Menyja

Shtojcë për mbrojtjen e të dhënave të PayPal për produktet e përpunimit të kartës

Shtojcë për mbrojtjen e të dhënave të PayPal për produktet e përpunimit të kartës

Përditësimi i fundit: 1 dhjetor 2021

Kjo shtojcë për mbrojtjen e të dhënave të PayPal për produktet e përpunimit të kartës (kjo "shtojcë") zbatohet për çdo produkt, shërbim apo ofertë tjetër, përmes të cilave një anëtar i grupit PayPal ("PayPal") ofron shërbimet e përpunimit të kartave, e portëkalimit dhe/ose shërbime të mbrojtjes nga mashtrimi ( "Shërbimet e pagesave") për ju, në cilësinë e tregtarit ("tregtari" ose "ju"). Kjo shtojcë nuk zbatohet për shërbimet e portofolit të PayPal, të tilla si paguaj me PayPal ose ofertat e PayPal paguaj më vonë. Kjo shtojcë do të jetë pjesë e marrëveshjes përkatëse midis tregtarit dhe PayPal që rregullon ofrimin e shërbimeve të Pagesës për ju nga PayPal ("Marrëveshja") dhe është inkorporuar duke iu referuar. Në rast konflikti ndërmjet kushteve të kësaj shtojce dhe marrëveshjes, atëherë do të prevalojnë kushtet e kësaj shtojce. Termat me germa kapitale, të cilat përdoren por nuk përkufizohen në këtë shtojcë, kanë kuptimet e përcaktuara në marrëveshje.

Kjo shtojcë hyn në fuqi duke filluar nga (i) data e hyrjes në fuqi e specifikuar në marrëveshje ose (ii) data e hyrjes në fuqi e deklaruar në njoftimin e publikuar ose të vënë në dispozicionin tuaj në lidhje me këtë shtojcë. Ne mund ta ndryshojmë këtë shtojcë herë pas here. Versioni i rishikuar do të hyjë në fuqi në momentin e postimit në faqen tonë të internetit, përveçse kur specifikohet ndryshe. Nëse ndryshimet tona reduktojnë të drejtat ose rrisin përgjegjësitë tuaja, ne do të publikojmë një njoftim në seksionin "përditësimet e politikës" në faqen tonë të internetit brenda afatit kohor të parashikuar nga marrëveshja. Nëse nuk jeni dakord me ndonjë nga ndryshimet në shtojcë, mund ta ndërprisni përdorimin e shërbimeve të pagesave në çdo kohë.

Përkufizimet
Termat në vijim kanë kuptimet e mëposhtme në rastet kur përdoren në Shtojcë:

Kontrolluesi” është një subjekt që përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale, ose, nëse ky term (ose termat që adresojnë funksione të ngjashme) është përkufizuar në ligjin për mbrojtjen e të dhënave, atëherë “Kontrolluesi” ka kuptimin që i është dhënë në ligjin në fuqi për mbrojtjen e të dhënave.

"Klient" është klienti që përdor shërbimet e pagesave dhe i cili për qëllimet e kësaj Shtojce, është subjekt i të dhënave.

Të dhënat e klientit” janë të dhënat personale që (i) Klienti ia vë në dispozicion Tregtarit, të cilat më pas Tregtari ja transferon PayPal përmes përdorimit të shërbimeve të përpunimit të pagesave nga ana e Tregtarit dhe të cilat (ii) PayPal mund t'i mbledhë nga pajisja dhe shfletuesi i Klientit përmes përdorimit të shërbimeve të përpunimit të pagesave nga Tregtari.

Ligjet për mbrojtjen e të dhënave” janë ligjet, rregulloret, direktivat, kërkesat rregullatore dhe kodet e praktikave për mbrojtjen e të dhënave, të zbatueshme për ofrimin e shërbimeve të pagesave, duke përfshirë çdo ndryshim të tyre dhe çdo rregullore apo instrumente të lidhura me to (p.sh., ligji i Kalifornisë ”Për privatësinë e konsumatorit”, i vitit 2018, Kodi Civil i Kalifornisë, pasazhi § 1798.100 e në vijim, Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (GDPR) (BE) 2016/679, ligji i Australisë "Për privatësinë", i vitit 1988 (Cth), ligji "Për mbrojtjen e informacioneve Personale dhe Dokumenteve Elektronike (Kanada), Urdhëresa (për Privatësinë) e të dhënave personale (Kapitulli 486) (Hong-Kong), Ligji i Përgjithshëm për Mbrojtjen e të Dhënave në Brazil, Ligji Federal nr. 13,709/2018 dhe Ligji për Mbrojtjen e të Dhënave Personale 2012 (Singapor)).

