>> Xem tất cả các Thỏa thuận

Phụ lục về bảo vệ dữ liệu dành cho các sản phẩm xử lý thẻ của PayPal

 

Cập nhật gần đây nhất: Ngày 10 tháng 9 năm 2021

Phụ lục về bảo vệ dữ liệu dành cho các sản phẩm xử lý thẻ của PayPal (“Phụ lục” này) áp dụng cho bất kỳ sản phẩm, dịch vụ hay đối tượng được chào bán nào khác trong đó thành viên của Tập đoàn PayPal (“PayPal”) cung cấp dịch vụ xử lý thẻ, cổng và/hoặc phòng chống gian lận (“Dịch vụ thanh toán”) cho bạn với tư cách là Người bán (“Người bán” hoặc “Bạn”). Phụ lục này không áp dụng cho các dịch vụ ví PayPal như thanh toán bằng PayPal hoặc Pay Later của PayPal. Phụ lục này là một phần trong thỏa thuận liên quan giữa Người bán và PayPal và sẽ điều chỉnh quá trình PayPal cung cấp Dịch vụ thanh toán cho bạn (“Thỏa thuận”). Trong trường hợp có bất kỳ mâu thuẫn nào giữa các điều khoản của Phụ lục này và Thỏa thuận thì các điều khoản của Phụ lục này sẽ được ưu tiên áp dụng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Phụ lục này sẽ có ý nghĩa như trình bày trong Thỏa thuận.

Phụ lục này có hiệu lực kể từ (i) ngày có hiệu lực được nêu trong Thỏa thuận hoặc (ii) ngày có hiệu lực nêu trong thông báo được đăng hoặc cung cấp cho bạn liên quan đến Phụ lục này (ngày đến sau sẽ được áp dụng). Chúng tôi có thể sửa đổi Phụ lục này tùy từng thời điểm. Phiên bản sửa đổi sẽ có hiệu lực tại thời điểm chúng tôi đăng tải lên trang web của mình, trừ khi có ghi chú khác. Nếu những thay đổi của chúng tôi làm giảm quyền hoặc tăng trách nhiệm của bạn, chúng tôi sẽ đăng thông báo lên trang “Cập nhật về chính sách” trên trang web của mình trong khung thời gian quy định của Thỏa thuận. Nếu không đồng ý với bất kỳ thay đổi nào đối với Phụ lục, bạn có thể ngừng sử dụng Dịch vụ thanh toán bất cứ lúc nào.

Định nghĩa
Các thuật ngữ dưới đây có ý nghĩa như sau khi được sử dụng trong Phụ lục này:

Bên kiểm soát” có nghĩa là một pháp nhân xác định mục đích và phương tiện xử lý Dữ liệu cá nhân, hoặc nếu thuật ngữ này (hoặc thuật ngữ chỉ các chức năng tương tự) được định nghĩa trong Luật bảo vệ dữ liệu, “Bên kiểm soát” sẽ có ý nghĩa giống như được định nghĩa trong Luật bảo vệ dữ liệu hiện hành.

Khách hàng” có nghĩa là khách hàng sử dụng Dịch vụ thanh toán và là chủ thể dữ liệu theo mục đích của Phụ lục này.

Dữ liệu khách hàng” có nghĩa là Dữ liệu cá nhân mà (i) Khách hàng cung cấp cho Người bán và Người bán chuyển cho PayPal thông qua quá trình Người bán sử dụng các Dịch vụ thanh toán và (ii) PayPal có thể thu thập từ thiết bị và trình duyệt của Khách hàng thông qua quá trình Người bán sử dụng các Dịch vụ thanh toán.

Luật bảo vệ dữ liệu” có nghĩa là các luật, quy định, chỉ thị, yêu cầu pháp lý và quy tắc thực hành về bảo vệ dữ liệu áp dụng cho quá trình cung cấp Dịch vụ thanh toán, bao gồm mọi nội dung sửa đổi theo đó và các quy định hoặc công cụ có liên quan (ví dụ: Đạo luật về quyền riêng tư người tiêu dùng California 2018, Bộ luật Dân sự California § 1798.100 và các bộ luật sau đó, Quy định chung về bảo vệ dữ liệu (Liên minh Châu Âu) 2016/679 (GDPR), Đạo luật về quyền riêng tư Úc 1988 (Cth), Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (Canada), Sắc lệnh về (quyền riêng tư) dữ liệu cá nhân (Chương 486) (Hồng Kông), Bộ luật chung về bảo vệ dữ liệu Brazil, Luật liên bang số 13.709/2018 và Đạo luật bảo vệ dữ liệu cá nhân năm 2012 (Singapore)).

