podatkov uporabnika samo v skladu s pogoji pogodbe in samo z navodili zadevnih članov skupine;
  • ustrezne tehnične in organizacijske ukrepe, prilagojene občutljivosti zadevnih osebnih podatkov zadevnega uporabnika in obdelave;
  • pravico do revizije skladnosti obdelovalcev s pogodbenimi jamstvi;
  • obveznosti obveščanja o kršitvah varnosti; in
  • določbe o izboljšavah, če obdelovalec ne izpolnjuje svojih zakonskih ali pogodbenih obveznosti.

Sporazumi morajo vsebovati določbe, ki zagotavljajo, da lahko neizpolnjevanje pogojev pogodbe poleg drugih pravnih sredstev, opredeljenih v pogodbi, povzroči prekinitev ali prenehanje pogodbe.

Ocena zasebnosti, varstva podatkov in varnosti informacij ni obvezna za obdelovalce, za katere je že bila opravljena taka ocena, razen če dejavnosti obdelave vključujejo dejavnosti z visokim tveganjem, ob upoštevanju narave in količine osebnih podatkov ter vrste zadevnih dejavnosti obdelave.

Ne glede na zgoraj navedeno velja: kadar člani skupine prenesejo osebne podatke uporabnika v EGP tretjim osebam ali obdelovalcem, ki niso člani skupine in: (i) ki se nahajajo v državah, ki ne zagotavljajo ustreznih ravni zaščite (v smislu Direktive 95/46/ES), (ii) ki niso zajeti v odobrenih zavezujočih poslovnih pravilih ali (iii) ki nimajo drugih dogovorov, ki bi izpolnjevali zahteve EU glede ustreznosti, član skupine zagotovi v povezavi z:

  • tretjimi osebami, da te uvedejo ustrezne pogodbene ukrepe, kot so vzorčne pogodbene klavzule, ki jih je odobrila Evropska komisija, da zagotovijo ravni zaščite, sorazmerne s temi poslovnimi pravili za uporabnike, ali pa alternativno zagotovijo, da prenos (i) poteka z nedvoumno privolitvijo uporabnika, (ii) je potreben za sklenitev ali izpolnitev pogodbe, sklenjene z uporabnikom, (iii) je potreben ali se pravno zahteva zaradi pomembnih razlogov v splošnem interesu ali (iv) je potreben za zaščito življenjskih interesov uporabnika;
  • obdelovalci, da izvajajo pogodbene ukrepe, kot so vzorčne pogodbene klavzule, ki jih je odobrila Evropska komisija, da zagotovijo ravni zaščite, ki je sorazmerna s temi poslovnimi pravili za uporabnike.
     

3. Načini pritožb

Če uporabniki menijo, da so bili njihovi osebni podatki o uporabniku obdelani v nasprotju s poslovnimi pravili za uporabnike, lahko svoje pomisleke sporočijo službi za podporo strankam ustreznega člana skupine prek spletnega mesta ustrezne storitve, e-pošte ali kot je drugače navedeno v veljavnih pogojih poslovanja.  Uporabniki lahko na splošno poiščejo odgovore na najpogostejša vprašanja o zasebnosti in pomisleke, tako da vnesejo besedo »zasebnost« v razdelek za pomoč ustrezne storitve, ki bo običajno usmeril uporabnika na stran ali politiko, ki obravnava zasebnost.  Razdelek za pomoč ustrezne storitve je edinstvena vstopna točka za vsa vprašanja uporabnikov, ki se nanašajo na njihovo zasebnost ali obdelavo njihovih informacij o uporabniku, in zagotavlja uporabniku možnost, da se obrne na službo za podporo strankam. 

V primeru dvoma o tem, kateri kanal uporabiti za poročanje o pomislekih glede zasebnosti, se lahko uporabniki prek spleta obrnejo na Evropskega varuha osebnih podatkov.

Služba za podporo strankam preiskuje in poskuša odpraviti pomisleke, ki jih postavljajo uporabniki. Zaposleni, odgovorni za obravnavo pomislekov glede zasebnosti, tesno sodelujejo s PayPalovo globalno ekipo za področje zasebnosti in odgovarjajo na vprašanja uporabnikov v skladu s PayPalovimi pravilniki, postopki in smernicami.  Če uporabniki menijo, da njihovi pomisleki niso bili ustrezno obravnavani, ali če niso dobili odgovora, lahko zahtevajo, da se njihov pomislek posreduje evropski pooblaščeni osebi za varstvo podatkov. Osebo, odgovorno za zakonsko podlago glede zasebnosti, se bo informiralo in z njo posvetovalo. Poti stopnjevanja se določijo glede na vrsto in obseg pomisleka in se posredujejo ustrezni ekipi brez odlašanja.  Odgovor na pritožbo se uporabniku zagotovi v razumnem časovnem obdobju, v vsakem primeru v treh (3) mesecih po datumu posredovanja pomisleka, razen v nenavadnih okoliščinah ali pri zapletenih vprašanjih; v tem primeru bo uporabnik obveščen, da bo moral na odgovor počakati dlje kot tri (3) mesece.

