>> Преглед на всички правни споразумения
Корпоративни правила за потребителя на PayPal
Целта на групата на PayPal е да прилага единни, адекватни и глобални стандарти за защита на данните и поверителността при обработването на всички потребителски лични данни в цялата група на PayPal.Тези корпоративни правила за потребителя се прилагат за всички потребителски лични данни, които са обработвани от членовете на групата по целия свят.
Потребителите в глобален мащаб дават своите лични данни на членовете на групата с цел използване на услугите, които се предлагат от групата. Повечето потребителски лични данни се събират и съхраняват в САЩ. Глобалната дейност на PayPal изисква потребителските лични данни да бъдат споделяни с други субекти на PayPal в САЩ и по целия свят, където PayPal в момента има или възнамерява да има присъствие.
В момента достъп до личните данни на потребителя могат да имат служители, намиращи се в следните държави от ЕИЗ: Люксембург, Белгия, Франция, Германия, Ирландия, Италия, Нидерландия, Полша, Испания, Швеция.
Служителите, които в момента се намират в следните държави извън ЕС, също могат да имат достъп до лични данни на потребителя: САЩ, Тайван, Турция, Вирджински острови (британски), Австралия, Канада, Китай, Хонконг, Индия, Индонезия, Израел, Япония, Република Корея, Малайзия, Мавриций, Филипини, Русия, Сингапур, Швейцария, Обединеното кралство, Аржентина, Бразилия и Мексико.
PayPal се ангажира да защитава по адекватен информацията на потребителя, независимо от това къде се съхранява тя, и да осигури подходяща защита на потребителските лични данни, когато те се прехвърлят извън ЕИЗ.
Този списък с държави може да се промени с разширяването на дейността на компанията.
1. Структура и отговорности за управление на поверителността
Корпоративните правила за потребителя са направени правнообвързващи чрез споразумение („IGA“) между PayPal (Europe) S. à r.l. & CIE, S.C.A. („Водещ член на групата“) и други субекти от групата на PayPal.IGA изисква от членовете на групата да спазват корпоративните правила за потребителя. Членовете на групата изискват от служителите си да спазват корпоративните правила за потребителя при обработването на личните данни на потребителя.
Бизнес ръководителите и висшето ръководство на групата на PayPal са отговорни за спазването на тези корпоративни правила за потребителя, включително да гарантират, че служителите са осведомени и спазват тези корпоративни правила за потребителя.
Програмата за поверителност на PayPal е ръководена от директора по спазването на поверителността. Той/тя има висша длъжност в рамките на PayPal Holdings, Inc. и докладва директно на главното длъжностно лице по съответствието или на висшия изпълнителен директор, който отговаря за спазването на правилата за съответствие на PayPal. Директорът по спазването на поверителността ръководи глобалния екип за спазване на правилата на PayPal относно поверителността и си взаимодейства с други вътрешни организации или екипи, като например тези по операции, информационна сигурност, съответствие, риск и вътрешен одит, за да се гарантират съгласувани комуникации, практики и политики за поверителност в групата на PayPal в глобален мащаб. Глобалният екип за спазване на поверителността на PayPal разработва и координира изпълнението на своята стратегия за съответствие в рамките на групата на PayPal и потвърждава оперативното съответствие. Глобалният екип за спазване на поверителността на PayPal има преки и непреки представители в цялата група на PayPal, които, наред с други неща, помагат да се гарантира спазването на корпоративните правила за потребителя и приложимите закони за защита на данните.
Директорът по спазването на поверителността надзирава глобалния правен екип за спазването на поверителността на PayPal и докладва директно на главното правно длъжностно лице или на висшия изпълнителен директор, който отговаря за правните функции на PayPal. Директорът по спазването на поверителността определя задълженията на компанията съгласно приложимите закони за защита на данните и тези корпоративни правила за потребителя. Директорът по спазването на поверителността и глобалния правен екип за спазването на поверителността на PayPal работят в тясно сътрудничество с ръководството глобалния екип за спазването на поверителността на PayPal и взаимодействат с други вътрешни организации и екипи, като например тези по юридически теми, операции, информационна сигурност и риск, за да предоставят правни съвети и тълкувания на правни и регулаторни последици за променящите се въпроси на поверителността в рамките на групата на PayPal в глобален мащаб.
Колективно, глобалният екип за спазването на поверителността на PayPal и глобалният правен екип за поверителността на PayPal образуват глобалния екип по въпросите за поверителността на PayPal.
