>> Alle juridische overeenkomsten weergeven
Bedrijfsregels voor PayPal-Gebruikers
Het doel van de PayPal-groep is om uniforme, adequate en mondiale standaarden op het gebied van gegevensbescherming en privacy toe te passen voor de behandeling van alle Persoonsgegevens van Gebruikers in de gehele PayPal-groep. Deze Bedrijfsregels voor Gebruikers zijn van toepassing op alle Persoonsgegevens van Gebruikers die Verwerkt worden door Groepsleden wereldwijd.
Gebruikers wereldwijd verstrekken hun Persoonsgegevens aan Groepsleden om gebruik te maken van de services die de Groep biedt. De meeste Persoonsgegevens van Gebruikers worden verzameld en opgeslagen in de Verenigde Staten. In verband met de mondiale activiteiten van PayPal dienen Persoonsgegevens van Gebruikers te worden gedeeld met andere PayPal-entiteiten in de Verenigde Staten en wereldwijd waar PayPal momenteel aanwezig is of van plan is aanwezig te zijn.
Op dit moment hebben medewerkers in de volgende EER-landen mogelijk toegang tot Persoonsgegevens van Gebruikers: Luxemburg, België, Frankrijk, Duitsland, Ierland, Italië, Nederland, Polen, Spanje, Zweden.
Medewerkers die momenteel zijn gevestigd in de volgende niet-EU-landen hebben mogelijk ook toegang tot Persoonsgegevens van Gebruikers: de Verenigde Staten van Amerika, Taiwan, Turkije, de Britse Maagdeneilanden, Australië, Canada, China, Hongkong, India, Indonesië, Israël, Japan, Republiek Korea, Maleisië, Mauritius, Filipijnen, Rusland, Singapore, Zwitserland, het Verenigd Koninkrijk, Argentinië, Brazilië en Mexico.
PayPal stelt alles in het werk om de gegevens van Gebruikers afdoende te beschermen, ongeacht waar deze zich bevinden, en om afdoende bescherming te blijven bieden voor de Persoonsgegevens van Gebruikers als deze naar locaties buiten de EER worden overgedragen.
Deze lijst met landen kan veranderen als het bedrijf wordt uitgebreid.
1. Privacy-governancestructuur en verantwoordelijkheden
De Bedrijfsregels voor Gebruikers worden wettelijk bindend gemaakt door een overeenkomst (de ' IGA ') tussen PayPal (Europe) S.à r.l. & Cie, S.C.A. ('Leidend groepslid') en andere entiteiten van de PayPal-groep. De IGA verplicht Groepsleden om deze Bedrijfsregels voor Gebruikers na te leven. Groepsleden verplichten hun Medewerkers om deze Bedrijfsregels voor Gebruikers na te leven wanneer zij Persoonsgegevens van Gebruikers Verwerken.
De bedrijfsleiders en het senior management van de PayPal-groep zijn verantwoordelijk voor het toezicht op de naleving van deze Bedrijfsregels voor Gebruikers en dienen ervoor te zorgen dat medewerkers zich bewust zijn van deze Bedrijfsregels voor Gebruikers en deze naleven.
Het Hoofd Privacynaleving stuurt het privacyprogramma van PayPal aan. Hij/zij heeft een senior functie binnen PayPal Holdings, Inc. en brengt rechtstreeks verslag uit aan de Chief Compliance Officer of de leidinggevende die aan het hoofd staat van de compliancefunctie bij PayPal. Het Hoofd Privacynaleving houdt toezicht op het PayPal Global Privacy Compliance Team en communiceert met andere interne organisaties of teams, zoals operaties, informatiebeveiliging, naleving, risico en interne audits, om consistente communicatie, praktijken en beleidsregels inzake privacy in de PayPal-groep wereldwijd te waarborgen. Het PayPal Global Privacy Compliance Team ontwikkelt en coördineert de implementatie van de nalevingsstrategie in de PayPal-groep en controleert de naleving ervan. Het PayPal Global Privacy Compliance Team heeft directe en indirecte vertegenwoordigers binnen de PayPal-groep die, onder andere, helpen de naleving van de Bedrijfsregels voor Gebruikers en de toepasselijke wetten inzake gegevensbescherming na te leven.
Het Hoofd Privacyrecht houdt toezicht op het PayPal Global Privacy Legal Team en brengt rechtstreeks verslag uit aan de Chief Legal Officer of de leidinggevende die aan het hoofd staat van de juridische functie bij PayPal. Het Hoofd Privacyrecht definieert de verplichtingen van het bedrijf krachtens de wetgeving inzake gegevensbescherming en deze Bedrijfsregels voor Gebruikers. Het Hoofd Privacyrecht en het PayPal Global Privacy Legal Team werken nauw samen met het Hoofd Privacynaleving en het PayPal Global Compliance Privacy Team en communiceren met andere interne organisaties en teams, zoals recht, operaties, informatiebeveiliging en risico, om wereldwijd juridisch advies te verstrekken en de gevolgen van wet- en regelgeving voor zich ontwikkelende privacykwesties te interpreteren binnen de PayPal-groep.
Het PayPal Global Privacy Compliance Team en het PayPal Global Privacy Legal Team vormen gezamenlijk het PayPal Global Privacy Team.
