>> Vis alle juridiske aftaler

PayPal Virksomhedsregler

Download PDF

 

PayPal-koncernens mål er at anvende ensartede, passende og globale standarder for databeskyttelse og persondata til håndtering af alle personlige brugeroplysninger i hele PayPal-koncernen.  Disse virksomhedsregler gælder for alle personlige brugeroplysninger, der behandles af koncernmedlemmer verden over.

Brugere over hele verden giver deres personlige oplysninger til medlemmer af koncernen for at kunne benytte de tjenester, som koncernen tilbyder.  De fleste personlige oplysninger indsamles og opbevares i USA.  PayPals globale forretning kræver, at personlige brugeroplysninger deles med andre PayPal-enheder i USA og globalt, hvor PayPal i øjeblikket er eller har til hensigt at være til stede.

I øjeblikket har medarbejdere i følgende EØS-lande adgang til personlige brugeroplysninger: Luxembourg, Belgien, Frankrig, Tyskland, Irland, Italien, Holland, Polen, Spanien, Sverige.

Medarbejdere, der i øjeblikket befinder sig i følgende tredjelande, kan også have adgang til personlige brugeroplysninger: USA, Taiwan, Tyrkiet, Jomfruøerne (Storbritannien), Australien, Canada, Kina, Hongkong, Indien, Indonesien, Israel, Japan, Republikken Korea, Malaysia, Mauritius, Filippinerne, Rusland, Singapore, Schweiz, Storbritannien, Argentina, Brasilien og Mexico.

PayPal er forpligtet til at beskytte brugeroplysningerne tilstrækkeligt, uanset hvor de Personlige Oplysninger befinder sig, og til at yde passende beskyttelse til de Personlige Oplysninger, ved overførsel uden for EØS-lande.

Denne liste over lande kan ændre sig, efterhånden som virksomhedens forretning udvides.

 

1. Struktur og ansvar for håndtering af persondata

Virksomhedsreglerne er juridisk bindende ved en aftale (”IGA”) mellem PayPal (Europe) S.à r.l. & Cie, S.C.A ("det ledende koncernmedlem") og andre PayPal koncernenheder.  IGA kræver, at koncernmedlemmerne overholder disse virksomhedsregler. Koncernmedlemmerne kræver, at deres medarbejdere overholder disse virksomhedsregler, når de håndterer personlige brugeroplysninger.

Erhvervsledere og seniorledelse i PayPal Group er ansvarlige for, at håndhæve overholdelse af disse Virksomhedsregler, herunder at sikre, at medarbejderne er opmærksomme på, og overholder disse Virksomhedsregler.

Den ansvarlige for compliance og persondata driver PayPals program for beskyttelse af persondata. Vedkommende har en ledende stilling inden for PayPal Holdings, Inc. og rapporterer direkte til den øverste compliance-ansvarlige eller den øverste leder for compliance-funktionen i PayPal.  Den ansvarlige for compliance og persondata fører tilsyn med PayPals globale team for compliance og persondata og er i kontakt med andre interne organisationer eller teams, såsom drift, informationssikkerhed, compliance, risiko og intern revision for at sikre konsekvent kommunikation om persondata, praksis og politikker på tværs af PayPal-koncernen globalt. PayPals globale team for compliance og persondata udvikler og koordinerer implementeringen af sin compliance-strategi på tværs af PayPal-koncernen og bekræfter den driftsmæssige compliance.  PayPals globale team for compliance og persondata har direkte og indirekte repræsentanter i hele PayPal-koncernen, som blandt andet bidrager til at sikre overholdelse af virksomhedsreglerne og den gældende databeskyttelseslovgivning.

Den juridiske persondataansvarlige fører tilsyn med PayPals globale juridiske persondatateam og rapporterer direkte til den øverste juridiske chef, eller den øverste leder, der står i spidsen for den juridiske funktion hos PayPal.  Den juridiske persondataansvarlige definerer virksomhedens forpligtelser i henhold til gældende databeskyttelseslovgivning og disse virksomhedsregler. Den juridiske persondataansvarlige og PayPals globale juridiske persondatateam arbejder i tæt samarbejde med den ansvarlige for compliance og persondata og PayPals globale team for compliance og persondata og er i kontakt med andre interne organisationer og teams, såsom juridisk afdeling, drift, informationssikkerhed og risiko, for at give juridisk rådgivning og fortolke juridiske og lovgivningsmæssige konsekvenser for opståede persondataspørgsmål, på tværs af PayPal-koncernen globalt.

PayPals globale team for compliance og persondata samt PayPals globale juridiske persondatateam udgør samlet set PayPals globale persondatateam.

Den europæiske databeskyttelsesansvarlige i Luxembourg, udpeges af, og rapporterer til ledelsen i PayPal (Europe) S.à r.l. et Cie, S.C.A.. Den europæiske databeskyttelsesansvarlige fungerer som den primære kontakt for EØS-databeskyttelsesmyndighederne og har blandt andet følgende opgaver: at informere og rådgive koncernmedlemmer og deres medarbejdere, der behandler personlige oplysninger, om deres forpligtelser i henhold til persondatalovgivningen for at sikre overholdelse af disse virksomhedsregler, at arbejde sammen med PayPals globale persondatateam for at overvåge overholdelse af persondatalovgivningen og tilknyttede politikker for koncernmedlemmer, og at yde juridisk rådgivning til koncernmedlemmerne efter behov i forbindelse med konsekvensanalyse af databeskyttelsen og implementeringen af denne.