Mehanizem za vložitev pritožb ne posega v pravico uporabnikov, da vložijo pritožbe pred pristojnimi organi za varstvo podatkov ali sodišči.

 

4. Pravice in odgovornosti tretjih upravičencev

Uporabniki iz EGP, ki sumijo kršitev poslovnih pravil za uporabnike zunaj EGP, lahko zahtevajo uveljavitev poslovnih pravil za uporabnike v vlogi tretjega upravičenca za oddelke 2, 3, 4, 7 in 8 poslovnih pravil za uporabnike pred pristojnimi organi za varstvo podatkov, pred sodišči vodilnega člana skupine ali pred sodišči člana skupine, ki deluje kot izvoznik podatkov.  Te pravice za uveljavljanje obstajajo poleg drugih pravnih sredstev ali pravic, ki jih zagotavlja PayPal ali so na voljo v skladu z veljavno zakonodajo.

Čeprav ni zahtevano, se uporabniki v EGP spodbujajo, da svoj pomislek najprej posredujejo članu skupine, ne pa organu za varstvo podatkov ali sodišču.  To omogoča učinkovit in takojšen odziv skupine PayPal in zmanjša morebitne zakasnitve organov za varstvo podatkov ali sodnih postopkov.

PayPal Europe S.à.r.l. et CIE, S.C.A., zasebna luksemburška družba z omejeno odgovornostjo, sprejema odgovornost in se strinja, da bo nadzorovala upoštevanje poslovnih pravil za uporabnike.  Vodilni član skupine se zavezuje (i), da bo izvedel potrebne ukrepe za odpravo kršitve, ki jo storijo člani skupine zunaj EGP; in (ii) da bo plačal odškodnino uporabnikom v EGP, ki jo določi vodilni organ za varstvo podatkov ali luksemburška sodišča, za vsakršno škodo, ki je neposredno posledica kršitve poslovnih pravil za uporabnike s strani članov skupine zunaj EGP, če zadevni član skupine ne bo mogel ali hotel plačati odškodnine ali ravnal v skladu z naročilom. 

Vodilni član skupine priznava in sprejema, da nosi breme dokazovanja v zvezi z domnevno kršitvijo poslovnih pravil za uporabnike.

Vodilna skupina (ali kateri koli drug član skupine) ni odgovorna, če razumno dokaže, na podlagi razpoložljivih dejstev in ob upoštevanju pripomb uporabnika, da član skupine, ki ni član EGP, ni kršil poslovnih pravil za uporabnike ali ni odgovoren za kakršno koli škodo, ki jo navaja uporabnik.

 

5. Usposabljanje

Člani skupine bodo zagotovili, da bodo vsi zaposleni, ki obdelujejo osebne podatke uporabnikov, in tisti zaposleni, ki sodelujejo pri zasnovi orodij, ki se bodo uporabljala za zbiranje ali obdelavo osebnih podatkov uporabnikov, prejeli usposabljanje o ozaveščenosti o zasebnosti in varnosti informacij zaradi poudarjanja in obveščanja zaposlenih o nujnosti varovanja in varnosti osebnih podatkov uporabnikov v skladu s temi poslovnimi pravili za uporabnike. 

Zaposleni morajo dokončati spletno usposabljanje o skladnosti, ki se osredotoča na kodeks poslovnega ravnanja in etiko, ki vključuje poglavje o varstvu podatkov, na letni osnovi.  Novi zaposleni so dolžni dokončati spletno usposabljanje o skladnosti ob začetku zaposlitve.

Poleg tega spletnega usposabljanja o skladnosti PayPalova globalna ekipa za področje zasebnosti in evropska pooblaščena oseba za varstvo podatkov izvajata usposabljanja za ozaveščanje o zasebnosti in varnosti informacij za poudarjanje in obveščanje zaposlenih o nujnosti varovanja in varnosti osebnih podatkov. Takšna usposabljanja se izvajajo letno ali pogosteje, če to zahtevajo okoliščine.