De Europese functionaris voor gegevensbescherming, gevestigd in Luxemburg, wordt aangesteld door en brengt verslag uit aan het management van PayPal (Europe) S.à r.l. et Cie, S.C.A. De Europese functionaris voor gegevensbescherming treedt op als eerste aanspreekpunt voor de gegevensbeschermingsautoriteiten van de EER en heeft onder andere de volgende taken: de Groepsleden en hun medewerkers, die Persoonsgegevens Verwerken, informeren en adviseren over hun verplichtingen uit hoofde van de privacywetgeving om ervoor te zorgen dat deze Bedrijfsregels voor Gebruikers worden nageleefd; samenwerken met het PayPal Global Privacy Team om toe te zien op de naleving van de privacywetgeving en het daarmee verband houdende beleid van de Groepsleden; en op verzoek juridisch advies verstrekken aan de Groepsleden met betrekking tot de effectbeoordelingen op het gebied van gegevensbescherming en de tenuitvoerlegging daarvan.
2. Beginselen voor de Verwerking van Persoonsgegevens van Gebruikers
Groepsleden nemen de volgende beginselen voor de Verwerking van Persoonsgegevens van Gebruikers in acht:
2.1 Beperking van de doeleinden
Persoonsgegevens van Gebruikers worden uitsluitend voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden Verwerkt. In het bijzonder kunnen Persoonsgegevens van Gebruikers worden Verwerkt om:
- de levering van Services aan te bieden of te vergemakkelijken op verzoek van Gebruikers, met inbegrip van het openen van een rekening,
- de Services te verbeteren en nieuwe Services te ontwikkelen,
- geschillen op te lossen, geschillenbeslechting te beheren, problemen op te lossen en klantenservice te verlenen,
- risicobeheer uit te voeren,
- transacties te Verwerken en verschuldigde vergoedingen te innen,
- kredietwaardigheid en solvabiliteit te controleren,
- de interesse van Gebruikers in en hun feedback en mening over Services te meten en Gebruikers te informeren over online en offline aanbiedingen, Services en updates,
- de ervaringen van Gebruikers aan te passen,
- fouten, fraude en andere criminele activiteiten op te sporen en hier bescherming tegen te bieden,
- de wettelijke of contractuele verplichtingen van de PayPal-groep na te komen,
- de voorwaarden van de Service en andere bepalingen die zijn beschreven voor Gebruikers op het moment van verzameling en in het privacybeleid van de Service te handhaven,
- de beveiliging, integriteit en beschikbaarheid van de Services en het netwerk van de PayPal-groep te beschermen,
- de wettelijke rechten en belangen van de PayPal-groep te beschermen, met inbegrip van, maar niet beperkt tot, het instellen, uitoefenen of verdedigen tegen juridische vorderingen.
De Verwerking van de Persoonsgegevens van Gebruikers voor andere doeleinden is onderworpen aan de voorafgaande goedkeuring van het PayPal Global Privacy Legal Team. In geval van twijfel zullen Groepsleden het PayPal Global Privacy Legal Team raadplegen.
Persoonsgegevens van Gebruikers worden niet verder Verwerkt op een manier die onverenigbaar is met de hierboven vermelde doeleinden, tenzij er een wettelijke basis is om dit te doen onder het toepasselijke recht van het Groepslid in de EER dat verantwoordelijk is voor het verzamelen en/of overdragen van de Persoonsgegevens van Gebruikers.
2.2 Kwaliteit en evenredigheid van gegevens
Persoonsgegevens van Gebruikers:
- zijn nauwkeurig en waar nodig up-to-date,
- zijn adequaat, relevant en niet buitensporig met betrekking tot de doeleinden waarvoor ze worden Verwerkt,
- worden niet langer bewaard dan nodig is voor het doel waarvoor zij oorspronkelijk werden verzameld of waarvoor zij verder werden Verwerkt.
Persoonsgegevens van Gebruikers die niet langer nodig zijn voor het doel waarvoor ze werden Verwerkt, worden gewist, verwijderd, vernietigd of geanonimiseerd, tenzij er een rechtsgrond is voor verdere Verwerking, of bewaring is vereist door de toepasselijke wetgeving.
2.3 Rechtsgronden voor Verwerking
Groepsleden dragen er zorg voor dat de Persoonsgegevens van Gebruikers eerlijk en rechtmatig worden Verwerkt, in het bijzonder op basis van ten minste een van de volgende rechtsgronden:
- ondubbelzinnige toestemming van de Gebruiker
- Verwerking die noodzakelijk is voor de uitvoering van een overeenkomst waarbij de Gebruiker een partij is of om op verzoek van de Gebruiker maatregelen te nemen voorafgaand aan het aangaan van een overeenkomst
- Verwerking die noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan Groepsleden zijn onderworpen
- Verwerking die noodzakelijk is om de vitale belangen van de Gebruiker te beschermen
- Verwerking die noodzakelijk is voor de uitvoering van een taak van algemeen belang of voor de uitoefening van het openbaar gezag die aan Groepsleden of aan Derden aan wie de gegevens zijn bekendgemaakt, is opgedragen
- Verwerking die noodzakelijk is voor de legitieme belangen die worden nagestreefd door het Groepslid of door de Derde(n) aan wie de gegevens worden onthuld, behalve wanneer dergelijke belangen worden tenietgedaan door de belangen inzake de grondrechten en vrijheden van de Gebruiker.