 

2. Principper for behandling af personlige brugeroplysninger

Gruppemedlemmer overholder følgende behandlingsprincipper for Personlige Oplysninger.

2.1 Formålsbegrænsning

Personlige brugeroplysninger behandles kun til specifikke, udtrykkelige og legitime formål.  Personlige brugeroplysninger kan behandles til følgende formål:

- Tilbyde og lette levering af tjenester efter brugernes anmodninger, herunder åbning af en konto;

- Forbedre tjenesterne og udvikle nye tjenester;

- Løse konflikter, håndtere retssager, fejlfinding, og yde kundeservice;

- Udføre risikostyring;

- Behandle transaktioner og indsamle gebyrer;

- Tjek kreditværdighed og solvens;

- Måle brugernes interesse for, og feedback og mening om tjenester, og til at informere brugere om online/offline tilbud, tjenester og opdateringer;

- Tilpasse brugeroplevelser;

- Opdage og beskytte mod fejl, bedrageri og anden kriminel aktivitet;

- Opfylde PayPal Group’s juridiske, kontraktmæssige eller lovmæssige forpligtelser;

- Håndhæve tjenestens vilkår og betingelser, og som ellers beskrevet til brugere på tidspunktet for indsamling, og i Tjenestens fortrolighedspolitik;

- Beskytte sikkerheden, integriteten og tilgængeligheden af tjenesterne og PayPal Group-netværket, og;

- Beskytte PayPal Group’s juridiske rettigheder og interesser, herunder men ikke begrænset til, etablering, udøvelse eller forsvar mod juridiske krav.

Behandling af personlige brugeroplysninger til andre formål er underlagt forudgående godkendelse fra PayPals globale juridiske persondatateam.  I tilfælde af tvivl vil koncernmedlemmer konsultere med PayPals globale juridiske persondatateam.

Personlige brugeroplysninger vil ikke blive behandlet yderligere på en måde, der er uforenelig med ovennævnte formål, medmindre der er et retsgrundlag for at gøre dette i henhold til gældende lovgivning for koncernmedlemmer i EØS, der har ansvar for indsamling og/eller overførsel af personlige brugeroplysninger.   

2.2 Datakvalitet og -proportionalitet

Følgende skal gøre sig gældende for Personlige Oplysninger:

  • De skal være nøjagtige og om nødvendigt holdt opdaterede.
  • De skal være tilstrækkelige, relevante og proportionelle i forhold til de formål, hvortil de behandles.
  • De må ikke opbevares længere end nødvendigt for at opnå de formål, hvortil de oprindeligt blev indsamlet eller yderligere behandlet.  

Personlige Oplysninger som ikke længere er nødvendige til de formål, hvortil de blev behandlet, skal fjernes, slettes, destrueres eller anonymiseres, medmindre der er juridisk grundlag for yderligere behandling eller opbevaring, og hvis det kræves i henhold til gældende lovgivning.

2.3 Juridiske begrundelser for behandling

Gruppemedlemmer skal sikre, at brugeres Personlige Oplysninger behandles retfærdigt og lovligt, og især i henhold til mindst ét af de følgende juridiske grundlag:

  • Ubegrænset samtykke fra brugeren;
  • Behandling, der er nødvendig for udførslen af en kontrakt som brugeren er en del af, eller for at træffe foranstaltninger efter brugerens ønske, forud for indgåelse af en kontrakt;
  • Behandling, der er nødvendig for at overholde en juridisk forpligtelse hvori Gruppemedlemmer er omfattet;
  • Behandling, der er nødvendig for at beskytte brugeres vitale interesser;
  • Behandling, der er nødvendig for udførelsen af en opgave udført i offentlighedens interesse, eller i udøvelse af offentlig myndighed der tilhører Gruppemedlemmer, eller en tredjepart hvortil dataene er afsløret; eller
  • Behandling, der er nødvendig med henblik på de legitime interesser for Gruppemedlemmet, eller af tredjepart, eller parter, hvortil dataene offentliggøres, undtagen når sådanne interesser tilsidesættes af brugerens interesser for grundlæggende rettigheder og friheder.

Som en generel praksis indsamler koncernmedlemmerne ikke følsomme personlige brugeroplysninger.  Hvor en sådan indsamling er nødvendig, eller hvor brugerne frivilligt giver sådanne oplysninger, skal koncernmedlemmerne sikre, at de følsomme personlige brugeroplysninger kun behandles i henhold til mindst ét af de følgende grundlag:

  • Ubegrænset samtykke fra brugeren;
  • Behandling nødvendig for at beskytte brugerens eller en anden persons interesser, hvor brugeren fysisk eller juridisk ikke er i stand til at give sit samtykke;
  • Behandling vedrørerende Personlige Oplysninger, der tilsyneladende er offentliggjort af brugeren; eller
  • Behandling nødvendig for etablering, udøvelse eller forsvar af juridiske krav.

