>>Wyświetl wszystkie umowy prawne

Reguły korporacyjne dotyczące Użytkowników PayPal

Pobierz PDF

 

Celem Grupy PayPal jest wdrożenie w Grupie PayPal uniwersalnych, odpowiednich i globalnych standardów ochrony danych i prywatności w zakresie obsługi Danych osobowych Użytkownika. Niniejsze Reguły korporacyjne dotyczące Użytkowników mają zastosowanie do wszystkich Danych osobowych Użytkownika, których Przetwarzaniem zajmują się Członkowie Grupy w dowolnej lokalizacji.

Użytkownicy na całym świecie udostępniają swoje Dane osobowe Członkom Grupy w celu korzystania z usług oferowanych przez Grupę. Najwięcej Danych osobowych Użytkownika jest zbieranych i przechowywanych w Stanach Zjednoczonych. Globalny charakter działalności firmy PayPal wymaga udostępniania Danych osobowych Użytkownika innym podmiotom PayPal w Stanach Zjednoczonych i innych krajach, w których PayPal prowadzi lub zamierza prowadzić działalność.

Obecnie do Danych osobowych Użytkownika mogą uzyskiwać dostęp Pracownicy znajdujący się w następujących krajach EOG: Luksemburg, Belgia, Francja, Niemcy, Irlandia, Włochy, Holandia, Polska, Hiszpania i Szwecja.

Do Danych osobowych Użytkownika mogą mieć dostęp również Pracownicy znajdujący się w następujących krajach poza UE: Stany Zjednoczone, Tajwan, Turcja, Brytyjskie Wyspy Dziewicze, Australia, Kanada, Chiny, Hongkong, Indie, Indonezja, Izrael, Japonia, Korea Południowa, Malezja, Mauritius, Filipiny, Rosja, Singapur, Szwajcaria, Wielka Brytania, Argentyna, Brazylia i Meksyk.

PayPal dokłada wszelkich starań, aby chronić dane Użytkowników niezależnie od miejsca przechowywania tych danych, oraz stosuje wszelkie odpowiednie środki bezpieczeństwa podczas przekazywania ich poza EOG.

Ta lista krajów może ulegać zmianom w miarę rozwoju działalności prowadzonej przez PayPal.

 

1. Struktura zarządzania prywatnością i zakres odpowiedzialności

Reguły korporacyjne dotyczące Użytkowników są prawnie wiążące na mocy umowy („Porozumienie wewnątrzgrupowe”) zawartej między PayPal (Europe) S.à r.l. & Cie, S.C.A. („Główny Członek Grupy”) i innymi podmiotami z Grupy PayPal. Porozumienie wewnątrzgrupowe nakłada na Członków Grupy obowiązek przestrzegania Reguł korporacyjnych dotyczących Użytkowników. Członkowie Grupy wymagają od swoich Pracowników przestrzegania tych Reguł korporacyjnych dotyczących Użytkowników w toku obsługi Danych osobowych Użytkownika.

Odpowiedzialność za egzekwowanie przestrzegania Reguł korporacyjnych dotyczących Użytkowników, w tym za zapewnienie, żeby Pracownicy je znali i się do nich stosowali, ponosi ścisłe kierownictwo Grupy PayPal.

Za realizację programu prywatności PayPal odpowiada kierownik ds. prywatności (compliance privacy lead). Osoba ta pełni wysoką funkcję w PayPal Holdings, Inc. i podlega bezpośrednio dyrektorowi ds. zgodności z przepisami (chief compliance officer) lub zajmującej najwyższe stanowisko w przedsiębiorstwie osobie odpowiadającej za zgodność z przepisami. Kierownik ds. prywatności nadzoruje pracę Globalnego Zespołu PayPal ds. Prywatności i Zgodności z Przepisami i współpracuje z innymi jednostkami wewnętrznymi lub zespołami, takimi jak dział operacyjny, dział ds. bezpieczeństwa informatycznego, dział zgodności z przepisami, dział zarządzania ryzykiem i dział audytu wewnętrznego, aby wspomagać przepływ komunikacji w zakresie prywatności i zapewniać stosowanie spójnych zasad oraz praktyk w Grupie PayPal we wszystkich lokalizacjach. Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami opracowuje strategię zachowania zgodności z przepisami i koordynuje jej implementację w Grupie PayPal oraz zajmuje się kontrolą działań operacyjnych pod kątem zgodności z przepisami. Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami ma bezpośrednich i pośrednich przedstawicieli w całej Grupie PayPal. Osoby te zajmują się między innymi zapewnianiem przestrzegania Reguł korporacyjnych dotyczących Użytkowników oraz właściwych przepisów prawa ochrony danych.

Pracę Globalnego Zespołu Prawnego PayPal ds. Prywatności nadzoruje kierownik ds. prywatności w dziale prawnym (legal privacy lead), który podlega bezpośrednio dyrektorowi działu prawnego (chief legal officer) lub zajmującej najwyższe stanowisko w przedsiębiorstwie osobie odpowiadającej za sprawy prawne w Grupie PayPal. Kierownik ds. prywatności w dziale prawnym definiuje zobowiązania prawne przedsiębiorstwa wynikające z właściwych przepisów prawa ochrony danych oraz niniejszych Reguł korporacyjnych dotyczących Użytkowników. Kierownik ds. prywatności w dziale prawnym oraz Globalny Zespół Prawny PayPal ds. Prywatności ściśle współpracują z kierownikiem ds. prywatności, Globalnym Zespołem PayPal ds. Prywatności i Zgodności z Przepisami oraz z innymi jednostkami i zespołami wewnętrznymi, takimi jak dział prawny, dział operacyjny, dział ds. bezpieczeństwa informatycznego i dział zarządzania ryzykiem, w celu udzielania porad prawnych i przygotowywania ekspertyz prawnych w zakresie prywatności w Grupie PayPal na całym świecie.

Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami oraz Globalny Zespół Prawny PayPal ds. Prywatności tworzą Globalny Zespół PayPal ds. Prywatności.

Inspektor Ochrony Danych na Europę ma siedzibę w Luksemburgu i jest wyznaczany przez kierownictwo PayPal (Europe) S.à r.l. et Cie, S.C.A i mu podlega. Inspektor Ochrony Danych na Europę jest podstawową osobą ds. kontaktów z Inspektoratami Ochrony Danych w EOG. Do jego obowiązków należy między innymi informowanie Członków Grupy oraz ich pracowników, którzy przetwarzają dane osobowe, jakie są obowiązki pracowników wynikające z przepisów o ochronie prywatności i Reguł korporacyjnych dotyczących Użytkowników; współpraca z Globalnym Zespołem PayPal ds. Prywatności w celu monitorowania zgodności z przepisami w zakresie prywatności i pokrewnymi zasadami podmiotów będących Członkami Grupy; udzielanie porad prawnych na żądanie Członków Grupy oraz ocena skutków przepisów w zakresie prywatności i ich implementacji.

 

2. Zasady dotyczące Przetwarzania Danych osobowych Użytkownika

Członkowie Grupy przestrzegają następujących zasad dotyczących Przetwarzania w odniesieniu do Danych osobowych Użytkownika.

2.1 Ograniczenia dotyczące celu

Dane osobowe Użytkownika mogą podlegać Przetwarzaniu i być wykorzystywane tylko do określonych, konkretnych i dozwolonych prawnie celów. W szczególności Dane osobowe Użytkownika mogą podlegać Przetwarzaniu w celu:

- oferowania i świadczenia Usług na żądanie Użytkownika, w tym otwierania kont;

- doskonalenia istniejących Usług i opracowywania nowych;

- rozstrzygania sporów, prowadzenia sporów sądowych, rozwiązywania problemów i obsługi klienta;

- zarządzania ryzykiem;

- przetwarzania transakcji i pobierania należnych opłat;

- sprawdzania zdolności kredytowej i wypłacalności;

- mierzenia zainteresowania Użytkowników Usługami, zbierania opinii na temat Usług, a także informowania Użytkowników o ofertach online i offline, Usługach i aktualizacjach;

- dostosowywania funkcji do potrzeb Użytkownika;

- wykrywania błędów i zapobiegania ich występowaniu oraz zapobiegania oszustwom i innym przestępstwom;

- wypełniania zobowiązań prawnych, ustawowych lub umownych Grupy PayPal;

- egzekwowania warunków Usługi i innych postanowień przedstawianych Użytkownikom w chwili zbierania danych oraz w zasadach zachowania prywatności Usługi;

- zapewnienia bezpieczeństwa, integralności i dostępności Usług oraz sieci Grupy PayPal oraz

- ochrony praw i interesów Grupy PayPal, w tym zgłaszania i dochodzenia roszczeń oraz obrony przed roszczeniami.

Przetwarzanie Danych osobowych Użytkownika do celów innych niż powyższe wymaga uzyskania wcześniejszej zgody Globalnego Zespołu Prawnego PayPal ds. Prywatności. W razie jakichkolwiek wątpliwości Członkowie Grupy konsultują się z Globalnym Zespołem Prawnym PayPal ds. Prywatności.

Dane osobowe Użytkownika nie mogą być Przetwarzane do celów innych niż wymienione powyżej, chyba że zezwala na to prawo właściwe dla Członka Grupy w EOG odpowiedzialnego za zbieranie lub przesyłanie Danych osobowych Użytkownika.

2.2 Jakość i proporcjonalność danych

Dane osobowe Użytkownika powinny być:

  • dokładne oraz, w razie potrzeby, uaktualniane;
  • adekwatne i proporcjonalne do celów, w jakich są Przetwarzane, oraz
  • przechowywane nie dłużej niż to konieczne do realizacji celów, do jakich zostały pierwotnie zebrane lub Przetworzone.

Dane osobowe Użytkownika, które nie są już potrzebne do celu, w jakim podlegały Przetwarzaniu, powinny zostać wymazane, usunięte, zniszczone lub zanonimizowane, chyba że istnieje podstawa prawna do ich dalszego Przetwarzania lub ich przechowywanie jest wymagane przepisami prawa właściwego.

2.3 Podstawy prawne Przetwarzania

Członkowie Grupy mają obowiązek zapewnienia, że Dane osobowe Użytkownika podlegają uczciwemu i zgodnemu z prawem Przetwarzaniu, w szczególności na podstawie co najmniej jednej z następujących podstaw prawnych:

  • Przetwarzanie odbywa się na podstawie wyraźnej zgody Użytkownika;
  • Przetwarzanie jest niezbędne do spełnienia warunków umowy, której Użytkownik jest stroną, lub do podjęcia czynności na wniosek Użytkownika przed zawarciem umowy;
  • Przetwarzanie jest niezbędne do spełnienia wymogów prawnych, którym podlega dany Członek Grupy;
  • Przetwarzanie jest niezbędne z punktu widzenia ważnych interesów Użytkownika;
  • Przetwarzanie jest niezbędne do wykonania zadań realizowanych w interesie publicznym lub do wykonywania zadań publicznych powierzonych Członkowi Grupy lub Podmiotowi zewnętrznemu, którym ujawniono dane, lub
  • Przetwarzanie jest niezbędne na potrzeby uzasadnionych interesów Członka Grupy, Podmiotu zewnętrznego lub innej Strony, którym dane zostały ujawnione, z wyłączeniem przypadków, gdy interesy te stoją w sprzeczności z podstawowymi prawami i swobodami Użytkownika.