In het algemeen verzamelen Groepsleden geen Gevoelige Persoonsgegevens van Gebruikers. Indien een dergelijke verzameling vereist is of Gebruikers vrijwillig dergelijke informatie verstrekken, zorgen Groepsleden ervoor dat de Gevoelige Persoonsgegevens van Gebruikers alleen worden Verwerkt op basis van ten minste een van de volgende gronden:
- uitdrukkelijke toestemming van de Gebruiker
- Verwerking die noodzakelijk is voor de bescherming van de vitale belangen van de Gebruiker of van een andere persoon wanneer de Gebruiker fysiek of juridisch niet in staat is zijn/haar toestemming te geven
- Verwerking die betrekking heeft op Persoonsgegevens van een Gebruiker die duidelijk openbaar zijn gemaakt door de Gebruiker
- Verwerking die noodzakelijk is voor de vaststelling, de uitoefening of het verweer tegen rechtsvorderingen
Indien de Verwerking automatische besluitvorming ('Geautomatiseerde Besluiten') met zich meebrengt, nemen de Groepsleden passende maatregelen om de rechtmatige belangen van de Gebruiker te beschermen, zoals de Gebruiker in de gelegenheid stellen om een vertegenwoordiger van de klantenservice het besluit individueel te laten herzien en de Gebruiker toestaan zijn standpunt kenbaar te maken. De vertegenwoordiger van de klantenservice zal de zaak doorverwijzen naar de Europese functionaris voor gegevensbescherming indien de gebruiker het niet eens blijft met een geautomatiseerd besluit. Indien van toepassing zal het Hoofd Privacyrecht worden geraadpleegd en het Hoofd Privacynaleving worden geïnformeerd.
2.4 Transparantie
Bij het verzamelen van Persoonsgegevens van Gebruikers informeren de Groepsleden de Gebruikers over het volgende:
- de naam en het adres van het Groepslid dat verantwoordelijk is voor de oorspronkelijke verzameling en Verwerking
- de categorieën Persoonsgegevens
- het beoogde doel van de Verwerking
- de categorieën ontvangende Verwerkers en Derden van de Persoonsgegevens
- of de beantwoording van de vragen verplicht dan wel vrijwillig is en wat de mogelijke gevolgen zijn wanneer een antwoord uitblijft
- het bestaan van Gebruikersrechten
- in geval van geautomatiseerde besluitvorming: de logica ervan
Groepsleden kunnen de informatie verstrekken in een privacybeleid voor de Service, dat toegankelijk zal zijn via een link en/of zal worden weergegeven op een prominente locatie van elke website of toepassing van de Service en tijdens de registratie. De verplichting om Gebruikers te informeren geldt niet als Gebruikers reeds op de hoogte zijn van de informatie.
Indien het verstrekken van informatie onmogelijk blijkt of onevenredig veel moeite zou kosten, kunnen de Groepsleden besluiten de informatie niet te verstrekken. Dit zou alleen het geval zijn voor Persoonsgegevens van Gebruikers die niet rechtstreeks van de Gebruiker zijn verkregen.
In uitzonderlijke omstandigheden kan de verstrekking van specifieke informatie worden uitgesteld of achterwege gelaten, bijvoorbeeld in het kader van onderzoeken naar onrechtmatig gedrag of om te voldoen aan de toepasselijke wetgeving of wanneer de verstrekking van de informatie de integriteit van het onderzoek in gevaar zou brengen.
2.5 Vertrouwelijkheid en veiligheid
Groepsleden gebruiken fysieke, technische en organisatiegebonden beveiligingsmiddelen in evenredige mate met de hoeveelheid en de gevoeligheid van de Persoonsgegevens van Gebruikers om ongeautoriseerde Verwerking te voorkomen, met inbegrip van, maar niet beperkt tot, ongeautoriseerde toegang tot, verwerving, gebruik, verlies, vernietiging of beschadiging van Persoonsgegevens van Gebruikers. Groepsleden gebruiken versleuteling, firewalls, toegangscontroles, standaarden en andere procedures om Gebruikersinformatie te beschermen tegen ongeautoriseerde toegang. Fysieke en logische toegang tot elektronische en papieren bestanden wordt verder beperkt op basis van functieverantwoordelijkheden en bedrijfsbehoeften.
2.6 Keuzes en rechten van gebruikers
De Gebruikers hebben toegang tot de meeste Persoonsgegevens die op hen betrekking hebben en die Groepsleden over hen bewaren, en kunnen deze wijzigen met behulp van de juiste online tool die of het juiste zelfbedieningsproces dat hen via de website of toepassing van de Service ter beschikking wordt gesteld.
De Gebruikers hebben in alle gevallen het recht om een inzageverzoek in te dienen om hun Persoonsgegevens die niet toegankelijk zijn via de website of toepassing van de Service te bekijken of een kopie van deze gegevens te ontvangen. De Gebruikers dienen contact op te nemen met de klantenservice met behulp van de instructies op de website of toepassing van de Service. Groepsleden zullen verzoeken inwilligen binnen de door het toepasselijke recht voorgeschreven termijnen, tenzij de toepasselijke wetgeving in een uitzondering op een dergelijke verplichting voorziet. De Gebruikers dienen mogelijk een bewijs van hun identiteit te verstrekken en een vergoeding te betalen voor de dienst zoals toegestaan door de toepasselijke wetgeving.
De Gebruikers kunnen ook om rectificatie van hun gegevens verzoeken indien deze onvolledig of onnauwkeurig zijn. Groepsleden zullen aan een dergelijk verzoek voldoen en zullen Gebruikers op de hoogte stellen wanneer hun gegevens zijn gecorrigeerd. Groepsleden zullen derden aan wie de gegevens van de Gebruiker zijn vrijgegeven op de hoogte stellen van rectificaties, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.
Op grond van zwaarwegende legitieme gronden kunnen Gebruikers bezwaar maken tegen de Verwerking van hun Persoonsgegevens. Groepsleden houden zich aan dergelijke verzoeken, tenzij het bewaren van de Persoonsgegevens van Gebruikers vereist is door de toepasselijke wetgeving of om de PayPal-groep tegen rechtsvorderingen te verdedigen. Gebruikers worden op de hoogte gesteld van de uitkomst van hun verzoek en van de maatregelen die de Groepsleden hebben genomen.
