>>Näytä kaikki oikeudelliset sopimukset
PayPal-käyttäjiä koskevat yhtiön säännöt
PayPal-konsernin tavoitteena on, että koko PayPal-konsernissa sovelletaan yhdenmukaisia, riittäviä ja globaaleja tietoturva- ja tietosuojanormeja kaikessa käyttäjien henkilötietojen käsittelyssä. Käyttäjiä koskevia yhtiön sääntöjä sovelletaan kaikkiin käyttäjien henkilötietoihin, joita konsernin jäsenet käsittelevät eri puolilla maailmaa.
Käyttäjät ympäri maailman toimittavat henkilötietojaan konsernin jäsenille voidakseen käyttää konsernin tarjoamia palveluja. Suurin osa käyttäjien henkilötiedoista kerätään ja säilytetään Yhdysvalloissa. PayPalin maailmanlaajuinen liiketoiminta edellyttää, että käyttäjien henkilötietoja jaetaan muille PayPalin yksiköille Yhdysvalloissa ja maailmanlaajuisesti siellä, missä PayPalilla on toimintaa tällä hetkellä tai missä se aikoo toimia.
Tällä hetkellä pääsy käyttäjien henkilötietoihin voi olla seuraavissa ETA-maissa toimivilla työntekijöillä: Luxemburg, Belgia, Ranska, Saksa, Irlanti, Italia, Alankomaat, Puola, Espanja, Ruotsi.
Myös tällä hetkellä seuraavissa EU:n ulkopuolisissa maissa toimivilla työntekijöillä voi olla pääsy käyttäjien henkilötietoihin: Yhdysvallat, Taiwan, Turkki, Neitsytsaaret (Brittiläiset), Australia, Kanada, Kiina, Hongkong, Intia, Indonesia, Israel, Japani, Korean tasavalta, Malesia, Mauritius, Filippiinit, Venäjä, Singapore, Sveitsi, Yhdistynyt kuningaskunta, Argentiina, Brasilia ja Meksiko.
PayPal on sitoutunut suojaamaan käyttäjätietoja asianmukaisesti riippumatta siitä, missä henkilötietoja säilytetään, sekä antamaan käyttäjien henkilötiedoille asianmukaisen suojauksen, jos ne siirretään ETA-alueen ulkopuolelle.
Maaluettelot voivat muuttua yhtiön liiketoiminnan laajentuessa.
1. Tietosuojan hallinnan rakenne ja vastuut
Käyttäjiä koskevat yhtiön säännöt tekee oikeudellisesti sitoviksi sopimus (konsernin sisäinen sopimus, IGA), jonka ovat solmineet PayPal (Europe) S.à r.l. & Cie, S.C.A. ("konsernin johtava jäsen") ja muut PayPal-konsernin yksiköt. IGA-sopimuksessa edellytetään, että konsernin jäsenet noudattavat käyttäjiä koskevia yhtiön sääntöjä. Konsernin jäsenet edellyttävät työntekijöidensä noudattavan käyttäjiä koskevia yhtiön sääntöjä, kun he käsittelevät käyttäjien henkilötietoja.
PayPal-konsernin yritysjohtajat ja ylempi johto ovat vastuussa näiden käyttäjiä koskevien yhtiön sääntöjen noudattamisen täytäntöönpanosta, kuten sen varmistamisesta, että käyttäjiä koskevat yhtiön säännöt ovat työntekijöiden tiedossa ja että he noudattavat niitä.
Vaatimustenmukaisuudesta vastaava tietosuojapäällikkö johtaa PayPalin tietosuojaohjelmaa. Hänellä on johtava asema PayPal Holdings, Inc:ssä ja hän raportoi suoraan vaatimustenmukaisuudesta vastaavalle johtajalle tai ylimmälle johtajalle, joka johtaa PayPalin vaatimustenmukaisuustoimintoja. Vaatimustenmukaisuudesta vastaava tietosuojapäällikkö johtaa PayPalin maailmanlaajuista tietosuojan vaatimustenmukaisuudesta vastaavaa tiimiä ja on vuorovaikutuksessa muiden sisäisten organisaatioiden ja tiimien, kuten operatiivisesta toiminnasta, tietoturvasta, vaatimustenmukaisuudesta, riskeistä ja sisäisestä tarkastuksesta vastaavien ryhmien, kanssa voidakseen varmistaa yhtenäisen tietosuojaa koskevan viestinnän sekä yhtenäiset tietosuojakäytännöt ja ‑toimintatavat PayPal-konsernissa ympäri maailman. PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuudesta vastaava tiimi kehittää ja koordinoi vaatimustenmukaisuusstrategian toteuttamista koko PayPal-konsernissa ja varmistaa toiminnan vaatimustenmukaisuuden. PayPalin maailmanlaajuisella tietosuojan vaatimustenmukaisuudesta vastaavalla tiimillä on kaikkialla PayPal-konsernissa suoria ja epäsuoria edustajia, jotka muun muassa auttavat varmistamaan käyttäjiä koskevien yhtiön sääntöjen ja sovellettavien tietosuojalakien noudattamisen.
Lakiasioista vastaava tietosuojapäällikkö johtaa PayPalin maailmanlaajuista tietosuojaan liittyvistä lakiasioista vastaavaa tiimiä ja raportoi suoraan lakiasiainjohtajalle tai ylimmälle johtajalle, joka johtaa PayPalin lakiasiaintoimintoja. Lakiasioista vastaava tietosuojapäällikkö määrittää yhtiön velvollisuudet sovellettavien tietosuojalakien ja näiden käyttäjiä koskevien yhtiön sääntöjen perusteella. Lakiasioista vastaava tietosuojapäällikkö ja PayPalin maailmanlaajuinen tietosuojaan liittyvistä lakiasioista vastaava tiimi työskentelevät tiiviissä yhteistyössä vaatimustenmukaisuudesta vastaavan tietosuojapäällikön ja PayPalin maailmanlaajuisen tietosuojan vaatimustenmukaisuudesta vastaavan tiimin kanssa ja ovat vuorovaikutuksessa muiden sisäisten organisaatioiden ja tiimien, kuten lakiasioista, operatiivisesta toiminnasta, tietoturvasta ja riskeistä vastaavien ryhmien, kanssa tarjotakseen lakiasioihin liittyvää neuvontaa sekä tulkitakseen lakien ja asetusten vaikutuksia tietosuojakysymysten kehitykseen PayPal-konsernissa ympäri maailman.
PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuudesta vastaava tiimi ja PayPalin maailmanlaajuinen tietosuojaan liittyvistä lakiasioista vastaava tiimi muodostavat yhdessä PayPalin maailmanlaajuisen tietosuojatiimin.
Euroopan tietosuojavastaavan asemapaikka on Luxemburgissa, ja hänet nimittää PayPal (Europe) S.à r.l. Et Cie, S.C.A:n johto, jolle hän raportoi. Euroopan tietosuojavastaava on ETA-alueen tietosuojaviranomaisten ensisijainen yhteyshenkilö, ja hänen tehtäviinsä kuuluvat muun muassa seuraavat: konsernin jäsenten ja niiden henkilötietoja käsittelevien työntekijöiden neuvonta ja tiedottaminen tietosuojalainsäädännön mukaisista velvollisuuksistaan, jotta varmistetaan käyttäjiä koskevien yhtiön sääntöjen noudattaminen; yhteistyö PayPalin maailmanlaajuisen tietosuojatiimin kanssa tietosuojalainsäädännön ja konsernin jäsenten siihen liittyvien käytäntöjen noudattamisen valvomiseksi sekä pyydettäessä tietosuojan vaikutustenarviointeja ja niiden toteutusta koskevan lakiasiainneuvonnan toimittaminen konsernin jäsenille.
2. Käyttäjien henkilötietojen käsittelyä koskevat periaatteet
Konsernin jäsenet noudattavat seuraavia käyttäjien henkilötietojen käsittelyä koskevia periaatteita.
2.1 Käyttötarkoitussidonnaisuus
Käyttäjien henkilötietoja voidaan käsitellä vain erityisiä, tarkkaan määritettyjä ja laillisia tarkoituksia varten. Käyttäjien henkilötietoja voidaan käsitellä erityisesti seuraavia tarkoituksia varten:
– palvelujen tarjoaminen ja niiden tarjoamisen helpottaminen käyttäjien pyynnöstä, mukaan lukien tilin avaaminen
– palvelujen parantaminen ja uusien palvelujen kehittäminen
– valitusten ratkaiseminen, oikeusasioiden hallinta, ongelmien selvittäminen ja asiakaspalvelu
– riskienhallinta
– tapahtumien käsittely ja maksamattomien palkkioiden kerääminen
– luottokelpoisuuden ja maksukyvyn tarkistaminen
– käyttäjien palveluja koskevan kiinnostuksen ja palautteen mittaaminen sekä käyttäjille tiedottaminen tarjouksista, palveluista ja päivityksistä verkossa ja sen ulkopuolella
– käyttäjien kokemusten mukauttaminen
– virheiden sekä petosten ja muun rikollisen toiminnan havaitseminen ja torjunta
– PayPal-konsernin lakeihin, sopimuksiin ja asetuksiin perustuvien velvoitteiden täyttäminen
– palvelun käyttöehtojen toimeenpano sekä muut käyttäjille keräyshetkellä ja palvelun tietosuojakäytännössä kuvatut tarkoitukset
– palvelujen ja PayPal-konsernin verkon suojauksen, eheyden ja saatavuuden suojaaminen
– PayPal-konsernin laillisten oikeuksien ja etujen suojaaminen, mukaan lukien muun muassa oikeudellisten vaateiden laatiminen tai esittäminen tai niitä vastaan puolustautuminen.
Käyttäjien henkilötietojen käsittely muihin tarkoituksiin edellyttää PayPalin maailmanlaajuisen tietosuojaan liittyvistä lakiasioista vastaavan tiimin ennakkohyväksyntää. Epävarmassa tilanteessa konsernin jäsenten on pyydettävä neuvoa PayPalin maailmanlaajuiselta tietosuojaan liittyvistä lakiasioista vastaavalta tiimiltä.
Käyttäjien henkilötietoja ei käsitellä muuten tavalla, joka ei ole edellä lueteltujen tarkoitusten mukainen, ellei tälle ole oikeudellista perustetta ETA-alueella toimivaan, käyttäjien henkilötietojen keräämisestä ja/tai siirtämisestä vastaavaan konsernin jäseneen sovellettavan lain mukaisesti.
2.2 Tietojen laatu ja oikeasuhteisuus
Käyttäjien henkilötietoja koskevat seuraavat:
- Tietojen on oltava tarkkoja ja tarvittaessa niitä on päivitettävä.
- Tietojen on oltava riittäviä ja olennaisia, eivätkä ne saa olla liiallisia suhteessa tarkoituksiin, joita varten niitä käsitellään.
- Tietoja ei saa säilyttää kauemmin, kuin mitä niiden alkuperäiset keräys- tai käsittelytarkoitukset edellyttävät.
Käyttäjien henkilötiedot, joita ei enää tarvita käsittelynsä tarkoituksiin, on poistettava, tuhottava, hävitettävä tai anonymisoitava, paitsi jos käsittelyn jatkamiselle on oikeudellinen peruste tai jos säilyttämistä edellytetään sovellettavassa lainsäädännössä.
2.3 Käsittelyn oikeudelliset perusteet
Konsernin jäsenten on varmistettava, että käyttäjien henkilötietoja käsitellään asianmukaisesti ja lainmukaisesti ja erityisesti vähintään yhden seuraavista oikeudellisista perusteista nojalla:
- käyttäjän yksiselitteinen suostumus
- käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jonka osapuoli käyttäjä on, tai käyttäjän pyytämien toimien toteuttamiseksi ennen sopimuksen tekemistä
- käsittely on tarpeen konsernin jäseniä koskevan lakisääteisen velvoitteen noudattamiseksi
- käsittely on tarpeen käyttäjän elintärkeiden etujen turvaamiseksi
- käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai konsernin jäsenille tai tiedot saavalle kolmannelle osapuolelle kuuluvan julkisen vallan käyttämiseksi tai
- käsittely on tarpeen konsernin jäsenen, tiedot saavan kolmannen osapuolen tai tiedot saavien kolmansien osapuolten oikeutettujen etujen toteuttamiseksi, paitsi jos käyttäjän perusoikeuksia ja ‑vapauksia koskevat edut syrjäyttävät tällaiset edut.