Når behandlingen omfatter automatiske beslutninger (”Automatiserede beslutninger”), skal koncernmedlemmerne sørge for passende foranstaltninger til beskyttelse af brugerens legitime interesser, som f.eks. at give brugeren mulighed for at få en kundeservicerepræsentant til at gennemgå beslutningen individuelt, og tillade brugeren at give deres eget perspektiv. Kundeservicerepræsentanten skal eskalere sagen til EU's databeskyttelsesansvarlige, hvis brugeren fortsat er uenig med en automatiseret beslutning. Den juridiske persondataansvarlige konsulteres, og den ansvarlige for compliance og persondata vil blive informeret.  

2.4 Gennemsigtighed

Ved indsamling af Personlige Oplysninger, skal Gruppemedlemmer informere brugere om:

  • Navn og adresse på det Gruppemedlem, der er ansvarlig for den oprindelige indsamling og behandling;
  • De kategorier af berørte Personlige Oplysninger;
  • De tilsigtede formål med behandlingen;
  • Kategorierne for Behandlere, og Tredjeparter der modtager de Personlige Oplysninger;
  • Uanset om svar på spørgsmålene er obligatoriske eller frivillige, samt de mulige konsekvenser af manglende svar;
  • Eksistensen af brugerrettigheder; og
  • I tilfælde af automatiseret beslutningstagning, den involverede logik.

Koncernmedlemmerne kan levere oplysningerne i en politik om beskyttelse af personlige oplysninger for en tjeneste, som skal kunne tilgås via et link og/eller være vist på en fremtrædende placering for hvert tjenestewebsted, eller -applikation, og ved registrering.  Forpligtelsen om at informere brugerne gælder ikke, hvis brugerne allerede er klar over oplysningerne.  

Hvis det viser sig ikke at være muligt eller at være uforholdsmæssigt vanskeligt at levere oplysningerne, kan koncernmedlemmerne undlade at give oplysningerne.  Dette ville kun være tilfældet for personlige brugeroplysninger, der ikke er blevet indhentet direkte fra brugeren. 

I særlige tilfælde, kan udlevering af specifikke oplysninger udskydes eller udelades, f.eks. i forbindelse med undersøgelser af fejlagtig adfærd eller overholdelse af gældende love, eller hvor tilvejebringelsen af oplysningerne kunne bringe undersøgelsens integritet i fare.

2.5 Fortrolighed og sikkerhed

Koncernmedlemmerne benytter fysiske, tekniske og organisatoriske sikkerhedstjek i forhold til mængden og følsomheden af personlige brugeroplysninger for at forhindre uautoriseret behandling, herunder men ikke begrænset til, uautoriseret adgang til, erhvervelse og brug af, tab, ødelæggelse eller skader på personlige brugeroplysninger. Koncernmedlemmerne bruger kryptering, firewalls, adgangskontrol, standarder og andre procedurer til beskyttelse af brugeroplysninger mod uautoriseret adgang.  Fysisk og logisk adgang til elektroniske filer og filer i papirformat er yderligere begrænset på baggrund af jobansvar og forretningsbehov.

2.6 Brugeres valg og rettigheder

Brugere kan få adgang til og rette i de fleste Personlige Oplysninger vedrørende dem selv, som Gruppemedlemmer opretholder ved hjælp af det relevante onlineværktøj eller selvbetjeningsproces, der stilles til rådighed for dem via Tjeneste-websted eller -applikation.

I alle tilfælde har brugerne ret til at indgive en anmodning om adgang som registreret person for at se eller modtage en kopi af deres personlige brugeroplysninger, der ikke kan tilgås via tjenestens websted eller applikation. Brugerne skal kontakte kundeservice efter de anvisninger, der findes på tjenestens websted eller applikation. Koncernmedlemmerne skal imødekomme anmodninger inden for de tidsrammer, der er angivet i henhold til gældende lov, medmindre gældende lov indeholder en undtagelse i forhold til en sådan forpligtelse.  Brugerne kan blive pålagt at fremlægge bevis for deres identitet, og kan være underlagt et tjenestegebyr som tilladt i henhold til gældende lovgivning.

Brugere kan også anmode om rettelse af deres data, hvis de er ufuldstændige eller unøjagtige.Gruppemedlemmer vil overholde en sådan anmodning og informere brugere, når deres data er blevet ændret.Gruppemedlemmer vil underrette tredjeparter, hvis Personlige Oplysninger er blevet afsløret for enhver berigtigelse, medmindre dette viser sig umuligt eller indebærer en uforholdsmæssig indsats.

Ved overbevisende legitime grundlag kan brugere gøre indsigelse mod behandlingen af deres personlige brugeroplysninger. Koncernmedlemmerne skal imødekomme sådanne anmodninger, medmindre gældende lovgivning kræver, at personlige brugeroplysninger skal gemmes, eller for at beskytte PayPal-koncernen mod juridiske krav. Brugerne vil blive informeret om udfaldet af deres anmodning og de foranstaltninger, som koncernmedlemmerne har truffet.