Bovendien kunnen de Gebruikers vragen om hun rekeningen te sluiten door de instructies te volgen die via de website of toepassing van de Service worden verstrekt. Groepsleden zullen de informatie van een Gebruiker op een Service zo snel als redelijkerwijs mogelijk is op basis van rekeningactiviteit verwijderen of anoniem maken. In sommige gevallen kunnen Groepsleden de sluiting van een rekening uitstellen of Persoonsgegevens van Gebruikers bewaren om een onderzoek in te stellen of wanneer dit door de toepasselijke wetgeving wordt vereist. Groepsleden kunnen Gebruikersinformatie van gesloten rekeningen ook bewaren om fraude op te sporen en te voorkomen, verschuldigde vergoedingen te innen, geschillen op te lossen, problemen op te lossen, hulp te bieden bij onderzoeken, risico's te beheren, de voorwaarden van een Service te handhaven, te voldoen aan de wettelijke of reglementaire vereisten en andere acties te ondernemen die anderszins zijn toegestaan door de toepasselijke wetgeving. De gegevens worden in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden Verwerkt, en worden gewist zodra de redenen voor de bewaring ervan zijn weggenomen.
Met uitzondering van de Gebruikers die ervoor hebben gekozen bepaalde mededelingen niet te ontvangen, kunnen Groepsleden Persoonsgegevens van Gebruikers gebruiken om op interesses gebaseerde mededelingen te sturen aan de Gebruiker, in overeenstemming met de toepasselijke wetgeving. Gebruikers die geen marketingberichten van de PayPal-groep wensen te ontvangen, zullen gemakkelijk toegankelijke middelen aangeboden krijgen om zich te verzetten tegen verdere reclame, bijvoorbeeld in hun rekeninginstellingen of door de aanwijzingen op te volgen die in een e-mail of via een link op de mededeling worden gegeven.
Gebruikers kunnen de bovenstaande rechten uitoefenen door contact op te nemen met de klantenservice. Indien de identiteit van een Gebruiker moeilijk te verifiëren is, kunnen Groepsleden de Gebruiker om een aanvullend identificatiebewijs vragen.
2.7 Openbaarmaking van Persoonsgegevens
Groepsleden kunnen Persoonsgegevens van Gebruikers in het kader van de normale uitoefening en omvang van hun activiteiten delen met andere Groepsleden wereldwijd voor de in paragraaf 2.1 genoemde doeleinden.
In overeenstemming met de toepasselijke wetten, verdragen of toepasselijke internationale overeenkomsten mogen Groepsleden Persoonsgegevens delen met wetshandhavings- en regelgevende autoriteiten indien dit in een democratische samenleving noodzakelijk is voor het waarborgen van de nationale veiligheid, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten en in het bijzonder om te voldoen aan de in internationale en/of nationale instrumenten vastgelegde sancties, de vereisten inzake belastingrapportage of de rapportageverplichtingen in verband met de bestrijding van het witwassen van geld.
Groepsleden verkopen of verhuren Persoonsgegevens van Gebruikers niet aan derden voor hun eigen marketingdoeleinden zonder uitdrukkelijke, ondubbelzinnige en geïnformeerde toestemming van de Gebruiker. Groepsleden kunnen Gebruikersinformatie aan andere Derde partijen verstrekken in overeenstemming met de instructies of toestemming van de Gebruiker (indien toegestaan door de toepasselijke wetgeving).
Wanneer Persoonsgegevens van Gebruikers aan Verwerkers worden overgedragen, worden de Verwerkers onderworpen aan een privacy-, gegevensbeschermings- en informatiebeveiligingsrisicobeoordeling voorafgaand aan de aanvang van de werkzaamheden en voorafgaand aan enige overdracht van Persoonsgegevens van Gebruikers. De omvang van de beoordeling zal variëren afhankelijk van de gevoeligheid van de Verwerkte Persoonsgegevens van Gebruikers. Verwerkers, met inbegrip van een Groepslid dat als Verwerker optreedt, moeten een overeenkomst sluiten met de betrokken Groepsleden om te zorgen voor adequate maatregelen op het gebied van privacy, gegevensbescherming en informatiebeveiliging. Een dergelijke overeenkomst bevat clausules die zorgen voor het juiste gebruik van de Persoonsgegevens van Gebruikers en veiligheidsmaatregelen die in verhouding staan tot het bedrag, de aard en de gevoeligheid van de betrokken Persoonsgegevens van Gebruikers. De contractuele waarborgen moeten ten minste de volgende zaken bestrijken:
- vereisten om de wet na te leven en Persoonsgegevens van Gebruikers alleen te Verwerken in overeenstemming met de voorwaarden van de overeenkomst en alleen in opdracht van de betrokken Groepsleden
- passende technische en organisatorische maatregelen, aangepast aan de gevoeligheid van de betrokken Persoonsgegevens van Gebruikers en Verwerking
- een recht om de naleving van de contractuele garanties door de Verwerkers te controleren
- de verplichting om inbreuken op de beveiliging te melden
- bepalingen inzake voorzieningen in geval van niet-nakoming door de Verwerker van zijn wettelijke of contractuele verplichtingen
De overeenkomsten moeten bepalingen bevatten die ervoor zorgen dat niet-naleving van de bepalingen van de overeenkomst kan leiden tot opschorting of beëindiging van de overeenkomst, naast andere in de overeenkomst vastgestelde rechtsmiddelen.