Европейското длъжностно лице за защита на данните, което се намира в Люксембург, се назначава от и докладва на ръководството на PayPal (Europe) S.à r.l. et Cie, S.C.A.. Европейското длъжностно лице за защита на данните действа като основно лице за контакт с органите за защита на данните на ЕИЗ и има, наред с останалото, следните задължения: да информира и съветва членовете на групата и техните служители, които обработват лични данни, за техните задължения съгласно законите за поверителност, за да се гарантира спазването на настоящите корпоративни правила за потребителя; да работи заедно с глобалния екип по въпросите за поверителността на PayPal, за да наблюдавате спазването на законите за поверителност и свързаните с тях политики на членовете на групата; както и да предоставя правни съвети на членовете на групата, когато такива са нужни, по отношение на оценките за въздействието върху защитата на данните и тяхното изпълнение.
2. Принципи за обработване на потребителски лични данни
Членовете на групата спазват следните принципи за обработване на лични данни на потребителя.
2.1 Ограничения на целта
Личните данни на потребителя се обработват само за конкретни, изрични и законни цели. По-специално личните данни на потребителя могат да бъдат обработвани за:
- Предлагане и улесняване на предоставянето на услуги при заявки от потребителите, включително откриване на акаунт;
- Подобряване на услугите и разработване на нови услуги;
- Разрешаване на спорове, управление на съдебни спорове, отстраняване на проблеми и осигуряване на обслужване на клиенти;
- Извършване на управление на риска;
- Обработване на трансакциите и събиране на дължимите такси;
- -Проверка на кредитоспособността и платежоспособността;
- За измерване на интереса на потребителите към услугите и обратната връзка и мнение относно услугите, както и за уведомяване на потребителите за онлайн и офлайн оферти, услуги и актуализации;
- Персонализиране на опита на потребителите;
- Откриване и защита срещу грешки, измами и други престъпни дейности;
- Откриване на правните, договорните или регулаторните задължения на групата на PayPal;
- Прилагане на правилата и условията за услугата и останалото описано пред потребителите съдържание към момента на събирането и в политиката за поверителност на услугата;
- Защита на сигурността, интегритета и достъпността на услугите и на мрежата на групата на PayPal; и
- Защита на законните права и интереси на групата на PayPal, включително, но не само, установяване, упражняване или защитаване срещу правни искове.
Обработването на потребителските лични данни за други цели подлежи на предварително одобрение от глобалния правен екип относно поверителността на PayPal. Когато съществуват някакви съмнения, членовете на групата ще се консултират с глобалния правен екип относно поверителността на PayPal.
Потребителските лични данни няма да се обработват по какъвто и да е начин, който е несъвместим с изброените по-горе цели, освен ако няма правно основание за това съгласно приложимото законодателство към намиращия се в ЕИЗ член на групата, който отговаря за събирането и/или прехвърлянето на потребителските лични данни.
2.2 Качество на данните и пропорционалност
Личните данни на потребителя ще бъдат:
- Точни и при необходимост актуализирани;
- Адекватни и релевантни, без да са прекомерни, по отношение на целите, за които се обработват; и
- Съхранени за не по-дълг от нужния период за постигане на целите, за които първоначално са събрани или допълнително обработени.
Потребителските лични данни, които вече не се изискват за целите, за които са били обработени, се заличават, изтриват, унищожават или анонимизират, освен ако няма правно основание за по-нататъшното им обработване или съхранение съгласно приложимото законодателство.
2.3 Правни основания за обработване
Членовете на групата ще гарантират, че потребителските лични данни се обработват справедливо и законосъобразно и по-специално на базата на поне едно от следните правни основания:
- Недвусмислено съгласие на потребителя;
- Обработване, необходимо за изпълнението на договор, по който потребителят е страна, или за да се предприемат стъпки по заявка на потребителя преди сключването на договор;
- Обработване, необходимо за спазване на законово задължение, субект на което са членовете на групата;
- Обработване, необходимо за защита на жизнените интереси на потребителя;
- Обработване, необходимо за изпълнението на задача, извършвана в интересна обществото, или при упражняване на официална власт, която е дадена на членовете на групата или на трета страна, пред което се разкриват данните; или
- Обработване, необходимо за целите на законните интереси, преследвани от члена на групата или от третата страна или страни, пред която/които се разкриват данните, освен когато тези интереси не са отменени от интересите на основните права и свободи на потребителя.
Като обща практика членовете на групата не събират поверителни лични данни на потребителя. Когато се изисква такова събиране или когато потребителите доброволно предоставят такава информация, членовете на групата гарантират, че чувствителните лични данни на потребители се обработват само на база поне едно от следните основания:
- Изричното съгласие на потребителя;
- Обработване, необходимо за защита на жизнените интереси на потребителя или на друго лице, когато потребителят е физически или юридически неспособен да даде своето съгласие;
- Обработването е свързано с лични данни на потребителя, които очевидно са направени публично достояние от потребителя; или
- Обработване, необходимо за установяване, упражняване или защита на правни искове.
