>> Az összes jogi megállapodás megtekintése
A PayPal-felhasználókkal kapcsolatos vállalati szabályok
A PayPal-csoport célja, hogy a Csoporton belül az összes Felhasználói személyes adat kezelésére vonatkozóan egységes, megfelelő és globális adatvédelmet és adatvédelmi szabványokat alkalmazzon. A Felhasználókkal kapcsolatos vállalati szabályok a Csoport tagjai által világszerte kezelt összes Felhasználói személyes adatra vonatkoznak.
A Felhasználók világszerte Személyes adatokat biztosítanak a Csoport tagjai számára a Csoport által kínált szolgáltatások igénybevétele érdekében. A legtöbb Felhasználói személyes adat gyűjtése és tárolása az Amerikai Egyesült Államokban történik. A PayPal globális üzletvitele miatt a Felhasználói személyes adatokat az Amerikai Egyesült Államokban működő más PayPal-jogalanyokkal, valamint globális szinten, a PayPal jelenlegi és jövőbeli működési területein is meg kell osztanunk.
Jelenleg az Európai Gazdasági Térség következő országaiban dolgozó Alkalmazottak férhetnek hozzá a Felhasználói személyes adatokhoz: Belgium, Franciaország, Írország, Hollandia, Lengyelország, Luxemburg, Németország, Olaszország, Spanyolország, Svédország.
A Felhasználói személyes adatokhoz a jelenleg a következő, Európai Unión kívüli országokban dolgozó Alkalmazottak is hozzáférhetnek: Amerikai Egyesült Államok, Argentína, Ausztrália, Brazília, Brit Virgin-szigetek, Dél-Korea, Egyesült Királyság, Fülöp-szigetek, Hongkong, India, Indonézia, Izrael, Japán, Kanada, Kína, Malajzia, Mauritius, Mexikó, Oroszország, Szingapúr, Svájc, Tajvan, Törökország.
A PayPal elkötelezett aziránt, hogy megfelelő védelmet biztosítson a Felhasználók adatai számára, függetlenül attól, hogy a Személyes adatok hol találhatók, illetve megfelelő védelmet nyújtson a Felhasználói személyes adatok számára akkor is, amikor ezeket az Európai Gazdasági Térségen kívülre továbbítják.
A vállalat üzleti tevékenységeinek bővülésével változhat az országok listája.
1. Adatvédelmi szabályozási struktúra és kötelezettségek
A Felhasználókkal kapcsolatos vállalati szabályokat a PayPal (Europe) S.à r.l. & Cie, S.C.A. („Vezető csoporttag”) és a PayPal-csoport más jogalanyai között létrejött szerződés („Államközi megállapodás”) teszi jogilag kötelező erejűvé. Az Államközi megállapodás értelmében a Csoport tagjainak be kell tartaniuk a Felhasználókkal kapcsolatos vállalati szabályokat. A Csoport tagjai minden Alkalmazottól megkövetelik, hogy a Felhasználói személyes adatok kezelése során betartsák a Felhasználókkal kapcsolatos vállalati szabályokat.
A PayPal-csoport üzleti vezetői és felső vezetői felelősek a Felhasználókkal kapcsolatos vállalati szabályok betartatásáért és azért, hogy minden Alkalmazott pontosan ismerje és betartsa a Felhasználókkal kapcsolatos vállalati szabályokat.
A PayPal adatvédelmi programja az adatvédelmi megfelelőségi vezető irányítása alatt áll. Ez a személy vezető pozíciót tölt be a PayPal Holdings, Inc. vállalatnál, és közvetlenül a megfelelőségi igazgatónak vagy a PayPal megfelelőségi részlegét vezető legmagasabb beosztású igazgatónak tartozik jelentési kötelezettséggel. Az adatvédelmi megfelelőségi vezető felügyeli a PayPal globális adatvédelmi megfelelőségi csapatát, és a PayPal-csoport globális szinten egységes adatvédelmi kommunikációja, gyakorlatai és irányelvei érdekében olyan belső szervezetekkel és csapatokkal is együttműködik, mint az üzemeltetési, információbiztonsági, megfelelőségi, kockázatelemzési csapat, valamint a belső auditokat végző csapat. A PayPal globális adatvédelmi megfelelőségi csapata felelős a megfelelőségi stratégia kidolgozásáért és megvalósításáért, valamint a működési megfelelőség ellenőrzéséért a teljes PayPal-csoportban. A PayPal globális adatvédelmi megfelelőségi csapata közvetlen és közvetett képviselőkkel rendelkezik a PayPal-csoport valamennyi vállalatában. Ezek a képviselők többek között azért felelősek, hogy gondoskodjanak a Felhasználókkal kapcsolatos vállalati szabályok és a vonatkozó adatvédelmi jogszabályok betartatásáról.
Az adatvédelmi jogi vezető a PayPal globális adatvédelmi jogi csapatát irányítja, és a jogi igazgató vagy a PayPal jogi részlegét vezető legmagasabb beosztású igazgató felé tartozik jelentési kötelezettséggel. Az adatvédelmi jogi vezető határozza meg a vállalat a vonatkozó adatvédelmi jogszabályok és a Felhasználókkal kapcsolatos vállalati szabályok értelmében fennálló kötelezettségeit. Az adatvédelmi jogi vezető és a PayPal globális adatvédelmi jogi csapata szorosan együttműködik az adatvédelmi megfelelőségi vezetővel és a PayPal globális adatvédelmi megfelelőségi csapatával, valamint jogi tanácsok biztosítása és a PayPal-csoporton belül globális szinten felmerülő adatvédelmi problémák jogi és szabályozási vonzatainak értelmezése érdekében olyan belső szervezetekkel és csapatokkal is együttműködik, mint a jogi, üzemeltetési, információbiztonsági és kockázatelemzési csapat.
A PayPal globális adatvédelmi megfelelőségi csapata és a PayPal globális adatvédelmi jogi csapata együtt alkotja a PayPal globális adatvédelmi csapatát.