De beoordeling van de privacy, de gegevensbescherming en de informatiebeveiliging is niet verplicht voor Verwerkers die reeds aan een dergelijke beoordeling zijn onderworpen, tenzij de Verwerkingsactiviteiten activiteiten met een hoog risico met zich meebrengen, rekening houdend met de aard en de hoeveelheid van de Persoonsgegevens en het soort Verwerkingsactiviteiten.
Niettegenstaande het bovenstaande, wanneer Groepsleden Persoonsgegevens van Gebruikers in de EER doorgeven aan Derden of Verwerkers die geen Groepsleden zijn: (i) die gevestigd zijn in landen die geen adequate beschermingsniveaus bieden (in de zin van Richtlijn 95/46/EG), (ii) die niet onder goedgekeurde bindende bedrijfsregels vallen, of (iii) die geen andere regelingen hebben die aan de vereisten van adequaatheid van de EU voldoen, zorgt het Groepslid ervoor, met betrekking tot:
- Derden, dat zij passende contractuele controles zullen uitvoeren, zoals modelcontractbepalingen die door de Europese Commissie zijn goedgekeurd, die niveaus van bescherming bieden die in overeenstemming zijn met deze Bedrijfsregels voor Gebruikers of ervoor zullen zorgen dat de overdracht i) plaatsvindt met de ondubbelzinnige toestemming van de Gebruiker, ii) noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst met de Gebruiker, iii) noodzakelijk of wettelijk verplicht is om belangrijke redenen van algemeen belang of iv) noodzakelijk is om de vitale belangen van de Gebruiker te beschermen,
- Verwerkers, dat zij contractuele controles zullen uitvoeren, zoals het gebruik van modelcontractbepalingen die door de Europese Commissie zijn goedgekeurd, die niveaus van bescherming bieden die in overeenstemming zijn met deze Bedrijfsregels voor Gebruikers.
3. Klachtenregeling
Als Gebruikers van mening zijn dat hun Persoonsgegevens zijn Verwerkt in strijd met de Bedrijfsregels voor Gebruikers, kunnen ze dergelijke kwesties melden aan de klantenservice van het betreffende Groepslid via de website van de betreffende service, via e-mail of op een andere manier zoals aangegeven in de toepasselijke algemene voorwaarden. Gebruikers kunnen doorgaans antwoorden vinden op de meest voorkomende privacyvragen en bezorgdheden door het woord 'privacy' in te typen in de hulpsectie van de relevante service, waarna de Gebruiker doorgaans wordt doorgestuurd naar een privacyspecifieke pagina of een privacybeleid. De 'hulp'-sectie van de relevante service is het unieke toegangspunt voor alle vragen van Gebruikers met betrekking tot hun privacy of de Verwerking van hun Gebruikersinformatie en biedt de Gebruiker de mogelijkheid om contact op te nemen met de klantenservice.
In geval van twijfel over welk kanaal u moet gebruiken om privacygerelateerde problemen te melden, kunnen Gebruikers online contact opnemen met de Europese functionaris voor gegevensbescherming.
De klantenondersteuning onderzoekt en probeert problemen op te lossen die door Gebruikers naar voren zijn gebracht. Medewerkers die verantwoordelijk zijn voor het behandelen van privacygerelateerde problemen werken nauw samen met het PayPal Global Privacy Team en beantwoorden Gebruikers in overeenstemming met de beleidsregels, procedures en richtlijnen van PayPal. Als Gebruikers van mening zijn dat aan hun bezorgdheden onvoldoende aandacht is besteed, of als ze geen antwoord hebben gekregen, kunnen ze vragen dat hun bezorgdheden worden doorverwezen naar de Europese functionaris voor gegevensbescherming. Het Hoofd Privacyrecht zal worden geraadpleegd en het Hoofd Privacynaleving wordt op de hoogte gebracht. Escalatiepaden worden bepaald op basis van de aard en omvang van het probleem en worden zonder vertraging naar het juiste team gestuurd. Een reactie op de klacht dient binnen een redelijke termijn aan de Gebruiker te worden verstrekt, in ieder geval binnen een termijn van drie (3) maanden na de datum van het verzoek, behalve in bijzondere omstandigheden of bij complexe vragen, in welk geval de Gebruiker zal worden geïnformeerd dat het antwoord meer dan drie (3) maanden in beslag zal nemen.
De regeling voor het indienen van klachten doet geen afbreuk aan het recht van Gebruikers om klachten in te dienen bij de bevoegde Gegevensbeschermingsautoriteiten of rechtbanken.
4. Rechten en aansprakelijkheid van Derden
Gebruikers in de EER die een inbreuk op de Bedrijfsregels voor Gebruikers buiten de EER vermoeden, hebben het recht om als externe begunstigden voor de paragrafen 2, 3, 4, 7 en 8 van de Bedrijfsregels voor Gebruikers handhaving van de Bedrijfsregels voor Gebruikers af te dwingen bij de bevoegde gegevensbeschermingsautoriteiten, de rechtbanken van het Leidende groepslid of de rechtbanken van het Groepslid dat als gegevensexporteur optreedt. Deze handhavingsrechten vormen een aanvulling op andere rechtsmiddelen of rechten die door PayPal worden geboden of beschikbaar zijn onder de toepasselijke wetgeving.
Hoewel dit niet verplicht is, worden Gebruikers in de EER aangemoedigd om hun bezorgdheid eerst rechtstreeks aan het Groepslid te melden in plaats van aan de Gegevensbeschermingsautoriteiten of de rechtbanken. Dit maakt een efficiënte en snelle reactie van de PayPal Groep mogelijk en minimaliseert mogelijke vertragingen bij de Gegevensbeschermingsautoriteiten of gerechtelijke procedures.
