Cập nhật lần gần nhất vào Ngày 08 tháng 06 năm 2022
Cập nhật lần gần nhất vào Ngày 08 tháng 06 năm 2022
Các điều khoản hợp đồng tiêu chuẩn (“SCC”) giữa các bên kiểm soát là một phần của Thỏa thuận người dùng PayPal hiện hành ("Thỏa thuận") giữa bạn, với tư cách là người bán ("bạn" hoặc "Người bán") và PayPal; các Điều khoản này được kết hợp vào Thỏa thuận dưới dạng tham chiếu. Trong trường hợp có bất kỳ mâu thuẫn nào giữa điều khoản của SCC và Thỏa thuận thì điều khoản của SCC sẽ được ưu tiên áp dụng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong SCC này có ý nghĩa như trình bày trong Thỏa thuận.
Trong phạm vi áp dụng: (i) chữ ký của bạn trong Thỏa thuận sẽ được coi là chữ ký và sự chấp thuận của Người bán, với tư cách là bên chuyển giao dữ liệu và trong vai trò bên kiểm soát, đối với Quyết định thực thi (EU) 2021/914 của Ủy ban Châu Âu ngày 4 tháng 6 năm 2021 về các điều khoản hợp đồng tiêu chuẩn đối với việc chuyển giao dữ liệu cá nhân cho các quốc gia thứ ba theo Quy định (EU) 2016/679 ("Các điều khoản chuyển giao của Liên minh Châu Âu"); (ii) chữ ký của PayPal trong Thỏa thuận sẽ được coi là chữ ký và sự chấp thuận của PayPal, với tư cách là bên nhận dữ liệu và trong vai trò bên kiểm soát, đối với Các điều khoản chuyển giao của Liên minh Châu Âu; và (iii) các bên phải tuân thủ điều khoản tại Mô-đun 1 của Các điều khoản chuyển giao của Liên minh Châu Âu.
Trong trường hợp Ủy ban Châu Âu sửa đổi và sau đó ban hành Các điều khoản chuyển giao mới của Liên minh Châu Âu (hoặc do Ủy ban Châu Âu yêu cầu hoặc thực hiện), các bên đồng ý rằng Các điều khoản chuyển giao mới đó của Liên minh Châu Âu sẽ thay thế Các điều khoản chuyển giao hiện tại của Liên minh Châu Âu, đồng thời các bên đồng ý sẽ thực hiện tất cả hành động cần thiết để việc thực thi Các điều khoản chuyển giao mới của Liên minh Châu Âu có hiệu lực.
Các điều khoản chuyển giao của Liên minh Châu Âu (Mô-đun 1) sẽ được kết hợp vào Thỏa thuận dưới dạng tham chiếu và được coi là được thực thi hợp lệ giữa các bên khi Thỏa thuận có hiệu lực tùy thuộc vào các quy định chi tiết sau:
Tài liệu đính kèm 1
Phụ lục Các điều khoản chuyển giao của Liên minh Châu Âu
Phụ lục 1.A. Các điều khoản sau đây được áp dụng trong phạm vi yêu cầu theo Các điều khoản chuyển giao của Liên minh Châu Âu
Bên xuất dữ liệu
Bên nhập dữ liệu
Phụ lục 1.B. Mô tả hoạt động chuyển dữ liệu
Chủ thể dữ liệu có dữ liệu cá nhân được chuyển giao
Dữ liệu cá nhân được chuyển giao liên quan đến các danh mục chủ thể dữ liệu sau:
Danh mục dữ liệu cá nhân được chuyển
Dữ liệu nhạy cảm (nếu phù hợp) và Các biện pháp bảo vệ hoặc hạn chế được áp dụng
Dữ liệu cá nhân được chuyển giao liên quan đến các danh mục dữ liệu nhạy cảm sau:
Áp dụng các hạn chế và biện pháp bảo vệ:
Bản chất của quá trình xử lý
Theo quy định trong Thỏa thuận này.
(Các) mục đích của (các) hoạt động chuyển giao
Việc chuyển giao được thực hiện cho các mục đích sau:
Khoảng thời gian lưu giữ dữ liệu cá nhân hoặc các tiêu chí được sử dụng để xác định khoảng thời gian đó (nếu không thể lưu giữ dữ liệu)
Bên nhập dữ liệu chỉ lưu giữ dữ liệu cá nhân trong khoảng thời gian cần thiết cho (các) mục đích liên quan mà theo đó dữ liệu được thu thập (vui lòng xem các mục đích ở trên). Để xác định khoảng thời gian lưu giữ thích hợp cho dữ liệu cá nhân, bên nhập dữ liệu xem xét số lượng, tính chất và mức độ nhạy cảm của dữ liệu cá nhân, nguy cơ gây tổn hại tiềm ẩn từ việc sử dụng trái phép hoặc tiết lộ dữ liệu cá nhân, mục đích xử lý dữ liệu cá nhân và liệu có thể đạt được những mục đích này thông qua các phương thức khác hay không, cũng như các yêu cầu pháp lý hiện hành, các yêu cầu về quy định, thuế, kế toán hoặc các yêu cầu khác.