“Grupi PayPal” është PayPal, Inc. dhe të gjitha kompanitë që PayPal ose pasardhësi i saj zotëron ose kontrollon herë pas here, në mënyrë të drejtpërdrejtë apo të tërthortë.

Të dhëna personale” janë informacionet lidhur me një person fizik të identifikuar ose të identifikueshëm (një “subjekt i të dhënave”); një person fizik i identifikueshëm është një person që mund të identifikohet, në mënyrë të drejtpërdrejtë ose të tërthortë, duke iu referuar veçanërisht një elementi identifikues, si emri, numri i identifikimit, të dhënat e vendndodhjes, një identifikuesi në internet ose një apo më shumë faktorëve specifikë të identitetit fizik, fiziologjik, gjenetik, mendor, ekonomik, kulturor ose social të atij personi fizik.

Procesi” ose termat që trajtojnë funksione të ngjashme, kur përdoren në këtë Shtojcë, kanë kuptimet që u janë dhënë në ligjet në fuqi për mbrojtjen e të dhënave.

PayPal në cilësinë e kontrolluesit

PayPal zbaton kërkesat e ligjeve për mbrojtjen e të dhënave, të zbatueshme për Kontrolluesit lidhur me përpunimin e të dhënave të klientëve sipas kësaj shtojce (duke përfshirë ndër të tjera, zbatimin dhe respektimin, në çdo kohë, e të gjitha masave të përshtatshme të sigurisë lidhur me përpunimin e të dhënave të klientëve) dhe nuk përdorin apo nuk lejojnë përdorimin e të dhënave personale, në mënyrë të qëllimshme dhe në një mënyrë të tillë që mund të çojë në shkeljen e ligjeve për mbrojtjen e të dhënave nga ana e tregtarit. PayPal i transferon të dhënat e klientëve vetëm te palët e treta, nën-përpunuesit ose anëtarët e grupit PayPal të cilët do të nënshkruajnë marrëveshje me shkrim, ku përfshihen kushtet për mbrojtjen e të dhënave të klientëve, të cilat ofrojnë mbrojtje të njëjtë me kushtet e përcaktuara në këtë Shtojcë.

Përpunimi i të dhënave të klientëve në lidhje me shërbimet e përpunimit të pagesave

Palët pranojnë dhe bien dakord se Tregtari dhe PayPal janë secili kontrollues të pavarur sa i përket të dhënave të klientëve që përpunohen në lidhje me shërbimet e përpunimit të pagesave. Si i tillë, PayPal përcakton, në mënyrë të pavarur, qëllimin dhe mjetet për përpunimin e këtyre të dhënave të klientëve dhe nuk është kontrollues i përbashkët me Tregtarin në lidhje me këto të dhëna të klientëve.

Palët pranojnë dhe bien dakord se PayPal lejohet të përdorë, riprodhojë dhe përpunojë të dhënat e klientit dhe të dhënat e transaksionit të pagesës sipas qëllimeve të kufizuara në vijim:

  • sa herë të jetë e nevojshme për të ofruar dhe përmirësuar shërbimet e pagesave ndërmjet Tregtarit dhe Klientëve të tij, duke përfshirë mjetet për mbrojtjen nga mashtrimi;
  • për të monitoruar, parandaluar dhe zbuluar transaksione pagese mashtruese, si dhe për të parandaluar dëmet ndaj Tregtarit, PayPal dhe palëve të treta,
  • për të përmbushur detyrimet e zbatueshme ligjore ose rregullatore për përpunimin dhe ruajtjen e të dhënave të pagesës, të cilave i nënshtrohet PayPal, duke përfshirë detyrimet e zbatueshme për identifikimin e identitetit dhe ato kundër pastrimit të parave;
  • për të analizuar, zhvilluar dhe përmirësuar produktet dhe shërbimet e PayPal;
  • përdorim të brendshëm, duke përfshirë pa kufizim, metrikën dhe analitikën e të dhënave;
  • për të hartuar dhe publikuar bashkërisht, të dhënat e klientëve dhe të dhënat e transaksioneve të pagesave, në rastet kur të dhënat e klientëve tuaj individualë ose të përdoruesve nuk janë të identifikueshme, duke përfshirë përllogaritjen e vlerave mesatare sipas rajonit ose industrisë;
  • për të përmbushur kërkesat ligjore në fuqi dhe për të ndihmuar agjencitë ligjzbatuese duke iu përgjigjur kërkesave të tyre për dhënie informacioni në përputhje me ligjet; dhe
  • për çdo qëllim tjetër, me kusht që të njoftojë Tregtarin dhe për sa kohë që qëllimi në fjalë është në përputhje me ligjet për mbrojtjen e të dhënave.

