PayPals dataskyddstillägg för kortbehandlingsprodukter
Senaste uppdatering: 10 november 2021
Detta PayPal-dataskyddstillägg för kortbehandlingsprodukter ("tillägg") tillämpas för alla produkter, tjänster eller andra erbjudanden där en medlem i PayPal-koncernen ("PayPal") tillhandahåller kortbehandlings-, gateway- och/eller bedrägeriskyddstjänster ("betalningstjänsterna") till dig, handlaren ("handlaren" eller "dig"). Tillägget gäller inte för PayPals e-plånbokstjänster, till exempel i form av betala med PayPal eller PayPals erbjudanden om att betala senare. Det här tillägget ska ingå i det relevanta avtalet mellan handlaren och PayPal som reglerar PayPals tillhandahållande av betalningstjänsterna till dig ("avtalet"). Om det uppstår en konflikt mellan villkoren i det här tillägget och avtalet kommer villkoren i det här avtalet att ha företräde. Termer med inledande versal (stor bokstav) som används men inte definieras i det här tillägget ska ha den betydelse som anges i avtalet.
Det här tillägget kommer att tillämpas från det senare av (i) ikraftträdandedatumet som anges i avtalet eller (ii) ikraftträdandedatumet som anges i meddelandet som postas eller tillhandahålls till dig i samband med det här tillägget. Vi kan från tid till annan komma att ändra tillägget. Den reviderade versionen träder i kraft då vi publicerar den på vår webbplats, om inget annat anges. Om våra ändringar innebär minskade rättigheter eller ökat ansvar för dig, publicerar vi ett meddelande på sidan "Policyuppdateringar" på vår webbplats inom den tidsram som krävs enligt avtalet. Om du inte samtycker till någon ändring av det här tillägget kan du när som helst avbryta din användning av betaltjänsterna.
Definitioner
Termerna nedan har följande innebörder när de används i det här tillägget:
"Personuppgiftsansvarig" avser en enhet som fastställer ändamålen och medlen för behandlingen av personuppgifter, eller, om en sådan term (eller termer som beskriver liknande funktioner) definieras i dataskyddslagstiftningen, ska "personuppgiftsansvarig" ha den innebörd som definieras i tillämplig dataskyddslagstiftning.
"Kund" avser dina kunder som använder betalningstjänsterna och som enligt det här tillägget är registrerade.
"Kunduppgifter" avser de personuppgifter som (i) kunden tillhandahåller till handlaren och handlaren vidarebefordrar till PayPal genom sin användning av betalningstjänsterna och som (ii) PayPal kan inhämta från kundens enhet och webbläsare genom handlarens användning av betalningstjänsterna.
"Dataskyddslagar" avser alla tillämpliga dataskyddslagar, bestämmelser, direktiv, lagstadgade krav och vedertagen praxis som är tillämpliga för tillhandahållandet av betalningstjänsterna, inklusive eventuella ändringar av dessa samt eventuella tillhörande regelverk eller instrument (t.ex. Kaliforniens konsumentskyddslag från 2018, Cal. Civ. Code § 1798.100 et seq, den allmänna dataskyddsförordningen (EU) 2016/679 (GDPR), Australiens lag om integritetsskydd 1988 (Cth), lagen om skydd av personuppgifter och elektroniska dokument (Kanada), personuppgiftsförordningen (Cap. 486) (Hongkong), den brasilianska allmänna dataskyddslagstiftningen, federal lag nr 13,709/2018 och lagen om skydd av personuppgifter 2012 (Singapore)).
"PayPal-koncernen" avser PayPal, Inc. och alla företag som PayPal eller dess efterföljare direkt eller indirekt äger eller kontrollerar från tid till annan.
"Personuppgifter" avser all information som rör en identifierad eller identifierbar fysisk person (en "registrerad"). En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom referens till en identifierare i form av bland annat namn, ID-nummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten för den fysiska personen.
"Process" eller termer som beskriver liknande funktioner när de används i det här tillägget ska ha den innebörd som definieras i tillämpliga dataskyddslagar.
PayPal som personuppgiftsansvarig
PayPal ska följa kraven i de dataskyddslagar som är tillämpliga för personuppgiftsansvariga avseende behandlingen av kunduppgifter enligt det här schemat (bland annat genom att alltid implementera och upprätthålla alla lämpliga säkerhetsåtgärder i samband med behandlingen av kunduppgifter) och ska inte medvetet göra något, eller tillåta att något sker, med kunduppgifterna som sannolikt kan medföra att handlaren bryter mot dataskyddslagstiftningen. PayPal ska endast överföra kunduppgifter till tredje parter, underentreprenörer eller medlemmar i PayPal-koncernen som ska underteckna skriftliga avtal som innehåller villkor för att skydda kunduppgifter och som inte ger mindre skydd än villkoren som anges i det här tillägget.