Đối với việc chuyển dữ liệu cho bên xử lý (phụ), cũng như xác định vấn đề, tính chất và khoảng thời gian xử lý
Bên nhập dữ liệu có thể chia sẻ dữ liệu cá nhân với các nhà cung cấp dịch vụ bên thứ ba thực hiện dịch vụ và chức năng theo chỉ dẫn của bên nhập dữ liệu và thay mặt cho bên nhập dữ liệu. Ví dụ: các nhà cung cấp dịch vụ bên thứ ba này có thể cung cấp một phần của các dịch vụ được cung cấp theo Thỏa thuận như xác minh khách hàng, xử lý giao dịch hoặc hỗ trợ khách hàng hoặc cung cấp dịch vụ cho bên nhập dữ liệu để hỗ trợ các dịch vụ được cung cấp theo thỏa thuận như lưu trữ. Khi xác định khoảng thời gian xử lý do các nhà cung cấp dịch vụ bên thứ ba thực hiện, bên nhập dữ liệu sẽ áp dụng các tiêu chí được trình bày ở phần trên trong Phụ lục 1.B này.
Phụ lục 1.C. Cơ quan giám sát
Theo Khoản 13(a) Các điều khoản chuyển giao của Liên minh Châu Âu, cơ quan giám sát có trách nhiệm đảm bảo bên chuyển giao dữ liệu tuân thủ Quy định (EU) 2016/679 về chuyển giao dữ liệu, như quy định tại các SCC này, phải hành động với tư cách là cơ quan giám sát có thẩm quyền.
B. Các biện pháp kỹ thuật và tổ chức, bao gồm cả những biện pháp liên quan tới kỹ thuật và tổ chức để đảm bảo bảo mật dữ liệu
Chính sách của PayPal đảm bảo tuân thủ nguyên tắc này và yêu cầu phải sử dụng các biện pháp kiểm soát kỹ thuật để phòng tránh rủi ro tiết lộ dữ liệu cá nhân. PayPal thực hiện mã hóa tất cả dữ liệu cá nhân cả khi truyền tải và không truyền tải. Chúng tôi cũng sử dụng các kỹ thuật giả danh tính tiêu chuẩn trong ngành, chẳng hạn như mã hóa thông báo, để bảo vệ dữ liệu cá nhân nếu phù hợp. PayPal có những chính sách toàn diện thiết lập các nghĩa vụ và quy trình quan trọng để bảo vệ dữ liệu khi được chuyển giao trong nội bộ doanh nghiệp và ra ngoài cho bên thứ ba.
Quy trình quản lý sự thay đổi mạnh mẽ của PayPal giúp bảo vệ tình trạng khả dụng và khả năng phục hồi liên tục của dữ liệu và hệ thống trong suốt vòng đời bằng cách đảm bảo các thay đổi được lên kế hoạch, phê duyệt, thực hiện và xem xét thích hợp. Quy trình quản lý kinh doanh liên tục của Công ty tạo khuôn khổ giúp xây dựng năng lực phục hồi của tổ chức với khả năng ứng phó hiệu quả nhằm bảo vệ lợi ích của các bên liên quan quan trọng.
Chương trình khôi phục sau thảm họa mạnh mẽ của PayPal có các quy trình phục hồi hệ thống thông tin hoặc công nghệ trong trường hợp xảy ra gián đoạn đáng kể, tập trung vào hệ thống CNTT hỗ trợ các quy trình kinh doanh tối quan trọng và các hoạt động của khách hàng. Cơ sở hạ tầng công nghệ của PayPal được đặt tại nhiều trung tâm dữ liệu bảo mật, có chức năng chính và phụ, mỗi trung tâm đều được trang bị cơ sở hạ tầng mạng và bảo mật, ứng dụng chuyên dụng và máy chủ cơ sở dữ liệu cũng như thiết bị lưu trữ.
PayPal thường xuyên lên kế hoạch, thực thi và báo cáo kết quả chương trình kiểm tra của Công ty để xem xét cũng như đánh giá tính hiệu quả từ các biện pháp công nghệ và tổ chức. Chương trình được quản lý thông qua nhóm phụ trách các vấn đề về rủi ro và tuân thủ của doanh nghiệp, họ làm việc với các bên liên quan để thu thập và đánh giá thông tin cần thiết nhằm kiểm tra, báo cáo và khắc phục khi cần thiết.
Quy trình quản lý truy cập của PayPal yêu cầu người dùng đăng nhập vào mạng của công ty bằng ID tài khoản mạng công ty và mật khẩu duy nhất để nhận dạng và xác thực người dùng trước khi truy cập vào bất kỳ ứng dụng trong phạm vi nào khác. Các chính sách tự động liên quan đến thành phần, độ dài, việc thay đổi, sử dụng lại mật khẩu và mất quyền truy cập được áp dụng. Truy cập và phê duyệt dựa trên vai trò được chứng nhận hằng quý và triển khai trên tất cả các hệ thống trong phạm vi để thực thi các nguyên tắc ít đặc quyền nhất.