Njoftim i Tregtarit ndaj Klientëve

Tregtari bën përpjekje tregtare të arsyeshme për (i) të njoftuar klientët, sipas politikës së tyre të privatësisë, se PayPal është një kontrollues i pavarur, që ka për qëllim përpunimin e të dhënave të klientëve siç përshkruhet në këtë shtojcë dhe për (ii) të përfshirë një lidhje të deklaratës së privatësisë së PayPal, e disponueshme në www.paypal.com në politikën e privatësisë së tregtarit.

Ndihmë e përbashkët

Palët bien dakord të bashkëpunojnë me njëri-tjetrin, deri në masën e nevojshme dhe të arsyeshme, për të mundësuar palën tjetër që të shkarkojnë siç duhet përgjegjësitë e tyre si Kontrollues të pavarur sipas ligjeve për mbrojtjen e të dhënave. Palët bien dakord që kur Tregtari merr një kërkesë aksesi nga një subjekt apo në ushtrimin e Klientit të së drejtës së tij sipas Ligjeve për mbrojtjen e të dhënave, Tregtari do t'i përgjigjet drejtpërdrejti kësaj kërkese aksesi nga ana e Klientit. Tregtari gjithashtu informon Klientin se ai mund të ushtrojë të drejtat e tij në cilësinë e subjektit të të dhënave në lidhje me shërbimet e pagesave me PayPal, sipas udhëzimeve të përshkruara në Deklaratën e privatësisë, e cila mund të gjendet në www.paypal.com. Për më tepër, për sa i përket incidenteve me sigurinë, PayPal përcakton, në gjykim të tij, se duhet të njoftojë Klientët e prekur, por nuk ka të dhënat e nevojshme të kontaktit të një Klienti të prekur për të bërë këtë komunikim, atëherë tregtari do të bëjë përpjekje tregtare të arsyeshme për t'i siguruar PayPal të dhënat e Klientëve që Tregtari mund të ketë, për qëllimin e kufizuar të zbatimit nga ana e PayPal të detyrimeve për të njoftuar Klientët e prekur sipas Ligjeve për mbrojtjen e të dhënave.

Transferimi ndërkufitar i të dhënave

Palët pranojnë se PayPal mund të transferojë të dhënat e klientëve të përpunuara sipas kësaj Marrëveshjeje, jashtë shtetit ku ato janë mbledhur, sipas nevojës, për ofrimin e shërbimeve të pagesave. Nëse PayPal i transferon të Dhënat e klientëve, të cilat mbrohen sipas kësaj Shtojce, në një juridiksion për të cilin autoriteti rregullator i zbatueshëm i shtetit ku janë mbledhur të dhënat nuk ka lëshuar një vendim të përshtatshëm, PayPal do të garantojë zbatimin e masave të duhura të sigurisë për transferimin e të dhënave të klientëve në përputhje me Ligjet e zbatueshme për mbrojtjen e të dhënave. Për shembull, dhe në kuadër të zbatimit të GDPR-së, ne bazohemi në Rregulla detyruese korporative të miratuara nga autoritetet mbikëqyrëse kompetente dhe në mekanizma të tjerë të transferimit të të dhënave për transferimin e të Dhënave të klientëve te anëtarët e tjerë të grupit PayPal.