“Tập đoàn PayPal” có nghĩa là PayPal, Inc. và tất cả các công ty mà PayPal hoặc tổ chức kế nhiệm của PayPal trực tiếp hoặc gián tiếp sở hữu hoặc kiểm soát.

Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân đã định danh hoặc có thể định danh (“chủ thể dữ liệu”); thể nhân có thể định danh là một thể nhân có thể được định danh theo cách trực tiếp hoặc gián tiếp, đặc biệt là khi tham chiếu đến một thông tin định danh như tên, mã số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến hoặc một hay nhiều yếu tố định danh cụ thể về thể chất, sinh lý, di truyền, tâm thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.

Quy trình” hoặc các thuật ngữ đề cập đến các chức năng tương tự khi được sử dụng trong Phụ lục này sẽ có ý nghĩa như định nghĩa trong Luật bảo vệ dữ liệu hiện hành.

PayPal với tư cách là Bên kiểm soát

PayPal sẽ tuân thủ các yêu cầu của Luật bảo vệ dữ liệu áp dụng cho Bên kiểm soát đối với công tác xử lý dữ liệu khách hàng theo Phụ lục này (bao gồm nhưng không giới hạn ở việc thực hiện và luôn duy trì tất cả biện pháp bảo mật thích hợp liên quan đến quá trình xử lý dữ liệu khách hàng) và sẽ không cố ý thực hiện hay cho phép thực hiện bất kỳ điều gì liên quan đến dữ liệu khách hàng có thể sẽ khiến Người bán vi phạm Luật bảo vệ dữ liệu. PayPal sẽ chỉ chuyển dữ liệu khách hàng cho các bên thứ ba, bên xử lý phụ hoặc thành viên của Tập đoàn PayPal sẽ ký thỏa thuận bằng văn bản có chứa các điều khoản để bảo vệ dữ liệu khách hàng, mức độ bảo vệ của các điều khoản đó sẽ không kém hơn các điều khoản trong Phụ lục này.

Xử lý dữ liệu khách hàng liên quan đến dịch vụ xử lý thanh toán

Các bên thừa nhận và đồng ý rằng Người bán và PayPal là Bên kiểm soát độc lập riêng biệt đối với tất cả Dữ liệu khách hàng được xử lý liên quan đến Dịch vụ thanh toán. Do đó, PayPal độc lập xác định mục đích và phương thức Xử lý dữ liệu khách hàng đó và không phải là bên đồng kiểm soát với Người bán đối với dữ liệu khách hàng đó.

Các bên thừa nhận và đồng ý rằng PayPal được phép sử dụng, sao chép và xử lý dữ liệu khách hàng và dữ liệu giao dịch thanh toán cho các mục đích giới hạn sau đây:

  • khi cần thiết một cách hợp lý để cung cấp và cải thiện Dịch vụ thanh toán cho Người bán và Khách hàng của họ, bao gồm các công cụ phòng chống gian lận;
  • để theo dõi, ngăn chặn và phát hiện các giao dịch thanh toán gian lận và tránh tổn hại cho Người bán, PayPal cũng như các bên thứ ba,
  • để tuân thủ các nghĩa vụ pháp lý hoặc quy định áp dụng cho công tác Xử lý và lưu giữ dữ liệu thanh toán mà PayPal phải tuân thủ, bao gồm các nghĩa vụ theo quy định hiện hành về chống rửa tiền và xác minh danh tính;
  • để phân tích, phát triển và cải thiện các sản phẩm và dịch vụ của PayPal;
  • sử dụng nội bộ, bao gồm nhưng không giới hạn ở việc phân tích dữ liệu và chỉ số;
  • để biên soạn và tiết lộ Dữ liệu khách hàng cũng như dữ liệu giao dịch thanh toán dưới dạng tổng hợp trong đó không thể nhận dạng dữ liệu khách hàng cá nhân hoặc người dùng của bạn, bao gồm việc tính các số liệu trung bình của bạn theo khu vực hoặc ngành;
  • tuân thủ các yêu cầu pháp lý hiện hành và hỗ trợ các cơ quan thực thi pháp luật bằng cách phản hồi các yêu cầu tiết lộ thông tin theo quy định của pháp luật; và
  • bất kỳ mục đích nào khác mà PayPal thông báo cho Người bán, với điều kiện là mục đích đó phù hợp với Luật bảo vệ dữ liệu.