Endvidere kan brugere anmode om at få deres konti lukket ved at følge vejledningen på tjenestens websted eller applikation. Koncernmedlemmerne skal fjerne eller anonymisere personlige brugeroplysninger fra en tjeneste, så hurtigt som det er rimeligt muligt, på baggrund af kontoaktiviteten.  I nogle tilfælde kan koncernmedlemmerne udsætte lukningen af en konto eller opbevare de personlige brugeroplysninger til at foretage en efterforskning, eller hvor det kræves i henhold til gældende lovgivning. Koncernmedlemmerne kan også opbevare de personlige brugeroplysninger fra lukkede konti for at registrere og forhindre bedrageri, inddrive gebyrer, løse tvister, foretage fejlfinding af problemer, hjælpe med eventuelle undersøgelser, håndtere risici, håndhæve vilkårene og betingelserne for en tjeneste, overholde juridiske eller lovgivningsmæssige krav og udføre handlinger, der på anden måde er tilladt i henhold til gældende lovgivning. Dataene vil blive opbevaret i en form, der tillader identifikation af de registrerede personer, i en periode der ikke er længere end nødvendigt, til de formål hvortil dataene blev indsamlet, eller til hvilke de viderebehandles og vil blive slettet, når den underliggende årsag til opbevaring er blevet behandlet eller løst.

Med undtagelse af de brugere, der har valgt ikke at modtage bestemte meddelelser, kan koncernmedlemmerne bruge de personlige brugeroplysninger til at målrette kommunikationen med brugerne ud fra disses interesser i henhold til gældende lovgivning.  Brugere, der ikke ønsker at modtage markedsføringskommunikation fra PayPal-koncernen, vil blive tilbudt brugervenlige metoder til at modsætte sig yderligere reklamer, f.eks. i deres kontoindstillinger eller ved at følge vejledningen i en e-mail eller et link i kommunikationen.

Brugerne kan udøve ovenstående rettigheder ved at kontakte kundeservice.  Hvor en brugers identitet er svær at bekræfte, kan koncernmedlemmerne kræve, at brugeren indsender yderligere legitimationsbevis.

2.7 Deling af personlige oplysninger

Gruppemedlemmer kan dele Personlige Oplysninger i det normale forretningsbrug og omfang, med andre Gruppemedlemmer over hele verden, med det formål,der er angivet i afsnit 2.1.

I overensstemmelse med gældende lov, traktater eller gældende internationale konventioner kan Gruppemedlemmer dele Personlige Oplysninger med lovhåndhævende myndigheder og tilsynsmyndigheder når det er nødvendigt i et demokratisk samfund, for at beskytte den nationale sikkerhed, forsvar, offentlige sikkerhed, ved forebyggelse, efterforskning, afsløring og retsforfølgning af kriminelle lovovertrædelser, og især at overholde sanktioner som fastsat i internationale og/eller nationale enheder, krav til skatteregnskaber eller rapporteringskrav til bekæmpelse af hvidvaskning af penge.

Gruppemedlemmer sælger eller udlejer ikke Personlige Oplysninger til tredjeparter, til eget markedsføringsbrug, uden brugernes udtrykkelige entydige samtykke.Gruppemedlemmer kan udlevere brugeroplysninger til andre tredjeparter, i overensstemmelse med brugerens anvisninger eller samtykke (hvor det er tilladt i henhold til gældende lovgivning).

Ved overførsel af personlige brugeroplysninger til behandlere vil behandlerne skulle acceptere en risikovurdering i forbindelse med persondata, databeskyttelse og oplysninger forud for iværksættelsen af arbejdet og forud for en overførsel af personlige brugeroplysninger.  Omfanget af vurderingen vil variere på baggrund af følsomheden af de behandlede personlige brugeroplysninger. Behandlere, herunder et koncernmedlem, der agerer som behandler, skal indgå en aftale med de relevante koncernmedlemmer om at sørge for tilstrækkelige sikkerhedsforanstaltninger for persondata, databeskyttelse og oplysninger. En sådan aftale omfatter klausuler, der sikrer en passende brug af de personlige brugeroplysninger og sikkerhedsforanstaltninger i forhold til mængden, arten og følsomheden af de pågældende personlige brugeroplysninger.  De kontraktmæssige sikkerhedsforanstaltninger skal som minimum omfatte følgende forhold:

  • Krav til at overholde loven, og til kun at behandle Personlige Oplysninger i overensstemmelse med aftalens vilkår, og kun efter de berørte Gruppemedlemmers anvisninger;
  • Passende tekniske og organisatoriske tiltag tilpasset følsomheden af pågældende Personlige Oplysninger og gældende behandling;
  • En ret til at revidere Behandlerens overholdelse af kontraktmæssige garantier;
  • Anmeldelsesforpligtelser vedrørende sikkerhedsbrud; og
  • Bestemmelser om afhjælpning i tilfælde af, at Behandler ikke overholder sine lovmæssige eller kontraktmæssige forpligtelser.

Aftalerne skal indeholde bestemmelser om, at manglende overholdelse af vilkårene i aftalen kan resultere i suspension eller opsigelse af aftalen, blandt andre retsmidler, der er identificeret i aftalen.