Në lidhje me transferimin e të dhënave tuaja në PayPal të klientëve tuaj me vendndodhje në Bashkimin Evropian, Zvicër, Zonën Ekonomike Evropiane dhe/ose shtetet e tyre anëtare ose në Mbretërinë e Bashkuar, ne të gjithë biem dakord që (i) në masën e zbatueshme, nënshkrimi juaj nga marrëveshja do të konsiderohet si nënshkrim dhe pranim i Vendimit Zbatues të Komisionit Evropian (BE) 2021/914, datë 4 qershor 2021, "Për klauzola standarde kontraktuale për transferimin e të dhënave personale në vendet e treta në përputhje me GDPR-në" ("klauzolat e transferimit të BE-së") nga tregtari, si eksportues i të dhënave dhe në rolin e kontrolluesit, dhe do të konsiderohet si nënshkrim dhe pranim i klauzolave standarde të mbrojtjes së të dhënave të specifikuara në rregulloret e bëra nga Sekretari i Shtetit sipas seksionit 17C (b) të Aktit të Mbrojtjes së të Dhënave të vitit 2018 dhe për momentin, në fuqi në Mbretërinë e Bashkuar ("klauzola për transferimin e MB-së"), si eksportues i të dhënave (ii) në masën e zbatueshme, nënshkrimi i marrëveshjes nga PayPal do të konsiderohet si nënshkrim dhe pranim e e klauzolave të BE-së për transferimin nga PayPal, si importuese e të dhënave dhe në rolin e kontrolluesit, dhe do të konsiderohet si nënshkrim dhe pranim i klauzolave të transferimit të MB-së, si importues i të dhënave; dhe (iii) palët do t'i nënshtrohen dispozitave të modulit 1 të klauzolave të transferimit të BE-së. Në rast se Komisioni Evropian ose Sekretari i Shtetit i Mbretërisë së Bashkuar (ose një organ tjetër i zbatueshëm i autorizuar në MB) rishikon dhe më pas publikon klauzola të reja për transferimin të BE-së ose klauzola të transferimit të MB-së, përkatësisht (ose siç kërkohet ose zbatohet ndryshe nga Komisioni Evropian ose Sekretari i MB-së) shteti (ose një organ tjetër i zbatueshëm i autorizuar në Mbretërinë e Bashkuar)), palët bien dakord që klauzola të tilla të reja të transferimit të BE-së ose klauzola të transferimit të MB-së, sipas rastit, do të zëvendësojnë klauzolat aktuale të transferimit të BE-së ose klauzolat e transferimit të MB-së, sipas rastit, dhe që palët bien dakord të marrin të gjitha veprimet e tilla të nevojshme për të kryer zbatimin e klauzolave të reja të BE-së për transferimin ose klauzolave të transferimit të MB-së, sipas rastit. Klauzolat e transferimit të BE-së(moduli 1) dhe klauzolat e transferimit të MB-së do të përfshihen në marrëveshje si referencë dhe do të konsiderohen të zbatuara siç duhet nga palët që në momentin e hyrjes në fuqi të kësaj marrëveshjeje, e cila i nënshtrohet detajeve të mëposhtme:

A) Klauzola të transferimit të BE-së

  1. do të zbatohet opsioni 1 i klauzolës 17 (ligji në fuqi) dhe ligjet e Luksemburgut rregullojnë klauzolat e BE-së;
  2. në përputhje me klauzolën 18 (Zgjedhja e forumit dhe juridiksionit), gjykatat e Luksemburgut do të zgjidhin çdo mosmarrëveshje që del nga klauzolat e BE-së; dhe
  3. Palët bien dakord që detajet e kërkuara sipas shtojcës së klauzolave të transferimit të BE-së janë siç përcaktohen në shtojcën 1.

B) Klauzola të transferimit të MB-së

  1. Klauzola II(h)(iii) është e përfshirë dhe nënshkrimi i marrëveshjes nga PayPal do të konsiderohet si inicialet e nevojshme nga PayPal si importuesi i të dhënave;
  2. Palët bien dakord që detajet e kërkuara sipas shtojcës B të klauzolave të transferimit të MB-së janë siç përcaktohen në shtojcën 1 (në masën e zbatueshme).

Pjesa 1

Shtojcë e klauzolave të BE-së për transferimin dhe shtojcës B të klauzolave të transferimit të MB-së

A) Në vijim është e zbatueshme, në masën e kërkuar, sipas klauzolave të BE-së për transferimin dhe klauzolave të transferimit të MB-së

Shtojca 1.A. Lista e palëve

Eksportuesi i të dhënave

  • Emri dhe adresa: Eksportuesi i të dhënave është tregtari dhe adresa është siç parashikohet në marrëveshje
  • Emri, pozicioni dhe detajet e kontaktit të personit të kontaktit: siç parashikohet në marrëveshje
  • Aktivitetet përkatëse për të dhënat e transferuara sipas klauzolës standarde kontraktuese: siç parashikohet në marrëveshje
  • Nënshkrimi dhe data: shikoni seksionin "transfertat ndërkufitare" të kësaj shtojce
  • Roli (kontrolluesi/përpunuesi): kontrolluesi

Importuesi i të dhënave

  • Emri dhe adresa: importuesi i të dhënave është anëtar i grupit PayPal që ofron shërbimet në përputhje me marrëveshjen dhe adresa është siç parashikohet në marrëveshje
  • Emri, pozicioni dhe detajet e kontaktit të personit të kontaktit: siç parashikohet në marrëveshje
  • Aktivitetet përkatëse për të dhënat e transferuara sipas klauzolës standarde kontraktuese: siç parashikohet në nënshkrimin dhe datën e marrëveshjes: shiko seksionin "transferimet ndërkufitare" të kësaj shtojce
  • Roli (kontrolluesi/përpunuesi): kontrolluesi

Shtojca 1.B. Përshkrimi i transferimit

Subjektet e të dhënave
Të dhënat personale të transferuara përfshijnë kategoritë e mëposhtme të subjekteve të të dhënave:

Eksportuesi i të dhënave dhe klientët, punonjësit dhe kontaktet e tjera të biznesit të tij.