Thông báo của người bán cho khách hàng

Người bán sẽ nỗ lực một cách hợp lý về mặt thương mại để (i) thông báo cho Khách hàng thông qua chính sách quyền riêng tư của họ rằng PayPal là Bên kiểm soát độc lập trong quy trình Xử lý dữ liệu khách hàng theo như mô tả trong Phụ lục này và (ii) cung cấp liên kết dẫn đến Tuyên bố về Quyền riêng tư của PayPal trong chính sách quyền riêng tư của Người bán.

Hỗ trợ lẫn nhau

Các bên đồng ý hợp tác với nhau trong phạm vi cần thiết một cách hợp lý để cho phép bên còn lại thực hiện đầy đủ trách nhiệm của mình với tư cách là Bên kiểm soát độc lập theo Luật bảo vệ dữ liệu. Các bên đồng ý rằng khi Người bán nhận được yêu cầu truy cập của chủ thể dữ liệu hoặc khi Khách hàng thực thi bất kỳ quyền nào của họ theo Luật bảo vệ dữ liệu thì Người bán sẽ trực tiếp trả lời yêu cầu truy cập của Khách hàng đó. Người bán cũng sẽ thông báo cho Khách hàng rằng họ có thể thực thi các quyền của mình với tư cách là chủ thể dữ liệu liên quan đến Dịch vụ thanh toán với PayPal theo các hướng dẫn được mô tả trong Tuyên bố về Quyền riêng tư có tại www.paypal.com.. Ngoài ra, nếu có sự cố bảo mật xảy ra và PayPal tự xác định rằng cần phải thông báo cho Khách hàng bị ảnh hưởng nhưng PayPal không có thông tin liên hệ cần thiết về một Khách hàng bị ảnh hưởng nào đó để thực hiện thông báo thì Người bán sẽ nỗ lực hợp lý về mặt thương mại nhằm cung cấp cho PayPal thông tin liên quan đến Khách hàng mà Người bán có thể sở hữu để phục vụ mục đích duy nhất là giúp PayPal hoàn thành nghĩa vụ của mình trong việc thông báo cho Khách hàng bị ảnh hưởng theo Luật bảo vệ dữ liệu.

Chuyển dữ liệu ra nước ngoài

Các bên đồng ý rằng PayPal có thể chuyển Dữ liệu khách hàng được xử lý theo Thỏa thuận này ra bên ngoài quốc gia nơi dữ liệu đó được thu thập khi cần thiết để cung cấp Dịch vụ thanh toán. Nếu PayPal chuyển Dữ liệu khách hàng được bảo vệ theo Phụ lục này đến một khu vực pháp lý nhưng cơ quan quản lý có thẩm quyền tại quốc gia nơi dữ liệu được thu thập chưa đưa ra quyết định về khả năng bảo vệ dữ liệu của khu vực pháp lý đó thì PayPal sẽ đảm bảo rằng các biện pháp bảo vệ thích hợp đã được áp dụng cho quá trình chuyển dữ liệu khách hàng theo Luật bảo vệ dữ liệu hiện hành. Ví dụ: nhằm mục đích tuân thủ GDPR, chúng tôi áp dụng Quy tắc ràng buộc doanh nghiệp được các cơ quan giám sát có thẩm quyền phê duyệt và các cơ chế chuyển dữ liệu khác để thực hiện chuyển dữ liệu khách hàng đến các thành viên khác của Tập đoàn PayPal.