A Luxemburgban működő Európai adatvédelmi tisztviselőt a PayPal (Europe) S.à r.l. et Cie, S.C.A. jelöli ki, és a PayPal (Europe) S.à r.l. et Cie, S.C.A. felé tartozik jelentési kötelezettséggel. Az Európai adatvédelmi tisztviselő az Európai Gazdasági Térség Adatvédelmi hatóságainál elsődleges kapcsolattartóként jár el, és többek között a következő kötelezettségeket látja el: a Személyes adatokat kezelő Csoporttagok és Alkalmazottaik tájékoztatása az adatvédelmi jogszabályok értelmében fennálló kötelezettségeikről a Felhasználókkal kapcsolatos vállalati szabályoknak való megfelelés biztosítása érdekében; együttműködés a PayPal globális adatvédelmi csapatával az adatvédelmi jogszabályoknak és a Csoporttagok kapcsolódó irányelveinek való megfelelés ellenőrzésében; és szükség esetén jogi tanácsok biztosítása a Csoporttagok számára az adatvédelmi hatásvizsgálatokkal és azok megvalósításával kapcsolatban.
2. A Felhasználói személyes adatok kezelésére vonatkozó alapelvek
A Csoport tagjai a következő elveket tartják szem előtt a Felhasználói személyes adatok kezelése során.
2.1. Adott célra való korlátozás
A Felhasználói személyes adatokat csak meghatározott, egyértelmű és törvényes célokból lehet kezelni. A Felhasználói személyes adatok a következő célokból kezelhetők:
– A Felhasználó által kért Szolgáltatások (többek között számlanyitás) nyújtása és elősegítése;
– A Szolgáltatások javítása és új Szolgáltatások fejlesztése;
– Viták rendezése, peres eljárások kezelése, problémák megoldása és ügyfélszolgálat biztosítása;
– Kockázatkezelés végzése;
– Tranzakciók feldolgozása és a fizetendő díjak begyűjtése;
– Hitelképesség és fizetőképesség ellenőrzése;
– A Felhasználók Szolgáltatásokkal kapcsolatos érdeklődésének felmérése, a Szolgáltatásokkal kapcsolatos visszajelzések és vélemények begyűjtése, valamint a Felhasználók tájékoztatása az online és offline ajánlatokról, Szolgáltatásokról és frissítésekről;
– A felhasználói élmény személyre szabása;
– Hibák, csalások és bűncselekmények észlelése és megelőzése;
– A PayPal-csoport jogi, szerződéses vagy jogszabályi kötelezettségeinek teljesítése;
– A Szolgáltatásra vonatkozó felhasználási feltételek vagy az adatgyűjtés időpontjában a Felhasználók számára más néven megadott feltételek, valamint a Szolgáltatásra vonatkozó adatvédelmi irányelvek betartatása;
– A Szolgáltatások és a PayPal-csoport hálózati biztonságának, integritásának és elérhetőségének védelme; és
– A PayPal-csoport törvényes jogainak és érdekeinek védelme, korlátozás nélkül ideértve a jogszerű követelések megállapítását, érvényesítését és az ilyen követelések elleni védekezést.
A Felhasználói személyes adatok egyéb célokból történő kezeléséhez a PayPal globális adatvédelmi jogi csapatának előzetes jóváhagyása szükséges. Kétség esetén a Csoport tagjai a PayPal globális adatvédelmi jogi csapatától kérhetnek segítséget.
A Felhasználói személyes adatok nem kezelhetők tovább a fent felsorolt célokkal összeegyeztethetetlen módon, kivéve, ha a Felhasználói személyes adatok begyűjtéséért és/vagy továbbításáért felelős, az Európai Gazdasági Térségben működő Csoporttagra vonatkozó jogszabályok értelmében ennek van jogalapja.
2.2. Az adatok minősége és arányosság
A Felhasználói személyes adatokkal kapcsolatban mindig szem előtt kell tartani a következőket:
- Az adatoknak pontosnak és ha szükséges, naprakésznek kell lenniük;
- Az adatoknak a kezelés céljára alkalmasnak és relevánsnak kell lenniük, és a kezelés célját tekintve nem lehetnek túlzott mértékűek; és
- Az adatok legfeljebb addig őrizhetők meg, amíg az az eredeti adatgyűjtés vagy a további kezelés céljához szükséges.
Azokat a Felhasználói személyes adatokat, amelyekre a kezelés céljából a továbbiakban nincs szükség, törölni kell, meg kell semmisíteni vagy névtelenné kell tenni, kivéve, ha a további kezelésnek van megfelelő jogalapja, vagy az adatok megőrzését a vonatkozó jogszabályok előírják.
2.3. A kezelés jogalapja
A Csoporttagoknak gondoskodniuk kell arról, hogy a Felhasználói személyes adatok kezelése tisztességesen és jogszerűen, és a következők közül legalább egy jogalap meglétével történjen:
- A Felhasználó egyértelmű hozzájárulása;
- Az adatkezelésre egy olyan szerződés teljesítéséhez van szükség, amelynek a Felhasználó az egyik szerződő fele, vagy az adatkezelés a szerződés megkötését megelőzően a Felhasználó kérésére történő lépések megtételéhez szükséges;
- Az adatkezelés a Csoporttagokra vonatkozó jogi kötelezettségek teljesítéséhez szükséges;
- Az adatkezelés a Felhasználó létfontosságú érdekeinek védelme miatt szükséges;
- Az adatkezelés valamely közérdekű vagy a Csoporttagokra vagy az adatokat átvevő Harmadik félre ruházott hivatalos hatáskör gyakorlásának keretében végzett feladat végrehajtásához szükséges; vagy
- Az adatkezelés a Csoporttag vagy az adatokat átvevő Harmadik fél vagy felek jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek a Felhasználó alapvető jogaihoz és szabadságaihoz fűződő érdekek.
