>> ดูข้อตกลงทั้งหมด

บทต่อท้ายนโยบายคุ้มครองข้อมูลของ PayPal สำหรับผลิตภัณฑ์ประมวลผลบัตร

 

ปรับปรุงครั้งล่าสุด: 1 ธันวาคม 2021

บทต่อท้ายนโยบายคุ้มครองข้อมูลของ PayPal สำหรับผลิตภัณฑ์ประมวลผลบัตร ("บทต่อท้าย") นี้มีผลบังคับใช้กับผลิตภัณฑ์ บริการใดๆ หรือข้อเสนออื่นๆ ที่บริษัทในเครือ PayPal ("PayPal") ให้บริการประมวลผลบัตร เกตเวย์ และ/หรือการป้องกันการฉ้อโกง ("บริการการเงิน") แก่คุณ ผู้ค้า ("ผู้ค้า" หรือ "คุณ") บทต่อท้ายนี้ไม่มีผลบังคับใช้กับบริการกระเป๋าสตางค์ของ PayPal เช่น ข้อเสนอชำระเงินด้วย PayPal หรือชำระเงินในภายหลังของ PayPal บทต่อท้ายนี้เป็นส่วนหนึ่งของข้อตกลงที่เกี่ยวข้องระหว่างผู้ค้าและ PayPal ที่ควบคุมการให้บริการชําระเงินของ PayPal แก่คุณ ("ข้อตกลง") และรวมไว้ในที่นี้โดยการอ้างอิง ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดของบทต่อท้ายนี้กับสัญญา ข้อกำหนดของบทต่อท้ายนี้จะถูกนำมาบังคับใช้ คำที่เป็นตัวหนาที่ใช้แต่ไม่ได้นิยามไว้ในบทต่อท้ายนี้จะมีความหมายตามที่กำหนดไว้ในสัญญา

บทต่อท้ายนี้มีผลบังคับใช้หลังจาก (i) วันที่มีผลบังคับใช้ที่ระบุไว้ในสัญญา หรือ (ii) วันที่มีผลบังคับใช้ที่ระบุไว้ในประกาศที่ประกาศไว้หรือที่ให้ไว้แก่คุณซึ่งเกี่ยวกับบทต่อท้ายนี้ เราอาจแก้ไขบทต่อท้ายนี้เป็นครั้งคราว สัญญาฉบับแก้ไขจะมีผลทันทีที่เราลงประกาศบนเว็บไซต์ของเรา เว้นแต่จะระบุไว้เป็นอย่างอื่น ถ้าการเปลี่ยนแปลงของเราลดสิทธิ์ของคุณหรือเพิ่มความรับผิดชอบของคุณ เราจะประกาศให้ทราบในหน้า "การอัปเดตนโยบาย" ในเว็บไซต์ของเราภายในกรอบเวลาที่กำหนดไว้โดยสัญญา ถ้าคุณไม่ยอมรับการเปลี่ยนแปลงใดๆ ในบทต่อท้ายนี้ คุณสามารถยุติการใช้บริการชำระเงิน

คำจำกัดความ
คำต่อไปนี้มีความหมายตามที่ระบุด้านล่างเมื่อใช้ในบทต่อท้ายนี้:

"ผู้ควบคุม" หมายถึง นิติบุคคลที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล หรือในกรณีที่คำดังกล่าว (หรือคำที่มีการใช้งานที่คล้ายคลุงกัน) มีการให้คำจำกัดความไว้ในกฎหมายคุ้มครองข้อมูล "ผู้ควบคุม" จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

"ลูกค้า" หมายถึง ลูกค้าของคุณที่ใช้บริการชำระเงิน และเพื่อวัตถุประสงค์ของบทต่อท้ายนี้ หมายถึงเจ้าของข้อมูล

ข้อมูลของลูกค้า” หมายถึง ข้อมูลส่วนบุคคลที่ (i) ลูกค้าให้ไว้แก่ผู้ค้า และผู้ค้าได้ส่งต่อไปยัง PayPal ผ่านการใช้บริการชำระเงินของผู้ค้า และ (ii) PayPal อาจเก็บรวบรวมจากอุปกรณ์และเบราว์เซอร์ของลูกค้าผ่านการใช้บริการชำระเงินโดยผู้ค้า

"กฎหมายคุ้มครองข้อมูล" หมายถึง กฎหมายคุ้มครองข้อมูล ข้อบังคับ คำสั่ง ข้อกำหนดตามกฎหมาย และประมวลการปฏิบัติที่เกี่ยวข้องกับการให้บริการชำระเงิน รวมถึงการแก้ไขใดๆ เกี่ยวกับบริการดังกล่าว และข้อบังคับหรือเครื่องมือใดๆ ที่เกี่ยวข้อง (เช่น กฎหมายความเป็นส่วนตัวผู้บริโภคแคลิฟอร์เนีย ค.ศ. 2018 Cal. Civ. Code § 1798.100 et seq, กฎหมายคุ้มครองข้อมูลส่วนบุคคล (สหภาพยุโรป) 2016/679 (GDPR) กฎหมายความเป็นส่วนตัวของออสเตรเลีย ค.ศ. 1988 (Cth) กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารทางอิเล็กทรอนิกส์ (แคนาดา) กฎหมายคุ้มครองข้อมูลส่วนบุคคล (ความเป็นส่วนตัว) (Cap.486) (ฮ่องกง) กฎหมายคุ้มครองข้อมูลส่วนบุคคลของบราซิล, กฎหมายของรัฐบาลกลางเลขที่ 13,709/2018 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ค.ศ. 2012 (สิงคโปร์))

"บริษัทในเครือ PayPal" หมายถึง PayPal, Inc. และบริษัททั้งหมดที่ PayPal หรือผู้สืบทอดของ PayPal เป็นเจ้าของหรือควบคุมโดยตรงหรือโดยอ้อมในวาระใดวาระหนึ่งหรือหลายวาระ