Yleinen käytäntö on, että konsernin jäsenet eivät kerää käyttäjien arkaluontoisia henkilötietoja. Jos tällaisten tietojen keräämistä edellytetään tai jos käyttäjät luovuttavat tällaisia tietoja vapaaehtoisesti, konsernin jäsenten on varmistettava, että käyttäjien arkaluontoisia henkilötietoja käsitellään ainoastaan vähintään yhden seuraavista perusteista nojalla:
- käyttäjän nimenomainen suostumus
- käsittely on tarpeen käyttäjän tai muun henkilön elintärkeiden etujen suojaamiseksi, jos käyttäjä on fyysisesti tai juridisesti estynyt antamasta suostumustaan
- käsittely koskee henkilötietoja, jotka käyttäjä on nimenomaisesti saattanut julkisiksi, tai
- käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos käsittelyyn sisältyy automaattista päätöksentekoa ("automatisoituja päätöksiä"), konsernin jäsenten on toteutettava soveltuvat toimenpiteet käyttäjän oikeutettujen etujen suojaamiseksi eli esimerkiksi tarjottava käyttäjälle mahdollisuus tuoda päätös asiakastuen edustajan erilliseen tarkastukseen ja annettava käyttäjän kertoa oma näkemyksensä. Asiakastuen edustajan on eskaloitava asia EU:n tietosuojavastaavalle, jos käyttäjä on edelleen eri mieltä automatisoidusta päätöksestä. Tarvittaessa pyydetään neuvoa lakiasioista vastaavalta tietosuojapäälliköltä ja asiasta ilmoitetaan vaatimustenmukaisuudesta vastaavalle tietosuojapäällikölle.
2.4 Läpinäkyvyys
Kerätessään käyttäjien henkilötietoja konsernin jäsenten on ilmoitettava käyttäjille seuraavat tiedot:
- alkuperäisestä keräämisestä ja käsittelystä vastaavan konsernin jäsenen nimi ja osoite
- kyseessä olevat käyttäjien henkilötietojen ryhmät
- käsittelyn aiotut tarkoitukset
- käyttäjien henkilötiedot vastaanottavien käsittelijöiden ja kolmansien osapuolten ryhmät
- kysymyksiin vastaamisen pakollisuus tai vapaaehtoisuus sekä vastaamatta jättämisen mahdolliset seuraukset
- käyttäjän oikeuksien voimassaolo sekä
- automaattista päätöksentekoa käytettäessä sen logiikka.
Konsernin jäsenet voivat antaa tiedot palvelun tietosuojakäytännössä, johon pääsee klikkaamalla linkkiä ja/tai joka esitetään näkyvällä paikalla kaikissa palveluun liittyvissä verkkosivustoissa ja sovelluksissa sekä rekisteröitymisen aikana. Käyttäjien tiedottamista koskevaa velvoitetta ei sovelleta, jos käyttäjät ovat jo saaneet kyseiset tiedot.
Jos tietojen toimittaminen osoittautuu mahdottomaksi tai aiheuttaisi kohtuutonta vaivaa, konsernin jäsenet voivat pidättäytyä tietojen toimittamisesta. Tämä koskee vain käyttäjien henkilötietoja, joita ei ole saatu suoraan käyttäjältä.
Poikkeuksellisissa olosuhteissa tarkkojen tietojen antamista voidaan lykätä tai se voidaan jättää tekemättä, esimerkiksi tutkittaessa luvatonta toimintaa tai sovellettavien lakien niin edellyttäessä tai jos tietojen antaminen voisi vaarantaa tutkinnan loukkaamattomuuden.
2.5 Luottamuksellisuus ja suojaus
Konsernin jäsenet käyttävät käyttäjien henkilötietojen määrän ja arkaluontoisuuden mukaisesti mitoitettuja fyysisiä, teknisiä ja organisatorisia suojaustoimia torjuakseen luvattoman käsittelyn, johon sisältyy muun muassa luvaton pääsy käyttäjien henkilötietoihin, niiden luvaton hankinta ja käyttö, hävittäminen, tuhoaminen ja vahingoittaminen. Konsernin jäsenet käyttävät salausta, palomuureja, kulunvalvontaa, standardeja ja muita toimia suojatakseen käyttäjätietoja luvattomalta käytöltä. Fyysiselle ja loogiselle pääsylle sähköisiin ja tulostettuihin tiedostoihin asetetaan lisärajoituksia työtehtävien ja yrityksen tarpeiden mukaan.
2.6 Käyttäjien valinnat ja oikeudet
Käyttäjät pääsevät käsiksi suurimpaan osaan itseään koskevista, konsernin jäsenten ylläpitämistä käyttäjien henkilötiedoista ja voivat korjata kyseisiä tietoja käyttämällä asiaankuuluvaa verkkotyökalua tai itsepalveluprosessia, joka on heidän käytettävissään palvelun verkkosivustolla tai sovelluksessa.
Käyttäjillä on kaikissa tapauksissa oikeus lähettää rekisteröidyn tietopyyntö tarkastellakseen itseään koskevia käyttäjien henkilötietoja, joihin ei pääse käsiksi palvelun verkkosivuston tai sovelluksen kautta, tai saadakseen niistä kopion. Käyttäjien on otettava yhteyttä asiakastukeen toimimalla palvelun verkkosivustolla tai sovelluksessa annettujen ohjeiden mukaisesti. Konsernin jäsenet noudattavat pyyntöjä sovellettavan lain mukaisten määräaikojen puitteissa, paitsi jos sovellettavassa laissa määrätään poikkeuksesta näihin velvoitteisiin. Käyttäjiä saatetaan vaatia todistamaan henkilöllisyyteensä ja heiltä voidaan periä palvelumaksu sen mukaan, mitä sovellettavassa laissa sallitaan.
Käyttäjät voivat myös pyytää tietojensa korjaamista, jos ne ovat puutteelliset tai virheelliset. Konsernin jäsenet noudattavat kyseisiä pyyntöjä ja ilmoittavat käyttäjille, kun näiden tiedot on korjattu. Konsernin jäsenet ilmoittavat korjauksista kolmansille osapuolille, joille käyttäjän tiedot on jaettu, mikäli tämä ei osoittaudu mahdottomaksi tai aiheuta kohtuutonta vaivaa.