Privatlivs-, databeskyttelses- og informationssikkerhedsvurderingen er ikke obligatorisk for Behandlere, der allerede har været underlagt en sådan vurdering, medmindre behandlingsaktiviteterne involverer højrisikoaktiviteter, under hensyntagen til arten og mængden af Personlige Oplysninger og typen af behandlingsaktiviteter.

Uanset ovenstående, hvor koncernmedlemmer overfører EØS Personlige Oplysninger til Tredjeparter eller til Behandlere, der ikke er Gruppemedlemmer: i) beliggende i lande, der ikke yder tilstrækkelig beskyttelse (i henhold til direktiv 95/46/EF), (ii) ikke er omfattet af godkendte bindende virksomhedsregler, eller (iii) ikke har andre ordninger, der ville opfylde EU’s tilstrækkelighedskrav, skal Gruppemedlemmet sikre, med hensyn til:

  • Tredjeparter, at de skal gennemføre passende kontraktkontrol, som f.eks. Kontraktklausuler, der er godkendt af Europa-Kommissionen, som giver beskyttelsesniveauer i overensstemmelse med disse Virksomhedsregler, eller alternativt sikrer, at overførslen (i) finder sted med det entydigt samtykke fra brugeren, (ii) er nødvendig for at indgå eller indgå en kontrakt indgået med brugeren, (iii) er nødvendig eller lovligt påkrævet af vigtige samfundsmæssige grunde eller (iv) er nødvendig for at beskytte brugerens vitale interesser;
  • Behandlere, at de skal gennemføre kontraktkontrol, som f.eks. kontraktklausuler, der er godkendt af Europa-Kommissionen, og som fastlægger beskyttelsesniveauer svarende til disse virksomhedsregler.
     

3. Klager

Hvis brugerne mener, at deres personlige brugeroplysninger er blevet behandlet i strid med virksomhedsreglerne, kan de indberette dette til det relevante koncernmedlems kundeservicefunktionen via den relevante tjenestes hjemmeside, e-mail eller som anført i de gældende vilkår og betingelser.  Brugerne kan generelt finde svar på de mest almindelige spørgsmål og bekymringer i forbindelse med persondata ved at skrive "persondata" i afsnittet Hjælp for den relevante tjeneste, som normalt fører brugeren til en side eller politik, der specifikt omhandler persondata.  Afsnittet "Hjælp" for den relevante tjeneste er det sted, hvor brugerne kan rette henvendelse vedrørende deres persondata eller behandlingen af deres brugeroplysninger, og hvor brugerne har mulighed for at kontakte kundeservice. 

I tilfælde af tvivl om, hvilken kanal der skal bruges til at rette henvendelse om bekymringer vedrørende persondata, kan brugerne kontakte den europæiske databeskyttelsesansvarlige online.

Kundeservice undersøger og forsøger at løse problemer, som brugerne gør opmærksom på. De medarbejdere, der er ansvarlige for at håndtere bekymringer vedrørende persondata, arbejder tæt sammen med PayPals globale persondatateam og svarer brugerne i overensstemmelse med PayPals politikker, procedurer og vejledning.  Hvis brugerne mener, at deres bekymringer ikke er blevet behandlet tilstrækkeligt, eller hvis de ikke har fået svar, kan de anmode om, at deres bekymring bliver eskaleret til den europæiske databeskyttelsesansvarlige. Den juridiske persondataansvarlige vil blive konsulteret, og den ansvarlige for compliance og persondata vil blive informeret. Metoderne til eskalering skal bestemmes ud fra arten og omfanget af bekymringen og skal videresendes til det relevante team uden forsinkelse.  Et svar på klagen skal gives til brugeren inden for en rimelig tidsramme og under alle omstændigheder inden for en frist på tre (3) måneder efter undersøgelsesdatoen undtagen under usædvanlige omstændigheder eller ved komplekse spørgsmål, i hvilket tilfælde brugeren vil blive informeret om, at svaret vil tage længere tid end tre (3) måneder.

Klagehåndteringsmekanismen berører ikke brugernes ret til at indgive klager til kompetente databeskyttelsesmyndigheder eller domstole.

 

4. Rettigheder og ansvar for tredjepartsmodtagere

EØS-brugere, der har mistanke om brud på virksomhedsreglerne uden for EØS, har ret til at kræve håndhævelse af virksomhedsreglerne som tredjepartsmodtagere i afsnit 2, 3, 4, 7 og 8 i virksomhedsreglerne ved kompetente databeskyttelsesmyndigheder, ved domstolene for det ledende koncernmedlem eller ved domstolene for det koncernmedlem, der fungerer som dataeksportør.  Disse håndhævelsesrettigheder er i tillæg til andre afhjælpende foranstaltninger eller rettigheder, som PayPal tilbyder, eller som er til rådighed i henhold til gældende lovgivning.

Selvom det ikke er påkrævet, opfordres EØS-brugere til først at rette henvendelse om deres bekymring direkte til koncernmedlemmet i stedet for databeskyttelsesmyndighederne eller domstolene.  Dette gør det muligt at modtage et effektivt og hurtigt svar fra PayPal-koncernen og reducerer risikoen for forsinkelser hos databeskyttelsesmyndighederne eller domstolene.