Co do zasady Członkowie Grupy nie zbierają Wrażliwych danych osobowych Użytkownika. Gdy zebranie informacji jest niezbędne lub Użytkownicy dobrowolnie podają takie informacje, Członkowie Grupy mają obowiązek zapewnienia, że Wrażliwe dane osobowe Użytkownika podlegają Przetwarzaniu wyłącznie na podstawie co najmniej jednej z następujących podstaw:

  • Przetwarzanie odbywa się na podstawie wyraźnej zgody Użytkownika;
  • Przetwarzanie jest niezbędne z punktu widzenia ważnych interesów Użytkownika lub innej osoby, jeżeli Użytkownik jest fizycznie lub prawnie niezdolny do wyrażenia zgody;
  • Przetwarzanie dotyczy Danych osobowych użytkownika, które zostały upublicznione przez Użytkownika, lub
  • Przetwarzanie jest niezbędne do zgłaszania i dochodzenia roszczeń oraz obrony przed roszczeniami.

W sytuacjach, w których Przetwarzanie wiąże się z automatycznym podejmowaniem decyzji („Decyzje podjęte automatycznie”), Członkowie Grupy mają obowiązek zapewnienia odpowiednich środków zabezpieczających uzasadnione interesy Użytkownika, np. zagwarantowania Użytkownikowi tego, aby jego sprawa została indywidualnie rozpatrzona przez Dział Obsługi Klienta, i umożliwienia Użytkownikowi przedstawienia własnego stanowiska. Jeśli Użytkownik nadal nie zgadza się z Decyzją podjętą automatycznie, Dział Obsługi Klienta jest zobowiązany do przekazania sprawy Inspektorowi Ochrony Danych na Europę. W razie potrzeby sprawa jest konsultowana z kierownikiem ds. prywatności w dziale prawnym oraz informowany jest o niej kierownik ds. prywatności.

2.4 Przejrzystość

W przypadku zbierania Danych osobowych Użytkownika Członek Grupy przekazuje Użytkownikowi następujące informacje:

  • nazwa i adres Członka Grupy odpowiedzialnego za pierwotne zbieranie i Przetwarzanie;
  • kategorie zbieranych Danych osobowych Użytkownika;
  • założony cel Przetwarzania;
  • kategorie podmiotów odbierających, Podmiotów przetwarzających i Podmiotów zewnętrznych korzystających z Danych osobowych Użytkownika;
  • czy odpowiedzi na pytania są obowiązkowe czy dobrowolne oraz możliwe konsekwencje nieudzielenia odpowiedzi;
  • obowiązujące prawa Użytkownika i
  • w przypadku automatycznego podejmowania decyzji — zastosowany mechanizm.

Członkowie Grupy mogą podawać te informacje w Zasadach zachowania poufności Usługi, które mogą być dostępne za pośrednictwem łączy lub wyświetlane widocznych miejscach witryn lub aplikacji Usługi oraz podczas zakładania konta. Obowiązek informowania Użytkownika nie ma zastosowania w sytuacji, gdy Użytkownik zapoznał się już z daną informacją.

Jeżeli przekazanie informacji jest niemożliwe lub wymaga nadmiernego wysiłku, Członkowie Grupy mogą zrezygnować z dostarczenia informacji. Dotyczy to wyłącznie sytuacji, gdy Dane osobowe Użytkownika nie zostały uzyskane bezpośrednio od Użytkownika.

W wyjątkowych okolicznościach przekazanie określonych informacji może być opóźnione lub pominięte, np. w przypadku dochodzeń dotyczących niewłaściwego postępowania, w celu zapewnienia zgodności z obowiązującymi przepisami prawa lub gdy ujawnienie informacji mogłoby uniemożliwić rzetelne zbadanie sprawy.

2.5 Poufność i bezpieczeństwo

Członkowie Grupy stosują fizyczne, techniczne i administracyjne zabezpieczenia odpowiednie do ilości i stopnia wrażliwości Danych osobowych Użytkownika w celu zapobiegania ich nieupoważnionemu Przetwarzaniu, w tym uzyskiwaniu nieuprawnionego dostępu do Danych osobowych Użytkownika oraz ich pozyskiwaniu, wykorzystywaniu, utracie lub zniszczeniu. Członkowie Grupy używają szyfrowania, zapór sieciowych, kontroli dostępu, standardów i innych procedur mających na celu uniemożliwienie uzyskania nieupoważnionego dostępu do Informacji o Użytkowniku. Fizyczny i logiczny dostęp do danych w postaci fizycznej i elektronicznej jest także ograniczony na podstawie zakresu obowiązków i potrzeb biznesowych.

2.6 Prawa Użytkownika i możliwość wyboru

Użytkownik ma prawo do wglądu w większość dotyczących go Danych osobowych Użytkownika przechowywanych przez Członków Grupy oraz wprowadzania w nich poprawek przy użyciu odpowiednich narzędzi online lub procedur samoobsługowych udostępnianych w witrynie lub aplikacji Usługi.

W każdym przypadku Użytkownik ma prawo zażądać dostępu do danych celem ich przejrzenia lub otrzymania kopii swoich Danych osobowych niedostępnych za pośrednictwem witryny lub aplikacji Usługi. Użytkownik powinien kontaktować się z Działem Obsługi Klienta za pomocą kanałów podanych w witrynie lub aplikacji Usługi. Członkowie Grupy spełnią żądanie w czasie określonym przez przepisy prawa właściwego, chyba że przepisy te umożliwiają zwolnienie z tego obowiązku. Od Użytkownika może być wymagane okazanie dokumentu tożsamości oraz uiszczenie opłaty za obsługę zgodnie z przepisami prawa właściwego.

Ponadto Użytkownik może poprosić o skorygowanie danych, jeśli są niekompletne lub nieprawidłowe. Członkowie Grupy mają obowiązek rozpatrzyć wniosek Użytkownika i poinformować go o skorygowaniu danych. W przypadku skorygowania Danych osobowych Użytkownika Członkowie Grupy poinformują o tym fakcie podmioty zewnętrzne, którym dane Użytkownika są udostępniane, chyba że okaże się to niemożliwe lub nadmiernie kłopotliwe.