Käyttäjät voivat kieltää itseään koskevien käyttäjien henkilötietojen käsittelyn huomattavan tärkeästä ja perustellusta syystä. Konsernin jäsenet noudattavat kyseisiä pyyntöjä, ellei käyttäjien henkilötietojen säilyttämistä edellytetä sovellettavassa laissa tai PayPal-konsernin puolustamiseksi oikeusvaateita vastaan. Käyttäjille ilmoitetaan pyyntöjen tuloksista ja konsernin jäsenten toteuttamista toimenpiteistä.
Lisäksi käyttäjät voivat pyytää tiliensä sulkemista toimimalla palvelun verkkosivustolla tai sovelluksessa annettujen ohjeiden mukaisesti. Konsernin jäsenet poistavat käyttäjän tiedot palvelusta tai anonymisoivat ne heti, kun tämä on tilitapahtumien perusteella kohtuullisesti mahdollista. Joissakin tapauksissa konsernin jäsenet voivat viivyttää tilin sulkemista tai säilyttää käyttäjien henkilötiedot tutkimuksen toteuttamiseksi tai sovellettavan lain niin vaatiessa. Konsernin jäsenet voivat myös säilyttää suljettujen tilien käyttäjätietoja havaitakseen ja torjuakseen petoksia, kerätäkseen maksamattomia palkkioita, ratkaistakseen valituksia, selvittääkseen ongelmia, avustaakseen tutkimuksissa, hallitakseen riskejä, pannakseen toimeen palvelun käyttöehtoja, noudattaakseen lakeihin ja asetuksiin sisältyviä vaatimuksia ja toteuttaakseen muita sovellettavan lain sallimia toimenpiteitä. Tietoja säilytetään muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen niitä tarkoituksia varten, joihin tiedot kerättiin tai joita varten niitä käsitellään. Tiedot poistetaan, kun niiden säilyttämisen taustalla oleva syy on käsitelty tai ratkaistu.
Lukuun ottamatta käyttäjiä, jotka ovat valinneet, etteivät halua vastaanottaa tiettyä viestintää, konsernin jäsenet voivat käyttää käyttäjien henkilötietoja viestinnän kohdentamiseen käyttäjille näiden kiinnostuksenkohteiden perusteella ja sovellettavan lain mukaisesti. Käyttäjille, jotka eivät halua vastaanottaa PayPal-konsernin markkinointiviestintää, tarjotaan helppokäyttöinen tapa kieltäytyä lisämainonnasta esimerkiksi tilin asetuksissa tai noudattamalla sähköpostitse tai viestissä olevan linkin kautta toimitettuja ohjeita.
Käyttäjät voivat käyttää edellä mainittuja oikeuksia ottamalla yhteyttä asiakastukeen. Jos käyttäjän henkilöllisyys on vaikea varmistaa, konsernin jäsenet voivat vaatia käyttäjää toimittamaan lisätodisteita henkilöllisyydestään.
2.7 Henkilötietojen luovuttaminen
Konsernin jäsenet voivat jakaa käyttäjien henkilötietoja normaalin liiketoiminnan yhteydessä muille konsernin jäsenille maailmanlaajuisesti osiossa 2.1 määritettyjä tarkoituksia varten.
Konsernin jäsenet voivat jakaa henkilötietoja sovellettavien lakien, sopimusten tai sovellettavien kansainvälisten yleissopimusten mukaisesti lainvalvonta- ja sääntelyviranomaisille, kun tämä on demokraattisessa yhteiskunnassa tarpeen kansallisen turvallisuuden, puolustuksen, yleisen turvallisuuden sekä rikosten torjunnan, tutkimisen ja havaitsemisen sekä niistä syytteeseen asettamisen turvaamiseksi, ja erityisesti toimiakseen kansainvälisiin ja/tai kansallisiin välineisiin sisältyvien pakotteiden, verojen ilmoittamista koskevien vaatimusten ja rahanpesun torjuntaa koskevien raportointivaatimusten mukaisesti.
Konsernin jäsenet eivät myy tai vuokraa käyttäjien henkilötietoja kolmansille osapuolille omia markkinointitarkoituksiaan varten ilman käyttäjän nimenomaista, yksiselitteistä ja tietoista suostumusta. Konsernin jäsenet voivat luovuttaa käyttäjätietoja muille kolmansille osapuolille käyttäjän toimeksiantojen tai suostumuksen mukaisesti (mikäli tämä on sovellettavan lain nojalla sallittua).
Jos käyttäjien henkilötietoja siirretään henkilötietojen käsittelijöille, käsittelijöiden tietosuoja- ja tietoturvariskit arvioidaan ennen työn aloittamista ja ennen kuin mitään käyttäjien henkilötietoja siirretään. Arvioinnin laajuus vaihtelee sen mukaan, kuinka arkaluontoisia käsiteltävät käyttäjien henkilötiedot ovat. Henkilötietojen käsittelijöiden, kuten käsittelijänä toimivan konsernin jäsenen, on tehtävä asiaankuuluvien konsernin jäsenten kanssa sopimus riittävien tietosuoja- ja tietoturvatoimenpiteiden käyttämisestä. Tällaiseen sopimukseen sisältyy kohtia, joilla varmistetaan käyttäjien henkilötietojen asianmukainen käyttö, sekä suojaustoimenpiteet, jotka ovat kyseessä olevien käyttäjien henkilötietojen määrän, luonteen ja arkaluontoisuuden mukaisia. Sopimuksessa määriteltyjen suojatoimien on käsitettävä vähintään seuraavat asiat:
- vaatimus lainmukaisuudesta ja käyttäjien henkilötietojen käsittelystä vain sopimuksen ehtojen mukaisesti ja vain kyseessä olevan konsernin jäsenen toimeksiannosta
- asianmukaiset tekniset ja organisatoriset toimenpiteet, jotka on mukautettu käyttäjien henkilötietojen arkaluontoisuuteen ja kyseiseen käsittelyyn
- oikeus tarkastaa, että henkilötietojen käsittelijät toimivat sopimuksessa määriteltyjen takuiden mukaisesti
- suojausrikkomukseen liittyvät ilmoitusvelvollisuudet sekä
- säännökset oikaisemisesta siinä tapauksessa, että henkilötietojen käsittelijä ei noudata oikeudellisia velvoitteitaan tai sopimusvelvoitteitaan.
Sopimukseen on sisällyttävä säännökset, joilla varmistetaan, että sopimuksen ehtojen noudattamatta jättäminen voi johtaa sopimuksen keskeytykseen tai irtisanomiseen muiden sopimuksessa määritettyjen oikeuskeinojen lisäksi.