PayPal (Europe) S.à r.l. et Cie, S.C.A., et luxembourgsk aktieselskab, accepterer ansvaret for og indvilliger i at overvåge koncernmedlemmets overholdelse af virksomhedsreglerne.  Det ledende koncernmedlem forpligter sig til (i) at træffe de nødvendige foranstaltninger for at afhjælpe en misligholdelse begået af koncernmedlemmer uden for EØS, og (ii) at udbetale erstatning til EØS-brugere, der er tildelt af den ansvarlige databeskyttelsesmyndighed eller luxembourgske domstole for eventuelle skader, der direkte skyldes misligholdelse af virksomhedsreglerne begået af koncernmedlemmer uden for EØS, hvis det relevante koncernmedlem ikke er i stand til eller er uvillig til at betale kompensationen eller imødekomme afgørelsen. 

Ledergruppemedlemmet anerkender og accepterer, at der bæres bevisbyrden med hensyn til en påstået overtrædelse af Virksomhedsreglerne.

Ledergruppemedlemmet (eller andet Gruppemedlem) er ikke ansvarlig, hvis det med rimelighed demonstreres, på baggrund af de foreliggende kendsgerninger og under hensyntagen til brugerens kommentarer, at ikke-EØS-Gruppemedlemmet ikke har overtrådt Virksomhedsreglerne, eller ikke er ansvarlig for nogen skade, som brugeren hævder.

 

5. Undervisning

Koncernmedlemmerne sikrer, at alle medarbejdere, der behandler personlige brugeroplysninger, samt de medarbejdere, der er involveret i udformningen af værktøjer, der skal bruges til at indsamle eller behandle personlige brugeroplysninger, modtager undervisning i persondata og informationssikkerhed for at understrege og informere medarbejderne om behovet for at beskytte og sikre personlige brugeroplysninger i overensstemmelse med disse virksomhedsregler. 

Medarbejderne er forpligtet til årligt at modtage onlineundervisning i compliance med udgangspunkt i kodekset om forretningsadfærd og etik, som indeholder et afsnit om databeskyttelse.  Nye medarbejdere er forpligtet til at modtage onlineundervisning i compliance ved starten af deres ansættelse.

Ud over denne online overensstemmelsestræning udfører PayPal’s globale privatlivsteam og Den Europæiske Data Protection Officer, træning i privatliv- og informationssikkerhedsbevidsthed for at understrege og informere medarbejdere om behovet for at beskytte og sikre Personlige Oplysninger.Sådanne træninger gennemføres årligt eller hyppigere, hvis omstændighederne kræver det.

Den undervisning, som medarbejderne modtager, skal tilpasses deres adgangsniveau til personlige brugeroplysninger, og der skal tilbydes supplerende undervisning af medarbejdere med højere adgangsniveauer. 

Medlemmer af koncernen skal informere medarbejdere om, at hvis de ikke overholder disse virksomhedsregler, kan det resultere i disciplinære handlinger og andre handlinger, der er tilladt i henhold til gældende lovgivning.  En kopi af disse virksomhedsregler og andre relevante politikker og procedurer for persondata og sikkerhed, er til enhver tid til rådighed for medarbejdere på virksomhedens intranet. Virksomhedsreglerne er også inkluderet i kodekset for forretningsadfærd og etik, som alle medarbejdere skal gennemgå og acceptere at overholde. 

 

6. Revision og overvågning

For at hjælpe til at sikre overholdelsen af disse Virksomhedsregler, gennemgår PayPal’s globale overensstemmelses- og privatlivsteam løbende Personlige Oplysninger og aktiviteter.Disse aktiviteter koordineres i tæt samråd med Den Europæiske Data Protection Officer.

Det Interne revisionsteam er en uafhængig og objektiv rådgiver til ledelsen og bestyrelsen, som igennem revisionsudvalget kommunikerer revisionsresultaterne til bestyrelsen, de persondataansvarlige og den europæiske databeskyttelsesansvarlige. 

Det Interne Revisionsteam kan gennemføre en gennemgang af aktiviteter eller praksis, der regelmæssigt identificeres af PayPal’s globale privatlivsteam.Det Interne Revisionsteam, de ansvarlige for privatlivets fred og Den Europæiske Data Protection Officer, skal om nødvendigt kræve, at en handlingsplan udføres for at sikre overholdelse med BCR’erne.I det omfang interne koncerner ikke løser problemer tilstrækkeligt, kan koncernen udpege uafhængige eksterne revisorer til videre beslutning.

Den Europæiske Data Protection Officer, PayPal’s globale overensstemmelses- og privatlivsteam, eller det Interne Revisionsteam og eksterne revisorer, udvikler detaljerede revisionsplaner og tidsplaner baseret på risikoen for Behandling.

Resultaterne af revisionen af persondata vil være til rådighed for kompetente databeskyttelsesmyndigheder.  PayPal forbeholder sig retten til at redigere dele af revisionsrapporterne for at sikre fortroligheden af oplysninger om patentbeskyttede eller andre fortrolige oplysninger. 