Behandling av kunduppgifter i samband med betalningstjänsterna
Parterna bekräftar och samtycker till att handlaren och PayPal var för sig är oberoende personuppgiftsansvariga avseende alla kunduppgifter som behandlas i samband med betalningstjänsterna. I denna egenskap fastställer PayPal på ett oberoende sätt ändamålet och medlen för behandlingen av sådana kunduppgifter och är inte gemensamt personuppgiftsansvarig med handlaren i fråga om sådana kunduppgifter.
Parterna bekräftar och samtycker till att PayPal får använda, reproducera och behandla kunduppgifter och betalningstransaktionsuppgifter för följande begränsade ändamål:
- I den mån det rimligen är nödvändigt för att tillhandahålla och förbättra betalningstjänsterna för handlaren och dennes kunder, inklusive verktyg för bedrägeriskydd.
- För att övervaka, förhindra och upptäcka bedrägliga betalningstransaktioner och förhindra att handlare, PayPal och tredje parter kommer till skada.
- För att efterleva juridiska eller lagstadgade skyldigheter som gäller vid behandlingen och lagringen av betalningsuppgifter som PayPal omfattas av, inklusive tillämpliga åtgärder mot penningtvätt och skyldigheter vid identitetsverifiering.
- För att analysera, utveckla och förbättra PayPals produkter och tjänster.
- För intern användning, bland annat dataanalys och mätvärden.
- För att sammanställa och lämna ut kunduppgifter och uppgifter om betalningstransaktioner i aggregerad form där dina individuella uppgifter eller användarens kunduppgifter inte kan identifieras, samt för att beräkna dina medelvärden efter region eller bransch.
- För att efterleva tillämpliga juridiska krav och bistå brottsbekämpande myndigheter genom att svara på förfrågningar om att utlämna information i enlighet med lagstiftning.
- För alla andra ändamål som PayPal meddelar handlare om så länge de är i enlighet med dataskyddslagar.
Handlarens meddelande till kunder
Handlaren ska vidta kommersiellt rimliga åtgärder för att (i) informera kunder i sin sekretesspolicy om att PayPal är en oberoende personuppgiftsansvarig som behandlar kunduppgifter enligt beskrivningen i det här tillägget och (ii) inkludera en länk till PayPals sekretessmeddelande i sin sekretesspolicy.
Ömsesidig hjälp
Parterna är överens om att samarbeta i den omfattning som rimligen krävs för att den andra parten på ett adekvat sätt ska kunna fullgöra sitt ansvar som självständig personuppgiftsansvarig enligt dataskyddslagar. Parterna är överens om att i den omfattning som handlaren får en begäran om tillgång till en registrerad, eller om en kund vill utöva sina rättigheter enligt dataskyddslagar, ska handlaren svara på kundens begäran direkt. Handlaren ska också informera kunden om att de kan utöva sina rättigheter som registrerad i samband med betalningstjänsterna med PayPal enligt instruktionerna i sekretessmeddelandet som är tillgängligt på www.paypal.com. Dessutom gäller följande: om PayPal i samband med en säkerhetsincident och efter eget gottfinnande fastställer att de måste meddela berörda kunder, och PayPal saknar den kontaktinformation till en drabbad kund som behövs för sådan kommunikation, ska handlaren göra kommersiellt rimliga ansträngningar för att förse PayPal med information om kunder som handlaren kan ha. Det begränsade syftet är att PayPal ska efterleva tillämpliga meddelandekrav gällande drabbade kunder enligt dataskyddslagar.
Internationella överföringar av uppgifter
Parterna är överens om att PayPal vid behov får överföra kunduppgifter som behandlas enligt det här avtalet utanför det land där de samlades in för att kunna tillhandahålla betalningstjänsterna. Om PayPal överför kunduppgifter som skyddas enligt det här tillägget till en jurisdiktion för vilken den tillämpliga tillsynsmyndigheten för det land där uppgifterna samlades in inte har utfärdat ett beslut om adekvat skyddsnivå, kommer PayPal att säkerställa att lämpliga skyddsåtgärder har vidtagits för överföringen av kunduppgifter i enlighet med tillämpliga dataskyddslagar. Exempelvis, och i syfte att efterleva GDPR, följer vi bindande verksamhetsregler som godkänts av behöriga tillsynsmyndigheter och andra förfaranden för överföring av kunders personuppgifter till andra medlemmar inom PayPal-koncernen.