Zaposleni se bodo udeležili usposabljanja, ki bo prilagojeno njihovi ravni dostopa do osebnih podatkov uporabnikov, zaposlenim z višjo ravnjo dostopa pa se bo zagotovilo dodatno usposabljanje. 

Člani skupine obvestijo zaposlene, da lahko neizpolnjevanje teh poslovnih pravil za uporabnike povzroči disciplinske in druge ukrepe, ki jih dovoljuje veljavna zakonodaja.  Kopija teh poslovnih pravil za uporabnike in drugih relevantnih pravilnikov in postopkov, povezanih z zasebnostjo in varnostjo, je zaposlenim na voljo kadar koli prek intraneta podjetja. Poslovna pravila za uporabnike so vključena tudi v kodeks poslovnega ravnanja in etike, ki ga morajo vsi zaposleni pregledati in spoštovati. 

 

6. Revizije in spremljanje

Da bi zagotovili skladnost s temi poslovnimi pravili za uporabnike, PayPalova globalna ekipa za področje skladnosti na področju zasebnosti redno presoja dejavnosti in prakse obdelave osebnih podatkov. Te dejavnosti se usklajujejo v tesnem posvetovanju z evropsko pooblaščeno osebo za varstvo podatkov.

Notranja revizijska ekipa je neodvisna in objektivna svetovalka vodstva in upravnega odbora, ki prek revizijskega odbora sporoča revizijske ugotovitve upravnemu odboru, odgovornim za področje zasebnosti in evropski pooblaščeni osebi za varstvo podatkov. 

Ekipa za notranjo revizijo lahko redno izvaja pregled dejavnosti ali praks, ki jih je opredelila globalna ekipa za področje zasebnosti. Ekipa za notranjo revizijo, odgovorni za področje zasebnosti in evropska pooblaščena oseba za varstvo podatkov lahko po potrebi zahtevajo, da se izvede akcijski načrt za zagotovitev skladnosti z zavezujočimi poslovnimi pravili. Če notranje skupine ne rešijo težav ustrezno, lahko skupina imenuje neodvisne zunanje revizorje za nadaljnjo reševanje sporov.

Evropska pooblaščena oseba za varstvo podatkov, PayPalova globalna ekipa za področje skladnosti na področju zasebnosti ali ekipe za notranjo revizijo in zunanji revizorji razvijejo podrobne revizijske načrte in razporede, ki temeljijo na tveganju obdelave.

Ugotovitve revizije zasebnosti bodo na voljo pristojnim pooblaščenim osebam za varstvo zasebnosti.  PayPal si pridržuje pravico do redigiranja delov revizijskih poročil za zagotovitev zaupnosti lastniških ali drugih zaupnih informacij podjetja. 

 

7. Razmerje med poslovnimi pravili za uporabnike in nacionalno zakonodajo

Z različnimi pravnimi zahtevami po vsem svetu v zvezi z varstvom podatkov poslovna pravila za uporabnike določajo dosleden nabor zahtev, da se zagotovi ustrezna obdelava osebnih podatkov uporabnikov. Medtem ko poslovna pravila za uporabnike ustvarijo izhodiščno zahtevo, ki jo morajo člani skupine upoštevati, bodo člani skupine ravnali v skladu z veljavnimi zakoni, ki lahko uvedejo strožji standard od tistega, ki je določen v teh poslovnih pravilih.

Nič v teh poslovnih pravilih za uporabnike ne vpliva na obveznosti članov skupine v skladu z veljavnimi zakoni o bančništvu, zlasti v zvezi z bančno tajnostjo.   Če je veljavna zakonodaja v nasprotju s temi poslovnimi pravili za uporabnike, ker lahko prepreči, da član skupine ne izpolni svojih obveznosti v skladu s poslovnimi pravili za uporabnike, in bistveno vpliva na jamstva, ki so bila z njimi zagotovljena, član skupine takoj obvesti evropsko pooblaščeno osebo za varstvo podatkov, razen če zagotavljanje takih informacij prepoveduje organ za kazenski pregon ali zakonodaja.  Evropska pooblaščena oseba za varstvo podatkov, odgovorni za področje zasebnosti in vodilni član skupine določijo ustrezen potek ukrepanja in se v primeru dvoma posvetujejo s pristojnim organom za varstvo podatkov.

 

8. Medsebojna pomoč in sodelovanje z organi za varstvo podatkov

Člani skupine bodo sodelovali in drug drugemu pomagali pri obdelavi zahtevkov ali pritožb uporabnikov v zvezi s temi poslovnimi pravili za uporabnike.