"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ถูกระบุหรือสามารถระบุตัวตนได้ ("เจ้าของข้อมูล") บุคคลธรรมดาที่สามารถระบุตัวตนได้คือผู้ที่สามารถระบุตัวตนได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยการอ้างอิงข้อมูลระบุตัวตน เช่น ชื่อ หมายเลขประจำตัวประชาชน ข้อมูลตำแหน่งที่ตั้ง ข้อมูลระบุตัวตนทางออนไลน์ หรือโดยการอ้างอิงปัจจัยหนึ่งข้อหรือมากกว่าที่เจาะจงถึงอัตลักษณ์ทางกายภาพ ทางสรีรวิทยา ทางพันธุกรรม ทางสภาพจิตใจ ทางเศรษฐกิจ ทางวัฒนธรรม หรือทางสังคมของบุคคลธรรมดาดังกล่าว

"ประมวลผล" หรือคำที่ระบุถึงการใช้งานที่คล้ายคลึงกันเมื่อใช้ในบทต่อท้ายนี้จะมีความหมายตามที่ระบุไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

PayPal ในฐานะผู้ควบคุม

PayPal จะปฏิบัติตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้กับผู้ควบคุมในแง่เกี่ยวกับการประมวลผลข้อมูลของลูกค้าภายใต้บทต่อท้ายนี้ (รวมถึงโดยไม่จำกัดเฉพาะการดำเนินการและการดูแลรักษามาตรการความปลอดภัยที่เหมาะสมทั้งหมดตลอดเวลาที่เกี่ยวกับการประมวลผลข้อมูลของลูกค้า) และจะไม่จงใจดำเนินการใดๆ หรืออนุญาตให้มีการดำเนินการใดๆ กับข้อมูลของลูกค้าที่อาจนำไปสู่การละเมิดกฎหมายคุ้มครองข้อมูลโดยผู้ค้า PayPal จะโอนเฉพาะข้อมูลของลูกค้าเท่านั้นให้กับบุคคลภายนอก ผู้ประมวลผลย่อยหรือสมาชิกของบริษัทในเครือ PayPal ซึ่งได้ลงนามในข้อตกลงเป็นลายลักษณ์อักษรที่ประกอบด้วยข้อกำหนดสำหรับการคุ้มครองข้อมูลของลูกค้า ซึ่งมีระดับการคุ้มครองไม่น้อยไปกว่าข้อกำหนดที่ระบุไว้ในบทต่อท้ายนี้

การประมวลผลข้อมูลของลูกค้าที่เกี่ยวข้องกับบริการชำระเงิน

คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่าผู้ค้าและ PayPal คือผู้ควบคุมที่เป็นอิสระต่อกันในส่วนที่เกี่ยวข้องกับข้อมูลของลูกค้าทั้งหมดที่ประมวลผลโดยเกี่ยวข้องกับบริการชำระเงิน ดังนั้น PayPal จึงกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลของลูกค้าดังกล่าวโดยอิสระ และไม่ได้เป็นผู้ควบคุมร่วมกับผู้ค้าในแง่ที่เกี่ยวข้องกับข้อมูลของลูกค้าดังกล่าว

คู่สัญญาทั้งสองฝ่ายรับทราบและตกลงว่า PayPal ได้รับอนุญาตให้ใช้ ทำสำเนา และประมวลผลข้อมูลของลูกค้าและข้อมูลการทำรายการชำระเงินเพื่อวัตถุประสงค์ที่จำกัดดังต่อไปนี้:

  • เพื่อความจําเป็นอย่างสมเหตุสมผลในการให้บริการและปรับปรุงบริการชำระเงินแก่ผู้ค้าและลูกค้าของผู้ค้า รวมถึงเครื่องมือป้องกันการฉ้อโกง
  • เพื่อตรวจสอบ ป้องกัน และตรวจหาการทำรายการชำระเงินที่ฉ้อโกง และเพื่อป้องกันอันตรายต่อผู้ค้า PayPal และบุคคลภายนอก
  • เพื่อปฏิบัติตามข้อบังคับหรือภาระหน้าที่ทางกฎหมายที่มีผลบังคับใช้กับการประมวลผลและการเก็บรักษาข้อมูลการชำระเงินซึ่ง PayPal ต้องปฏิบัติตาม รวมทั้งภาระหน้าที่ด้านการต่อต้านการฟอกเงินและการยืนยันตัวตนที่เกี่ยวข้อง
  • เพื่อวิเคราะห์ พัฒนา และปรับปรุงผลิตภัณฑ์และบริการของ PayPal
  • การใช้งานภายใน รวมถึงแต่ไม่จำกัดเฉพาะการวิเคราะห์และเกณฑ์ในการวัดผลข้อมูล
  • เพื่อรวบรวมและเปิดเผยข้อมูลของลูกค้าและข้อมูลการทำรายการชำระเงินในรูปแบบรวมที่ไม่สามารถระบุตัวตนของคุณหรือผู้ใช้จากข้อมูลของลูกค้านั้นได้ รวมถึงการคำนวณค่าเฉลี่ยของคุณตามภูมิภาคหรืออุตสาหกรรม
  • ปฏิบัติตามข้อกำหนดทางกฎหมายที่บังคับใช้และให้ความช่วยเหลือแก่หน่วยงานบังคับใช้กฎหมายโดยการดำเนินการตามคำขอให้เปิดเผยข้อมูลตามกฎหมาย และ
  • จุดประสงค์อื่นใดที่แจ้งให้ผู้ค้าทราบ ตราบใดที่วัตถุประสงค์ดังกล่าวเป็นไปตามกฎหมายคุ้มครองข้อมูล