Z ważnych i uzasadnionych przyczyn Użytkownik może nie wyrazić zgody na Przetwarzanie dotyczących go Danych osobowych Użytkownika. Członkowie Grupy spełnią żądanie Użytkownika, chyba że zatrzymanie Danych osobowych Użytkownika jest wymagane na mocy przepisów prawa właściwego lub konieczne z punktu widzenia ochrony Grupy PayPal przed roszczeniami o charakterze prawnym. Użytkownik otrzyma odpowiedź na żądanie wraz z informacją o działaniach podjętych przez Członków Grupy.

Ponadto Użytkownik może zażądać zamknięcia konta, wykonując procedurę opisaną na stronie lub w aplikacji Usługi. Członkowie Grupy usuną dane Użytkownika z Usługi lub je zanonimizują tak szybko, jak to będzie możliwe z uwzględnieniem czynności podejmowanych na koncie. W niektórych przypadkach Członkowie Grupy mogą opóźniać zamknięcie konta lub zatrzymać Dane osobowe Użytkownika w celu prowadzenia postępowania lub jeśli wymagają tego przepisy prawa właściwego. Członkowie Grupy mogą także zatrzymać Informacje o Użytkowniku z zamkniętych kont w celu wykrywania oszustw i zapobiegania im, windykacji należności, rozstrzygania sporów, rozwiązywania problemów, współpracy przy dochodzeniach, zarządzania ryzykiem, egzekwowania warunków Usługi, zachowania zgodności z prawem i podejmowania innych działań wymaganych lub dozwolonych w świetle prawa właściwego. Dane będą przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, nie dłużej jednak, niż jest to konieczne do realizacji celów, w jakich zostały zebrane lub są przetwarzane, i zostaną usunięte, gdy tylko ustanie przyczyna ich zatrzymania.

Członkowie Grupy mogą wykorzystywać Dane osobowe Użytkownika w celu dostosowywania informacji przekazywanych Użytkownikowi na podstawie jego zainteresowań zgodnie z przepisami prawa właściwego, z wyłączeniem Użytkowników, którzy nie wyrazili zgody na otrzymywanie pewnych informacji. Jeśli Użytkownik nie chce otrzymywać materiałów marketingowych od Grupy PayPal, może łatwo z nich zrezygnować, np. wybierając odpowiednią opcję w ustawieniach konta, wykonując instrukcje podane w wiadomości e-mail lub korzystając z łącza widocznego w przesłanym materiale.

Użytkownicy mogą wykonywać powyższe przysługujące im prawa, kontaktując się z Działem Obsługi Klienta. Jeśli nie można zweryfikować tożsamości Użytkownika, Członkowie Grupy mogą zażądać od Użytkownika przedstawienia dodatkowych dokumentów tożsamości.

2.7 Ujawnianie Danych osobowych

Członkowie Grupy mogą udostępniać Dane osobowe Użytkownika w ramach zwykłej działalności biznesowej innym Członkom Grupy w dowolnej lokalizacji na potrzeby określone w punkcie 2.1.

Zgodnie z przepisami prawa właściwego i umowami międzynarodowymi Członkowie Grupy mogą udostępniać Dane osobowe organom ścigania i organom regulacyjnym w krajach demokratycznych, jeśli jest to niezbędne do zapewnienia bezpieczeństwa narodowego, obronnego, publicznego, a także do zapobiegania przestępstwom, wykrywania ich i ścigania, a w szczególności w celu zachowania zgodności z przepisami dotyczącymi sankcji określonych w instrumentach krajowych i międzynarodowych, sprawozdawczości podatkowej i prania brudnych pieniędzy.

Członkowie Grupy nie będą sprzedawać ani wypożyczać Danych osobowych Użytkowników Podmiotom zewnętrznym na potrzeby marketingowe bez wyraźnej zgody Użytkownika. Członkowie Grupy mogą ujawniać Informacje o Użytkowniku innym Podmiotom zewnętrznym na polecenie i za zgodą Użytkownika (o ile jest to dozwolone na mocy przepisów prawa właściwego).

W przypadku przekazywania Danych osobowych Użytkownika Podmiotowi przetwarzającemu systemy Podmiotu przetwarzającego zostaną ocenione pod kątem zachowania prywatności, ochrony danych i ryzyka, zanim takie Dane osobowe Użytkownika zostaną przekazane. Zakres oceny zależy od stopnia wrażliwości przetwarzanych Danych osobowych Użytkownika. Podmioty przetwarzające, w tym Członkowie Grupy będący Podmiotami przetwarzającymi, muszą zawrzeć umowy z odpowiednimi Członkami Grupy, określające zobowiązania w zakresie zapewnienia odpowiedniego poziomu prywatności, ochrony danych i bezpieczeństwa informacji. Umowa zawiera klauzule zapewniające odpowiednie wykorzystanie Danych osobowych Użytkownika i stosowanie środków bezpieczeństwa adekwatnych do ilości, rodzaju i wrażliwości takich Danych osobowych Użytkownika. Gwarancje wynikające z umowy muszą obejmować co najmniej następujące kwestie:

  • wymóg przestrzegania przepisów prawa i dokonywania Przetwarzania Danych osobowych Użytkownika wyłącznie zgodnie z postanowieniami umowy i instrukcjami odpowiednich Członków Grupy;
  • stosowanie środków technicznych i organizacyjnych adekwatnych do stopnia wrażliwości Danych osobowych Użytkownika i celów Przetwarzania;
  • prawo do skontrolowania, czy Podmiot przetwarzający postępuje zgodnie z gwarancjami wynikającymi z umowy;
  • obowiązki w zakresie informowania o przypadkach naruszenia bezpieczeństwa i
  • postanowienia dotyczące uprawnień w przypadku niespełnienia przez Podmiot przetwarzający zobowiązań wynikających z przepisów prawa lub umowy.