 

7. Forholdet mellem virksomhedsregler og national lovgivning

Med varierende lovkrav i hele verden, der vedrører databeskyttelse, fastlægger Virksomhedsreglerne et ensartet sæt krav til at sikre den korrekte behandling af brugernes Personlige Oplysninger.Selvom Virksomhedsreglerne skaber et grundlæggende krav som Gruppemedlemmer skal overholde, vil Gruppemedlemmer overholde gældende love, der kan pålægge en strengere standard end dem, der er fastsat i disse Virksomhedsregler.

Intet i disse virksomhedsregler påvirker koncernmedlemmernes forpligtelser i henhold til gældende banklovgivning, især i forbindelse med bankhemmeligheder.   Hvis gældende lov er i strid med disse virksomhedsregler på en sådan måde, at det kan forhindre et koncernmedlem i at opfylde sine forpligtelser i henhold til virksomhedsreglerne og har en væsentlig indvirkning på de garantier, der er fastsat deri, skal koncernmedlemmet straks underrette den europæiske databeskyttelsesansvarlige, undtagen hvor det er forbudt at levere sådanne oplysninger i henhold til en retshåndhævende myndighed eller lov.  Den europæiske databeskyttelsesansvarlige, de persondataansvarlige og det ledende koncernmedlem fastlægger en passende handlingsplan og rådfører sig i tilfælde af tvivl med den kompetente databeskyttelsesmyndighed.

 

8. Gensidig assistance og samarbejde med databeskyttelsesmyndigheder

Gruppemedlemmer samarbejder og hjælper hinanden med at håndtere anmodninger eller klager fra brugere med hensyn til disse Virksomhedsregler.

Koncernmedlemmerne svarer hurtigt og hensigtsmæssigt på anmodninger fra databeskyttelsesmyndighederne vedrørende virksomhedsreglerne.  Hvis en medarbejder modtager en sådan anmodning fra en databeskyttelsesmyndighed, skal vedkommende straks underrette den europæiske databeskyttelsesansvarlige.   

Koncernmedlemmerne samarbejder omkring henvendelser og accepterer revisioner fra kompetente databeskyttelsesmyndigheder i EØS, med hensyn til overholdelse af disse virksomhedsregler og vil respektere disses beslutninger i overensstemmelse med gældende lovgivning og ret til en retfærdig rettergang.   

 

9. Opdateringer af indholdet af disse virksomhedsregler og en liste over bundne medlemmer

PayPal forbeholder sig ret til at ændre disse Virksomhedsregler hvis det er nødvendigt, for eksempel, for at overholde ændringer i gældende love, reguleringer, regler, PayPal praksis, procedurer og organisationsstruktur, eller krav pålagt af relevante databeskyttelsesmyndigheder.

PayPal’s globale juridiske- og privatlivsteam (under ledelse af Den ledende juridiske- og privatlivsansvarlige), vil foreslå eventuelle nødvendige ændringer af disse Virksomhedsregler.PayPal’s globale overensstemmelses- og privatlivsteam (under ledelse af Den ledende overensstemmelses- og privatlivsansvarlige) og Den Europæiske Data Protection Officer skal godkende alle ændringer til Virksomhedsreglerne, og skal følge alle ændringer af Virksomhedsreglerne, samt enhver ændring i listen over Gruppemedlemmer.Gruppemedlemmer aflægger rapport til de relevante databeskyttelsesmyndigheder om ændringer i Virksomhedsreglerne for formel godkendelse og efter lovvalg.

Det ledende koncernmedlem konsulterer den ansvarlige databeskyttelsesmyndighed vedrørende væsentlige ændringer i virksomhedsreglerne, der vil påvirke overholdelse af databeskyttelse eller brugen af virksomhedsreglerne.  Det ledende koncernmedlem kommunikerer med den ansvarlige databeskyttelsesmyndighed om væsentlige ændringer i virksomhedsreglerne og ændringer i listen over koncernmedlemmer mindst én gang om året.  PayPals globale persondatateam samarbejder med den europæiske databeskyttelsesansvarlige, der især vil koordinere svar og straks håndtere kommentarer, forslag eller indvendinger mod de ændringer, der fremhæves af den ansvarlige fra databeskyttelsesmyndigheden, på vegne af PayPal. Eventuelle kommentarer, forslag eller indsigelser fra andre databeskyttelsesmyndigheder vil blive sendt til den europæiske databeskyttelsesansvarlige fra den ansvarlige databeskyttelsesmyndighed, som handler på vegne af de andre databeskyttelsesmyndigheder.  

Ændringer i virksomhedsreglerne gælder for alle koncernmedlemmer fra ikrafttrædelsesdatoen for implementering.  Koncernmedlemmerne underretter brugerne om væsentlige ændringer i virksomhedsreglerne i overensstemmelse med brugerens indstillinger, enten via masse-e-mail eller opslag på webstedet med en tydelig advarsel til brugerne, inden virksomhedsreglerne ændres. Koncernmedlemmerne skal offentliggøre de ændrede virksomhedsregler på udvalgte eksterne websteder eller applikationer, der er til rådighed for brugerne.  Ændringer i virksomhedsreglerne træder i kraft inden for en periode på to måneder, efter koncernmedlemmerne har informeret brugerne og offentliggjort de ændrede virksomhedsregler.