Általános gyakorlat, hogy a Csoporttagok nem gyűjtenek Bizalmas felhasználói személyes adatokat. Ha ilyen adatok begyűjtésére van szükség, vagy a Felhasználók önkéntesen adnak meg ilyen információkat, a Csoporttagoknak gondoskodniuk kell arról, hogy a Bizalmas felhasználói személyes adatok kezelése kizárólag az alábbi jogalapok egyikével történjen:
- A Felhasználó kifejezett hozzájárulása;
- Az adatkezelés a Felhasználó létfontosságú érdekeinek védelme miatt szükséges, vagy ha a Felhasználó fizikai vagy jogi cselekvőképtelenségéből adódóan nem képes a hozzájárulását adni, egy másik személy létfontosságú érdekeinek védelme miatt szükséges;
- Az adatkezelés a Felhasználó által kifejezetten nyilvánosságra hozott Felhasználói személyes adatokhoz kapcsolódik; vagy
- Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.
Ha az adatkezelés automatizált döntéshozatallal („Automatizált döntések”) jár, a Csoporttagoknak megfelelő intézkedéseket kell tenniük a Felhasználó jogos érdekeinek védelme érdekében, például biztosítaniuk kell a Felhasználó számára azt a lehetőséget, hogy egy ügyféltámogatási képviselő felülvizsgálja a döntést, illetve hogy a Felhasználó ismertesse a döntéssel kapcsolatos álláspontját. Ha a Felhasználó nem ért egyet az Automatizált döntéssel, az ügyféltámogatási képviselőnek az Európai Unió adatvédelmi tisztviselője számára kell eszkalálnia az ügyet. Szükség esetén az adatvédelmi jogi vezetővel és az adatvédelmi megfelelőségi vezetővel történő konzultációra is sor kerülhet.
2.4. Átláthatóság
A Felhasználói személyes adatok gyűjtése során a Csoporttagoknak a következőkről kell tájékoztatniuk a Felhasználókat:
- Az eredeti begyűjtésért és adatkezelésért felelős Csoporttag neve és címe;
- Az érintett Felhasználói személyes adatok kategóriái;
- Az adatkezelés tervezett céljai;
- A Személyes adatokat átvevő Adatfeldolgozók és Harmadik felek kategóriái;
- Annak ismertetése, hogy a kérdésekre való válaszadás kötelező vagy önkéntes jellegű-e, valamint a válaszadás elmulasztásának lehetséges következményei;
- A Felhasználó jogai; és
- Automatizált döntéshozatal esetén az Alkalmazott logika.
A Csoporttagok hivatkozáson keresztül elérhető és/vagy az egyes Szolgáltatások webhelyén vagy az alkalmazásokban jól láthatóan elhelyezett adatvédelmi irányelvekben, illetve a regisztráció során adhatják meg ezeket az információkat. A Felhasználók tájékoztatására vonatkozó kötelezettség nem vonatkozik arra az esetre, ha a Felhasználóknak már tudomásuk van ezekről az információkról.
Ha az információk biztosítása nem megoldható, vagy aránytalanul nagy erőfeszítést igényel, a Csoporttagok eltekinthetnek a tájékoztatástól. Ez kizárólag olyan Felhasználói személyes adatok esetén engedhető meg, amelyeket nem közvetlenül a Felhasználóktól gyűjtöttek be.
Kivételes esetekben bizonyos információk rendelkezésre bocsátása elhalasztható vagy elhagyható, például jogellenes magatartás kivizsgálása során vagy a vonatkozó jogszabályoknak való megfelelés érdekében, illetve olyan esetekben, amikor az információ biztosítása veszélyeztetné a vizsgálat integritását.
2.5. Titoktartás és biztonság
A Csoporttagok a Felhasználói személyes adatok mennyiségének és bizalmasságának megfelelő mértékű fizikai, technikai és szervezeti biztonsági intézkedésekkel védik a Felhasználói személyes adatokat a jogosulatlan kezeléssel szemben, beleértve többek között a jogosulatlan hozzáférést, gyűjtés és használatot, valamint az adatok elvesztését, megsemmisülését és károsodását. A Csoporttagok titkosítással, tűzfalakkal, hozzáférés-vezérléssel, szabványokkal és egyéb eljárásokkal védik a Felhasználói adatokat a jogosulatlan hozzáféréssel szemben. A Csoporttagok a munkaköri felelősségek és az üzleti igények alapján további korlátozásokat is alkalmazhatnak az elektronikus és papíralapú dokumentumokhoz való fizikai és logikai hozzáférésre.
2.6. A Felhasználók választási lehetőségei és jogai
A Felhasználók a Csoporttagok által velük kapcsolatban tárolt Felhasználói személyes adatok nagy részét elérhetik és helyesbíthetik a Szolgáltatás webhelyén vagy az alkalmazásban elérhetővé tett megfelelő online eszközzel vagy önkiszolgáló folyamattal.
A Felhasználóknak minden esetben joguk van érintetti hozzáférési kérést küldeni a Szolgáltatás webhelyén vagy az alkalmazásban nem elérhető Felhasználói személyes adatok megtekintésére, illetve az adatok másolatának a rendelkezésükre bocsátására vonatkozóan. A Felhasználók a Szolgáltatás webhelyén vagy az alkalmazásban megadott utasításoknak megfelelően kell felvenniük a kapcsolatot az ügyféltámogatással. A Csoporttagok a vonatkozó jogszabályokban meghatározott határidőn belül teljesítik a kéréseket, kivéve, ha a vonatkozó jogszabályok mentességet biztosítanak számukra az ilyen kötelezettségeik alól. A Csoporttagok a Felhasználókat személyazonosságuk igazolására kérhetik, illetve a vonatkozó jogszabályok által megengedett mértékben a Felhasználók szolgáltatási díj megfizetésére lehetnek kötelesek.
Hiányos vagy pontatlan adatok esetén a Felhasználók az adatok helyesbítését is kérhetik. A Csoporttagok minden esetben eleget tesznek az ilyen kérelmeknek, és értesítik a Felhasználókat, ha az adatok helyesbítése megtörtént. A Csoporttagok azokat a Harmadik feleket is értesítik a helyesbítésről, akikkel a Felhasználók adatai közölve lettek, kivéve, ha a tájékoztatás nem oldható meg, vagy aránytalanul nagy erőfeszítést igényel.