PayPal Europe S.à r.l. et Cie, S.C.A., een Luxemburgse besloten vennootschap met beperkte aansprakelijkheid, aanvaardt de verantwoordelijkheid voor en gaat ermee akkoord toe te zien op de naleving van de Bedrijfsregels voor Gebruikers door het Groepslid. Het Leidende groepslid verbindt zich ertoe (i) de nodige stappen te ondernemen om een inbreuk te herstellen die is gepleegd door Groepsleden buiten de EER, en (ii) de vergoeding te betalen aan Gebruikers in de EER die is toegekend door de Leidende gegevensbeschermingsautoriteit of de Luxemburgse rechtbanken voor schade die rechtstreeks voortvloeit uit de inbreuk op de Bedrijfsregels voor Gebruikers door Groepsleden buiten de EER, indien het betrokken Groepslid niet in staat of niet bereid is de vergoeding te betalen of de opdracht uit te voeren.
Het Leidende groepslid erkent en aanvaardt dat het de bewijslast draagt met betrekking tot een vermeende inbreuk op de Bedrijfsregels voor Gebruikers.
De Leidende groep (of een ander Groepslid) is niet aansprakelijk indien hij op basis van de beschikbare feiten en rekening houdend met de opmerkingen van de Gebruiker redelijkerwijs kan aantonen dat het Groepslid van buiten de EER de Bedrijfsregels voor Gebruikers niet heeft overtreden of niet verantwoordelijk is voor enige door de Gebruiker beweerde schade.
5. Opleiding
Groepsleden zullen ervoor zorgen dat alle Medewerkers die Persoonsgegevens van Gebruikers Verwerken en alle Medewerkers die betrokken zijn bij het ontwerp van tools die zullen worden gebruikt voor het verzamelen of Verwerken van Persoonsgegevens van Gebruikers, een privacy- en informatiebeveiligingstraining krijgen om de noodzaak van de bescherming en beveiliging van Persoonsgegevens van Gebruikers in overeenstemming met deze Bedrijfsregels voor Gebruikers te benadrukken en deze Medewerkers hierover te informeren.
Medewerkers moeten jaarlijks een online nalevingstraining volgen rond de Code voor zakelijk gedrag en ethiek, die een gedeelte over gegevensbescherming bevat. Nieuwe medewerkers moeten de online nalevingstraining volgen zodra zij in dienst treden.
Naast deze online nalevingstraining organiseren het PayPal Global Privacy Team en de Europese functionaris voor gegevensbescherming bewustwordingscursussen op het gebied van privacy en informatiebeveiliging om Medewerkers te wijzen op en informeren over de noodzaak om Persoonsgegevens te beschermen en te beveiligen. Dergelijke opleidingen worden jaarlijks gegeven, of vaker indien de omstandigheden dit vereisen.
De training die Medewerkers krijgen, wordt aangepast aan de mate waarin zij toegang hebben tot Persoonsgegevens van Gebruikers en er wordt aanvullende opleiding verstrekt aan Medewerkers met een hoger toegangsniveau.
Groepsleden zullen Medewerkers informeren dat het niet naleven van deze Bedrijfsregels voor Gebruikers kan leiden tot disciplinaire maatregelen en andere maatregelen die zijn toegestaan door de toepasselijke wetgeving. Een exemplaar van deze Bedrijfsregels voor Gebruikers en andere relevante privacy- en beveiligingsgerelateerde beleidsregels en procedures is te allen tijde beschikbaar voor Medewerkers via het intranet van het bedrijf. De Bedrijfsregels voor Gebruikers zijn ook opgenomen in de Code voor zakelijk gedrag en ethiek, die alle Medewerkers moeten lezen en naleven.
6. Audits en controle
Om ervoor te zorgen dat deze Bedrijfsregels voor Gebruikers worden nageleefd, controleert het PayPal Global Privacy Compliance Team regelmatig de verwerkingsactiviteiten en -praktijken op het gebied van Persoonsgegevens. Deze activiteiten worden gecoördineerd in nauw overleg met de Europese functionaris voor gegevensbescherming.
Het Interne auditteam is een onafhankelijke en objectieve adviseur van het management en de raad van bestuur, die via het auditcomité de bevindingen van de audit doorgeeft aan de raad van bestuur, het Hoofd Privacyrecht en het Hoofd Privacynaleving en de Europese functionaris voor gegevensbescherming.
Het Interne auditteam kan op regelmatige basis een beoordeling uitvoeren van activiteiten of praktijken die door het Global Privacy Team zijn geïdentificeerd. Het Interne auditteam, het Hoofd Privacyrecht en Hoofd Privacynaleving en de Europese functionaris voor gegevensbescherming schrijven zo nodig voor dat een actieplan wordt uitgevoerd om naleving van de bindende bedrijfsregels te waarborgen. Voor zover interne groepen de zaken niet adequaat oplossen, kan de Groep onafhankelijke externe auditors aanstellen voor verdere afwikkeling.
De Europese functionaris voor gegevensbescherming, het PayPal Global Privacy Compliance Team of interne auditteams en externe auditors ontwikkelen gedetailleerde auditplannen en -schema's op basis van het risico van de Verwerking.
De resultaten van de privacyaudit zullen ter beschikking worden gesteld aan de bevoegde gegevensbeschermingsautoriteiten. PayPal behoudt zich het recht voor om delen van de auditrapporten te bewerken om de vertrouwelijkheid van bedrijfseigen of andere bedrijfsvertrouwelijke informatie te waarborgen.