 

10. Offentliggørelse

Virksomhedsreglerne offentliggøres, og et link stilles til rådighed på tjenestens websted eller applikationer.  Brugerne kan anmode om en kopi fra den europæiske databeskyttelsesansvarlige (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg eller online.

 

11. Endelige bestemmelser

Gyldighedsdato: 25. maj 2018

Kontakt: Brugere kan rejse eventuelle spørgsmål eller bekymringer i forhold til disse Virksomhedsregler ved at kontakte:

Den Europæiske Data Protection Officer (DPO)

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

 

12. Definitioner

Koncernmedlemmerne skal fortolke virksomhedsreglerne på den måde, der stemmer bedst overens med de grundlæggende begreber i principperne i EU-direktiv 95/46/EF, eller ethvert erstatningsdirektiv eller -forordning. 

Med henblik på disse Virksomhedsregler gælder følgende definitioner:

Bestyrelse betyder bestyrelsen for det ledende koncernmedlem.

Databeskyttelsesmyndigheder betyder de offentlige myndigheder, der er ansvarlige for overvågning og håndhævelse af anvendelsen inden for deres respektive område af de nationale love, der er vedtaget af EØS-medlemsstaterne - i henhold til EU's databeskyttelsesdirektiv (95/46/EF).

EØS betyder Det Europæiske Økonomiske Samarbejdsområde, der i øjeblikket består af EU-medlemsstaterne, Island, Liechtenstein og Norge.

Medarbejder betyder medarbejdere, arbejdstagere, praktikanter og andet personale, herunder tidsbegrænsede- eller vikaransatte, alternativ arbejdsstyrke hos eller underleverandører til et koncernmedlem, uanset om de er ansat eller beskæftiget på fuld tid eller deltid og uanset beskæftigelses- eller ansættelsestype.

Den europæiske databeskyttelsesansvarlige (DPO) betyder den medarbejder, der udpeges af og rapporterer til ledelsen for det ledende koncernmedlem, og som også fungerer som medlem af PayPals globale juridiske persondatateam. Den europæiske DPO befinder sig i Luxembourg.

Koncernmedlem betyder en enhed, der er en del af PayPal-koncernen, og som har indført en kopi af IGA'en.

IGA betyder intern koncernaftale.

Den ansvarlige databeskyttelsesmyndighed betyder “Commission nationale pour la protection des données” (“CNPD”) i Luxembourg.

Det ledende koncernmedlem betyder PayPal (Europe) S.à r.l & Cie, S.C.A., et luxembourgsk aktieselskab.

PayPals globale persondatateam betyder koordinationen af PayPals globale team for compliance og persondata og PayPals globale juridiske persondatateam.

PayPals globale team for compliance og persondata betyder medlemmer af compliance-organisationen, der specifikt beskæftiger sig med compliance og drift af PayPals persondataprogram. 

PayPals globale juridiske persondatateam betyder medlemmer af den juridiske afdeling, der specifikt beskæftiger sig med beskyttelse af data og persondata.

PayPal-koncernen betyder PayPal Holdings, Inc. (“PayPal”) og enhver enhed, der er direkte eller indirekte kontrolleret af PayPal, og som behandler brugeroplysninger, hvor kontrol betyder ejerskab af mindst halvtreds procent (50 %) af stemmeretten til at vælge selskabets bestyrelsesmedlemmer eller mindst halvtreds procent (50 %) af ejerandelen i virksomheden.

Personlige oplysninger betyder enhver information vedrørende en identificeret eller identificerbar fysisk person. En identificerbar person er en, der direkte eller indirekte kan identificeres ved henvisning til et identifikationsnummer eller en eller flere faktorer, der er specifikke for vedkommendes fysiske, fysiologiske, mentale, økonomiske, kulturelle eller sociale identitet.

Behandle betyder enhver handling eller række af handlinger, der udføres i forbindelse med personlige oplysninger, uanset om det sker automatisk eller ej, såsom indsamling, optagelse, organisering, opbevaring, tilpasning eller ændring, hentning, konsultation, brug, videregivelse ved overførsel, formidling eller på anden måde, justering eller kombinering, blokering, sletning eller destruering.

Behandler betyder enhver fysisk eller juridisk person, der behandler personlige oplysninger på vegne af et koncernmedlem.

Følsomme personlige oplysninger betyder personlige oplysninger, der afslører racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, oplysninger om strafbare handlinger, eller oplysninger om helbredsforhold og seksuelle forhold.

Tjeneste betyder et websted, et program eller et andet produkt eller en anden tjeneste, der tilbydes af PayPal-koncernen til brugerens anvendelse.

Tredjepart betyder enhver fysisk eller juridisk person, offentlig myndighed, styrelse eller andet organ udover brugeren, koncernmedlemmet, behandleren, og de personer, der er autoriseret af koncernmedlemmet eller behandleren, såsom medarbejdere, til at behandle personlige oplysninger.

Bruger betyder tidligere og eksisterende kunder, kundeemner, investorer, samarbejdspartnere og forhandlere.

Personlige brugeroplysninger betyder personlige oplysninger vedrørende brugere.