Когато обработването включва автоматично вземане на решение („автоматизирани решения“), членовете на групата ще осигурят подходящи мерки за защита на законните интереси на потребителя, като например осигуряване на потребителя на възможност за индивидуален преглед на решението от представител на екипа по поддръжка и да позволи на потребителя да предостави своята гледна точка. Представителят на екипа за поддръжка на клиенти трябва да отнесе въпроса до длъжностното лице за защита на данните на ЕС, , в случай че потребителят продължи да не се съгласява с автоматизирано решение. Когато е подходящо, ще се направи консултация с ръководителя на правния отдел за поверителност и ще бъде уведомен ръководителя на отдела за спазване на поверителността.
2.4 Прозрачност
Когато събират лични данни на потребителя, членовете на групата ще уведомят потребителите за:
- Името и адреса на члена на групата, отговарящ за първоначалното събиране и обработване;
- Категориите на съответните лични данни на потребителя;
- Планираните цели на обработването;
- Категориите на получаващите обработчици и трети страни на потребителските лични данни;
- Дали отговорите на въпросите са задължителни или доброволни, както и възможните последствия от липса на отговор;
- Съществуването на потребителски права; и
- В случай на автоматизирано вземане на решения – използваната логика.
Членовете на групата могат да предоставят информацията в политиката за поверителност на услугата, която е достъпна чрез връзка и/или се показва на видно място на всеки уеб сайт или приложение, вкл. по време на регистрацията. Задължението за информиране на потребителите не се прилага, ако потребителите вече са запознати с информацията.
Когато предоставянето на информация се окаже невъзможно или би довело до непропорционални усилия, членовете на групата могат да се въздържат от предоставянето на информацията. Това е приложимо само за лични данни на потребителя, които не са получени директно от потребителя.
При изключителни обстоятелства предоставянето на конкретна информация може да бъде отложено или пропуснато, например в контекста на разследвания за неправомерно поведение или за спазване на приложимите закони, или когато предоставянето на информацията може да застраши целостта на разследването.
2.5 Поверителност и защита
Членовете на групата използват физически, технически и организационни контроли за сигурност, които са пропорционални на количеството и чувствителността на потребителските лични данни, за да не се допусне неразрешено обработване, включително, но не само, неразрешен достъп до личните данни, придобиването, използването, унищожаването или увреждането на личните данни на потребителя. Членовете на групата използват шифроване, защитни стени, контроли за достъп, стандарти и други процедури за защита на информацията за потребителя срещу неразрешен достъп. Физическият и логическият достъп до файлове с електронни и материални копия е допълнително ограничен въз основа на отговорностите на длъжността и бизнес нуждите.
2.6 Избори и права на потребителя
Потребителите могат да имат право на достъп и корекция за повечето свързани с тях потребителски лични данни, които се съхраняват от членовете на групата чрез, като използват съответния онлайн инструмент или процеса на самообслужване, които са им предоставени чрез уеб сайта или приложението на услугата.
Във всички случаи потребителите имат право да подадат заявка за достъп на субект на данни, за да прегледат или получават копие от своите потребителски лични данни, които не са достъпни чрез уеб сайта или приложението на услугата. Потребителите трябва да се свързват с отдела за поддръжка на клиенти чрез инструкциите, които са им предоставени чрез уеб сайта или приложението на услугата. Членовете на групата ще спазват заявките във времевите рамки, предвидени от приложимото законодателство, освен когато приложимото законодателство предвижда изключение от това задължение. От потребителите може да се изисква да представят доказателство за самоличността си и е възможно да подлежат на такса за обслужване, както е разрешено от приложимото законодателство.
Потребителите също така могат да поискат коригирането на техните данни, ако те са непълни или неточни. Членовете на групата ще спазват такива заявки и ще информират потребителите, когато техните данни са коригирани. Членовете на групата ще уведомят третите страни, пред които са разкрити данните на потребителя, за всяко коригиране, освен ако това се окаже невъзможно или не налага непропорционални усилия.
Въз основа на убедителни законни основания потребителите могат да възразят срещу обработването на техните потребителски лични данни. Членовете на групата ще се съобразим с тези искания, освен ако задържането на Лични данни на потребителя не се изисква от приложимото законодателство или да се PayPal групата срещу правни претенции. Потребителите ще бъдат информирани за резултата от своето искане и мерките, предприети от членовете на групата.