ประกาศจากผู้ค้าไปยังลูกค้า

ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อ (i) แจ้งให้ลูกค้าทราบในนโยบายความเป็นส่วนตัวของตนว่า PayPal เป็นผู้ควบคุมโดยอิสระเพื่อวัตถุประสงค์ในการประมวลผลข้อมูลของลูกค้าตามที่ระบุไว้ในบทต่อท้ายนี้ และ (ii) ใส่ลิงก์ไปยังนโยบายความเป็นส่วนตัวของ PayPal ซึ่งสามารถอ่านได้ที่ www.paypal.com ในนโยบายความเป็นส่วนตัวของผู้ค้า

ความช่วยเหลือร่วมกัน

คู่สัญญาทั้งสองฝ่ายตกลงที่จะดำเนินการร่วมกับแต่ละฝ่ายภายในขอบเขตที่จำเป็นตามสมควร เพื่อช่วยให้อีกฝ่ายดำเนินการตามความรับผิดชอบของตนอย่างเพียงพอในฐานะผู้ควบคุมอิสระภายใต้กฎหมายคุ้มครองข้อมูล คู่สัญญาทั้งสองฝ่ายตกลงว่า ภายในขอบเขตที่ผู้ค้าได้รับคำขอเข้าถึงข้อมูลจากเจ้าของข้อมูลหรือการใช้สิทธิ์ใดๆ ของลูกค้าภายใต้กฎหมายคุ้มครองข้อมูล ผู้ค้าจะดำเนินการตามคำขอเข้าถึงดังกล่าวของลูกค้าโดยตรง ผู้ค้ายังต้องแจ้งให้ลูกค้าทราบว่าลูกค้าสามารถใช้สิทธิ์ในฐานะเจ้าของข้อมูลที่เกี่ยวข้องกับบริการชำระเงินกับ PayPal ตามคําแนะนําที่ระบุไว้ในนโยบายความเป็นส่วนตัวซึ่งสามารถอ่านได้ที่ www.paypal.com นอกจากนี้ ในกรณีที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยใดๆ ซึ่ง PayPal ได้ตัดสินใจแต่เพียงผู้เดียวว่าจะต้องแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบ และ PayPal ไม่มีข้อมูลติดต่อที่จำเป็นของลูกค้าที่ได้รับผลกระทบเพื่อทำการติดต่อสื่อสารดังกล่าว ผู้ค้าจะต้องใช้ความพยายามอย่างสมเหตุสมผลในเชิงพาณิชย์เพื่อให้ข้อมูลเกี่ยวกับลูกค้าที่ผู้ค้าอาจมีไว้ในครอบครองแก่ PayPal เพื่อวัตถุประสงค์ที่จำกัดในการช่วยให้ PayPal ปฏิบัติตามภาระหน้าที่ในการแจ้งข้อมูลให้ลูกค้าที่ได้รับผลกระทบทราบภายใต้กฎหมายคุ้มครองข้อมูล

การโอนข้อมูลข้ามพรมแดน

คู่สัญญาทั้งสองฝ่ายตกลงว่า PayPal อาจโอนข้อมูลของลูกค้าที่ประมวลผลภายใต้สัญญาฉบับนี้ไปนอกประเทศที่เก็บรวบรวมได้ตามความจําเป็นเพื่อให้บริการชำระเงิน ถ้า PayPal โอนข้อมูลของลูกค้าที่ได้รับการคุ้มครองภายใต้บทต่อท้ายนี้ไปยังเขตอํานาจศาลที่หน่วยงานกำกับดูแลที่เกี่ยวข้องในประเทศที่เก็บรวบรวมข้อมูลไม่ได้ออกคำวินิจฉัยที่เพียงพอ PayPal จะตรวจสอบให้แน่ใจว่ามีการดำเนินการป้องกันที่เหมาะสมเพื่อให้การโอนข้อมูลของลูกค้าสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ตัวอย่างเช่น และเพื่อให้เป็นไปตามกฎข้อบังคับของ GDPR เรายึดถือกฎองค์กรที่มีผลผูกพันที่ได้รับการอนุมัติโดยหน่วยงานกำกับดูแลที่มีอำนาจและกลไกการโอนข้อมูลอื่นๆ ในการโอนข้อมูลของลูกค้าไปยังบริษัทอื่นๆ ในเครือ PayPal

เกี่ยวกับการโอนข้อมูลลูกค้าของคุณซึ่งอยู่ในสหภาพยุโรป สวิตเซอร์แลนด์ เขตเศรษฐกิจยุโรป และ/หรือรัฐที่เป็นสมาชิกหรือสหราชอาณาจักรไปยัง PayPal โดยคุณ แต่ละฝ่ายตกลงว่า (i) ในขอบเขตที่เกี่ยวข้อง การลงนามในข้อตกลงของคุณจะถือเป็นลายเซ็นและการยอมรับคําตัดสินของคณะกรรมาธิการยุโรปที่นําไปปฏิบัติ (สหภาพยุโรป) 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับมาตรามาตรฐานทางสัญญาสําหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สาม ตามกฎหมาย GDPR ("มาตราการโอนของสหภาพยุโรป" ) โดยผู้ค้า ในฐานะผู้ส่งออกข้อมูลและในบทบาทของผู้ควบคุม และจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการคุ้มครองข้อมูลมาตรฐานที่ระบุไว้ในกฎข้อบังคับของรัฐมนตรีต่างประเทศภายใต้มาตรา 17C (ข) ของกฎหมายคุ้มครองข้อมูล 2018 และมีผลบังคับใช้ในสหราชอาณาจักรในขณะนั้น ("มาตราการโอนของสหราชอาณาจักร") ในฐานะผู้ส่งออกข้อมูล (ii) ภายในขอบเขตที่เกี่ยวข้อง ลายเซ็นของ PayPal ในข้อตกลงจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการโอนของสหภาพยุโรปโดย PayPal ในฐานะผู้นําเข้าข้อมูลและในบทบาทของผู้ควบคุม และจะถือว่าเป็นลายเซ็นและการยอมรับมาตราการโอนของสหราชอาณาจักรในฐานะผู้นําเข้าข้อมูล และ (iii) คู่สัญญาจะต้องอยู่ภายใต้บทบัญญัติของโมดูล 1 ของมาตราการโอนของสหภาพยุโรป ในกรณีที่คณะกรรมาธิการยุโรปหรือรัฐมนตรีต่างประเทศของสหราชอาณาจักร (หรือหน่วยงานอื่นที่ได้รับอนุญาตของสหราชอาณาจักร) ได้มีการแก้ไข และหลังจากนั้นเผยแพร่มาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ตามลําดับ (หรือตามที่กําหนดหรือดําเนินการโดยคณะกรรมาธิการยุโรปหรือรัฐมนตรีต่างประเทศของสหราชอาณาจักร (หรือหน่วยงานอื่นที่ได้รับอนุญาตของสหราชอาณาจักรที่เกี่ยวข้อง)) คู่สัญญาทั้งสองฝ่ายตกลงว่ามาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ดังกล่าว ตามความเหมาะสม จะแทนที่มาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรในปัจจุบันตามความเหมาะสม และคู่สัญญาทั้งสองฝ่ายตกลงที่จะดําเนินการดังกล่าวทั้งหมดที่จําเป็นต่อการดําเนินการตามมาตราการโอนของสหภาพยุโรปหรือมาตราการโอนของสหราชอาณาจักรใหม่ตามที่เกี่ยวข้อง มาตราการโอนของสหภาพยุโรป (โมดูล 1) และมาตราการโอนของสหราชอาณาจักรจะถูกรวมไว้ในสัญญาโดยการอ้างอิงและจะถือว่าได้มีการดำเนินการอย่างถูกต้องระหว่างคู่สัญญาทั้งสองฝ่ายเมื่อทำให้สัญญาฉบับนี้มีผลบังคับใช้ตามรายละเอียดต่อไปนี้:

ก) มาตราการโอนของสหภาพยุโรป

  1. ข้อ 1 ของมาตรา 17 (กฎหมายที่ใช้บังคับ) จะมีผลบังคับใช้ และกฎหมายของลักเซมเบิร์กจะควบคุมมาตราของสหภาพยุโรป
  2. ตามข้อ 18 (การเลือกถิ่นที่ศาลมีอำนาจพิจารณาคดีและเขตอํานาจศาล) ศาลของลักเซมเบิร์กจะแก้ไขข้อพิพาทใดๆ ที่เกิดขึ้นจากข้อบังคับของสหภาพยุโรป และ
  3. คู่สัญญาทั้งสองฝ่ายตกลงว่ารายละเอียดที่จำเป็นภายใต้ภาคผนวกของมาตราการโอนของสหภาพยุโรประบุไว้ในเอกสารแนบ 1

ข) มาตราการโอนของสหราชอาณาจักร

  1. มาตรา II (h)(iii) ได้นำมารวมเข้าไว้และลายเซ็นของสัญญาโดย PayPal จะถือว่าเป็นชื่อย่อที่จําเป็นจาก PayPal ในฐานะผู้นําเข้าข้อมูล
  2. คู่สัญญาทั้งสองฝ่ายตกลงว่ารายละเอียดที่จําเป็นภายใต้ภาคผนวก ข ของมาตราการโอนของสหราชอาณาจักรระบุไว้ในเอกสารแนบ 1 (เท่าที่เกี่ยวข้อง)

เอกสารแนบ 1

ภาคผนวกของมาตราการโอนของสหภาพยุโรปและภาคผนวก ข ของมาตราการโอนของสหราชอาณาจักร

 

  1. ความต่อไปนี้มีผลบังคับใช้ตามขอบเขตที่กําหนด ภายใต้มาตราการโอนของสหภาพยุโรปและมาตราการโอนเงินของสหราชอาณาจักร

ภาคผนวก 1.A. รายชื่อของคู่สัญญา

ผู้ส่งออกข้อมูล

  • ชื่อและที่อยู่: ผู้ส่งออกข้อมูลคือผู้ค้าและที่อยู่เป็นไปตามที่ระบุไว้ในสัญญา
  • ชื่อ ตําแหน่ง และรายละเอียดการติดต่อของผู้ติดต่อ: ตามที่ระบุไว้ในสัญญา
  • กิจกรรมที่เกี่ยวข้องกับข้อมูลที่โอนภายใต้มาตราสัญญามาตรฐาน: ตามที่ระบุไว้ในสัญญา
  • ลายเซ็นและวันที่: โปรดดูส่วน "การโอนข้ามพรมแดน" ของบทต่อท้ายนี้
  • บทบาท (ผู้ควบคุม/ผู้ประมวลผล): ผู้ควบคุม

ผู้ส่งออกข้อมูล

  • ชื่อและที่อยู่: ผู้นําเข้าข้อมูลเป็นบริษัทในเครือ PayPal ที่ให้บริการตามสัญญาและที่อยู่เป็นไปตามที่ระบุไว้ในสัญญา
  • ชื่อ ตําแหน่ง และรายละเอียดการติดต่อของผู้ติดต่อ: ตามที่ระบุไว้ในสัญญา
  • กิจกรรมที่เกี่ยวข้องกับข้อมูลที่โอนภายใต้มาตราสัญญามาตรฐาน: ตามที่ระบุไว้ในลายเซ็นของสัญญาและวันที่: โปรดดูส่วน "การโอนข้ามพรมแดน" ของบทต่อท้ายนี้
  • บทบาท (ผู้ควบคุม/ผู้ประมวลผล): ผู้ควบคุม

ส่วนเพิ่ม 1.B รายละเอียดการโอนเงิน

เจ้าของข้อมูล
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับเจ้าของข้อมูลในประเภทต่อไปนี้:

  • ผู้ส่งออกข้อมูลและลูกค้า พนักงาน และผู้ติดต่อทางธุรกิจอื่นๆ

ประเภทของข้อมูลส่วนบุคคลที่โอน

ข้อมูลส่วนบุคคลที่โอนอาจรวมถึงข้อมูลประเภทต่อไปนี้:

ชื่อ, จำนวนเงินที่จะเรียกเก็บ, วันที่/เวลา, รายละเอียดบัญชีธนาคาร, รายละเอียดบัตรชำระเงิน, รหัส CVC, รหัสไปรษณีย์, รหัสประเทศ, ที่อยู่, ที่อยู่อีเมล, โทรสาร, โทรศัพท์, เว็บไซต์, ข้อมูลวันหมดอายุ, รายละเอียดการจัดส่ง, สถานะทางภาษี, รหัสระบุลูกค้าที่ไม่ซ้ำกัน, ที่อยู่ IP, ตำแหน่งที่ตั้ง และข้อมูลอื่นใดที่ PayPal ได้รับภายใต้สัญญา

ข้อมูลที่ละเอียดอ่อน (ถ้าเหมาะสม) และข้อจํากัดหรือการป้องกันที่ใช้
ข้อมูลส่วนบุคคลที่โอนซึ่งเกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนประเภทต่อไปนี้:

  • ไม่สามารถใช้ได้ เว้นแต่ผู้ค้าได้กำหนดค่าบริการให้จัดเก็บข้อมูลดังกล่าว

ใช้ข้อจํากัดและการป้องกัน:

  • ไม่สามารถใช้ได้ เว้นแต่ผู้ค้าได้กำหนดค่าบริการให้จัดเก็บข้อมูลดังกล่าว

ลักษณะของการประมวลผล

  • ตามที่ระบุไว้ในสัญญา

วัตถุประสงค์ของการโอน
การโอนมีขึ้นเพื่อวัตถุประสงค์ดังต่อไปนี้:

  • การให้บริการที่ดำเนินการโดยผู้นำเข้าข้อมูลไปยังผู้ส่งออกข้อมูลตามสัญญา
  • เพื่อระบุกิจกรรมที่เป็นการฉ้อโกงและความเสี่ยงที่หรืออาจส่งผลกระทบต่อผู้นําเข้าข้อมูล ผู้ส่งออกข้อมูล หรือลูกค้าอื่นๆ ของผู้นําเข้าข้อมูล
  • เพื่อให้เป็นไปตามกฎหมายที่บังคับใช้กับผู้นําเข้าข้อมูล
  • ตามที่ระบุไว้ในบทต่อท้ายการคุ้มครองข้อมูล

ระยะเวลาที่จะเก็บข้อมูลส่วนบุคคลไว้ หรือถ้าที่ไม่สามารถทําได้ เกณฑ์ที่ใช้ในการกําหนดระยะเวลาดังกล่าว

ผู้นําเข้าข้อมูลจะเก็บรักษาข้อมูลส่วนบุคคลไว้ตราบเท่าที่จําเป็นเกี่ยวกับวัตถุประสงค์ที่เกี่ยวข้องกับการเก็บรวบรวมไว้ (โปรดดูวัตถุประสงค์ข้างบน) เพื่อกำหนดระยะเวลาการเก็บรักษาที่เหมาะสมสำหรับข้อมูลส่วนบุคคล ผู้นําเข้าข้อมูลจะพิจารณาจํานวนเงิน ลักษณะ และความละเอียดอ่อนของข้อมูลส่วนบุคคล ความเสี่ยงที่อาจเกิดขึ้นจากการใช้งานโดยไม่ได้รับอนุญาตหรือการเปิดเผยข้อมูลส่วนบุคคล วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และว่าจะสามารถดําเนินการตามวัตถุประสงค์ดังกล่าวผ่านวิธีอื่นได้หรือไม่ และตามกฎหมายที่บังคับใช้ ระเบียบข้อบังคับ ข้อกำหนดทางภาษี การบัญชี หรือข้อกําหนดอื่นๆ

สําหรับการโอนเงินไปยังผู้ประมวลผล (ย่อย) ให้ระบุหัวเรื่อง ลักษณะ และระยะเวลาของการประมวลผล

ผู้นําเข้าข้อมูลอาจแบ่งปันข้อมูลส่วนบุคคลกับผู้ให้บริการที่เป็นบุคคลภายนอกที่ให้บริการและทํางานตามคำสั่งของผู้นําเข้าข้อมูลและในนามของผู้นําเข้าข้อมูล ผู้ให้บริการที่เป็นบุคคลภายนอกเหล่านี้อาจมอบองค์ประกอบของบริการที่จัดไว้ให้ภายใต้สัญญา เช่น การยืนยันตัวตนลูกค้า การประมวลผลการทํารายการ หรือการให้บริการสนับสนุนลูกค้า หรือให้บริการแก่ผู้นําเข้าข้อมูลที่สนับสนุนบริการที่จัดไว้ให้ภายใต้สัญญา เช่น การจัดเก็บข้อมูล เมื่อการกําหนดระยะเวลาของการประมวลผลที่ดําเนินการโดยผู้ให้บริการที่เป็นบุคคลภายนอก ผู้นําเข้าข้อมูลจะใช้เกณฑ์ที่กำหนดไว้ข้างบนในภาคผนวก 1.B นี้

ภาคผนวก 1.C. หน่วยงานกํากับดูแล

ตามมาตรา 13(ก) ของมาตราการโอนของสหภาพยุโรป หน่วยงานกํากับดูแลที่มีหน้าที่รับผิดชอบในการตรวจสอบให้มั่นใจว่าผู้ส่งออกข้อมูลปฏิบัติตามข้อบังคับ (สหภาพยุโรป) 2016/679 เกี่ยวกับการโอนข้อมูล ตามที่ระบุไว้ จะดําเนินการในฐานะหน่วยงานกํากับดูแลที่มีอํานาจ

ภาคผนวก II มาตรการทางเทคนิคและองค์กร รวมถึงมาตรการทางเทคนิคและองค์กรเพื่อรับรองความปลอดภัยของข้อมูล