7. De verhouding tussen de Bedrijfsregels voor Gebruikers en de nationale wetgeving
Aangezien de wettelijke vereisten met betrekking tot gegevensbescherming over de hele wereld uiteenlopen, worden in de Bedrijfsregels voor Gebruikers een consistente reeks vereisten vastgelegd om de passende Verwerking van Persoonsgegevens van Gebruikers te helpen waarborgen. Hoewel de Bedrijfsregels voor Gebruikers een basisvereiste vastleggen waaraan Groepsleden moeten voldoen, dienen Groepsleden te voldoen aan de toepasselijke wetten die een strengere norm kunnen opleggen dan de normen die in deze Bedrijfsregels zijn uiteengezet.
Niets in deze Bedrijfsregels voor Gebruikers doet afbreuk aan de verplichtingen van Groepsleden uit hoofde van de toepasselijke bankwetgeving, in het bijzonder met betrekking tot het bankgeheim. Indien het toepasselijke recht in strijd is met deze Bedrijfsregels voor Gebruikers in die zin dat het een Groepslid kan beletten zijn verplichtingen uit hoofde van de Bedrijfsregels voor Gebruikers na te komen en een aanzienlijk effect kan hebben op de daarin geboden garanties, stelt het Groepslid de Europese functionaris voor gegevensbescherming daarvan onmiddellijk in kennis, tenzij het verstrekken van dergelijke informatie door een wetshandhavingsautoriteit of de wet wordt verboden. De Europese functionaris voor gegevensbescherming, het Hoofd privacyrecht en Hoofd Privacynaleving en het Leidende groepslid bepalen passende maatregelen en raadplegen in geval van twijfel de bevoegde Gegevensbeschermingsautoriteit.
8. Wederzijdse bijstand en samenwerking met de gegevensbeschermingsautoriteiten
Groepsleden werken samen en helpen elkaar bij de afhandeling van verzoeken of klachten van Gebruikers met betrekking tot deze Bedrijfsregels voor Gebruikers.
Groepsleden reageren zorgvuldig en passend op verzoeken van Gegevensbeschermingsautoriteiten met betrekking tot de Bedrijfsregels voor Gebruikers. Indien een Medewerker een dergelijk verzoek van een Gegevensbeschermingsautoriteit ontvangt, moet hij of zij de Europese functionaris voor gegevensbescherming daarvan onmiddellijk in kennis stellen.
Groepsleden zullen meewerken aan onderzoeken en audits aanvaarden van bevoegde Gegevensbeschermingsautoriteiten in de EER met betrekking tot de naleving van deze Bedrijfsregels voor Gebruikers en zullen hun beslissingen respecteren in overeenstemming met de toepasselijke wetgeving en de rechten inzake een eerlijke rechtsgang.
9. Updates van de inhoud van deze Bedrijfsregels voor Gebruikers en de lijst met gebonden leden
PayPal behoudt zich het recht voor om deze Bedrijfsregels voor Gebruikers te wijzigen als dit nodig is, bijvoorbeeld om te voldoen aan wijzigingen in de toepasselijke wetten, regels, voorschriften, PayPal-praktijken, procedures en organisatiestructuur of vereisten die worden opgelegd door de betreffende gegevensbeschermingsautoriteiten.
Het PayPal Global Privacy Legal Team (onder leiding van het Hoofd Privacyrecht), zal zo nodig wijzigingen voorstellen met betrekking tot deze Bedrijfsregels voor Gebruikers. Het PayPal Global Privacy Compliance Team (onder leiding van het Hoofd Privacynaleving) en de Europese functionaris voor gegevensbescherming moeten alle wijzigingen van de Bedrijfsregels voor Gebruikers goedkeuren en houden alle wijzigingen van de Bedrijfsregels voor Gebruikers evenals alle wijzigingen in de lijst met Groepsleden bij. Groepsleden brengen bij de betreffende Gegevensbeschermingsautoriteiten verslag uit over wijzigingen in de Bedrijfsregels voor Gebruikers voor formele goedkeuring en zoals vereist door de toepasselijke wetgeving.
Het Leidende groepslid raadpleegt de Leidende gegevensbeschermingsautoriteit met betrekking tot materiële wijzigingen in de Bedrijfsregels voor Gebruikers die van invloed kunnen zijn op de naleving van de regels inzake gegevensbescherming of de werking van de Bedrijfsregels voor Gebruikers. Het Leidende groepslid geeft ten minste eenmaal per jaar materiële wijzigingen in de Bedrijfsregels voor Gebruikers en wijzigingen in de lijst met Groepsleden door aan de Leidende gegevensbeschermingsautoriteit. Het PayPal Global Privacy Team werkt samen om de Europese functionaris voor gegevensbescherming te ondersteunen, die met name de reacties zal coördineren en onverwijld opmerkingen, suggesties of bezwaren zal afhandelen met betrekking tot de wijzigingen die de Leidende gegevensbeschermingsautoriteit namens PayPal heeft ingediend. Alle opmerkingen, suggesties of bezwaren van andere Gegevensbeschermingsautoriteiten worden aan de Europese functionaris voor gegevensbescherming meegedeeld door de Leidende Gegevensbeschermingsautoriteit, die namens de andere Leidende gegevensbeschermingsautoriteiten optreedt.