Kategoritë e të dhënave personale të transferuara

Të dhënat personale të transferuara mund të përfshijnë kategoritë e mëposhtme të të dhënave:

Emri, shuma për t'u tarifuar, data/ora, detajet e llogarisë bankare, detajet e kartës së pagesës, kodi CVC, kodi postar, kodi i shtetit, adresa, adresa e email-it, faksi, numri i telefonit, faqja e internetit, të dhënat e skadimit, detajet e transportit, statusi tatimor, identifikuesi unik i klientit, adresa e IP-së, vendndodhja dhe çdo të dhënë tjetër që PayPal merr sipas marrëveshjes.

Të dhëna delikate (sipas rastit) dhe kufizime ose masa mbrojtëse të zbatuara

Të dhënat personale të transferuara kanë të bëjnë me kategoritë e mëposhtme të të dhënave delikate:

  • Nuk është e zbatueshme, përveçse kur tregtari konfiguron shërbimin për të regjistruar këto të dhëna.

  • Zbaton kufizimet dhe masat mbrojtëse:

  • Nuk është e zbatueshme, përveçse kur tregtari konfiguron shërbimin për të regjistruar këto të dhëna.

Natyra e përpunimit

  • Siç përcaktohet në Marrëveshje.

Qëllimet e transferimeve
Transferimi është bërë për qëllimet e mëposhtme:

  • Performanca e shërbimeve që importuesi i të dhënave i ofron eksportuesit të të dhënave në përputhje me Marrëveshjen.
  • Për të identifikuar aktivitetin mashtrues dhe rrezikun që është, ose mund të ndikojë në importuesin e të dhënave, eksportuesin e të dhënave ose klientë të tjerë të importuesit të të dhënave.
  • Për të qenë në përputhje me ligjet e zbatueshme për importuesin e të dhënave.
  • Siç përcaktohet në shtojcën e mbrojtjes së të dhënave.

Periudha për të cilën do të mbahen të dhënat personale, ose, nëse kjo nuk është e mundur, kriteret e përdorura për përcaktimin e asaj periudhe

Importuesi i të dhënave ruan të dhënat personale vetëm për aq kohë sa është e nevojshme në lidhje me qëllimet përkatëse për të cilat është mbledhur (shiko qëllimet më sipër). Për të përcaktuar periudhën e përshtatshme të mbajtjes për të dhënat personale, importuesi i të dhënave merr në konsideratë sasinë, natyrën dhe ndjeshmërinë e të dhënave personale, rrezikun e mundshëm të dëmtimit nga përdorimi i paautorizuar ose zbulimi i të dhënave personale, qëllimet për të cilat përpunohen të dhënat personale dhe nëse qëllime të tilla mund të arrihen përmes mënyrave të tjera dhe kërkesave të zbatueshme ligjore, rregullatore, tatimore, kontabël ose të tjera.

Për transferimet te (nën-) përpunuesit, specifiko gjithashtu çështjen e temës, natyrën dhe kohëzgjatjen e përpunimit

Importuesi i të dhënave mund të ndajë të dhëna personale me ofruesit e shërbimeve të palëve të treta që kryejnë shërbime dhe funksione në drejtim të importuesit të të dhënave dhe në emër të tij. Këta ofrues shërbimesh të palëve të treta mund, për shembull, të ofrojnë një element të shërbimeve të ofruara sipas marrëveshjes si p.sh. verifikimin e klientit, përpunimin e transaksioneve ose mbështetjen e klientit ose ofrimin e një shërbimi për importuesin e të dhënave që mbështet shërbimet e ofruara sipas marrëveshjes si p.sh. magazinimit. Gjatë përcaktimit të kohëzgjatjes së përpunimit të ndërmarrë nga ofruesit e shërbimeve të palëve të treta, importuesi i të dhënave zbaton kriteret e parashikuara më sipër në këtë shtojcë1.B.

Shtojca 1.B. Autoriteti mbikëqyrës

Në përputhje me klauzolën 13 (a) të klauzolave të BE-së për transferimin, autoriteti mbikëqyrës me përgjegjësi për të siguruar përputhshmërinë nga eksportuesi i të dhënave me Rregulloren (BE) 2016/679 në lidhje me transferimin e të dhënave, siç tregohet, do të veprojë si autoritet mbikëqyrës kompetent.