Tényleges jogos érdek esetén a Felhasználók tiltakozhatnak Személyes adataik kezelése ellen. A Csoporttagok eleget tesznek az ilyen kérelmeknek, kivéve, ha a Felhasználói személyes adatok megőrzését a vonatkozó jogszabályok írják elő, vagy az adatok megőrzésére a PayPal-csoport jogi követelések elleni védelméhez van szükség. A Csoporttagok értesítik a Felhasználókat a kérelem eredményéről és az elvégzett intézkedésekről.
A Felhasználók emellett a Szolgáltatás webhelyén vagy az alkalmazásban megadott utasításokat követve számlájuk lezárását is kérhetik. A Csoporttagok a számlatevékenység alapján az észszerűen lehetséges legrövidebb időn belül eltávolítják a Szolgáltatásból vagy névtelenné teszik a Felhasználó adatait. Egyes esetekben a Csoporttagok elhalaszthatják a számla lezárását, illetve megőrizhetik a Felhasználói személyes adatokat, ha az egy vizsgálat lefolytatásához vagy a vonatkozó jogszabályok értelmében szükséges. A Csoporttagok emellett a lezárt számlákhoz tartozó Felhasználói adatokat is megőrizhetik csalások észlelése és megelőzése, tartozások begyűjtése, vitás ügyek rendezése, problémák megoldása, vizsgálatok elősegítése, kockázatkezelés, valamely Szolgáltatás felhasználási feltételeinek érvényesítése, jogi vagy szabályozási követelményeknek való megfelelés, illetve a vonatkozó jogszabályok által megengedett egyéb intézkedések megtétele érdekében. Az adatok megőrzése olyan formában történik, amely az érintettek azonosítását legfeljebb az eredeti adatgyűjtés vagy a további kezelés céljához szükséges időre teszi lehetővé, és az adatok megőrzését szükségessé tevő ok megszűnését követően az adatok törölve lesznek.
A vonatkozó jogszabályoknak megfelelően a Csoporttagok a Felhasználói személyes adatokat az érdeklődési körön alapuló célzott kommunikációhoz is felhasználhatják, kivéve azon Felhasználók esetében, akik kifejezetten jelezték, hogy nem szeretnének ilyen megkereséseket kapni. Azok a Felhasználók, akik nem szeretnének marketingüzeneteket kapni a PayPal-csoporttól, könnyen elérhető módokon, például a számla beállításaiban, az e-mailben kapott utasításokat követve vagy az üzenetben szereplő hivatkozásra kattintva iratkozhatnak le a további reklámokról.
A fenti jogaikat a Felhasználók az ügyféltámogatással való kapcsolatfelvétel útján érvényesíthetik. Ha egy Felhasználó személyazonossága nehezen ellenőrizhető, a Csoporttagok további dokumentumokat vagy adatokat kérhetnek a Felhasználótól személyazonossága igazolására.
2.7. Személyes adatok közlése
A Csoporttagok a normál üzletmenet részeként világszerte megoszthatják a Felhasználói személyes adatokat más Csoporttagokkal a 2.1. szakaszban meghatározott célokból.
A vonatkozó jogszabályoknak, megállapodásoknak vagy nemzetközi egyezményeknek megfelelően a Csoporttagok bűnüldözési és szabályozó hatóságokkal is megoszthatják a Személyes adatokat, ha arra egy demokratikus társadalomban a nemzetbiztonság vagy a közbiztonság megőrzése, bűncselekmények megelőzése, kivizsgálása és észlelése, büntetőeljárás lefolytatása, illetve a nemzetközi és/vagy nemzeti aktusokban lefektetett szankcióknak, adóbevallási követelményeknek vagy pénzmosás elleni bejelentési követelményeknek való megfelelés érdekében van szükség.
A Csoporttagok a Felhasználó megfelelő tájékoztatáson alapuló, kifejezett hozzájárulása nélkül nem értékesítik és nem adják bérbe Harmadik feleknek a Felhasználói személyes adatokat saját marketingcéljaikra. A Csoporttagok a Felhasználó utasításainak, illetve hozzájárulásának megfelelően további Harmadik felekkel is közölhetik a Felhasználói személyes adatokat (ha ezt a vonatkozó jogszabályok lehetővé teszik).
A Felhasználói személyes adatok Adatfeldolgozók számára történő továbbítása esetén az Adatfeldolgozókról adatvédelmi és információbiztonsági kockázatértékelést kell készíteni a munka megkezdése, illetve a Felhasználói személyes adatok továbbítása előtt. A kockázatértékelés hatókörét a kezelt Felhasználói személyes adatok bizalmassága alapján kell megállapítani. Az Adatfeldolgozóknak (az Adatfeldolgozóként eljáró Csoporttagokat is beleértve) megállapodást kell kötniük az érintett Csoporttagokkal a megfelelő adatvédelmi és információbiztonsági intézkedések biztosításáról. Ennek a megállapodásnak tartalmaznia kell a Felhasználói személyes adatok megfelelő felhasználására, illetve az érintett Felhasználói személyes adatok mennyiségének, természetének és bizalmasságának megfelelő biztonsági intézkedésekre vonatkozó rendelkezéseket. A megállapodásban meghatározott óvintézkedéseknek legalább a következőkre ki kell terjedniük:
- A jogszabályoknak való megfelelésre, illetve a Felhasználói személyes adatok a megállapodás feltételeinek megfelelő és kizárólag az érintett Csoporttag utasításai szerint történő kezelésére vonatkozó követelmények;
- Az érintett Felhasználói személyes adatok bizalmasságának és a kezelés módjának megfelelő technikai és szervezeti intézkedések;
- Az Adatfeldolgozó szerződéses kötelezettségei betartásának ellenőrzésére vonatkozó jog;
- Értesítési kötelezettség biztonsági incidens esetén; és
- Jogorvoslatra vonatkozó rendelkezések arra az esetre, ha az Adatfeldolgozó nem tartja be a jogszabályi vagy szerződéses kötelezettségeit.
A megállapodásnak olyan rendelkezéseket is tartalmaznia kell, amelynek kimondják, hogy a megállapodás feltételei betartásának elmulasztása a megállapodásban meghatározott egyéb jogorvoslatok mellett a megállapodás felfüggesztésével vagy felmondásával járhat.