  1. การปกปิดตัวตน การเข้ารหัส และการคุ้มครองข้อมูลในระหว่างการส่ง

นโยบายของ PayPal รับรองการปฏิบัติตามหลักการนี้และต้องใช้การควบคุมทางเทคนิคเพื่อป้องกันความเสี่ยงในการเปิดเผยข้อมูลส่วนบุคคล PayPal ใช้การเข้ารหัสข้อมูลส่วนบุคคลทั้งหมดในระหว่างการจัดส่งและขณะที่จัดเก็บไว้ นอกจากนี้ เรายังใช้เทคนิคการปกปิดตัวตนตามมาตรฐานอุตสาหกรรม เช่น การใช้โทเค็นเพื่อปกป้องข้อมูลส่วนบุคคลตามความเหมาะสม PayPal มีนโยบายที่ครอบคลุมซึ่งกำหนดภาระผูกพันและกระบวนการที่สําคัญเพื่อคุ้มครองข้อมูลเมื่อมีการโอนภายในองค์กรและภายนอกกับบุคคลภายนอก

  1. การจัดการการเปลี่ยนแปลงและความต่อเนื่องของธุรกิจ

กระบวนการจัดการการเปลี่ยนแปลงที่มีประสิทธิภาพของ PayPal ช่วยปกป้องความพร้อมใช้งานต่อเนื่องและความยืดหยุ่นของข้อมูลและระบบตลอดวงจรการใช้งานโดยการตรวจสอบให้แน่ใจว่าการเปลี่ยนแปลงได้รับการวางแผน อนุมัติ ดําเนินการ และตรวจสอบอย่างเหมาะสม กระบวนการจัดการความต่อเนื่องของธุรกิจของบริษัทช่วยกำหนดกรอบในการสร้างความยืดหยุ่นขององค์กรด้วยการมอบความสามารถในการตอบสนองอย่างมีประสิทธิภาพเพื่อปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสียที่สําคัญ

  1. การกู้คืนจากภัยพิบัติ

โปรแกรมการกู้คืนจากภัยพิบัติที่มีประสิทธิภาพของ PayPal มีกระบวนการกู้คืนข้อมูลหรือระบบเทคโนโลยีในกรณีที่มีการหยุดชะงักที่สําคัญโดยมุ่งเน้นไปที่ระบบไอทีที่สนับสนุนกระบวนการทางธุรกิจที่สําคัญและกิจกรรมของลูกค้า โครงสร้างพื้นฐานด้านเทคโนโลยีของ PayPal ตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัยหลายศูนย์ ด้วยความสามารถหลักและรอง แต่ละศูนย์ติดตั้งด้วยเครือข่ายและโครงสร้างพื้นฐานความปลอดภัย แอปพลิเคชันเฉพาะ และเซิร์ฟเวอร์และการจัดเก็บฐานข้อมูล

  1. การทดสอบ การประเมินผล และการประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ

PayPal วางแผน ดําเนินการ และรายงานผลโปรแกรมการทดสอบของบริษัทอย่างสม่ำเสมอเพื่อประเมินผลและประเมินประสิทธิภาพของมาตรการทางเทคโนโลยีและองค์กรของตน โปรแกรมได้รับการจัดการโดยทีมความเสี่ยงและการปฏิบัติตามกฎระเบียบขององค์กรซึ่งทํางานร่วมกับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องเพื่อรับและประเมินข้อมูลที่จําเป็นสําหรับการทดสอบ การรายงาน และการแก้ไขตามความจําเป็น

  1. รหัสประจําตัวผู้ใช้และการอนุญาต

กระบวนการจัดการการเข้าใช้ของ PayPal กําหนดให้ผู้ใช้ต้องเข้าสู่ระบบเครือข่ายองค์กรโดยใช้ ID บัญชีและรหัสผ่านของเครือข่ายองค์กรที่ไม่ซ้ํากันสําหรับรหัสประจําตัวผู้ใช้และการตรวจสอบสิทธิ์ก่อนที่จะเข้าถึงแอปพลิเคชันอื่นๆ ที่อยู่ภายในขอบเขต จะมีการใช้นโยบายอัตโนมัติเกี่ยวกับการประกอบรหัสผ่าน ความยาว การเปลี่ยนแปลง การนํากลับมาใช้ใหม่ และการล็อก การเข้าถึงและการอนุมัติตามบทบาทหน้าที่ซึ่งได้รับการรับรองทุกไตรมาสจะดําเนินการในระบบที่อยู่ในขอบเขตทั้งหมดเพื่อบังคับใช้หลักการที่มีสิทธิ์การใช้งานน้อยที่สุด

  1. ความปลอดภัยทางกายภาพของสถานที่ที่มีการประมวลผลข้อมูลส่วนบุคคล

นโยบายความปลอดภัยและความมั่นคงระดับโลกและกระบวนการของ PayPal ได้ระบุข้อกําหนดที่จําเป็นเพื่ออํานวยความสะดวกในกระบวนการด้านความปลอดภัยและความมั่นคง รวมถึงความปลอดภัยทางกายภาพตามกฎหมาย กฎข้อบังคับ และข้อกําหนดของพันธมิตรที่บังคับใช้ การให้ความสําคัญเป็นพิเศษกับระบบรักษาความปลอดภัยและการป้องกันเมื่อสร้างพื้นที่พิเศษหรือที่ละเอียดอ่อน เช่น ห้องจดหมาย ที่เก็บอุปกรณ์ พื้นที่จัดส่งและรับสินค้า ห้องคอมพิวเตอร์/ห้องเซิร์ฟเวอร์ ห้องนิรภัยสําหรับการสื่อสาร หรือพื้นที่จับเก็บขั้อมูล/เอกสารลับสุดยอดตามมาตรฐานการจัดการความปลอดภัยของข้อมูลของบริษัท