Освен това потребителите могат да поискат техните акаунти да бъдат закрити, като изпълнят инструкциите, предоставени чрез уеб сайта или приложението на услугата. Членовете на групата ще премахнат или направят анонимна информацията на потребителя в дадена услуга възможно най-скоро, въз основа на дейността на акаунта. В някои случаи членовете на групата могат да забавят закриването на даден акаунт или да запазят личните данни на потребителя, за да проведат разследване или когато това се изисква от приложимото законодателство. Членовете на групата също така могат да запазят потребителска информация от закрити акаунти за откриване и предотвратяване на измами, събиране на дължими такси, разрешаване на спорове, отстраняване на проблеми, съдействие при разследвания, управление на риск, прилагане на правилата и условията за дадена услуга, спазване на законовите или подзаконови изисквания и предприемане на други действия, разрешени съгласно приложимото законодателство. Данните ще се съхраняват във форма, който позволява идентифицирането на субектите на данните, за не по-дълго от нужното за целите, за които са събрани или за които те се обработват, и ще бъдат заличени, след като основната причина за съхранението им е била адресирана или решена.
С изключение на тези потребители, които са избрали да не получават определени съобщения, членовете на групата могат да използват лични данни на потребителя, за да насочват комуникациите към потребителите въз основа на интересите си съгласно приложимото законодателство. На потребителите, които не желаят да получават маркетингови съобщения от групата на PayPal, ще бъдат предложени лесно достъпни средства, за да се противопоставят на по-нататъшната реклама, например в настройките на акаунта или като следват указанията, предоставени в имейл или от връзка в съобщението.
Потребителите могат да упражняват горепосочените права, като се свържат с отдела за поддръжка на клиенти. Когато самоличността на потребителя е трудна за проверка, членовете на групата могат да поискат от потребителя да представи допълнително доказателство за идентификация.
2.7 Разкривания на лични данни
Членовете на групата могат да споделят потребителските лични данни по обичайния начин и обхват на дейността с други членове на групата по целия свят за целите, посочени в Раздел 2.1.
В съответствие с приложимите закони, договори или приложими международни конвенции, членовете на групата могат да споделят лични данни с правоприлагащи и регулаторни органи, когато е необходимо в едно демократично общество, за да се защитят националната сигурност, отбраната, обществената сигурност, превенцията, разследването, разкриването и наказателното преследване на престъпления, и по-специално да се спазят санкциите, предвидени в международните и/или националните инструменти, изискванията за данъчно отчитане или изискванията за докладване за борба с прането на пари.
Членовете на групата не продават или отдават под наем лични данни на трети лица за свои собствени маркетингови цели без изричното недвусмислено информирано съгласие на потребителя. Членовете на групата могат да разгласяват информация за потребителя на други трети лица в съответствие с инструкциите на потребителя или съгласието (когато това е допустимо съгласно приложимото законодателство).
Когато потребителските лични данни се прехвърлят на обработчици, обработчиците ще подлежат на оценка на риска за поверителността, защитата на данните и сигурността на информацията, преди да се започне работа и преди да се направи каквото и да било прехвърляне на потребителски лични данни.Обхватът на оценката ще варира въз основа на чувствителността на обработваните лични данни на потребителя. Обработчиците, включително член на групата, който поема ролята на обработчик, трябва да сключат споразумение със съответните членове на групата, за да се осигурят адекватни мерки за поверителност, защита на данните и сигурност на информацията. Това споразумение включва клаузи, гарантиращи подходящо използване на лични данни на потребителите и мерки за сигурност, съответстващи на количеството, естеството и чувствителността на съответните потребителски лични данни. Като минимум договорните предпазни мерки трябва да покриват следните въпроси:
- Изисквания за спазване на закона и за обработване на потребителските лични данни само в съответствие с условията на Споразумението и само съгласно инструкциите на съответните членове на групата;
- Подходящи технически и организационни мерки, адаптирани към чувствителността на съответните потребителски лични данни и обработването;
- Право на одит на спазването на договорните гаранции от страна на обработчика;
- Задължения за уведомяване за пробиви в сигурността; и
- Разпоредби за отстраняване в случай на неспазване от страна на обработчика на неговите правни или договорни задължения.
Споразуменията трябва да съдържат клаузи, които гарантират, че неспазването на условията на споразумението може да доведе до спиране или прекратяване на Споразумението наред с други корективни мерки, посочени в Споразумението.