Člani skupine se bodo vestno in ustrezno odzvali na zahteve organov za varstvo podatkov o poslovnih pravilih za uporabnike. Če zaposleni prejme takšno zahtevo od organa za varstvo podatkov, mora takoj obvestiti evropsko pooblaščeno osebo za varstvo podatkov.   

Člani skupine bodo sodelovali pri poizvedbah in sprejeli revizije pristojnih organov za varstvo podatkov v EGP v zvezi s skladnostjo s temi poslovnimi pravili za uporabnike in bodo spoštovali njihove odločitve, skladne z veljavnimi zakoni in pripadajočimi pravicami glede obdelave.  

 

9. Posodobitve vsebine teh poslovnih pravil za uporabnike in seznama zavezanih članov

PayPal si pridržuje pravico, da po potrebi spremeni ta poslovna pravila za uporabnike na primer zaradi ravnanja v skladu z veljavno zakonodajo, pravili, predpisi, PayPalovimi praksami, postopki in organizacijsko strukturo ali zahtevami, ki jih določijo ustrezni organi za varstvo podatkov.

PayPal globalna pravna ekipa za področje zasebnosti (pod vodstvom pravne osebe, odgovorne za področje zasebnosti) bo predlagala vse potrebne spremembe teh poslovnih pravil za uporabnike. PayPalova globalna ekipa za področje skladnosti na področju zasebnosti (pod vodstvom odgovorne osebe za skladnost na področju zasebnosti) in evropska pooblaščena oseba za varstvo podatkov morata odobriti vse spremembe poslovnih pravil za uporabnike in spremljati vse spremembe poslovnih pravil za uporabnike ter vse spremembe seznama članov skupine. Člani skupine sporočajo ustreznim organom za varstvo podatkov spremembe poslovnih pravil za uporabnike zaradi uradne odobritve in kot zahteva veljavna zakonodaja.

Vodilni član skupine se bo posvetoval z glavnim organom za varstvo podatkov v povezavi z bistvenimi spremembami poslovnih pravil za uporabe, ki bi vplivale na skladnost varstva podatkov ali uporabo poslovnih pravil za uporabnike.  Vodilni član skupine bo odgovornemu organu za varstvo podatkov vsaj enkrat na leto posredoval bistvene spremembe poslovnih pravil za uporabnike in spremembe na seznamu članov skupine.  PayPalova globalna ekipa za področje zasebnosti bo sodelovala v podporo evropski pooblaščeni osebi za varstvo podatkov, ki bo zlasti usklajevala odzive in takoj obravnavala komentarje, predloge ali ugovore zoper spremembe, ki jih je sprožil odgovorni organ za varstvo podatkov v imenu PayPala. Vse pripombe, predloge ali ugovore, ki so jih sprožili drugi organi za varstvo podatkov, bo evropski pooblaščeni osebi za varstvo podatkov posredoval odgovorni organ za varstvo podatkov, ki bo deloval v imenu drugih organov za varstvo podatkov. 

Spremembe poslovnih pravil za uporabnike bodo veljale za vse člane skupine na datum uveljavitve.  Člani skupine bodo bistvene spremembe poslovnih pravil za uporabnike uporabnikom sporočili v skladu z uporabnikovimi nastavitvami storitev po množičnem e-sporočilu ali na spletnem mestu s predhodnim jasnim opozorilom za uporabnike, da so se pravila za uporabnike spremenila. Člani skupine bodo spremenjena poslovna pravila za uporabnike objavili na izbranih zunanjih spletnih mestih ali v aplikacijah, ki so dostopne uporabnikom. Popravki poslovnih pravil za uporabnike začnejo veljati v dveh mesecih po tem, ko člani skupine obvestijo uporabnike in objavijo spremenjena poslovna pravila za uporabnike.

 

10. Objava

Poslovna pravila za uporabnike bodo objavljena, na spletnem mestu in v aplikacijah storitve pa bo dodana povezava nanje.  Uporabniki lahko zahtevajo kopijo od evropske pooblaščene osebe za varstvo podatkov, PayPal (Europe) S.à.r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg ali prek spleta.

 

11. Končne določbe

Datum uveljavitve: 25. maj 2018

Stik: Uporabniki lahko kakršna koli vprašanja ali pomisleke v zvezi s temi poslovnimi pravili za uporabnike posredujejo tako, da se obrnejo na:

evropsko pooblaščeno osebo za varstvo podatkov

PayPal (Europe) S.à.r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg

 

12. Opredelitve

Člani skupine razlagajo poslovna pravila za uporabnike na način, ki je najbolj skladen z osnovnimi koncepti načel Direktive EU 95/46/ES ali katere koli direktive ali uredbe, ki jo nadomešča. 