Tietosuoja- ja tietoturva-arviointia ei ole pakko tehdä henkilötietojen käsittelijöille, joille tällainen arviointi on jo tehty, paitsi jos käsittelytoimiin sisältyy korkean riskin toimia, kun otetaan huomioon henkilötietojen luonne ja määrä sekä kyseessä olevien käsittelytoimien tyyppi.
Sen estämättä, mitä edellä säädetään, jos konsernin jäsenet siirtävät ETA-alueen käyttäjän henkilötietoja kolmansille osapuolille tai henkilötietojen käsittelijöille, jotka eivät ole konsernin jäseniä ja (i) sijaitsevat maissa, joissa ei tarjota riittävää tietosuojan tasoa (direktiivissä 95/46/EY tarkoitetulla tavalla), (ii) joita eivät koske hyväksytyt yhtiön sitovat säännöt tai (iii) jotka eivät ole toteuttaneet muita järjestelyjä, jotka täyttäisivät EU:n riittävää tietosuojan tasoa koskevat vaatimukset, konsernin jäsenen on varmistettava, että
- kolmannet osapuolet ottavat käyttöön asianmukaisen sopimusperusteisen valvonnan, kuten Euroopan komission hyväksymät mallisopimuslausekkeet, ja tarjoavat näihin käyttäjiä koskeviin yhtiön sääntöihin verrannollisen suojaustason tai vaihtoehtoisesti varmistavat, että siirto (i) tapahtuu käyttäjän yksiselitteisellä suostumuksella, (ii) on tarpeen sopimuksen tekemiseksi käyttäjän kanssa tai käyttäjän kanssa tehdyn sopimuksen täytäntöön panemiseksi, (iii) on tärkeän yleisen edun perusteella tarpeen tai lain vaatima tai (iv) on tarpeen käyttäjän elintärkeiden etujen suojaamiseksi
- henkilötietojen käsittelijät ottavat käyttöön sopimusperusteisen valvonnan, kuten Euroopan komission hyväksymät mallisopimuslausekkeet, ja tarjoavat näihin käyttäjiä koskeviin yhtiön sääntöihin verrannollisen suojaustason.
3. Valitusmekanismi
Jos käyttäjät uskovat, että heidän henkilötietojaan on käsitelty käyttäjiä koskevien yhtiön sääntöjen vastaisesti, he voivat ilmoittaa huolensa kyseisen konsernin jäsenen asiakaspalveluun kyseessä olevan palvelun verkkosivuston kautta tai sähköpostitse tai jollakin muulla sovellettavissa käyttöehdoissa ilmoitetulla tavalla. Käyttäjät voivat yleensä löytää vastaukset tavallisimpiin tietosuojaa koskeviin kysymyksiin ja huolenaiheisiin kirjoittamalla sanan "tietosuoja" kyseessä olevan palvelun ohjeosioon, jolloin käyttäjä yleensä ohjataan tietosuojaa koskevalle sivulle tai tietosuojakäytäntöön. Kyseessä olevan palvelun ohjeosio on aloituspaikka kaikille käyttäjien kysymyksille, jotka koskevat tietosuojaa tai heidän käyttäjätietojensa käsittelyä, ja sen kautta käyttäjät voivat ottaa yhteyttä asiakastukeen.
Jos käyttäjät ovat epävarmoja siitä, mitä kanavaa käyttää tietosuojaan liittyvistä huolenaiheista raportointiin, he voivat ottaa yhteyttä Euroopan tietosuojavastaavaan verkossa.
Asiakastuki tutkii käyttäjien esiin tuomat huolenaiheet ja pyrkii ratkaisemaan ne. Tietosuojaan liittyvien huolenaiheiden käsittelystä vastaavat työntekijät ovat tiiviissä yhteistyössä PayPalin maailmanlaajuisen tietosuojatiimin kanssa ja vastaavat käyttäjille PayPalin käytäntöjen, prosessien ja ohjeiden mukaisesti. Mikäli käyttäjät uskovat, että heidän huolenaiheisiinsa ei ole puututtu riittävästi, tai jos he eivät saa vastausta, he voivat pyytää huolenaiheensa eskalointia Euroopan tietosuojavastaavalle. Lakiasioista vastaavalta tietosuojapäälliköltä pyydetään neuvoa ja asiasta ilmoitetaan vaatimustenmukaisuudesta vastaavalle tietosuojapäällikölle. Eskalointipolut määritetään huolenaiheen luonteen ja laajuuden perusteella ja toimitetaan viipymättä eteenpäin asianmukaiselle tiimille. Vastaus valitukseen on toimitettava käyttäjälle kohtuullisen ajan kuluessa ja joka tapauksessa kolmen (3) kuukauden kuluessa tiedustelun päivämäärästä, paitsi poikkeuksellisissa olosuhteissa tai kysymysten ollessa monimutkaisia, jolloin käyttäjälle ilmoitetaan, että vastaaminen kestää yli kolme (3) kuukautta.
Valitusten käsittelymekanismi ei rajoita käyttäjien oikeutta tehdä valituksia toimivaltaisten tietosuojaviranomaisten tai tuomioistuinten käsiteltäviksi.
4. Edunsaajana olevan kolmannen osapuolen oikeudet ja vastuut
ETA-alueen käyttäjillä, jotka epäilevät käyttäjiä koskevien yhtiön sääntöjen rikkomusta ETA-alueen ulkopuolella, on oikeus vaatia toimivaltaisilta tietosuojaviranomaisilta, konsernin johtavan jäsenen tuomioistuimilta tai tietojen viejänä toimivan konsernin jäsenen tuomioistuimilta, että käyttäjiä koskevat yhtiön säännöt pannaan täytäntöön, käyttäjiä koskeviin yhtiön sääntöihin sisältyvien osioiden 2, 3, 4, 7 ja 8 edunsaajina olevina kolmansina osapuolina. Kyseiset täytäntöönpano-oikeudet tulevat muiden PayPalin myöntämien tai sovellettavassa laissa määritettyjen oikeuskeinojen ja oikeuksien lisäksi.
Vaikka tämä ei ole pakollista, ETA-alueen käyttäjien suositellaan ilmoittavan huolenaiheistaan ensin suoraan konsernin jäsenelle eikä tietosuojaviranomaisille tai tuomioistuimille. Tämä mahdollistaa PayPal-konsernin tehokkaan ja pikaisen vastauksen ja minimoi viivästykset, joita tietosuojaviranomaisten tai tuomioistuinten prosessit voivat aiheuttaa.