Shtojca II. Masat teknike dhe të organizatave që përfshijnë masat teknike dhe organizative për të garantuar sigurinë e të dhënave

  1. Pseudonimizimi, enkriptimi dhe mbrojtja e të dhënave gjatë transmetimit.

Politikat e PayPal sigurojnë pajtueshmëri me këtë parim dhe kërkojnë përdorimin e kontrolleve teknike për të parandaluar rrezikun e zbulimit të të dhënave personale. PayPal përdor enkriptim në tranzit dhe në qetësi për të gjitha të dhënat personale. Ne gjithashtu përdorim teknika standarde të pseudonimizimit të industrisë, të tilla si tokenizimi për të mbrojtur të dhënat personale kur është e zbatueshme. PayPal ka politika gjithëpërfshirëse  ofrojnë detyrime dhe procese kryesore për të mbrojtur të dhënat kur ato transferohen brenda ndërmarrjes dhe nga jashtë me palë të treta.

  1. Menaxhimi i ndryshimit dhe vazhdimësia e biznesit.

Procesi i fortë i menaxhimit të ndryshimeve të PayPal mbron disponueshmërinë dhe qëndrueshmërinë e vazhdueshme të të dhënave dhe sistemeve gjatë gjithë ciklit të tyre të jetës duke siguruar që ndryshimet të planifikohen, miratohen, ekzekutohen dhe shqyrtohen në mënyrë të përshtatshme. Procesi i menaxhimit të vazhdimësisë së biznesit të kompanisë ofron një kornizë për ndërtimin e qëndrueshmërisë organizative me aftësinë e një përgjigje efektive që mbron interesat e palëve të tij kryesore të interesit.

  1. Rikuperimi i fatkeqësive.

Programi i fuqishëm i rikuperimit të fatkeqësive të PayPal ka procese për rikuperimin e sistemeve të informacionit ose teknologjisë në rast të ndonjë përçarjeje të konsiderueshme, duke u fokusuar në sistemet e TI-së që mbështesin proceset kritike të biznesit dhe aktivitetet e klientëve. Infrastruktura e teknologjisë së PayPal është vendosur në qendra të shumëfishta të sigurta të të dhënave, me aftësi kryesore dhe dytësore, secila e pajisur me rrjet dhe infrastrukturë sigurie, aplikacione të dedikuara dhe servera të dhënash dhe hapësira ruajtëse.

  1. Testimi i rregullt, vlerësimi dhe vlerësimi i efektivitetit të masave teknike dhe organizative.

PayPal rregullisht planifikon, ekzekuton dhe raporton mbi rezultatet e programit të testimit të kompanisë për të vlerësuar dhe vlerësuar efektivitetin e masave të saj teknologjike dhe organizative. Programi menaxhohet përmes ekipit tonë të rrezikut dhe pajtueshmërisë të cilët punojnë me palët përkatëse të interesit për të marrë dhe vlerësuar informacionin e kërkuar për testimin, raportimin dhe ridimensionimin sipas rastit.

  1. Identifikimi dhe autorizimi i përdoruesit.

Proceset e menaxhimit të aksesit të PayPal kërkojnë që përdoruesit të hyjnë në rrjetin e korporatave duke përdorur një ID unike të llogarisë së korporatës dhe fjalëkalimin për identifikimin dhe autentifikimin e përdoruesit përpara se të aksesojnë ndonjë aplikacion tjetër të fushës së zbatimit. Zbatohen politika të automatizuara në lidhje me përbërjen e fjalëkalimit, gjatësinë, ndryshimin, ripërdorimin dhe bllokimin. Aksesi dhe miratimet e bazuara në role, të cilat janë të certifikuara çdo tre muaj, zbatohen në të gjitha sistemet e fushës së zbatimit për të zbatuar parimin më pak të privilegjuar.

  1. Siguria fizike e vendndodhjeve ku përpunohen të dhënat personale.

Politikat dhe proceset e sigurisë globale dhe të sigurisë së PayPal parashtrojnë kërkesat e nevojshme për të lehtësuar proceset e sigurisë dhe tingujve të sigurisë, duke përfshirë sigurinë fizike, në përputhje me ligjet, rregulloret dhe kërkesat e partnerëve në fuqi. Theks i veçantë vihet në sistemet e sigurisë dhe masat mbrojtëse kur ndërtohen zona të veçanta ose të ndjeshme siç janë dhomat e postës, magazinimi i pajisjeve, zonat e transportit dhe marrjes, dhomat e kompjuterit / serverit, kasafortat e komunikimit ose zonat e klasifikuara të ruajtjes së informacionit në përputhje me trajtimin e sigurisë së informacionit të kompanisë standarde.