Umowy muszą zawierać klauzule zapewniające, że niespełnienie zapisów umowy może skutkować jej zawieszeniem lub rozwiązaniem poza innymi formami zadośćuczynienia wymienionymi w umowie.

Ocena zachowania prywatności, ochrony danych i bezpieczeństwa informacji nie jest konieczna w przypadku Podmiotów przetwarzających, które zostały już poddane takiej weryfikacji, chyba że Przetwarzanie wiąże się z prowadzeniem działań o podwyższonym ryzyku w związku z naturą i ilością Danych osobowych oraz formą ich Przetwarzania.

Niezależnie od powyższych postanowień, jeśli Członkowie Grupy przekazują Dane osobowe Użytkownika z EOG Podmiotom zewnętrznym lub Podmiotom przetwarzającym niebędącym Członkami Grupy, które (i) znajdują się w krajach, które nie zapewniają odpowiedniego poziomu ochrony (w rozumieniu Dyrektywy 95/46/WE), (ii) nie mają zaimplementowanych wiążących reguł korporacyjnych lub (iii) nie posiadają żadnych innych umów gwarantujących zachowanie ochrony danych na poziomie wymogów UE, wówczas Członek Grupy musi zapewnić, że:

  • Podmioty zewnętrzne wdrożą odpowiednie wynikające z umowy środki kontrolne, takie jak standardowe klauzule umowne zatwierdzone przez Komisję Europejską, wymuszające poziom ochrony danych adekwatny do Reguł korporacyjnych dotyczących Użytkowników lub zapewnią, że przekazywanie danych (i) odbywa się za wyraźną zgodą Użytkownika, (ii) jest niezbędne z punktu widzenia umowy zawartej z Użytkownikiem, (iii) jest konieczne lub wymagane przez przepisy prawa w związku z ważnym interesem publicznym lub (iv) jest konieczne do ochrony ważnych interesów Użytkownika;
  • Podmioty przetwarzające wdrożą wynikające z umowy środki kontrolne, takie jak standardowe klauzule umowne zatwierdzone przez Komisję Europejską, zapewniając ochronę danych na poziomie odpowiadającym zapewnianemu w Regułach korporacyjnych dotyczących Użytkowników.
     

3. Mechanizm reklamacji

Użytkownicy, którzy uznają, że ich Dane osobowe są przetwarzane niezgodnie z Regułami korporacyjnymi dotyczącymi Użytkowników, mogą zgłosić wątpliwości w Dziale Obsługi Klienta odpowiedniego Członka Grupy, korzystając z odpowiedniej witryny, poczty elektronicznej lub innych kanałów określonych w odpowiednich warunkach. Odpowiedzi na typowe pytania dotyczące prywatności można znaleźć, wpisując „prywatność” w sekcji pomocy określonej usługi i przechodząc do określonej strony poświęconej prywatności. Sekcja pomocy poświęcona konkretnej usłudze służy do zadawania pytań o prywatność i przetwarzanie Informacji o Użytkowniku oraz do kontaktowania się z Działem Obsługi Klienta.

W razie wątpliwości co do kanału służącego do zgłaszania problemów związanych z ochroną danych użytkownicy mogą kontaktować się z Inspektorem Ochrony Danych na Europę online.

Dział Obsługi Klienta bada zgłoszenia Użytkowników i stara się rozwiązywać problemy. Pracownicy odpowiedzialni za rozwiązywanie problemów dotyczących prywatności ściśle współpracują z Globalnym Zespołem PayPal ds. Prywatności i udzielają Użytkownikom odpowiedzi zgodnie z wytycznymi, procedurami i zasadami PayPal. Jeśli Użytkownik uważa, że odpowiedź na zgłoszenie nie jest wystarczająca, lub w ogóle nie otrzyma odpowiedzi, może poprosić o przekazanie pytania do Inspektora Ochrony Danych na Europę. Sprawa taka jest konsultowana z kierownikiem ds. prywatności w dziale prawnym oraz informowany jest o niej kierownik ds. prywatności. Opcje odwołania zależą od rodzaju i zakresu problemu. Należy je niezwłocznie przekierowywać do odpowiednich zespołów. Użytkownik otrzyma odpowiedź na zgłoszenie w rozsądnym terminie, nie później jednak niż w ciągu trzech (3) miesięcy od daty jego wpłynięcia, poza wyjątkowymi przypadkami i bardzo skomplikowanymi pytaniami, kiedy udzielenie odpowiedzi może potrwać dłużej, ale wówczas Użytkownik zostanie poinformowany, że udzielenie odpowiedzi zajmie więcej niż trzy (3) miesiące.

Mechanizm reklamacji nie znosi praw Użytkownika do zgłaszania problemu w Inspektoratach Ochrony Danych i sądach.

 

4. Prawa i odpowiedzialność beneficjenta zewnętrznego

Użytkownicy na terenie EOG, którzy podejrzewają naruszenie Reguł korporacyjnych dotyczących Użytkowników poza EOG, mają prawo zażądać egzekwowania Reguł korporacyjnych dotyczących Użytkowników jako beneficjent zewnętrzny w przypadku punktów 2, 3, 4, 7 i 8 Reguł korporacyjnych dotyczących Użytkowników przed Inspektoratami Ochrony Danych, przed sądem właściwym dla Głównego Członka Grupy lub przed sądami właściwymi dla Członka Grupy pełniącego rolę eksportera danych. To prawo do egzekwowania uzupełnia inne uprawnienia zapewniane przez PayPal lub dostępne na mocy przepisów prawa właściwego.