Az adatvédelmi és információbiztonsági értékelést nem kötelező elvégezni azon Adatfeldolgozók esetében, amelyek korábban már átestek ilyen értékelésen, kivéve, ha az adatkezelés a Személyes adatok természetét és mennyiségét, valamint a kezelés típusát tekintve magas kockázatú tevékenységekkel jár.
A fentiektől függetlenül, ha a Csoporttagok az Európai Gazdasági Térségből származó Felhasználói személyes adatokat olyan, Csoporton kívüli Harmadik feleknek vagy Adatfeldolgozóknak továbbítják, amelyek (i) olyan országban működnek, amely nem biztosít megfelelő szintű védelmet (a 95/46/EK irányelv értelmében), (ii) nem rendelkeznek jóváhagyott és kötelező erejű vállalati szabályokkal, vagy (iii) nem teljesítik az Európai Unió által előírt, megfelelő adatvédelemre vonatkozó követelményeket, a Csoporttagoknak biztosítaniuk kell, hogy:
- A Harmadik felek olyan szerződéses intézkedéseket, például az Európai Bizottság által jóváhagyott, modellként szolgáló szerződéses feltételeket alkalmazzanak, amelyek a jelen Felhasználókkal kapcsolatos vállalati szabályok rendelkezéseivel arányos védelmet biztosítanak, vagy meggyőződjenek arról, hogy az adattovábbítás (i) a Felhasználó egyértelmű hozzájárulásával történik, (ii) a Felhasználóval kötött szerződés megkötéséhez vagy teljesítéséhez szükséges, (iii) fontos közérdekből szükséges, illetve a jogszabályok írják elő, vagy (iv) a Felhasználó létfontosságú érdekeinek védelme miatt szükséges;
- Az Adatfeldolgozók olyan szerződéses intézkedéseket, például az Európai Bizottság által jóváhagyott, modellként szolgáló szerződéses feltételeket alkalmazzanak, amelyek a jelen Felhasználókkal kapcsolatos vállalati szabályok rendelkezéseivel arányos védelmet biztosítanak.
3. Panasztételi mechanizmus
Ha Felhasználók úgy vélik, hogy a Felhasználói személyes adatok kezelése nem a Felhasználókkal kapcsolatos vállalati szabályoknak megfelelően történt, az érintett szolgáltatás webhelyén keresztül, e-mailben vagy a vonatkozó felhasználási feltételekben szereplő egyéb módon jelenthetik aggályaikat az érintett Csoporttag ügyfélszolgálata felé. Az érintett szolgáltatás súgójában a Felhasználók általában megtalálhatják a választ a leggyakoribb adatvédelmi kérdésekre és aggályokra. A súgóban az „adatvédelem” szót beírva a rendszer általában átirányítja a Felhasználót egy adatvédelemmel kapcsolatos oldalra vagy adatvédelmi irányelvre. Az érintett szolgáltatás súgója egyedi ügyintézési pontként szolgál a Felhasználók adatvédelemmel és Felhasználói adatok kezelésével kapcsolatos kérdéseihez, és az ügyféltámogatással való kapcsolatfelvétel lehetőségét is biztosítja a Felhasználók számára.
Ha Felhasználók nem biztosak abban, melyik csatornát használják az adatvédelemmel kapcsolatos aggályaik jelentéséhez, online módon is felvehetik a kapcsolatot az Európai adatvédelmi tisztviselővel.
Az ügyféltámogatás a Felhasználók által felvetett minden aggályt kivizsgál és megpróbál megoldani. Az adatvédelemmel kapcsolatos aggályok kezeléséért felelős Alkalmazottak szorosan együttműködnek a PayPal globális adatvédelmi csapatával, és a PayPal irányelveinek, eljárásainak és útmutatásának megfelelően válaszolnak a Felhasználók kérdéseire. Ha a Felhasználók úgy vélik, hogy az aggályaikkal nem megfelelő módon foglalkoztak, vagy a kérdéseikre nem kaptak választ, kérhetik az aggályaik eszkalálását az Európai adatvédelmi tisztviselő felé. Ilyen esetben az adatvédelmi jogi vezetővel és az adatvédelmi megfelelőségi vezetővel történő konzultációra is sor kerül. Az eszkaláció útvonalát az aggályok természete és köre alapján kell meghatározni, és haladéktalanul továbbítani kell őket a megfelelő csapat felé. A Felhasználónak észszerű időn belül, de legkésőbb a kérdés elküldésének dátumától számított három (3) hónapon belül meg kell küldeni a választ, kivéve szokatlan körülmények vagy összetett kérdések esetén, amely esetben a Felhasználót értesíteni kell arról, hogy a válasz megküldése három (3) hónapnál több időt vesz igénybe.
A panasztételi mechanizmus nem befolyásolja a Felhasználó arra vonatkozó jogát, hogy az illetékes Adatvédelmi hatóságnál vagy bíróságnál panasszal éljen.
4. Kedvezményezett Harmadik felek jogai és kötelezettségei
Ha az Európai Gazdasági Térségen belüli Felhasználók úgy vélik, hogy a Felhasználókkal kapcsolatos vállalati szabályokat megsértették az Európai Gazdasági Térségen kívül, a Felhasználókkal kapcsolatos vállalati szabályok 2., 3., 4., 7. és 8. szakaszának kedvezményezett Harmadik feleként a Felhasználókkal kapcsolatos vállalati szabályok betartatását kérhetik az illetékes Adatvédelmi hatóságoknál, a Vezető csoporttag székhelye szerinti illetékes bíróságon vagy az adatátadóként eljáró Csoporttag székhelye szerinti illetékes bíróságon. Ezek az érvényesítési jogok a PayPal vagy a vonatkozó jogszabályok által biztosított egyéb jogorvoslatok vagy jogok kiegészítései.
Bár nem kötelező, az Európai Gazdasági Térségen belüli Felhasználóknak az Adatvédelmi hatóságok vagy a bíróságok felkeresése előtt javasolt először közvetlenül a Csoporttag felé jelenteni aggályaikat. Ez hatékony és gyors választ tesz lehetővé a PayPal-csoport részéről, és csökkenti az adatvédelmi hatósági és bírósági eljárásokból eredő lehetséges késéseket.
