>> 檢視所有同意書

卡片直接支付處理產品的資料保護控制者附錄

 

2.0 版本

本資料保護控制者附錄(簡稱本「附錄」)適用於任何 PayPal 集團實體(簡稱「PayPal」)向你、商店(簡稱「商店」或「你」)提供 Braintree 及其他類似的卡片付款、金流閘道服務及/或詐騙維護工具的產品。本附錄不適用於 PayPal 品牌錢包服務,例如:快速結帳或使用 PayPal 按鈕付款。本附錄應構成商店與 PayPal 之間的相關同意書的一部分,該同意書規範 PayPal 向你提供的付款處理服務(簡稱「同意書」)的條款。若本附錄的條款與同意書之間存在任何衝突,則以本附錄的條款為準。本附錄中使用但未定義的大寫術語,應具有同意書所述之含義。

本附錄 (i) 自同意書所指明的日期起生效,或 (ii) 同意書或本附錄提供通知之所載生效日期較晚者為準。我們可能隨時修改本附錄並在網站上發佈修訂版本。修訂版本將於我們發佈時生效。此外,如果我們以降低你的權利或增加你的責任的方式來修訂本附錄,我們將在同意書要求的期限內,於「政策更新」頁面上發佈通知,提供你事先書面聲明。我們還可能透過電子郵件或其他方式通知你相關變更。如果你不同意對本附錄所做的任何變更,隨時都可以終止你對同意書的使用。

定義
下列術語在本附錄使用時的含義如下:

控制者」意指決定處理個人資料用途和方式的實體,或者,如果資料保護法中有定義此類術語(或表示類似功能的術語),則「控制者」應具有適用資料保護法所界定的含義。

客戶」意指在美國境外使用付款處理服務的客戶,就本附錄而言,為資料主體。

客戶資料」意指 (i) 客戶提供給商店,而商店透過使用付款處理服務傳送給 PayPal 的個人資料,以及 (ii) PayPal 透過商店使用付款處理服務可能收集到的客戶裝置及瀏覽器資料。本附錄中所使用的客戶資料不包括商店的美國客戶的個人資料。

資料保護法」意指適用於提供付款處理服務的資料保護法律、法規、法令、法規要求及業務守則,包括任何相關修訂與任何相關的法規或工具(例如,《一般資料保護規範》(GDPR) (EU) 2016/679、《澳洲 1988 年隱私權法案》(Cth)、《個人資料保護及電子文件法》(加拿大)、《個人資料(隱私權)條例》(第 486 章)(香港)、《巴西一般資料保護法》、聯邦法編號13709/2018 與 2012 年《個人資料保護法》(新加坡))。

「PayPal 集團實體」意指 PayPal, Inc. 及所有 PayPal 所有 PayPal 或其後繼公司直接或間接不定時持有或控制的公司。

個人資料」意指與已識別或可識別自然人(「資料主體」)相關的任何資訊;所謂可識別的自然人意指可以直接或間接,特別是透過涉及如姓名、身分證號碼、居住資料、線上識別碼的識別資料,或是一個或多個身體、生理、遺傳、心理、經濟、文化或社會身分特定因素而可識別的自然人。

本附錄使用類似功能的「處理程序」或術語,應具有適用資料保護法中定義的含義。

PayPal 為資料控制者

PayPal 應遵守本附錄關於個人資料用途中適用於控制者的資料保護法規定(包括但不限於在任何時候實施並維護所有與處理個人資料相關的適當安全措施),且不得故意進行或允許進行任何可能導致商店違反資料保護法的個人資料相關行為。PayPal 僅出於提供付款處理服務的目的,將個人資料轉移給第三方、分包處理者或 PayPal 集團實體成員,且應與該等第三方及分包處理者簽訂包含客戶資料保護條款的書面同意書,且其保護程度不亞於本附錄中所述的條款。

處理與付款處理服務相關的個人資料

雙方瞭解並同意,商店及 PayPal 是各自獨立的控制者,處理與付款處理服務相關的所有個人資料。因此,PayPal 獨立決定處理該等個人資料的目的和方式,並非與商店為該等個人資料的共同控制者。

當事人確認並同意,PayPal 獲准使用、複製並處理用於以下有限目的的客戶資料及付款交易資料:

  • 為商店與其客戶提供並改善付款處理服務的合理需求,包括預防詐騙工具;
  • 監控、預防與偵測詐騙付款交易,並防止對商店、PayPal 及第三方造成損害;
  • 遵守適用於 PayPal 處理及保留付款資料的法律或監管責任,包括適用的防洗錢及身分認證責任;
  • 分析、開發並改善 PayPal 的產品與服務;
  • 內部使用,包括但不限於資料分析與指標;
  • 以無法識別您的個人或用戶個人資料的彙總方式,彙整並披露客戶資料及付款交易資料,包括按地區或產業計算您的平均值;
  • 遵守適用的法律規定,並回應依法披露資料的要求協助執法機關;以及
  • 如有任何其他用途,只要該用途符合資料保護法,便會通知商店。