Оценката на поверителността, защитата на данните и сигурността на информацията не е задължителна за обработчиците, които вече са били обект на такава оценка, освен ако дейностите по обработването не включват характеризиращи се с висок риск дейности, като се отчитат естеството и количеството на личните данни и вида на съответните дейности по обработването.
Независимо от горепосоченото, когато членовете на групата прехвърлят лични данни на потребители в ЕИЗ на трети лица или на обработчици, които не са членове на групата: (i) намиращи се в държави, които не предоставят адекватни нива на защита (по смисъла на Директива 95/46/ЕО), (ii) които не са обхванати от одобрени обвързващи корпоративни правила, или (iii) които нямат други споразумения, които биха удовлетворили изискванията на ЕС за адекватност, членът на групата гарантира във връзка с:
- Трети страни, че те прилагат подходящи договорни контроли, като например моделни договорни клаузи, одобрени от Европейската комисия, които осигуряват нива на защита, съизмерими с тези потребителски корпоративни правила, или алтернативно с цел гаранция, че прехвърлянето (i) се осъществява с недвусмисленото съгласие на потребителя, (ii) е необходимо за изпълнението или извършването на договор, сключен с потребителя, (iii) е необходимо или законово изисквано от важни основания от обществен интерес , или (iv) е необходимо, за да се защитят жизненоважни интереси на потребителя;
- Обработчиците, че те прилагат договорни контроли, като например моделни договорни клаузи, одобрени от Европейската комисия, които осигуряват нива на защита, съответстващи на тези потребителски корпоративни правила.
3. Механизъм за жалби
Ако потребителите смятат, че техните потребителски лични данни са обработени в нарушение на потребителските корпоративни правила, те могат да докладват своите притеснения на функцията за обслужване на клиенти на съответния член на групата чрез уеб сайта на съответната услуга, по имейла или както е указано по друг начин в приложимите правила и условия. Потребителите обикновено могат да намерят отговори на най-честите въпроси и притеснения за поверителността, като въведат думата „поверителност“ в раздела „Помощ“ на съответната услуга, което обикновено насочва потребителя към конкретна страница или политика за поверителност. Разделът „Помощ“ на съответната услуга е уникалната входна точка за всички потребителски заявки, свързани с тяхната поверителност или обработването на потребителската информация, и предоставя на потребителя възможността да се свърже с отдела за поддръжка на клиенти.
В случай на съмнения относно това кой канал да се използва за съобщаване на свързани с поверителността притеснения, потребителите могат да се свържат с длъжностното лице по защита на данните онлайн.
Екипът по поддръжка на клиентите разследва и се опитва да разреши повдигнатите от потребителите притеснения. Служителите, отговорни за адресиране на свързаните с поверителността притеснения, работят в тясно сътрудничество с глобалния екип за поверителност на PayPal и отговарят на потребителите в съответствие с политиките, процедурите и указанията на PayPal. Ако потребителите смятат, че притесненията им не са били разгледани адекватно или ако не са получили отговор, те могат да поискат тяхното притеснение да бъде приведено до вниманието на длъжностното лице за защита на данните в ЕС. Ще се направи консултация с ръководителя на правния отдел за поверителност и ще се уведоми ръководителят на отдела за спазване на поверителността. Методите за привеждане на вниманието ще се определят въз основа на характера и обхвата на притеснението и ще се препратят до съответния екип без забавяния. Отговор на жалбата се предоставя на потребителя в рамките на разумен срок и във всеки случай в рамките на период от три (3) месеца след датата на запитването, освен при необичайни обстоятелства или комплексни въпроси, в който случай потребителят ще бъде уведомен, че отговорът ще отнеме повече от три (3) месеца.
Механизмът за подаване на жалби не накърнява правото на потребителите да подават жалби пред компетентни органи или съдилища за защита на данните.
4. Права и отговорност на явяващи се бенефициенти трети страни
Потребителите в ЕИЗ, които подозират за нарушения на потребителските корпоративни правила извън ЕИЗ, имат право да поискат принудителното изпълнение на потребителските корпоративни правила като явяващи се бенефициенти трети страни за Раздели 2, 3, 4, 7 и 8 от потребителските корпоративни правила пред компетентните органи за защита на данните, пред съдилищата на водещия член на групата или пред съдилищата на члена на групата, който действа като износител на данни. Тези права на изпълнение са в допълнение към други средства за защита или права, предоставени от PayPal или налични съгласно приложимото законодателство.
Въпреки че не е задължително, потребителите в ЕИЗ се насърчават първо да докладват притеснението си директно на члена на групата, а не на органите за защита на данните или на съдилищата. Това позволява на групата на PayPal да осигури ефикасен и бърз отговор и намалява възможните забавяния от органите за защита на данните или от съдебни процедури.