Za namene teh poslovnih pravil za uporabnike veljajo naslednje opredelitve:

Odbor direktorjev pomeni upravni odbor vodilnega člana skupine.

Organi za varstvo podatkov pomeni javne organe, ki so odgovorni za spremljanje in uveljavljanje uporabe na njihovem zadevnem ozemlju v zvezi z nacionalno zakonodajo, ki jo sprejmejo države članice EGP-ja, v skladu z direktivo EU o varstvu podatkov (95/46/ES).

EGP pomeni Evropski gospodarski prostor, ki je trenutno sestavljen iz držav članic EU, Islandije, Lihtenštajna in Norveške.

Zaposleni pomeni zaposlene, delavce, pripravnike in drugo osebje ali zaposlene, vključno s pogojnimi ali začasnimi delavci, nadomestno delovno silo ali pogodbenike člana skupine, zaposlene ali najete na podlagi polnega ali skrajšanega delovnega časa in ne glede na vrsto zaposlitve ali najema.

Evropska pooblaščena oseba za varstvo podatkov pomeni zaposlenega, ki ga imenuje in ki poroča vodstvu vodilnega člana skupine in ki ima tudi vlogo člana PayPalove globalne pravne ekipe za področje zasebnosti. Evropska pooblaščena oseba za varstvo podatkov se nahaja v Luksemburgu.

Član skupine pomeni subjekt skupine PayPal, ki je realiziral kopijo znotrajskupinskega sporazuma (ZS).

ZS pomeni znotrajskupinski sporazum.

Odgovorni organ za varstvo podatkov pomeni »Commission nationale pour la protection des données« (»CNPD«) v Luksemburgu.

Vodilni član skupine pomeni PayPal (Europe) S.à.r.l. & Cie, S.C.A., zasebna luksemburška družba z omejeno odgovornostjo.

PayPalova globalna ekipa za področje zasebnosti pomeni usklajeno PayPalovo globalno ekipo za področje skladnosti na področju zasebnosti in PayPalovo globalno pravno ekipo za področje zasebnosti.

PayPalova globalna ekipa za področje skladnosti na področju zasebnosti pomeni člane organizacije za skladnost, ki se ukvarjajo posebej s skladnostjo in delovanjem PayPalovega programa zasebnosti. 

PayPalova globalna pravna ekipa za področje zasebnosti pomeni člane pravnega oddelka, ki se ukvarjajo zlasti z varstvom zasebnosti in podatkov.

Skupina PayPal pomeni PayPal Holdings, Inc. (»Paypal«) in vsak subjekt, ki ga neposredno ali posredno nadzoruje PayPal, ki obdeluje informacije o uporabnikih, kjer nadzor pomeni lastništvo nad petdesetimi odstotki (50 %) volilne moči za izvolitev direktorjev podjetja ali nad petdesetimi odstotki (50 %) deleža lastništva v podjetju.

Osebni podatki pomeni vse informacije, ki se nanašajo na določeno ali določljivo fizično osebo; določljiva oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikacijsko številko ali enega ali več dejavnikov, značilnih za njegovo/njeno fizično, fiziološko, duševno, gospodarsko, kulturno ali družbeno identiteto.

Obdelava pomeni vsak postopek ali skupek postopkov, ki se izvajajo za osebne podatke, z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje.

Obdelovalec pomeni katero koli fizično ali pravno osebo, ki obdeluje osebne podatke v imenu člana skupine.

Občutljivi osebni podatki pomeni osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in informacije glede kaznivih dejanj ali informacije v zvezi s posameznikovim zdravjem ali spolnim življenjem.

Storitev pomeni spletno mesto, aplikacijo ali drug izdelek ali storitev, ki jo ponuja skupina PayPal za uporabo uporabnikom.

Tretja oseba pomeni vsako fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni uporabnik, član skupine, obdelovalec in posameznike, ki so pod neposredno pristojnostjo člana skupine ali obdelovalca, kot so zaposleni, pooblaščeni za obdelavo osebnih podatkov.

Uporabnik pomeni pretekle in obstoječe stranke, potencialne stranke, vlagatelje, poslovne partnerje in trgovce.

Osebni podatki uporabnika pomeni osebne podatke, povezane z uporabniki.