商店通知客戶

商店應使用商業上合理的努力 (i) 在隱私權政策中告知客戶,PayPal 為本附錄所述處理客戶資料的獨立控制者,並在 (ii) 商店的隱私權政策中加入適用的 PayPal 或 Braintree 隱私權政策的連結。

互助

雙方同意在合理必要的範圍內彼此合作,以使對方能夠根據資料保護法,充分履行獨立控制者的責任。當事人同意,根據資料保護法,商店收到當事人使用要求或客戶行使其權利時,商店應直接回應此客戶的使用要求。商店也應告知客戶,他們可根據 www.paypal.com 網站上隱私權聲明中所述的指示,以行使其與 PayPal 付款處理服務相關的資料當事人權利。此外,如果與任何交易安全事件有關,PayPal 自行決定是否必須通知受影響的客戶,且 PayPal 並沒有關於受影響客戶的必要聯絡資料來進行此類溝通,則商店應使用商業上合理的努力,向 PayPal 提供商店可能因有限用途而擁有與客戶相關的資料,PayPal 遵守資料保護法中有關受影響客戶適用的的通知責任。

跨境資料傳輸

雙方同意,PayPal 得在提供付款處理服務所需的情況下,將根據本同意書處理的個人資料傳輸至收集資料國家以外的區域。如果 PayPal 將本附錄所保護的個人資料傳輸至一司法管轄區,而該司法管轄區未取得收集資料所在國家主管機關通過的適足性認定,PayPal 將確保根據適用的資料保護法,為個人資料的傳輸實施適當的保障措施。例如,基於遵守《一般資料保護規範》(GDPR) 之目的,我們仰賴主管機關批准的《企業約束規則》及其他資料傳輸機制,將客戶的個人資料傳輸至其他 PayPal 集團實體。

針對你將位於歐盟、瑞士、歐洲經濟區和 / 或其會員國以及英國的客戶資料傳輸至 PayPal,我們皆同意 (i) 簽署此同意書後,即代表你簽署並接受 2004 年 12 月 27 日之歐盟執委會決議 (C(2004)5721) 所核准之控制者對控制者標準合約條款(簡稱「C2C 傳輸條款」),由商店作為資料匯出方;以及 (ii) PayPal 簽署同意書後,即代表 PayPal 簽署並接受 C2C 傳輸條款,由 PayPal 作為資料匯入方。若歐盟執委會修改並隨後發佈新的 C2C 傳輸條款,或歐盟執委會另行提出要求或實施,則雙方同意新版的 C2C 傳輸條款將會取代目前的 C2C 傳輸條款。C2C 傳輸條款將透過引用的方式納入本同意書,並在此同意書生效時被視為在雙方之間正式執行,但需遵循以下細節:

  1. PayPal 同意將依據 C2C 傳輸條款下第 II 組第 II (h)(iii) 條款處理客戶資料,以及簽署同意書後即被視為正式開始並接受此等條款 II(h)(iii);並且
  2. 雙方皆同意 C2C 傳輸條款附件 B 下所要求的詳細資訊,皆列於附件 1。

附件 1

C2C 傳輸條款附件 B

資料當事人
傳輸的個人資料涉及以下資料當事人類型:

資料匯出方及其客戶。

傳輸目的
資料傳輸目的如下:

資料匯入方遵照此同意書,向資料匯出方履行所提供的服務。

資料類型
傳輸的個人資料可能包括以下資料類型:

客戶姓名、收費金額、日期 / 時間、銀行帳戶詳細資料、付款信用卡詳細資料、CVC 信用卡認證編號、郵遞區號、國家代碼、地址、電子郵件地址、傳真、電話號碼、網站、有效期限、運送詳細資料、納稅身分、特殊客戶識別、IP 位址、地點,以及 PayPal 根據此同意書所收取的任何其他資料。

收件人
傳輸的個人資料僅能向以下收件人揭露:

匯入方的服務提供者、關係企業,以及根據此同意書執行服務的相關人員。

敏感性資料(若適用)
傳輸的個人資料涉及以下類型的敏感資料:

不適用,除非商店設定服務以取得此等資料。

資料匯出方的資料保護註冊資訊(若適用)

不適用

其他實用資訊(儲存限額和其他相關資訊)

如同意書中所述。

資料保護查詢聯絡點

資料匯入方:本同意書列有資料匯入方的聯絡點。

資料匯出方:本同意書列有資料匯入方的聯絡點。