Khi bạn chuyển cho PayPal dữ liệu về các Khách hàng của bạn tại Liên minh Châu Âu, Thụy Sĩ, Khu vực Kinh tế Châu Âu và/hoặc các quốc gia thành viên và Vương quốc Anh, mỗi bên trong chúng ta đồng ý rằng (i) việc bạn ký Thỏa thuận sẽ được coi là Người bán, với tư cách là bên xuất dữ liệu, đã ký kết và chấp nhận các Điều khoản hợp đồng tiêu chuẩn giữa các Bên kiểm soát được phê duyệt theo Quyết định ngày 27 tháng 12 năm 2004 của Ủy ban Châu Âu (C(2004)5721) (“Điều khoản chuyển giao C2C”) và (ii) việc PayPal ký Thỏa thuận sẽ được coi là PayPal, với tư cách là bên nhập dữ liệu, đã ký kết và chấp nhận Điều khoản chuyển giao C2C. Trong trường hợp Ủy ban Châu Âu sửa đổi và sau đó ban hành Điều khoản chuyển giao C2C mới hoặc theo yêu cầu hay quy trình triển khai khác của Ủy ban Châu Âu, các bên đồng ý rằng Điều khoản chuyển giao C2C mới đó sẽ thay thế Điều khoản chuyển giao C2C hiện tại. Điều khoản chuyển giao C2C sẽ được đưa vào Thỏa thuận này bằng cách tham chiếu và được coi là ký kết hợp lệ giữa các bên khi Thỏa thuận này có hiệu lực theo các chi tiết sau:

  1. PayPal đồng ý sẽ xử lý Dữ liệu khách hàng theo Tập II, khoản II(h)(iii) của Điều khoản chuyển giao C2C và việc ký Thỏa thuận sẽ được coi là đã ký tắt hợp lệ và chấp nhận khoản II(h)(iii) đó; và
  2. Các bên đồng ý rằng các chi tiết cần thiết theo Điều khoản chuyển giao C2C - Phụ lục B tuân theo quy định trong Tài liệu đính kèm 1.

Tài liệu đính kèm 1

Điều khoản chuyển giao C2C - Phụ lục B

Chủ thể dữ liệu
Dữ liệu cá nhân được chuyển liên quan đến các danh mục chủ thể dữ liệu sau:

Bên xuất dữ liệu và Khách hàng của họ.

Mục đích chuyển
Việc chuyển dữ liệu được thực hiện cho các mục đích sau:

Thực hiện các dịch vụ do bên nhập dữ liệu cung cấp cho bên xuất dữ liệu theo Thỏa thuận.

Danh mục dữ liệu
Dữ liệu cá nhân được chuyển có thể bao gồm các danh mục dữ liệu sau:

Tên khách hàng, số tiền cần thanh toán, ngày/giờ, chi tiết tài khoản ngân hàng, chi tiết thẻ thanh toán, mã CVC, mã bưu chính, mã quốc gia, địa chỉ, địa chỉ email, fax, điện thoại, trang web, ngày hết hạn, chi tiết vận chuyển, tình trạng thuế, mã định danh khách hàng duy nhất, Địa chỉ IP, vị trí và bất kỳ dữ liệu nào khác mà PayPal nhận được theo Thỏa thuận.

Người nhận
Dữ liệu cá nhân được chuyển chỉ có thể được tiết lộ cho những người nhận sau đây:

Các nhà cung cấp dịch vụ, chi nhánh và nhân viên thực hiện dịch vụ của bên nhập dữ liệu theo Thỏa thuận.

Dữ liệu nhạy cảm (nếu phù hợp)
Dữ liệu cá nhân được chuyển liên quan đến các danh mục dữ liệu nhạy cảm sau:

Không áp dụng, trừ khi Người bán sắp xếp dịch vụ để thu thập dữ liệu đó.

Thông tin đăng ký bảo vệ dữ liệu của bên xuất dữ liệu (nếu có)

Không áp dụng.

Thông tin hữu ích bổ sung (hạn mức lưu trữ và thông tin liên quan khác)

Theo quy định trong Thỏa thuận này.

Người liên hệ để gửi các câu hỏi về bảo vệ dữ liệu

Bên nhập dữ liệu: Bạn có thể xem thông tin người liên hệ cho Bên nhập dữ liệu trong Thỏa thuận.

Bên xuất dữ liệu: Bạn có thể xem thông tin người liên hệ cho Bên xuất dữ liệu trong Thỏa thuận.