PayPal Europe S.à r.l. et Cie, S.C.A., регистрирано в Люксембург дружество с ограничена отговорност, поема отговорност и се съгласява да надзирава спазването на потребителските корпоративни правила от страна на члена на групата. Водещият член на групата се задължава (i) да предприеме необходимите действия за коригиране на нарушение, извършено от членове на групата извън ЕИЗ; и (ii) да изплати обезщетението на потребители в ЕИЗ, което е присъдено от водещия орган за защита на данните или от съдилищата на Люксембург във връзка с каквито и да било вреди, пряко произтичащи от нарушаването на потребителските корпоративни правила от членове на групата извън ЕИЗ, ако съответният член на групата не е в състояние или не желае да заплати компенсацията или да спази поръчката.
Водещият член на групата потвърждава и приема, че носи тежестта на доказване по отношение на заявено нарушение на потребителските корпоративни правила.
Водещият групата член (или който и да е друг член на групата) не носи отговорност, ако основателно демонстрира, въз основа на наличните факти и като се вземат предвид коментарите на потребителя, че членът на групата извън ЕИЗ не е нарушил потребителските корпоративни правила или не носи отговорност за щетите, които са заявени от потребителя.
5. Обучение
Членовете на групата ще гарантират, че всички служители, които обработват потребителските лични данни, както и служителите, които участват в проектирането на инструменти, които ще се използват за събиране или обработване на потребителски лични данни, преминават през обучение за поверителност и информираност за защита на информацията, за да се информират служителите и да се подчертае пред тях необходимостта да се защитават и гарантират лични данни на потребителите в съответствие с потребителските корпоративни правила.
От служителите се изисква да преминават на годишна база онлайн обучение за съответствие, което е базирано на Кодекса за бизнес поведение и етика и което включва раздел за защита на данните. Новите служители трябва да завършат онлайн обучението за съответствие при започване на своята работа.
В допълнение към това онлайн обучение за съответствие глобалният екип по поверителността на PayPal и длъжностното лице за защита на данните в ЕС провеждат обучения за защита на поверителността и информацията, за да се информират служителите и да се подчертае пред тях необходимостта да защитават и пазят личните данни. Такива обучения се извършват на годишна база или по-често, ако обстоятелствата го изискват.
Обучаванията, през които преминават служителите, се адаптират съгласно техните нива на достъп до личните данни на потребителите, като на служителите с по-високи нива на достъп се осигурява допълнителното обучение.
Членовете на групата ще информират служителите, че неспазването на тези потребителски корпоративни правила може да доведе до дисциплинарни действия и други действия, разрешени от приложимия закон. Копие от тези потребителски корпоративни правила и други съответни политики и процедури за поверителност и защита са достъпни за служителите по всяко време чрез интранета на компанията. Потребителските корпоративни правила също са включени в Кодекса за бизнес поведение и етика, който всички служители трябва да преразгледат и да се съгласят да спазват.
6. Одити и мониторинг
За да гарантираме съответствие с потребителските корпоративни правила, глобалният екип за спазване на поверителността на PayPal преглежда на текуща база дейностите и практиките за обработване на лични данни. Тези дейности се координират в тесни консултации с длъжностното лице по защита на данните в ЕС.
Екипът за вътрешен одит е независим и обективен консултант на ръководството и Съвета на директорите, който чрез одиторския комитет съобщава резултатите от одитите на Съвета на директорите, ръководителите на екипите по поверителност и на длъжностното лице по защита на данните в ЕС.
Екипът за вътрешен одит може редовно да преглежда дейностите или практиките, идентифицирани от глобалния екип за поверителност. Екипът за вътрешен одит, ръководителят на екипа за поверителност и длъжностното лице по защита на данните в ЕС при необходимост ще изискват да бъде изпълнен план за действие, за да се гарантира спазването на ОКП. Групата може да назначи независими външни одитори за допълнително разрешаване, доколкото вътрешните групи не решават въпросите по адекватен начин.
Длъжностното лице по защита на данните в ЕС, глобалният екип по спазване на поверителността на PayPal или екипите за вътрешен одит и външните одитори разработват подробни одитни планове и графици въз основа на риска от обработването.
Резултатите от одита за поверителността ще бъдат достъпни за компетентните органи за защита на данните. PayPal си запазва правото да премахне части от одитните доклади, за да се гарантира поверителността на частната или друга фирмена поверителна информация.