PayPal Europe S.à r.l. et Cie, S.C.A., luxemburgilainen yksityinen osakeyhtiö, ottaa vastuun ja sitoutuu valvomaan, että konsernin jäsenet toimivat käyttäjiä koskevien yhtiön sääntöjen mukaisesti. Konsernin johtava jäsen sitoutuu (i) ryhtymään tarvittaviin toimenpiteisiin sellaisten rikkomusten korjaamiseksi, joihin konsernin jäsenet syyllistyvät ETA-alueen ulkopuolella, ja (ii) maksamaan ETA-alueen käyttäjille korvauksen, jonka johtava tietosuojaviranomainen tai Luxemburgin tuomioistuin on määrännyt vahingoista, jotka johtuvat suoraan konsernin jäsenten tekemistä käyttäjiä koskevien yhtiön sääntöjen rikkomuksista ETA-alueen ulkopuolella, mikäli kyseessä oleva konsernin jäsen ei kykene tai halua maksaa korvausta tai toimia määräyksen mukaisesti.
Konsernin johtava jäsen tunnustaa ja hyväksyy, että sillä on todistustaakka käyttäjiä koskevien yhtiön sääntöjen väitetyn rikkomuksen osalta.
Konsernin johtava jäsen (tai muu konsernin jäsen) ei ole vastuussa, jos se kohtuullisesti osoittaa käytettävissä olevien tosiseikkojen perusteella ja käyttäjän kommentit huomioon ottaen, että muualla kuin ETA-alueella sijaitseva konsernin jäsen ei ole rikkonut käyttäjiä koskevia yhtiön sääntöjä tai ole vastuussa käyttäjän väittämistä vahingoista.
5. Koulutus
Konsernin jäsenet varmistavat, että kaikki käyttäjien henkilötietoja käsittelevät työntekijät sekä työntekijät, jotka ovat mukana suunnittelemassa käyttäjien henkilötietojen keräämiseen tai käsittelyyn käytettäviä työkaluja, saavat tietosuojaan ja tietoturvaan liittyvää tietoutta edistävää koulutusta, jossa painotetaan tarvetta suojata ja turvata käyttäjien henkilötiedot näiden käyttäjiä koskevien yhtiön sääntöjen mukaisesti ja kerrotaan tästä työntekijöille.
Työntekijöiden edellytetään suorittavan vuosittain liiketoiminnan eettisiin periaatteisiin keskittyvän ja verkossa toteutettavan vaatimustenmukaisuuskoulutuksen, johon sisältyy tietosuojaosio. Uusilta työntekijöiltä edellytetään verkossa toteutettavan vaatimustenmukaisuuskoulutuksen suorittamista työsuhteen alussa.
Kyseisen verkossa toteutettavan vaatimustenmukaisuuskoulutuksen lisäksi PayPalin maailmanlaajuinen tietosuojatiimi ja Euroopan tietosuojavastaava antavat tietosuojaan ja tietoturvaan liittyvää tietoutta edistäviä koulutuksia, joissa painotetaan tarvetta suojata ja turvata käyttäjien henkilötiedot ja kerrotaan tästä työntekijöille. Koulutuksia annetaan vuosittain tai useammin, jos olosuhteet niin vaativat.
Työntekijöiden saama koulutus mukautetaan heidän käyttäjien henkilötietoja koskevaan käyttöoikeustasoonsa, ja laajemmat käyttöoikeudet omaaville työntekijöille tarjotaan lisäkoulutusta.
Konsernin jäsenet ilmoittavat työntekijöille, että näiden käyttäjiä koskevien yhtiön sääntöjen noudattamatta jättäminen voi johtaa kurinpitotoimiin ja muihin sovellettavassa laissa sallittuihin toimiin. Kopio näistä käyttäjiä koskevista yhtiön säännöistä sekä muista olennaisista tietosuojaan ja tietoturvaan liittyvistä käytännöistä ja menettelyistä on yhtiön intranetissä milloin tahansa työntekijöiden käytettävissä. Käyttäjiä koskevat yhtiön säännöt sisältyvät myös liiketoiminnan eettisiin periaatteisiin, joihin jokaisen työntekijän edellytetään tutustuvan ja joita he sitoutuvat noudattamaan.
6. Tarkastukset ja valvonta
Jotta voitaisiin varmistaa näiden käyttäjiä koskevien yhtiön sääntöjen noudattaminen, PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuudesta vastaava tiimi arvioi henkilötietojen käsittelytoimintaa ja ‑käytäntöjä jatkuvasti. Kyseistä toimintaa koordinoidaan läheisessä yhteistyössä Euroopan tietosuojavastaavan kanssa.
Sisäisestä tarkastuksesta vastaava tiimi on johdon ja hallituksen riippumaton ja objektiivinen neuvonantaja, joka tiedottaa tarkastusten löydöksistä tarkastuskomitean kautta hallitukselle, tietosuojapäälliköille ja Euroopan tietosuojavastaavalle.
Sisäisestä tarkastuksesta vastaava tiimi voi arvioida maailmanlaajuisen tietosuojatiimin yksilöimiä tapahtumia ja käytäntöjä säännöllisesti. Sisäisestä tarkastuksesta vastaava tiimi, tietosuojapäälliköt ja Euroopan tietosuojavastaava edellyttävät tarvittaessa toimintasuunnitelman toteuttamista yhtiön sitovien sääntöjen noudattamisen varmistamiseksi. Jos sisäiset ryhmät eivät ratkaise asioita riittävällä tavalla, konserni voi nimittää riippumattomia ulkoisia tarkastajia ratkaisun löytämiseksi.
Euroopan tietosuojavastaava, PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuudesta vastaava tiimi tai sisäisestä tarkastuksesta vastaavat tiimit ja ulkoiset tarkastajat laativat yksityiskohtaiset tarkastussuunnitelmat ja ‑aikataulut sen mukaan, millainen riski käsittelyyn liittyy.
Tietosuojatarkastusten löydökset annetaan toimivaltaisten tietosuojaviranomaisten käyttöön. PayPal varaa oikeuden muokata tarkastusraporttien osia varmistaakseen luottamuksellisten tai muuten ainoastaan yhtiön käyttöön tarkoitettujen tietojen salassapidon.