Mimo że nie jest to wymagane, Użytkowników z EOG zachęca się do zgłaszania problemów najpierw Członkowi Grupy przed zgłoszeniem się do Inspektoratu Ochrony Danych lub sądów. Ta droga umożliwia uzyskanie szybkiej i skutecznej pomocy ze strony Grupy PayPal i minimalizuje ryzyko długiego oczekiwania na wynik rozstrzygnięcia przez Inspektorat Ochrony Danych lub sąd.

PayPal Europe S.à r.l. et Cie, S.C.A., prywatna spółka z ograniczoną odpowiedzialnością z siedzibą w Luksemburgu, ponosi odpowiedzialność za nadzorowanie przestrzegania przez Członków Grupy Reguł korporacyjnych dotyczących Użytkowników. Główny Członek Grupy (i) podejmuje odpowiednie działania w celu naprawienia skutków naruszenia przez Członków Grupy spoza EOG i (ii) wypłaca rekompensatę Użytkownikom z EOG, których racje zostały uznane przez Głównego Inspektora Ochrony Danych lub sądy w Luksemburgu, za wszelkie szkody powstałe bezpośrednio na skutek naruszenia Reguł korporacyjnych dotyczących Użytkowników przez Członka Grupy spoza EOG, jeśli odpowiedni Członek Grupy nie może lub nie zamierza wypłacić odszkodowania lub podporządkować się przedmiotowemu postanowieniu.

Obowiązek przedstawienia dowodów w sprawie rzekomego naruszenia Reguł korporacyjnych dotyczących Użytkowników spoczywa na Głównym Członku Grupy.

Główny Członek Grupy (ani żaden inny Członek Grupy) nie poniesie odpowiedzialności, jeżeli wykaże na podstawie materiału dowodowego i opinii Użytkownika, że Członek Grupy spoza EOG nie naruszył Reguł korporacyjnych dotyczących Użytkowników lub nie ponosi odpowiedzialności za jakiekolwiek straty poniesione przez Użytkownika.

 

5. Szkolenie

Członkowie Grupy zapewnią, że wszyscy Pracownicy dokonujący Przetwarzania Danych osobowych Użytkowników oraz Pracownicy zajmujący się projektowaniem narzędzi służących do zbierania lub przetwarzania Danych osobowych Użytkowników przejdą szkolenie w zakresie prywatności i bezpieczeństwa informacji ułatwiające zabezpieczenie Danych osobowych Użytkowników zgodnie z Regułami korporacyjnymi dotyczącymi Użytkowników.

Pracownicy muszą co roku ukończyć szkolenie online dotyczące Kodeksu etyki i postępowania w biznesie zawierające dział poświęcony ochronie danych. Nowi Pracownicy muszą odbyć szkolenie online w zakresie przestrzegania przepisów prawa od razu po podjęciu zatrudnienia.

Oprócz szkolenia online z zakresu zachowania zgodności z przepisami Globalny Zespół PayPal ds. Prywatności i Inspektor Ochrony Danych na Europę prowadzą szkolenia z prywatności i bezpieczeństwa informacji, informujące Pracowników o konieczności ochrony Danych osobowych. Szkolenia takie odbywają się raz do roku lub częściej, jeśli jest to konieczne.

Szkolenie Pracownika powinno być dostosowane do jego poziomu dostępu do Danych osobowych Użytkowników. Pracownicy z wyższym poziomem dostępu powinni odbyć dodatkowe szkolenie.

Członkowie Grupy muszą poinformować Pracowników, że nieprzestrzeganie Reguł korporacyjnych dotyczących Użytkowników może skutkować podjęciem działań dyscyplinarnych i innych dozwolonych na mocy przepisów prawa właściwego. Kopie Reguł korporacyjnych dotyczących Użytkowników i innych pokrewnych zasad oraz procedur bezpieczeństwa i zachowania prywatności są dostępne zawsze na stronach intranetu PayPal. Reguły korporacyjne dotyczące Użytkowników są także dostępne w ramach Kodeksu etyki i postępowania w biznesie, który Pracownicy mają obowiązek znać i stosować.

 

6. Kontrola i monitoring

Aby zapewnić zachowanie zgodności z Regułami korporacyjnymi dotyczącymi Użytkowników, Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami regularnie sprawdza działania i praktyki w zakresie przetwarzania Danych osobowych. Działania te są koordynowane we współpracy z Inspektorem Ochrony Danych na Europę.

Zespół ds. Audytu Wewnętrznego jest niezależnym i obiektywnym organem doradczym ścisłego kierownictwa i Zarządu, który za pośrednictwem komitetu ds. audytu przekazuje wyniki kontroli Zarządowi, kierownikom ds. prywatności oraz Inspektorowi Ochrony Danych na Europę.

Zespół ds. Audytu Wewnętrznego może regularnie przeprowadzać kontrole działań i praktyk wskazywanych przez Globalny Zespół ds. Prywatności. W razie potrzeby Zespół ds. Audytu Wewnętrznego, kierownicy ds. prywatności i Inspektor Ochrony Danych na Europę mogą wymagać wdrożenia planu działania celem zapewnienia zgodności z Wiążącymi regułami korporacyjnymi. W zakresie, w jakim wewnętrzne grupy nie będą w stanie odpowiednio rozwiązać problemu, Grupa może zdecydować o przeprowadzeniu niezależnych audytów zewnętrznych.

Inspektor Ochrony Danych na Europę, Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami lub zespoły ds. audytu wewnętrznego i audytorzy zewnętrzni opracowują szczegółowe plany i harmonogramy na podstawie ryzyka związanego z Przetwarzaniem.

Wyniki audytu dotyczącego prywatności będą dostępne na żądanie dla Inspektoratów Ochrony Danych. PayPal zastrzega sobie prawo do redagowania części raportów z audytów celem zapewnienia tajności informacji poufnych spółki.