A PayPal Europe S.à r.l. et Cie, S.C.A., a luxemburgi korlátolt felelősségű társaság tartozik felelősséggel a Felhasználókkal kapcsolatos vállalati szabályok Csoporttagok általi betartásának felügyeletéért. A Vezető csoporttag vállalja, hogy (i) minden szükséges lépést megtesz a Csoporttagok Európai Gazdasági Térségen kívül elkövetett szabálysértéseinek orvoslása érdekében, és (ii) az Európai Gazdasági Térségen belüli Felhasználók számára megfizeti a Vezető adatvédelmi hatóság vagy Luxemburg bírósága által megítélt kártérítést minden olyan kárért, amely közvetlenül a Felhasználókkal kapcsolatos vállalati szabályok Csoporttagok általi, Európai Gazdasági Térségen kívüli megsértéséből ered, ha az érintett Csoporttag nem képes teljesíteni a végzést, vagy nem tudja vagy nem hajlandó megfizetni a kártérítést.
A Vezető csoporttag tudomásul veszi és vállalja, hogy a Felhasználókkal kapcsolatos vállalati szabályok állítólagos megsértésének tekintetében a bizonyítás terhét neki kell viselnie.
A Vezető csoporttag (és bármely más Csoporttag) nem tehető felelőssé abban az esetben, ha a rendelkezésre álló tények alapján és a Felhasználó megjegyzéseinek figyelembevételével észszerű módon bizonyítani tudja, hogy a nem az Európai Gazdasági Térségben működő Csoporttag nem sértette meg a Felhasználókkal kapcsolatos vállalati szabályokat, illetve nem felelős a Felhasználó által állított károkért.
5. Képzés
A Csoporttagoknak biztosítaniuk kell, hogy a Felhasználói személyes adatokat kezelő Alkalmazottak, valamint a Felhasználói személyes adatok begyűjtéséhez vagy kezeléséhez használt eszközök tervezésében érintett Alkalmazottak megfelelő adatvédelmi és információbiztonsági képzésben részesüljenek annak érdekében, hogy tisztában legyenek a Felhasználói személyes adatok Felhasználókkal kapcsolatos vállalati szabályoknak megfelelő védelmének fontosságával.
Az Alkalmazottaknak évente el kell végezniük egy adatvédelmi modult is tartalmazó, magatartási kódexszel és etikus üzletvitellel kapcsolatos online képzést. Az újonnan felvett Alkalmazottaknak a munkaviszony kezdetekor el kell végezniük a megfelelőséggel kapcsolatos online képzést.
A megfelelőséggel kapcsolatos online képzés mellett a PayPal globális adatvédelmi csapata és az Európai adatvédelmi tisztviselő által tartott adatvédelmi és információbiztonsági képzés is hozzájárul ahhoz, hogy az Alkalmazottak tisztában legyenek a Személyes adatok védelmének fontosságával. Ezekre a képzésekre évente vagy szükség esetén ennél gyakrabban kerül sor.
Az Alkalmazottak számára biztosított képzést a Felhasználói személyes adatokhoz való hozzáférésük szintjéhez kell igazítani, és a magasabb szintű hozzáféréssel rendelkező Alkalmazottak számára további képzéseket kell biztosítani.
A Csoporttagoknak tájékoztatniuk kell az Alkalmazottakat arról, hogy a Felhasználókkal kapcsolatos vállalati szabályok betartásának elmulasztása fegyelmi eljárást és a vonatkozó jogszabályok által megengedett egyéb lépéseket vonhat maga után. A Felhasználókkal kapcsolatos vállalati szabályokat, valamint az egyéb kapcsolódó adatvédelmi és biztonsági irányelveket és eljárásokat az Alkalmazottak bármikor elérhetik a vállalat intranetén keresztül. A Felhasználókkal kapcsolatos vállalati szabályok emellett a Magatartási kódex és etikus üzletvitel című dokumentumban is megtalálhatók, amelyet minden Alkalmazottnak át kell tekintenie és be kell tartania.
6. Auditok és monitorozás
A Felhasználókkal kapcsolatos vállalati szabályoknak való megfelelés biztosítása érdekében a PayPal globális adatvédelmi megfelelőségi csapata rendszeres időközönként felülvizsgálja a Személyes adatok kezelésével kapcsolatos tevékenységeket és gyakorlatokat. Ezekre a tevékenységekre az Európai adatvédelmi tisztviselővel szoros együttműködésben kerül sor.
A belső auditálásért felelős csapat a vezetőség és az Igazgatótanács független és objektív tanácsadójaként működik, amely az auditálási bizottságon keresztül kommunikálja az auditok eredményeit az Igazgatótanács, az adatvédelmi vezetők és az Európai adatvédelmi tisztviselő felé.
A belső auditálásért felelős csapat rendszeres időközönként felülvizsgálhatja a globális adatvédelmi csapat által meghatározott tevékenységeket és gyakorlatokat. A belső auditálásért felelős csapat, az adatvédelmi vezetők és az Európai adatvédelmi tisztviselő a kötelező erejű vállalati szabályoknak való megfelelés biztosítása érdekében szükség esetén cselekvési terv végrehajtását kérheti. Ha a belső csapatok nem tudják megfelelő módon megoldani az ügyet, a Csoport független külső auditorokat jelölhet ki a további állásfoglalás érdekében.
Az Európai adatvédelmi tisztviselő, a PayPal globális adatvédelmi megfelelőségi csapata vagy a belső auditálásért felelős csapatok és a külső auditorok az adatkezeléssel járó kockázatoknak megfelelő részletes auditálási tervet és ütemezést készítenek.
Az adatvédelmi audit eredményeit az illetékes Adatvédelmi hatóságok is megkapják. A PayPal fenntartja a jogot arra, hogy a védett és egyéb bizalmas vállalati adatok titkosságának biztosítása érdekében visszatartsa az auditokról készült jelentések bizonyos részeit.