7. Връзка между потребителските корпоративни правила и националното законодателство
Предвид различните правни изисквания по целия свят, които са свързани със защитата на данните, потребителските корпоративни правила установяват последователен набор от изисквания, които да помогнат за гарантирането на подходящия начин на обработване на потребителските лични данни. Въпреки че потребителските корпоративни правила създават базово изискване, което членовете на групата да спазват, членовете на групата ще спазват приложимите закони, които могат да наложат по-строги стандарти от тези, които са посочени в настоящите корпоративни правила.
Нищо в тези потребителски корпоративни правила не засяга задълженията на членовете на групата съгласно приложимите банкови закони, по-специално във връзка с банковата тайна. Ако приложимото законодателство противоречи на потребителските корпоративни правила, тъй като може да попречи на член на групата да изпълни задълженията си съгласно потребителските корпоративни правила, и оказва съществен ефект върху предоставените в него гаранции, членът на групата незабавно трябва да уведоми длъжностното лице по защита на данните в ЕС, освен когато предоставянето на такава информация е забранено от правоприлагащ орган или от закона. Длъжностното лице по защита на данните в ЕС, ръководителят на екипа по поверителността и водещият член на групата ще определят подходящия курс на действие и в случай на съмнение ще се консултират с компетентния орган за защита на данните.
8. Взаимопомощ и сътрудничество с органите за защита на данните
Членовете на групата ще си сътрудничат и ще си съдействат при обработването на заявки или оплаквания от потребители по отношение на потребителските корпоративни правила.
Членовете на групата ще реагират усърдно и подходящо на заявките от органите за защита на данните относно потребителските корпоративни правила. Ако служител получи такова искане от орган за защита на данните, той трябва незабавно да уведоми длъжностното лице по защита на данните в ЕС.
Членовете на групата ще си съдействат по отношение на запитванията и ще приемат одити от компетентните органи за защита на данните в ЕИЗ относно спазването на потребителските корпоративни правила, като също ще зачитат техните решения в съответствие с приложимото законодателство и правата на надлежно обработване.
9. Актуализации на съдържанието на тези потребителски корпоративни правила и списък на обвързаните членове
PayPal си запазва правото да променя тези потребителски корпоративни правила при нужда, например с цел спазване на промените в приложимите закони, правила, разпоредби, практиките, процедурите и организационната структура на PayPal, или изисквания, наложени от съответните органи за защита на данните.
Глобалният правен екип за поверителност на PayPal поверителност (под управлението на ръководителя на правния екип за поверителност) ще предложи всички необходими промени в тези потребителски корпоративни правила. Глобалният екип за спазване на поверителността на PayPal (под управлението на ръководителя на екипа за спазване на поверителността) и длъжностното лице относно защитата на данните в ЕС трябва да одобрят всички промени в потребителските корпоративни правила и да проследят всички модификации на потребителските корпоративни правила на потребителя, както и всички промени в списъка с членовете на групата. Членовете на групата трябва да докладват на съответните органи за защита на данните относно промените в потребителските корпоративни правила с цел официално одобрение и съгласно изискванията на приложимото законодателство.
Водещият член групата ще се консултира с водещия орган за защита на данните относно съществените промени в потребителските корпоративни правила, които биха засегнали спазването на защитата на данните или функцията на потребителските корпоративни правила. Водещият член на групата ще съобщава съществените промени по потребителските корпоративни правила и промените в списъка с членовете на групата поне веднъж годишно на водещия орган за защита на данните. Глобалният екип за поверителност на PayPal ще оказва съдействие за подкрепа на длъжностното лице относно защитата на данните в ЕС, което по-специално ще координира отговорите и своевременно ще разглежда коментарите, предложенията или възраженията спрямо промените, повдигнати от водещия орган за защита на данните, от името на PayPal. Всички коментари, предложения или възражения, повдигнати от други органи за защита на данните, ще бъдат съобщени на длъжностното лице относно защитата на данните в ЕС от водещия орган за защита на данните, който ще действа от името на другите органи за защита на данните.
Промените в потребителските корпоративни правила важат за всички членове на групата към датата на влизане в сила на изпълнението. Членовете на групата ще предоставят известие за съществени промени на потребителските корпоративни правила на потребителите в съответствие с предпочитанията на потребителя за услугите или чрез масови имейли, или чрез публикуване на уеб сайт с ясно и предварително предупреждение до потребителите, че правилата на потребителя са се променили. Членовете на групата публикуват преразгледаните потребителски корпоративни правила на избрани външни уеб сайтове или приложения, които са достъпни за потребителите. Редакциите по потребителските корпоративни правила влизат в сила в рамките на два месеца, след като членовете на групата уведомят потребителите и публикуват коригираните потребителски корпоративни правила.