  1. Regjistrimi dhe konfigurimi i ngjarjeve.

PayPal ka përshkruar dhe përcaktuar llojet dhe atributet e regjistrimit dhe monitorimit të ngjarjeve. Kompania mbledh dhe grumbullon disa lloje të regjistrave në sistemin e centralizuar të monitorimit të sigurisë. Kontrolli standard i menaxhimit të konfigurimit është i vendosur për të siguruar që regjistrat të mblidhen nga sistemet dhe më pas të përcillen në sistemin tonë të centralizuar të monitorimit të sigurisë. Politikat dhe proceset mbështetëse të PayPal përcaktojnë se konfigurimi i sistemit dhe linjat bazë të forcimit duhet të zbatohen në të gjitha sistemet.

  1. Qeverisja dhe menaxhimi i TI-së; Certifikimi dhe sigurimi i proceseve dhe produkteve.

PayPal promovon një filozofi të fortë sigurie në të gjithë kompaninë. Zyrtari ynë kryesor i sigurisë së informacionit mbikëqyr sigurinë e informacionit në të gjithë ndërmarrjen tonë globale. Si pjesë e programit tonë të menaxhimit të rrezikut dhe përputhshmërisë së ndërmarrjeve, programi ynë i mbikëqyrjes së teknologjisë dhe sigurisë së informacionit është krijuar për të mbështetur kompaninë në menaxhimin e rreziqeve të sigurisë së teknologjisë dhe informacionit dhe identifikimin, mbrojtjen, zbulimin, reagimin dhe rikuperimin nga kërcënimet e sigurisë së informacionit. PayPal certifikon dhe siguron proceset dhe produktet e tij përmes një larmie programesh të ndërmarrjeve, duke përfshirë (i) auditimet dhe vlerësimet e detyrimeve standarde të industrisë teknike të PayPal, duke përfshirë por pa u kufizuar në, ISO 27001, standardet e zbatueshme të industrisë së kartave të pagesave (PCI) (DSS, PIN, P2PE, etj.) dhe Instituti Amerikan i Kontabilistëve Publikë të Certifikuar (AICPA) SOC-1 dhe SOC-2, (ii) Procesi i Identifikimit të Kontrollit të Riskut (RCIP) i cili siguron angazhim të hershëm dhe një qasje standarde për matjen, menaxhimin dhe monitorimin e rrezikut që lidhet me zhvillimin dhe lëshimin e zgjidhjeve të produkteve, (iii) vlerësimet e ndikimit të privatësisë të cilat janë të integruara në fazat e hershme të proceseve të zhvillimit të produktit dhe softuerit dhe (iv) një program gjithëpërfshirës të menaxhimit të palëve të treta, i cili ofron siguri përmes menaxhimit të vazhdueshëm të rreziqeve gjatë gjithë ciklit të jetës së një angazhimi me një palë të tretë.

  1. Minimizimi i të dhënave.

Politikat tona kërkojnë, përmes kontrolleve teknike, që elementet e të dhënave të mbledhura dhe të gjeneruara të jenë ato adekuate, të rëndësishme dhe të kufizuara në atë që është e nevojshme në lidhje me qëllimet për të cilat ato përpunohen. Proceset e vlerësimit të ndikimit të privatësisë në PayPal sigurojnë pajtueshmëri me këto politika.

  1. Cilësia dhe mbajtja e të dhënave.

Politika e aksesit dhe cilësisë së PayPal siguron që të gjitha të dhënat personale të jenë të sakta, të plota dhe të përditësuara, duke u mundësuar përdoruesve individualë të aksesojnë sistemin për të korrigjuar dhe modifikuar të dhënat e tyre (p.sh. adresën, detajet e kontaktit etj.), dhe, kur një kërkesë për korrigjim është marrë nga një subjekt i të dhënave, për të ofruar një shërbim i cili u jep të drejtën e tyre për korrigjim. Programi ynë i qeverisjes së të dhënave monitoron cilësinë e të dhënave, çështjet dhe rregullimet, sipas nevojës. Ne kërkojmë që të gjitha të dhënat të klasifikohen sipas vlerës së tyre të biznesit me periudhat e caktuara të mbajtjes, e cila bazohet në kërkesat ligjore, rregullatore dhe të mbajtjes së regjistrave të biznesit të PayPal. Pas skadimit të periudhës së mbajtjes, të dhënat dhe informacionet hidhen, fshihen ose shkatërrohen.