7. Käyttäjiä koskevien yhtiön sääntöjen ja kansallisen lainsäädännön välinen suhde
Tietosuojaan liittyvät oikeudelliset vaatimukset vaihtelevat ympäri maailman, joten käyttäjiä koskevat yhtiön säännöt muodostavat yhtenäiset vaatimukset, joiden avulla varmistetaan käyttäjien henkilötietojen asianmukainen käsittely. Vaikka käyttäjiä koskevat yhtiön säännöt muodostavatkin perusvaatimukset, joita konsernin jäsenten on noudatettava, konsernin jäsenet noudattavat sovellettavia lakeja, joiden vaatimukset voivat olla näissä yhtiön säännöissä esitettyjä tiukemmat.
Mikään näissä käyttäjiä koskevissa yhtiön säännöissä ei vaikuta konsernin jäsenten velvoitteisiin, jotka ovat seurausta sovellettavista pankkitoimintaa säätelevistä laeista, etenkään pankkisalaisuuden osalta. Jos sovellettava laki on ristiriidassa näiden käyttäjiä koskevien yhtiön sääntöjen kanssa siten, että se voisi estää konsernin jäsentä täyttämästä käyttäjiä koskevien yhtiön sääntöjen mukaisia velvoitteitaan ja vaikuttaa merkittävästi niissä annettuihin takuisiin, konsernin jäsenen on viipymättä ilmoitettava asiasta Euroopan tietosuojavastaavalle, paitsi jos lainvalvontaviranomainen tai laki estää tällaisen tiedon toimittamisen. Euroopan tietosuojavastaava, tietosuojapäälliköt ja konsernin johtava jäsen määrittävät asianmukaisen menettelytavan ja epävarmassa tapauksessa pyytävät neuvoa toimivaltaiselta tietosuojaviranomaiselta.
8. Keskinäinen apu ja yhteistyö tietosuojaviranomaisten kanssa
Konsernin jäsenet tekevät yhteistyötä ja avustavat toisiaan käyttäjien esittämien pyyntöjen ja valitusten käsittelyssä, kun ne liittyvät näihin käyttäjiä koskeviin yhtiön sääntöihin.
Konsernin jäsenet vastaavat huolellisesti ja asianmukaisesti tietosuojaviranomaisten pyyntöihin, jotka liittyvät käyttäjiä koskeviin yhtiön sääntöihin. Jos työntekijä saa tietosuojaviranomaiselta tällaisen pyynnön, hänen on ilmoitettava siitä välittömästi Euroopan tietosuojavastaavalle.
Konsernin jäsenet tekevät yhteistyötä tutkimuksissa ja hyväksyvät toimivaltaisten tietosuojaviranomaisten tarkastukset ETA-alueella näiden käyttäjiä koskevien yhtiön sääntöjen noudattamiseen liittyen sekä kunnioittavat viranomaisten päätöksiä sovellettavien lakien ja asianmukaista menettelyä koskevien oikeuksien mukaisesti.
9. Päivitykset käyttäjiä koskevien yhtiön sääntöjen sisältöön sekä luettelo jäsenistä, joita ne sitovat
PayPal varaa oikeuden muokata näitä käyttäjiä koskevia yhtiön sääntöjä tarpeen mukaan esimerkiksi huomioidakseen sovellettavien lakien, sääntöjen, asetusten, PayPalin käytäntöjen, menettelyjen ja organisaatiorakenteiden muutokset tai asiaankuuluvien tietosuojaviranomaisten esittämät vaatimukset.
PayPalin maailmanlaajuinen tietosuojaan liittyvistä lakiasioista vastaava tiimi (jota johtaa lakiasioista vastaava tietosuojapäällikkö) ehdottaa tarpeellisia muutoksia näihin käyttäjiä koskeviin yhtiön sääntöihin. PayPalin maailmanlaajuisen tietosuojan vaatimustenmukaisuudesta vastaavan tiimin (jota johtaa vaatimustenmukaisuudesta vastaava tietosuojapäällikkö) ja Euroopan tietosuojavastaavan on hyväksyttävä kaikki käyttäjiä koskeviin yhtiön sääntöihin tehtävät muutokset. Kyseiset tahot seuraavat kaikkia muokkauksia käyttäjiä koskeviin yhtiön sääntöihin sekä muutoksia konsernien jäsenten luetteloon. Konsernin jäsenet raportoivat käyttäjiä koskevien yhtiön sääntöjen muutoksista asiaankuuluville tietosuojaviranomaisille muodollisen hyväksynnän saamiseksi ja sovellettavan lain vaatimusten mukaisesti.
Konsernin johtava jäsen pyytää johtavalta tietosuojaviranomaiselta neuvoa liittyen käyttäjiä koskevien yhtiön sääntöjen olennaisiin muutoksiin, jotka vaikuttaisivat tietosuojan vaatimustenmukaisuuteen tai käyttäjiä koskevien yhtiön sääntöjen toimintaan. Konsernin johtava jäsen tiedottaa käyttäjiä koskevien yhtiön sääntöjen olennaisista muutoksista sekä konsernin jäsenten luettelon muutoksista johtavalle tietosuojaviranomaiselle vähintään kerran vuodessa. PayPalin maailmanlaajuinen tietosuojatiimi tukee Euroopan tietosuojavastaavaa, joka erityisesti koordinoi vastaukset ja käsittelee viipymättä kommentit, ehdotukset ja vastalauseet, jotka koskevat johtavan tietosuojaviranomaisen PayPalin puolesta esittämiä muutoksia. Muiden tietosuojaviranomaisten puolesta toimiva johtava tietosuojaviranomainen välittää muiden tietosuojaviranomaisten mahdolliset kommentit, ehdotukset ja vastalauseet Euroopan tietosuojavastaavalle.