7. A Felhasználókkal kapcsolatos vállalati szabályok és a nemzeti jog közötti kapcsolat
A világszerte eltérő adatvédelmi követelményekre adott válaszul a Felhasználókkal kapcsolatos vállalati szabályok egységes követelményrendszert határoznak meg a Felhasználói személyes adatok megfelelő kezeléséhez. Bár a Felhasználókkal kapcsolatos vállalati szabályok jelentik a Csoporttagok által követendő elsődleges követelményt, a Csoporttagoknak minden olyan vonatkozó jogszabályt is be kell tartaniuk, amelyek a jelen Vállalati szabályokban meghatározottaknál szigorúbb rendelkezéseket írnak elő.
A Felhasználókkal kapcsolatos vállalati szabályok semelyik része nem befolyásolja a Csoporttagok vonatkozó banki jogszabályok szerinti kötelezettségeit, különös tekintettel a banktitokkal kapcsolatos kötelezettségekre. Ha a vonatkozó jogszabályok olyan, a Felhasználókkal kapcsolatos vállalati szabályokkal ütköző rendelkezéseket írnak elő, amelyek akadályoznák a Csoporttagot a Felhasználókkal kapcsolatos vállalati szabályok által meghatározott kötelezettségei teljesítésében, vagy amelyek jelentős hatással vannak az itt meghatározott garanciákra, a Csoporttagnak haladéktalanul értesítenie kell az Európai adatvédelmi tisztviselőt, kivéve, ha az ilyen információk átadását bűnüldözési hatóság vagy törvény tiltja. Az Európai adatvédelmi tisztviselő, az adatvédelmi vezetők és a Vezető csoporttag közösen határozzák meg a megfelelő lépéseket, és kétség esetén az illetékes Adatvédelmi hatósággal is konzultálnak.
8. Kölcsönös segítségnyújtás és együttműködés az Adatvédelmi hatóságokkal
A Csoporttagok együttműködnek és segítik egymást a Felhasználókkal kapcsolatos vállalati szabályokra vonatkozó kérések és panaszok kezelésében.
A Csoporttagok mindig körültekintően és megfelelő módon válaszolják meg az Adatvédelmi hatóságok Felhasználókkal kapcsolatos vállalati szabályokat érintő kérelmeit. Ha egy Alkalmazott ilyen kérelmet kap egy Adatvédelmi hatóságtól, arról haladéktalanul tájékoztatnia kell az Európai adatvédelmi tisztviselőt.
A Csoporttagok a vonatkozó jogszabályoknak és a tisztességes eljáráshoz való jognak megfelelően együttműködnek az Európai Gazdasági Térség Adatvédelmi hatóságaival a jelen Felhasználókkal kapcsolatos vállalati szabályoknak való megfelelést érintő vizsgálatok és auditok során, és tiszteletben tartják a döntéseiket.
9. A jelen Felhasználókkal kapcsolatos vállalati szabályok tartalmának és az érintett tagok listájának frissítései
A PayPal fenntartja a jogot, hogy módosítsa a jelen Felhasználókkal kapcsolatos vállalati szabályokat a vonatkozó jogszabályokban, szabályokban, rendeletekben, valamint a PayPal gyakorlataiban, eljárásaiban és szervezeti felépítésében történt változásoknak és az illetékes Adatvédelmi hatóságok által előírt követelményeknek való megfelelés érdekében.
A jelen Felhasználókkal kapcsolatos vállalati szabályok szükséges módosításait a PayPal globális adatvédelmi jogi csapata (az adatvédelmi jogi vezető irányításával) javasolja. A PayPal globális adatvédelmi megfelelőségi csapatának (az adatvédelmi megfelelőségi vezető irányításával) és az Európai adatvédelmi tisztviselőnek a jelen Felhasználókkal kapcsolatos vállalati szabályok minden módosítását jóvá kell hagynia, és folyamatosan nyomon kell követnie a Felhasználókkal kapcsolatos vállalati szabályok és a Csoporttagokat tartalmazó lista minden módosítását. Formális jóváhagyás céljából és a vonatkozó jogszabályok előírásainak megfelelően a Csoporttagoknak minden releváns Adatvédelmi hatóság felé jelenteniük kell a Felhasználókkal kapcsolatos vállalati szabályok módosításait.
A Vezető csoporttagnak a Felhasználókkal kapcsolatos vállalati szabályokat érintő minden olyan jelentős módosításról konzultálnia kell a Vezető adatvédelmi hatósággal, amely hatással lehet az adatvédelmi előírásoknak való megfelelésre vagy a Felhasználókkal kapcsolatos vállalati szabályok működésére. A Vezető csoporttagnak évente legalább egyszer tájékoztatnia kell a Vezető adatvédelmi hatóságot a Felhasználókkal kapcsolatos vállalati szabályokban és a Csoporttagok listájában történt jelentős módosításokról. A PayPal globális adatvédelmi csapata szorosan együttműködik az Európai adatvédelmi tisztviselővel, aki a válaszok koordinálásáért és azért felelős, hogy a PayPal nevében megválaszolja a Vezető adatvédelmi hatóság részéről a módosításokkal kapcsolatban felmerülő kifogásokat, megjegyzéseket és javaslatokat. Az egyéb Adatvédelmi hatóságoktól érkező megjegyzéseket, javaslatokat és kifogásokat az egyéb Adatvédelmi hatóságok nevében eljáró Vezető adatvédelmi hatóság kommunikálja az Európai adatvédelmi tisztviselő felé.
A Felhasználókkal kapcsolatos vállalati szabályok módosításai a hatálybalépés dátumával minden Csoporttagra vonatkozóan kötelező erejűvé válnak. A Csoporttagok a Felhasználók Szolgáltatással kapcsolatos preferenciáinak megfelelően e-mailben vagy a webhelyen közzétett figyelmeztetésben előzetesen értesítik a Felhasználókat a Felhasználókkal kapcsolatos vállalati szabályok jelentős módosításairól. A Csoporttagoknak a megfelelő külső webhelyeken vagy a Felhasználók számára elérhető alkalmazásokban közzé kell tenniük a Felhasználókkal kapcsolatos vállalati szabályok átdolgozott verzióját. A Felhasználókkal kapcsolatos vállalati szabályok új verziói a Felhasználók Csoporttagok általi értesítésétől és a Felhasználókkal kapcsolatos vállalati szabályok átdolgozott verziójának közzétételétől számított két hónapon belül lépnek hatályba.