  1. Përgjegjësia.

PayPal ka zhvilluar një grup të sigurisë së informacionit, teknologjisë, qeverisjes së të dhënave, politikave dhe parimeve të menaxhimit të të dhënave të palëve të treta dhe të privatësisë që janë në përputhje me standardet e industrisë dhe të dizajnuara për të angazhuar bashkëpunimin dhe partneritetin e palëve të interesuara në ndërgjegjësimin dhe pajtueshmërinë me politikat dhe kontrollet e tilla në të gjithë organizatën për të siguruar pjesëmarrje dhe llogaridhënie nga lart poshtë në të gjithë organizatën. Çdo program përcakton përgjegjësitë për vendimet, proceset dhe kontrollet që lidhen me të dhënat ndër-funksionale. Si një kontrollues i të dhënave, PayPal është përgjegjës dhe demonstron pajtueshmërinë me artikujt përkatës që mbartin një detyrim llogaridhënieje në GDPR dhe ligjet e tjera të zbatueshme për mbrojtjen e të dhënave përmes zbatimit të një politike të programit të privatësisë dhe një strukture themelore të kontrollit organizativ dhe teknik për të siguruar pajtueshmërinë në mbarë ndërmarrjen me ligjin, rregulloren, politikën dhe procedurat e privatësisë. Këto përfshijnë të qenit në gjendje për të demonstruar pajtueshmërinë me ligjet për mbrojtjen e të dhënave përmes: 1) një kulture të fortë të pajtueshmërisë, 2) një strukture qeverisjeje për rrezikun dhe pajtueshmërinë e cila përfshin komitetet e menaxhimit, rolet e mbikëqyrjes, raportimin e privatësisë, 3) llogaridhënies së funksionit të biznesit për pajtueshmërinë me programin e privatësisë duke përfshirë vendosjen, dokumentimin dhe mirëmbajtjen e proceseve dhe kontrolleve të biznesit, 4) një departamenti global të privatësisë brenda organizatës për pajtueshmërinë e ndërmarrjeve për të mbikëqyrur pajtueshmërinë e biznesit me programin e privatësisë dhe për të përcaktuar politikat, standardet, procedurat dhe mjetet të cilat janë operacionalizuar nga funksionet e biznesit , 5) komunikimeve me ndërmarrjen nga funksioni global i privatësisë për të promovuar ndërgjegjësimin dhe të kuptuarit e privatësisë, 6) rrezikut të ndërmarrjes dhe kornizës së menaxhimit të pajtueshmërisë për të siguruar përdorimin e proceseve të qëndrueshme duke përfshirë vlerësimet e ndikimit të privatësisë, monitorimin dhe testimin e privatësisë, menaxhimin e çështjeve të privatësisë, trajnimin e privatësisë, planin vjetor të privatësisë, dhe 7) raportimit dhe analizës te komitetet e menaxhimit të cilat mbikëqyrin programin e privatësisë .

  1. Të drejtat e subjektit të të dhënave.

PayPal ka një program në dispozicion për të siguruar që të drejtat e subjektit të të dhënave janë përmbushur, duke përfshirë aksesin, korrigjimin dhe fshirjen. Kërkesat për fshirjen e të dhënave përmbushen nëse PayPal nuk ka një detyrim ligjor, rregullator ose arsye të tjera të ligjshme biznesi për t'i mbajtur ato. Politikat e PayPal sigurojnë që fshirja të ndodhë gjatë gjithë ciklit të jetës së klientit.

  1. Përpunuesit.

PayPal ka një program gjithëpërfshirës të menaxhimit të palëve të treta, i cili ofron siguri përmes menaxhimit të vazhdueshëm të rreziqeve gjatë gjithë ciklit të jetës së një angazhimi me një palë të tretë. Ne kemi në dispozicion kontrolle kontraktuale për të kërkuar që përpunuesit tanë dhe nënpërpunuesit e tyre të vendosin standarde gjithëpërfshirëse të sigurisë së të dhënave dhe privatësisë në të gjithë zinxhirin e përpunimit. Të gjithë nënpërpunuesit duhet të kërkojnë miratimin tonë paraprak para se të angazhohen.

B) Rastet në vijim janë të zbatueshme vetëm për klauzolat e transferimit në Mbretërinë e Bashkuar

Marrësit
Të dhënat personale të transferuara mund të shpërndahen vetëm te marrësit e mëposhtëm:

  • Ofruesit e shërbimeve të importuesit, bashkëpunëtorët dhe personeli që kryejnë shërbime në përputhje me Marrëveshjen.

Informacion për regjistrimin e mbrojtjes së të dhënave të eksportuesit të të dhënave (sipas rastit)

Nuk është e zbatueshme.

Informacion shtesë i dobishëm (kufijtë e ruajtjes dhe informacione të tjera përkatëse)

Siç përcaktohet në marrëveshje dhe më sipër në këtë shtojcë 1.