10. Публикация
Потребителските корпоративни правила ще се публикуват и ще се осигури връзка на уеб сайта или приложенията на услугата. Потребителите могат да поискат копие от длъжностното лице относно защитата на данните в ЕС (ДЛЗД), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Люксембург или онлайн.
11. Заключителни разпоредби
Дата на влизане в сила: 25 май 2018 г.
За връзка: потребителите могат да изпращат въпроси или притеснения във връзка с тези потребителски корпоративни правила, като се свързват с:
Длъжностното лице относно защитата на данните в ЕС (ДЛЗД)
PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Люксембург
12. Дефиниции
Членовете на групата трябва да тълкуват потребителските корпоративни правила по начин, който е в най-голяма степен съобразен с основните понятия на принципите в Директива 95/46/ЕО на ЕС или на всички заместващи директиви или регламенти.
За целите на тези потребителски корпоративни правила се прилагат следните дефиниции:
Съвет на директорите означава Съветът на директорите на водещия член на групата.
Органи за защита на данните означава обществените органи, които отговарят за мониторинга и прилагането на националните законодателства в рамките на съответната им територия, приети от държавите членки на ЕИЗ – съгласно Директивата за защита на данните на ЕС (95/46/ЕО).
ЕИЗ означава Европейската икономическа зона, която в момента включва държавите-членки на ЕС, Исландия, Лихтенщайн и Норвегия.
Служител означава служители, работници, стажанти и други членове на персонала, включително условни или временни работници, алтернативна работна сила или изпълнители на член на групата, независимо дали са наети, или ангажирани на пълно или на непълно работно време и независимо от вида на заетостта или ангажимента.
Европейско длъжностно лице относно защитата на данните (ДЛЗД) означава служителят, който е назначен и докладва на ръководството на водещия член на групата и също така служи като член на глобалния правен екип за поверителност на PayPal. ДЛЗД в ЕС се намира в Люксембург.
Член на групата означава субект от групата на PayPal, който е изпълнил копие на ВГС.
ВГС означава вътрешногрупово споразумение
Водещият орган за защита на данните означава „Commission nationale pour la protection des données“ („CNPD“) на Люксембург.
Водещ член на групата означава PayPal (Europe) S.à r.l. & Cie, S.C.A., регистрирано в Люксембург частно дружество с ограничена отговорност.
Глобален екип за поверителността на PayPal означава координирания глобален екип за спазване на поверителността на PayPal и глобалният правен екип за поверителност на PayPal.
Глобален екип за спазване на поверителността на PayPal означава членове на организацията за съответствие, които се занимават конкретно със спазването и функционирането на програмата за поверителност на PayPal.
Глобален правен екип за поверителност на PayPal означава членове на правния отдел, които се занимават специално с поверителността и защитата на данните.
Групата на PayPal означава PayPal Holdings, Inc. („PayPal“) и всеки субект, пряко или непряко контролиран от PayPal, който обработва потребителска информация, като под „контрол“ се разбира собствеността на повече от петдесет процента (50%) от избирателната сила на директорите на компанията или над петдесет процента (50%) дялово участие във фирмата.
Лични данни означава всяка информация, свързана с идентифицирано или подлежащо на идентификация физическо лице; за подлежащо на идентифициране лице се приема човек, който може да бъде идентифициран, пряко или косвено, по-специално чрез позоваване на идентификационен номер или на един или повече фактори, специфични за неговата/нейната физическа, физиологическа, психическа, икономическа, културна или социална идентичност.
Обработване означава всяка операция или набор от операции, които се извършват с лични данни, независимо дали това става чрез автоматични средства, като например събиране, записване, организиране, съхранение, адаптиране или изменяне, извличане, консултиране, използване, разкриване чрез предаване, разпространение или предоставяне по друг начин на разположение, синхронизиране или комбиниране, блокиране, изтриване или унищожаване.
Обработчик означава всяко физическо или юридическо лице, което обработва лични данни от името на член на групата.
Чувствителни лични данни означава лични данни, които разкриват расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, свързана с престъпления информация или информация, отнасяща се до здравето или сексуалния живот.
Услуга означава уеб сайт, приложение или друг продукт или услуга, предлагани от групата на PayPal за използване от потребител.
Трета страна означава всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от потребителя, члена на групата, обработчика и лицата, които под прякото ръководство на члена на групата или обработчика, като например служители, са упълномощени да обработват лични данните.
Потребител означава минали и настоящи клиенти, потенциални клиенти, инвеститори, бизнес партньори и търговци.
Потребителски лични данни означава лични данни, свързани с потребителите.