 

7. Związek między Regułami korporacyjnymi dotyczącymi Użytkowników a przepisami prawa krajowego

Mimo że przepisy prawa ochrony danych różnią się w poszczególnych krajach, Reguły korporacyjne dotyczące Użytkowników określają spójny zestaw wymogów pomagających zapewnić odpowiednie Przetwarzanie Danych osobowych Użytkownika. Reguły korporacyjne dotyczące Użytkowników określają podstawowy poziom wymagań, które powinni spełniać Członkowie Grupy. Członkowie Grupy mają obowiązek przestrzegania przepisów prawa właściwego, jeśli są one bardziej restrykcyjne i wymagają zachowania wyższych standardów ochrony danych niż standardy określone w tych Regułach korporacyjnych.

Żadne z zawartych tu postanowień nie ma wpływu na zobowiązania Członków Grupy wynikające z właściwych przepisów prawa bankowego, w szczególności dotyczące zachowania tajemnicy bankowej. Jeśli przepisy prawa właściwego są sprzeczne z Regułami korporacyjnymi dotyczącymi Użytkowników i uniemożliwiają Członkowi Grupy wypełnienie zobowiązań wynikających z Reguł korporacyjnych dotyczących Użytkowników oraz w sposób znaczący wpływają na zawarte w nich postanowienia, wówczas Członek Grupy powinien niezwłocznie powiadomić o tym fakcie Inspektora Ochrony Danych na Europę, chyba że przekazanie takiej informacji jest zabronione przez przepisy prawa lub decyzje organów ścigania. Inspektor Ochrony Danych na Europę, kierownicy ds. prywatności i Główny Członek Grupy muszą określić odpowiedni schemat działania, a w razie wątpliwości skonsultować się z odpowiednim Inspektoratem Ochrony Danych.

 

8. Wzajemna pomoc i współpraca z Inspektoratami Ochrony Danych

Członkowie Grupy będą współpracować i pomagać sobie wzajemnie w rozpatrywaniu żądań lub reklamacji Użytkowników w odniesieniu do Reguł korporacyjnych dotyczących Użytkowników.

Członkowie Grupy będą starannie i prawidłowo odpowiadać na pytania Inspektoratu Ochrony Danych na temat Reguł korporacyjnych dotyczących Użytkowników. Jeśli Pracownik otrzyma takie pytanie od Inspektoratu Ochrony Danych, musi jak najszybciej powiadomić o tym Inspektora Ochrony Danych na Europę.

Członek Grupy będzie odpowiadać na zapytania i umożliwi przeprowadzenie audytu Inspektoratowi Ochrony Danych w EOG w odniesieniu do zgodności z niniejszymi Regułami korporacyjnymi dotyczącymi Użytkowników oraz zastosuje się do decyzji takiej instytucji zgodnie z przepisami prawa właściwego.

 

9. Aktualizacje treści Reguł korporacyjnych dotyczących Użytkowników i lista Członków Grupy

PayPal zastrzega sobie prawo do wprowadzania zmian w Regułach korporacyjnych dotyczących Użytkowników, jeśli będzie to konieczne np. w celu zachowania zgodności ze zmienionymi przepisami prawa właściwego, regułami, zasadami, praktykami i procedurami PayPal lub wymaganiami nałożonymi przez odpowiednie Inspektoraty Ochrony Danych.

Wszelkie niezbędne modyfikacje Reguł korporacyjnych dotyczących Użytkowników będzie proponować Globalny Zespół Prawny PayPal ds. Prywatności (pod przewodnictwem kierownika ds. prywatności w dziale prawnym). Zmiany w Regułach korporacyjnych dotyczących Użytkowników oraz wszelkie zmiany na liście Członków Grupy muszą zatwierdzić Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami (pod przewodnictwem kierownika ds. prywatności) i Inspektor Ochrony Danych na Europę. Członkowie Grupy mają obowiązek zgłoszenia odpowiednim Inspektoratom Ochrony Danych zmian wprowadzonych w Regułach korporacyjnych dotyczących Użytkowników celem uzyskania formalnego zatwierdzenia i spełnienia wymogów prawnych.

Główny Członek Grupy będzie się konsultować z Głównym Inspektoratem Ochrony Danych w sprawie ważnych zmian w Regułach korporacyjnych dotyczących Użytkowników, które mogą wpływać na zachowanie zgodności z przepisami w zakresie ochrony danych lub egzekwowanie Reguł korporacyjnych dotyczących Użytkowników. Główny Członek Grupy co najmniej raz do roku będzie powiadamiać Główny Inspektorat Ochrony Danych o ważnych zmianach w Regułach korporacyjnych dotyczących Użytkowników i zmianach na liście Członków Grupy. Globalne Zespoły PayPal ds. Prywatności będą wspólnie wspomagać Inspektora Ochrony Danych na Europę, który w imieniu PayPal będzie koordynować odpowiedzi i niezwłocznie reagować na komentarze, sugestie lub wątpliwości dotyczące zmian podnoszonych przez Główny Inspektorat Ochrony Danych. Wszelkie komentarze, sugestie lub wątpliwości podnoszone przez inne Inspektoraty Ochrony Danych będą zgłaszane Inspektorowi Ochrony Danych na Europę przez Główny Inspektorat Ochrony Danych występujący w imieniu tych innych Inspektoratów Ochrony Danych.

Zmiany w Regułach korporacyjnych dotyczących Użytkowników obowiązują wszystkich Członków Grupy od dnia ich wejścia w życie. O ważnych zmianach w Regułach korporacyjnych dotyczących Użytkowników Członkowie Grupy będą powiadamiać odpowiednio wcześnie w wiadomościach e-mail lub publikując w witrynie wyraźne ostrzeżenie (zgodnie z preferencjami Użytkownika ustawionymi w Usłudze). Członkowie Grupy będą publikować zmienione Reguły korporacyjne dotyczące Użytkowników w wybranych witrynach zewnętrznych lub aplikacjach, do których Użytkownik ma dostęp. Zmiany w Regułach korporacyjnych dotyczących Użytkowników wchodzą w życie w ciągu dwóch miesięcy po powiadomieniu Użytkownika przez Członków Grupy i opublikowaniu zmienionych Reguł korporacyjnych dotyczących Użytkowników.