Wijzigingen in de Bedrijfsregels voor Gebruikers zijn met ingang van de datum van tenuitvoerlegging van toepassing op alle Groepsleden. Groepsleden melden materiële wijzigingen in de Bedrijfsregels voor Gebruikers op voorhand aan de Gebruikers in overeenstemming met de Servicevoorkeuren van de Gebruiker, hetzij per massa-e-mail, hetzij via een bericht op de website, met een duidelijke waarschuwing aan de Gebruikers dat de Gebruikersregels zijn gewijzigd. Groepsleden publiceren de herziene Bedrijfsregels voor Gebruikers op geselecteerde externe websites of toepassingen die toegankelijk zijn voor Gebruikers. Herzieningen van de Bedrijfsregels voor Gebruikers worden van kracht binnen een periode van twee maanden nadat de Groepsleden de Gebruikers hiervan op de hoogte hebben gebracht en de herziene Bedrijfsregels voor Gebruikers hebben gepubliceerd.
10. Publicatie
De Bedrijfsregels voor Gebruikers worden gepubliceerd en op de websites of toepassingen van de Service wordt een link geplaatst. Gebruikers kunnen schriftelijk een exemplaar aanvragen bij de Europese functionaris voor gegevensbescherming (DPO), PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg, of online.
11. Slotbepalingen
Ingangsdatum: 25 mei 2018
Contact: voor vragen of problemen met betrekking tot deze Bedrijfsregels voor Gebruikers kunnen Gebruikers contact opnemen met:
De Europese functionaris voor gegevensbescherming (DPO)
PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg
12. Definities
Groepsleden interpreteren de Bedrijfsregels voor Gebruikers op de wijze die het meest consistent is met de basisbegrippen van de beginselen van EU-Richtlijn 95/46/EG of enige andere richtlijn of verordening ter vervanging daarvan.
Voor de toepassing van deze Bedrijfsregels voor Gebruikers gelden de volgende definities:
Raad van bestuur: de raad van bestuur van het Leidende groepslid.
Gegevensbeschermingsautoriteiten: de overheidsinstanties die verantwoordelijk zijn voor het toezicht op en de handhaving van de toepassing op hun grondgebied van de nationale wetten die door de EER-lidstaten zijn vastgesteld, overeenkomstig de Europese gegevensbeschermingsrichtlijn (95/46/EG).
EER: de Europese Economische Ruimte, momenteel bestaande uit de lidstaten van de EU alsmede IJsland, Liechtenstein en Noorwegen.
Medewerker: medewerkers, werknemers, stagiairs en ander personeel of personeelsleden, met inbegrip van voorwaardelijke of tijdelijke werknemers, plaatsvervangers of contractanten van een Groepslid, werkzaam of aangesteld in voltijds of deeltijds dienstverband, ongeacht het soort werk of aanstelling.
Europese functionaris voor gegevensbescherming (DPO): de medewerker die is aangesteld door en verslag uitbrengt aan het management van het Leidende groepslid en die tevens lid is van het PayPal Global Privacy Legal Team. De Europese DPO is gevestigd in Luxemburg.
Groepslid: een entiteit van de PayPal-groep die een exemplaar van de IGA heeft uitgevoerd.
IGA: Intra-Group Agreement (intragroepovereenkomst)
Leidende gegevensbeschermingsautoriteit: de 'Commission Nationale pour la Protection des Données' ('CNPD') in Luxemburg.
Leidend groepslid : PayPal (Europe) S.à r.l. & Cie, S.C.A., een Luxemburgse besloten vennootschap met beperkte aansprakelijkheid.
PayPal Global Privacy Team: het gecoördineerde PayPal Global Privacy Compliance Team en het PayPal Global Privacy Legal Team.
PayPal Global Privacy Compliance Team: leden van de Nalevingsorganisatie die specifiek bezig zijn met de naleving en werking van het PayPal-privacyprogramma.
PayPal Global Privacy Legal Team: leden van de Juridische afdeling die specifiek bezig zijn met privacy en gegevensbescherming.
PayPal-groep: PayPal Holdings, Inc. ('PayPal') en elke entiteit die rechtstreeks of onrechtstreeks onder de controle van PayPal valt en die Gebruikersinformatie verwerkt, waarbij Controle het bezit betekent van meer dan vijftig procent (50%) van de stemrechten om de bestuurders van het bedrijf te kiezen, of meer dan vijftig procent (50%) van het eigendomsbelang in het bedrijf.
Persoonsgegevens: gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatienummer of een of meer factoren die kenmerkend zijn voor zijn/haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.
Verwerken: elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet geautomatiseerd. Voorbeelden hiervan zijn het verzamelen, vastleggen, organiseren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door overdracht, verspreiden of anderszins beschikbaar maken, op elkaar afstemmen of samenbrengen, blokkeren, wissen of vernietigen van Persoonsgegevens.
Verwerker: een natuurlijke persoon of rechtspersoon die Persoonsgegevens Verwerkt namens een Groepslid.
Gevoelige Persoonsgegevens: Persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt, alsook informatie die verband houdt met strafbare feiten, of informatie die de gezondheid of het seksleven betreft.
Service: een website, toepassing of ander product of andere service die door de PayPal-groep wordt aangeboden voor gebruik door een Gebruiker.
Derde: een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of enig ander orgaan dan de Gebruiker, het Groepslid, de Verwerker en de personen die onder rechtstreeks gezag van het Groepslid of de Verwerker, zoals Medewerkers, bevoegd zijn om Persoonsgegevens te Verwerken.
Gebruiker: voormalige en bestaande klanten, potentiële klanten, investeerders, zakelijke partners en webwinkels.
Persoonsgegevens van Gebruikers: Persoonsgegevens die betrekking hebben op Gebruikers.