10. Közzététel
A Felhasználókkal kapcsolatos vállalati szabályokat közzé kell tenni, és a Szolgáltatás webhelyén vagy az alkalmazásokban elérhetővé kell tenni a szabályokra mutató hivatkozást. A Felhasználók a szabályok egy példányát az Európai adatvédelmi tisztviselőtől (DPO-tól) igényelhetik a PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg címen vagy online módon.
11. Záró rendelkezések
Hatálybalépés dátuma: 2018. május 25.
Kapcsolatfelvétel: A Felhasználók a következő címre küldhetik el a Felhasználókkal kapcsolatos vállalati szabályokat érintő kérdéseiket vagy aggályaikat:
The European Data Protection Officer (DPO)
PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg
12. Fogalommeghatározások
A Csoporttagoknak az Európai Unió 95/46/EK irányelve, illetve bármely annak helyébe lépő irányelv vagy rendelet elveivel és alapfogalmaival összhangban kell értelmezniük a Felhasználókkal kapcsolatos vállalati szabályokat.
A Felhasználókkal kapcsolatos vállalati szabályok tekintetében a következő fogalommeghatározások alkalmazandók:
Az Igazgatótanács kifejezés a Vezető csoporttagok igazgatótanácsát jelenti.
Adatvédelmi hatóság alatt azokat a közjogi hatóságokat értjük, amelyek illetékességi területükön az Európai Gazdasági Térség tagállamai által elfogadott nemzeti jog alkalmazásának felügyeletéért és betartatásáért felelősek – az Európai Unió adatvédelmi irányelvének (95/46/EK) megfelelően.
Az EGT az Európai Gazdasági Térség rövidítése, amely jelenleg az Európai Unió tagállamait, Izlandot, Liechtensteint és Norvégiát foglalja magában.
Az Alkalmazott valamely Csoporttag alkalmazottját, dolgozóját, gyakornokát vagy egyéb személyzetét jelenti, az alkalmi, ideiglenes és helyettesítő munkaerőt és az alvállalkozókat is beleértve, a foglalkoztatás típusától és a teljes vagy részmunkaidős státusztól függetlenül.
Az Európai adatvédelmi tisztviselő (DPO) a Vezető csoporttag vezetősége által kijelölt és annak beszámolási kötelezettséggel tartozó Alkalmazott, aki egyúttal a PayPal globális adatvédelmi jogi csapatának is tagja. Az Európai adatvédelmi tisztviselő székhelye Luxemburgban van.
Csoporttag alatt a PayPal-csoport olyan jogalanyát értjük, amely aláírta az Államközi megállapodást.
Az IGA az Államközi megállapodás rövidítése.
A Vezető adatvédelmi hatóság a luxemburgi „Commission nationale pour la protection des données” („CNPD”) hatóságot jelenti.
A Vezető csoporttag a PayPal (Europe) S.à r.l. & Cie, S.C.A. luxemburgi korlátolt felelősségű társaságot jelenti.
A PayPal globális adatvédelmi csapata a PayPal globális adatvédelmi megfelelőségi csapatát és a PayPal globális adatvédelmi jogi csapatát jelenti.
A PayPal globális adatvédelmi megfelelőségi csapata a megfelelőségi szervezet azon tagjait jelenti, akik a PayPal adatvédelmi programjának működésével és megfelelőségével foglalkoznak.
A PayPal globális adatvédelmi jogi csapata a jogi részleg adatvédelemért felelős tagjait jelenti.
A PayPal-csoport a PayPal Holdings, Inc. („PayPal”) vállalatcsoportot és a PayPal közvetlen vagy közvetett irányítása alatt álló és Felhasználói adatokat kezelő szervezeteket jelöli, ahol az irányítás szó 50%-nál magasabb szavazati jogot jelent a vállalat igazgatóinak megválasztásakor vagy 50%-nál nagyobb tulajdonhoz fűződő érdekeltséget.
Személyes adatok alatt az azonosítható vagy azonosított természetes személyekhez kapcsolódó adatokat értjük. Azonosítható személy alatt olyan személyeket értünk, akik egy azonosítószám vagy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális identitásukra jellemző egy vagy több tényező alapján közvetlen vagy közvetett módon azonosíthatók.
Adatkezelés alatt a Személyes adatokon automatikusan vagy nem automatikusan végzett műveletet vagy műveletsort értünk, ideértve többek között a Személyes adatok gyűjtését, rögzítését, rendszerezését, tárolását, adaptálását vagy módosítását, visszakeresését, megtekintését, felhasználását, továbbítással való közlését, terjesztését vagy egyéb módon történő elérhetővé tételét, összehangolását vagy kombinálását, korlátozását, törlését és megsemmisítését.
Az Adatfeldolgozó az egyes Csoporttagok nevében Személyes adatokat kezelő természetes vagy jogi személy.
A Bizalmas személyes adatok faji és etnikai hovatartozással, politikai nézetekkel, vallási és filozófiai meggyőződéssel, szakszervezeti tagsággal, bűncselekményekkel, valamint egészségi állapottal és szexuális élettel kapcsolatos Személyes adatok.
Szolgáltatás alatt a PayPal-csoport által a Felhasználó általi használatra biztosított webhelyet, alkalmazást vagy egyéb terméket vagy szolgáltatást értünk.
Harmadik fél alatt a Felhasználón, a Csoporttagon, az Adatfeldolgozón és a Csoporttag vagy az Adatfeldolgozó közvetlen irányítása alatt Személyes adatokat kezelő személyeken, például Alkalmazottakon kívüli bármely egyéb természetes vagy jogi személyt, közjogi hatóságot, hivatalt vagy egyéb szervet értünk.
A Felhasználó kifejezés a múltbeli és jelenlegi ügyfeleket, leendő ügyfeleket, befektetőket, üzleti partnereket és kereskedőket takarja.
A Felhasználói személyes adatok a Felhasználókhoz kapcsolódó Személyes adatokat jelentik.