 

10. Publikacja

Reguły korporacyjne dotyczące Użytkowników muszą zostać opublikowane, a łącze do nich musi być dostępne w witrynie lub aplikacjach Usługi. Użytkownik może poprosić o kopię dokumentów Inspektora Ochrony Danych na Europę, pisząc na adres PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, l-2449 Luxembourg lub online.

 

11. Postanowienia końcowe

Data wejścia w życie: 25 maja 2018 r.

Kontakt: Użytkownicy mogą zgłaszać pytania i wątpliwości w sprawie Reguł korporacyjnych dotyczących Użytkowników, kontaktując się z:

Inspektorem Ochrony Danych na Europę

PayPal (Europe) S.à r.l et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luksemburg

 

12. Definicje

Członkowie Grupy muszą interpretować Reguły korporacyjne dotyczące Użytkowników w sposób jak najbardziej spójny z podstawowymi konceptami zasad dyrektywy 95/46/WE lub wszelkich dyrektyw i regulacji ją zastępujących.

Na potrzeby Reguł korporacyjnych dotyczących Użytkowników obowiązują następujące definicje:

Zarząd oznacza zarząd Głównego Członka Grupy.

Inspektoraty Ochrony Danych to organy administracji publicznej odpowiedzialne za monitorowanie i egzekwowanie na określonym terytorium przepisów prawa krajowego przyjętych przez państwo członkowskie EOG na podstawie unijnej dyrektywy o ochronie danych (95/46/WE).

EOG to Europejski Obszar Gospodarczy obejmujący obecnie państwa członkowskie UE, Islandię, Liechtenstein i Norwegię.

Pracownik to pracownik, stażysta lub inny członek personelu, w tym pracownik tymczasowy, zastępczy lub kontraktowy Członka Grupy, niezależnie od warunków, wymiaru i typu zatrudnienia.

Inspektor Ochrony Danych na Europę to pracownik powołany przez kierownictwo i podlegający kierownictwu Głównego Członka Grupy, będący też członkiem Globalnego Zespołu Prawnego PayPal ds. Prywatności. Siedziba Inspektora Ochrony Danych na Europę znajduje się w Luksemburgu.

Członek Grupy to podmiot wchodzący w skład Grupy PayPal, który podpisał Porozumienie wewnątrzgrupowe.

Porozumienie wewnątrzgrupowe to porozumienie zawarte w ramach Grupy.

Główny Inspektorat Ochrony Danych to „Commission nationale pour la protection des données” (CNPD) w Luksemburgu.

Główny Członek Grupy to PayPal (Europe) S.à r.l. & Cie, S.C.A., prywatna spółka z ograniczoną odpowiedzialnością z siedzibą w Luksemburgu.

Globalny Zespół PayPal ds. Prywatności to Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami oraz Globalny Zespół Prawny PayPal ds. Prywatności.

Globalny Zespół PayPal ds. Prywatności i Zgodności z Przepisami to członkowie Organizacji ds. Zgodności z Przepisami zajmującej się w szczególności kwestiami związanymi z przestrzeganiem przepisów prawa oraz działaniem programu PayPal dotyczącego prywatności. 

Globalny Zespół Prawny PayPal ds. Prywatności to pracownicy Działu Prawnego zajmujący się kwestiami związanymi z prywatnością i ochroną danych.

Grupa PayPal to spółka PayPal Holdings, Inc. („PayPal”) i wszelkie podmioty pośrednio lub bezpośrednio podlegające Kontrolowaniu przez PayPal, które przetwarzają Informacje o Użytkowniku, gdzie Kontrolowanie oznacza posiadanie ponad pięćdziesięciu (50) procent głosów w wyborach zarządu spółki lub ponad pięćdziesięciu (50) procent udziałów w przedsiębiorstwie.

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to taka, którą można zidentyfikować pośrednio lub bezpośrednio, w szczególności poprzez odniesienie do numeru identyfikacyjnego lub co najmniej jednego czynnika charakterystycznego dla jej tożsamości fizycznej, fizjologicznej, umysłowej, ekonomicznej, kulturalnej lub społecznej.

Przetwarzanie to operacja lub zestaw operacji wykonywanych na Danych osobowych, zarówno przy użyciu zautomatyzowanych, jak i tradycyjnych technik, takich jak zbieranie, nagrywanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie, ujawnianie przez przekazywanie, rozpowszechnianie, udostępnianie, dostosowywanie, łączenie, blokowanie, usuwanie i niszczenie.

Podmiot przetwarzający to osoba fizyczna lub prawna, która dokonuje Przetwarzania Danych osobowych w imieniu Członka Grupy.

Wrażliwe dane osobowe to Dane osobowe wskazujące pochodzenie etniczne lub rasowe, poglądy polityczne, wierzenia religijne lub filozoficzne, przynależność do związków zawodowych, informacje dotyczące przestępstw lub zdrowia albo życia seksualnego.

Usługa to witryna internetowa, aplikacja lub inny produkt bądź usługa oferowane Użytkownikowi przez Grupę PayPal.

Podmiot zewnętrzny to osoba fizyczna lub prawna, organ administracji państwowej, agencja lub jakikolwiek podmiot inny niż Użytkownik, Członek Grupy lub Podmiot przetwarzający oraz osoby, które pod bezpośrednim nadzorem Członka Grupy lub Podmiotu przetwarzającego (np. Pracownik) są upoważnione do przetwarzania Danych osobowych.

Użytkownik to były lub obecny klient, potencjalny klient, inwestor, partner biznesowy lub handlowiec.

Dane osobowe Użytkownika to Dane osobowe odnoszące się do Użytkownika.