Käyttäjiä koskevien yhtiön sääntöjen muutoksia sovelletaan kaikkiin konsernin jäseniin muutosten tosiasiallisena voimaantulopäivänä. Konsernin jäsenet toimittavat käyttäjille ilmoituksen käyttäjiä koskevien yhtiön sääntöjen olennaisista muutoksista käyttäjien palveluasetusten mukaisesti joko joukkosähköpostiviestillä tai verkkosivustolle tehtävällä julkaisulla, jossa varoitetaan käyttäjiä heitä koskevien sääntöjen muuttumisesta selkeästi ja ennakolta. Konsernin jäsenet julkaisevat tarkistetut käyttäjiä koskevat yhtiön säännöt valikoiduilla ulkoisilla verkkosivustoilla tai sovelluksissa, jotka ovat käyttäjien käytettävissä. Käyttäjiä koskevien yhtiön sääntöjen tarkistukset astuvat voimaan kahden kuukauden kuluessa siitä, kun konsernin jäsenet ilmoittavat asiasta käyttäjille ja julkaisevat tarkistetut käyttäjiä koskevat yhtiön säännöt.
10. Julkaiseminen
Käyttäjiä koskevat yhtiön säännöt julkaistaan ja niihin johtava linkki asetetaan saataville palvelun verkkosivustolla tai sovelluksissa. Käyttäjät voivat pyytää kopion Euroopan tietosuojavastaavalta osoitteesta The European Data Protection Officer (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxembourg tai verkossa.
11. Loppusäännökset
Voimaantulopäivämäärä: 25. toukokuuta 2018
Yhteystiedot: käyttäjät voivat esittää näihin käyttäjiä koskeviin yhtiön sääntöihin liittyviä kysymyksiä tai huolenaiheita ottamalla yhteyttä Euroopan tietosuojavastaavaan osoitteessa
The European Data Protection Officer (DPO)
PayPal (Europe) S.à r.l et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxembourg
12. Määritelmät
Konsernin jäsenten on tulkittava käyttäjiä koskevia yhtiön sääntöjä tavalla, joka on mahdollisimman yhtenäinen EU-direktiivin 95/46/EY tai minkä tahansa sen korvaavan direktiivin tai asetuksen perusperiaatteiden kanssa.
Näissä käyttäjiä koskevissa yhtiön säännöissä sovelletaan seuraavia määritelmiä:
Hallitus tarkoittaa konsernin johtavan jäsenen hallitusta.
Tietosuojaviranomaiset tarkoittavat julkisia viranomaisia, jotka ovat omalla alueellaan vastuussa ETA:n jäsenvaltioiden hyväksymien EU:n tietosuojadirektiivin (95/46/EY) mukaisten kansallisten lakien soveltamisen valvonnasta ja toimeenpanosta.
ETA tarkoittaa Euroopan talousaluetta, johon kuuluvat tällä hetkellä EU:n jäsenvaltiot, Islanti, Liechtenstein ja Norja.
Työntekijä tarkoittaa työntekijöitä, harjoittelijoita ja muuta henkilöstöä tai henkilökunnan jäseniä, mukaan lukien konsernin jäsenten määräaikaiset tai tilapäiset työntekijät, varatyöntekijät tai alihankkijat riippumatta siitä, ovatko he työsuhteessa tai muuten palveluksessa koko- tai osa-aikaisena, ja riippumatta työsuhteen tai muun palveluksen tyypistä.
Euroopan tietosuojavastaava tarkoittaa työntekijää, jonka konsernin johtavan jäsenen johto on nimittänyt ja joka raportoi konsernin johtavan jäsenen johdolle sekä toimii lisäksi PayPalin maailmanlaajuisen tietosuojaan liittyvistä lakiasioista vastaavan tiimin jäsenenä. Euroopan tietosuojavaltuutetun toimipaikka on Luxemburgissa.
Konsernin jäsen tarkoittaa PayPal-konsernin yksikköä, joka on liittynyt konsernin sisäiseen sopimukseen (IGA).
IGA tarkoittaa konsernin sisäistä sopimusta.
Johtava tietosuojaviranomainen tarkoittaa Luxemburgissa toimivaa viranomaista Commission nationale pour la protection des données (CNPD).
Konsernin johtava jäsen tarkoittaa yhtiötä PayPal (Europe) S.à r.l. & Cie, S.C.A., joka on luxemburgilainen yksityinen osakeyhtiö.
PayPalin maailmanlaajuinen tietosuojatiimi tarkoittaa yhdessä toimivia PayPalin maailmanlaajuista tietosuojan vaatimustenmukaisuudesta vastaavaa tiimiä ja PayPalin maailmanlaajuista tietosuojaan liittyvistä lakiasioista vastaavaa tiimiä.
PayPalin maailmanlaajuinen tietosuojan vaatimustenmukaisuudesta vastaava tiimi tarkoittaa vaatimustenmukaisuusorganisaation jäseniä, jotka toimivat erityisesti PayPalin tietosuojaohjelman vaatimustenmukaisuuden ja toiminnan parissa.
PayPalin maailmanlaajuinen tietosuojaan liittyvistä lakiasioista vastaava tiimi tarkoittaa lakiasiainosaston jäseniä, jotka toimivat erityisesti tietosuoja-asioiden parissa.
PayPal-konserni tarkoittaa PayPal Holdings, Inc ‑yhtiötä ("PayPal") ja kaikkia yksiköitä, joissa PayPalilla on suoraan tai välillisesti määräysvalta ja jotka käsittelevät käyttäjätietoja. Määräysvalta tarkoittaa yli 50 prosentin (50 %) omistamista äänivallasta, jota käytetään yhtiön johtajien valintaan, tai yli 50 prosentin (50 %) omistusosuutta yhtiössä.
Henkilötiedot tarkoittavat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa oleva henkilö on sellainen, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti henkilötunnuksen tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Käsittelijä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja konsernin jäsenen lukuun.
Arkaluontoiset henkilötiedot tarkoittavat henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, rikoksiin liittyviä tietoja tai terveyttä tai seksuaalista käyttäytymistä koskevia tietoja.
Palvelu tarkoittaa verkkosivustoa, sovellusta tai muuta tuotetta tai palvelua, jonka PayPal-konserni tarjoaa käyttäjän käyttöön.
Kolmas osapuoli tarkoittaa jokaista luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka ei ole käyttäjä, konsernin jäsen, käsittelijä tai henkilö, jolla on konsernin jäsenen tai käsittelijän suora valtuutus käsitellä henkilötietoja (tällaisia henkilöitä ovat esimerkiksi työntekijät).
Käyttäjä tarkoittaa aikaisempia ja nykyisiä asiakkaita, mahdollisia asiakkaita, sijoittajia, liikekumppaneita ja kauppiaita.
Käyttäjien henkilötiedot tarkoittavat käyttäjiä koskevia henkilötietoja.