  1. บันทึกเหตุการณ์และการกําหนดค่า

PayPal ได้ระบุประเภทและกำหนดบันทึกเหตุการณ์ รวมทั้งประเภทและคุณลักษณะของการตรวจสอบไว้ บริษัทเก็บรวบรวมบันทึกหลายประเภทไปยังระบบการตรวจสอบความปลอดภัยจากส่วนกลาง มีการควบคุมการจัดการการกําหนดค่ามาตรฐานเพื่อให้แน่ใจว่ามีการรวบรวมบันทึกจากระบบ แล้วส่งต่อไปยังระบบการตรวจสอบความปลอดภัยจากส่วนกลางของเรา นโยบายความปลอดภัยและกระบวนการสนับสนุนระบุไว้ว่าจะต้องมีการกำหนดค่าระบบและเกณฑ์พื้นฐานการเสริมความปลอดภัยในทุกระบบ

  1. การกํากับดูแลและจัดการไอที การรับรองและการประกันกระบวนการและผลิตภัณฑ์

PayPal ส่งเสริมปรัชญาด้านความปลอดภัยที่เข้มงวดทั่วทั้งบริษัท ประธานเจ้าหน้าที่ฝ่ายรักษาความปลอดภัยสารสนเทศของเราดูแลเรื่องความปลอดภัยข้อมูลทั่วทั้งองค์กรทั่วโลกของเรา ในฐานะส่วนหนึ่งของโปรแกรมการจัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบของเรา โปรแกรมกำกับดูแลด้านเทคโนโลยีและความปลอดภัยของสารสนเทศของเราได้รับการออกแบบมาเพื่อสนับสนุนบริษัทในการจัดการเทคโนโลยีและความเสี่ยงด้านความปลอดภัยของข้อมูล และการระบุ ปกป้อง ตรวจจับ ตอบสนอง และกู้คืนจากภัยคุกคามด้านความปลอดภัยของข้อมูล PayPal รับรองและรับประกันกระบวนการและผลิตภัณฑ์ของตนผ่านโปรแกรมองค์กรที่หลากหลาย รวมถึง (i) การตรวจสอบและการประเมินภาระผูกพันด้านมาตรฐานอุตสาหกรรมทางเทคนิคของ PayPal รวมถึงแต่ไม่จํากัดเพียง ISO 27001 มาตรฐานที่บังคับใช้ของอุตสาหกรรมบัตรชําระเงิน (PCI) (DSS, PIN, P2PE ฯลฯ) และสถาบันนักบัญชีสาธารณะที่ได้รับการรับรองของสหรัฐอเมริกา (AICPA) SOC-1 และ SOC-2, (ii) กระบวนการระบุการควบคุมความเสี่ยง (RCIP) ซึ่งช่วยให้มั่นใจถึงการมีส่วนร่วมในระยะแรกและแนวทางมาตรฐานสำหรับมาตรการ การจัดการ และการตรวจสอบความเสี่ยงที่เกี่ยวข้องกับการพัฒนาและการเผยแพร่โซลูชันผลิตภัณฑ์ (iii) การประเมินผลกระทบด้านความเป็นส่วนตัวซึ่งรวมอยู่ในขั้นตอนแรกของกระบวนการพัฒนาผลิตภัณฑ์และซอฟต์แวร์ และ (iv) โปรแกรมการจัดการบุคคลภายนอกที่ครอบคลุม ซึ่งให้การรับรองผ่านการจัดการความเสี่ยงอย่างต่อเนื่องตลอดวงจรการว่าจ้างบุคคลภายนอก

  1. การลดข้อมูลให้น้อยที่สุด

นโยบายของเรากําหนด ผ่านมาตรการควบคุมทางเทคนิค ว่าองค์ประกอบข้อมูลที่เก็บรวบรวมและสร้างขึ้นคือองค์ประกอบที่เพียงพอ เกี่ยวข้อง และจํากัดเฉพาะข้อมูลที่จําเป็นซึ่งเกี่ยวข้องกับวัตถุประสงค์ในการประมวลผล กระบวนการประเมินผลกระทบด้านความเป็นส่วนตัวของ PayPal ช่วยให้มั่นใจว่ามีการปฏิบัติตามนโยบายเหล่านี้

  1. คุณภาพและการเก็บรักษาข้อมูล

นโยบายการเข้าถึงและคุณภาพของ PayPal ช่วยให้มั่นใจว่าข้อมูลส่วนบุคคลทั้งหมดถูกต้อง สมบูรณ์ และเป็นปัจจุบัน จึงช่วยให้ผู้ใช้แต่ละคนสามารถเข้าถึงระบบเพื่อทำการเปลี่ยนแปลงแก้ไขข้อมูลเฉพาะของตนได้ (เช่น ที่อยู่ รายละเอียดการติดต่อ ฯลฯ) และให้บริการที่ให้สิทธิ์ในการแก้ไข เมื่อได้รับคําขอให้ทำการแก้ไขจากเจ้าของข้อมูล โปรแกรมการกํากับดูแลข้อมูลของเราจะตรวจสอบคุณภาพ ปัญหา และการแก้ไขข้อมูลตามความจําเป็น เรากำหนดให้มีการจัดประเภทข้อมูลทั้งหมดตามมูลค่าธุรกิจและมีการกำหนดระยะเวลาการเก็บรักษา ซึ่งเป็นไปตามข้อกําหนดทางกฎหมาย ระเบียบข้อบังคับ และการจัดทำบันทึกทางธุรกิจของ PayPal เมื่อสิ้นสุดระยะเวลาในการเก็บรักษา ข้อมูลจะถูกกำจัดทิ้ง ลบ หรือทําลาย

  1. ความรับผิดชอบ

PayPal ได้พัฒนาชุดรักษาความปลอดภัยของข้อมูล เทคโนโลยี การกํากับดูแลข้อมูล การจัดการบุคคลภายนอก นโยบายและความเป็นส่วนตัว และหลักการต่างๆ ที่สอดคล้องกับมาตรฐานอุตสาหกรรม และออกแบบมาเพื่อสร้างการมีส่วนร่วมและเป็นพันธมิตรกับผู้มีส่วนได้ส่วนเสียในการตระหนักรู้และปฏิบัติตามนโยบายและการควบคุมดังกล่าวทั่วทั้งองค์กรเพื่อให้แน่ใจว่าทุกฝ่ายในองค์กรตั้งแต่ระดับบนถึงล่างสุดมีส่วนร่วมและมีความรับผิดชอบ แต่ละโปรแกรมกําหนดความรับผิดชอบในการตัดสินใจเกี่ยวกับข้อมูล กระบวนการ และการควบคุมข้ามหน่วยงาน ในฐานะผู้ควบคุมข้อมูล PayPal มีหน้าที่รับผิดชอบและปฏิบัติตามมาตราที่เกี่ยวข้องซึ่งกำหนดหน้าที่รับผิดชอบในกฎหมาย GDPR และกฎหมายคุ้มครองข้อมูลที่บังคับใช้อื่นๆ ผ่านการดำเนินนโยบายโปรแกรมความเป็นส่วนตัว และโครงสร้างการควบคุมองค์กรและทางเทคนิคที่แบ่งเป็นระดับชั้นที่สำคัญเพื่อให้แน่ใจว่าทั้งองค์กรได้ปฏิบัติตามกฎหมายความเป็นส่วนตัว ข้อบังคับ นโยบาย และกระบวนการต่างๆ ที่มีอยู่อย่างครอบคลุม ซึ่งรวมถึงความสามารถในการแสดงการปฏิบัติตามกฎหมายคุ้มครองข้อมูลผ่าน: 1) วัฒนธรรมการปฏิบัติตามกฎข้อบังคับที่แข็งแกร่ง 2) โครงสร้างการกำกับดูแลความเสี่ยงและการกํากับดูแลองค์กร ซึ่งประกอบด้วยคณะกรรมการบริหาร บทบาทในการกํากับดูแล การรายงานความเป็นส่วนตัว 3) ความรับผิดชอบของหน่วยธุรกิจในการปฏิบัติตามโปรแกรมความเป็นส่วนตัว ซึ่งรวมถึงการกำหนด การจัดทำเอกสารและการรักษากระบวนการและการควบคุมทางธุรกิจ 4) แผนกความเป็นส่วนตัวทั่วโลกภายในองค์กรการปฏิบัติตามกฎระเบียบขององค์กรมีหน้าที่กํากับดูแลการปฏิบัติตามโปรแกรมความเป็นส่วนตัวของธุรกิจ และกําหนดนโยบาย มาตรฐาน ขั้นตอน และเครื่องมือที่ดําเนินการโดยหน่วยธุรกิจ 5) การสื่อสารไปยังองค์กรโดยหน่วยงานความเป็นส่วนตัวทั่วโลก เพื่อส่งเสริมการรับรู้และเข้าใจความเป็นส่วนตัว 6) กรอบการจัดการความเสี่ยงและการปฏิบัติตามกฎระเบียบขององค์กร เพื่อให้แน่ใจว่ามีการใช้กระบวนการที่สอดคล้องรวมถึงการประเมินผลกระทบด้านความเป็นส่วนตัว การตรวจสอบและทดสอบความเป็นส่วนตัว การจัดการปัญหาความเป็นส่วนตัว การฝึกอบรมด้านความเป็นส่วนตัว แผนความเป็นส่วนตัวประจําปี และ 7) การรายงานและการวิเคราะห์ต่อคณะกรรมการบริหารที่กำกับดูแลโปรแกรมความเป็นส่วนตัว

  1. สิทธิ์ของเจ้าของข้อมูล

PayPal มีโปรแกรมเพื่อให้มั่นใจว่าสิทธิ์ของเจ้าของข้อมูลจะได้รับการตอบสนอง รวมถึงการเข้าถึง การแก้ไข และการลบ คําขอลบข้อมูลจะได้รับการดําเนินการเว้นแต่ PayPal จะมีภาระผูกพันตามกฎหมาย ระเบียบข้อบังคับ หรือเหตุผลทางธุรกิจอื่นที่ชอบด้วยกฎหมายเพื่อเก็บรักษาไว้ นโยบายของ PayPal ช่วยให้มั่นใจได้ว่าการลบข้อมูลจะเกิดขึ้นตลอดวงจรการใช้งานของลูกค้า

  1. ผู้ประมวลผล

PayPal มีโปรแกรมการจัดการบุคคลภายนอกที่ครอบคลุม ซึ่งให้ความมั่นใจผ่านการจัดการความเสี่ยงอย่างต่อเนื่องตลอดวงจรการมีส่วนร่วมกับบุคคลภายนอก เรามีการควบคุมตามสัญญาในการขอให้ผู้ประมวลผลและผู้ประมวลผลย่อยของเรากําหนดมาตรฐานด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวที่ครอบคลุมตลอดห่วงโซ่การประมวลผล ผู้ประมวลผลย่อยทั้งหมดต้องได้รับการอนุมัติล่วงหน้าจากเราก่อนจึงจะสามารถว่าจ้างได้

  1. ความต่อไปนี้มีผลบังคับใช้กับมาตราการโอนของสหราชอาณาจักรเท่านั้น

ผู้รับ
ข้อมูลส่วนบุคคลที่โอนสามารถเปิดเผยแก่ผู้รับต่อไปนี้เท่านั้น:

  • ผู้ให้บริการของผู้นำเข้า บริษัทในเครือ และบุคลากรที่มีหน้าที่ให้บริการตามสัญญา

ข้อมูลการลงทะเบียนการคุ้มครองข้อมูลของผู้ส่งออกข้อมูล (ถ้ามี)

ไม่สามารถใช้ได้

ข้อมูลเพิ่มเติมที่เป็นประโยชน์ (ขีดจำกัดการจัดเก็บข้อมูลและข้อมูลที่เกี่ยวข้องอื่นๆ)

ตามที่ระบุไว้ในสัญญาและข้างบนในเอกสารแนบ 1 นี้