Các chính sách và quy trình bảo mật toàn cầu của PayPal quy định các yêu cầu cần thiết để tạo điều kiện cho các quy trình an toàn và bảo mật hoàn chỉnh, bao gồm bảo mật tại chỗ, theo luật, quy định hiện hành và các yêu cầu của đối tác. Chúng tôi đặc biệt chú ý đến hệ thống bảo mật và các biện pháp bảo vệ khi xây dựng các khu vực đặc biệt hoặc nhạy cảm như phòng thư, khu vực lưu trữ, vận chuyển và nhận thiết bị, phòng máy tính/máy chủ, kho thông tin liên lạc hoặc khu vực lưu trữ tài liệu/thông tin được phân loại theo tiêu chuẩn xử lý bảo mật thông tin của Công ty.
PayPal đã nêu và định nghĩa các loại cũng như đặc tính ghi nhật ký và theo dõi sự kiện. Công ty thu thập và tổng hợp một số loại nhật ký vào hệ thống giám sát bảo mật trung tâm. Việc kiểm soát quản lý cấu hình tiêu chuẩn được áp dụng nhằm đảm bảo các nhật ký được thu thập từ hệ thống, sau đó được chuyển tiếp đến hệ thống giám sát bảo mật tập trung của chúng tôi. Các chính sách và quy trình hỗ trợ của PayPal quy định rằng việc cấu hình hệ thống và kế hoạch củng cố cơ sở phải được thực hiện trên tất cả các hệ thống.
PayPal thúc đẩy một triết lý bảo mật mạnh mẽ trong Công ty. Giám đốc bảo mật thông tin của chúng tôi giám sát việc bảo mật thông tin trong toàn doanh nghiệp toàn cầu. Là một phần trong Chương trình quản lý rủi ro và tuân thủ của doanh nghiệp, Chương trình giám sát công nghệ và bảo mật thông tin của chúng tôi được thiết kế để hỗ trợ Công ty quản lý các rủi ro công nghệ và bảo mật thông tin cũng như xác định, bảo vệ, phát hiện, phản ứng và phục hồi từ các mối đe dọa bảo mật thông tin. PayPal xác nhận và đảm bảo các quy trình và sản phẩm của mình thông qua một loạt các chương trình doanh nghiệp, bao gồm (i) kiểm tra và đánh giá các nghĩa vụ tiêu chuẩn trong ngành về kỹ thuật của PayPal, bao gồm nhưng không giới hạn ở ISO 27001, các tiêu chuẩn hiện hành của Ngành thẻ thanh toán (PCI) (ví dụ như DSS, PIN, P2PE, v.v.), SOC-1 và SOC-2 của Viện Kế toán Công chứng Hoa Kỳ (AICPA), (ii) Quy trình xác định và kiểm soát rủi ro (RCIP) giúp đảm bảo triển khai sớm và cách tiếp cận tiêu chuẩn đối với công tác đo lường, quản lý và giám sát rủi ro liên quan đến việc phát triển và phát hành các giải pháp sản phẩm, (iii) đánh giá tác động về quyền riêng tư được tích hợp vào giai đoạn ban đầu của quá trình phát triển sản phẩm và phần mền, và (iv) một chương trình quản lý bên thứ ba toàn diện mang đến sự đảm bảo thông qua việc liên tục quản lý các rủi ro trong suốt thời gian hợp tác với bên thứ ba.
Thông qua các biện pháp kiểm soát kỹ thuật, các chính sách của chúng tôi yêu cầu thành phần dữ liệu được thu thập và tạo ra phải luôn đầy đủ, phù hợp và chiri giới hạn ở những thành phần cần thiết cho các mục đích xử lý. Quy trình đánh giá tác động về quyền riêng tư của PayPal đảm bảo việc tuân thủ các chính sách này.
Chính sách về chất lượng và quyền truy cập của PayPal đảm bảo rằng tất cả dữ liệu cá nhân đều chính xác, đầy đủ và cập nhật, cho phép từng người dùng truy cập vào hệ thống để chỉnh sửa và sửa đổi các thông tin cụ thể của họ (ví dụ: địa chỉ, chi tiết liên hệ, v.v.) và, nếu nhận được yêu cầu chỉnh sửa từ chủ thể dữ liệu, chúng tôi sẽ cung cấp dịch vụ cho phép họ thực hiện chỉnh sửa. Chương trình quản trị dữ liệu của chúng tôi theo dõi chất lượng dữ liệu, các vấn đề và biện pháp khắc phục khi cần thiết. Chúng tôi yêu cầu tất cả các dữ liệu được phân loại theo giá trị kinh doanh với khoảng thời gian lưu giữ được chỉ định dựa trên luật pháp, quy định và các yêu cầu về lưu giữ hồ sơ kinh doanh của PayPal. Sau khi hết thời gian lưu giữ, các dữ liệu và thông tin sẽ được loại bỏ, xóa hoặc hủy.
PayPal thiết lập một loạt các chính sách và nguyên tắc về bảo mật thông tin, công nghệ, quản trị dữ liệu, quản lý bên thứ ba và quyền riêng tư phù hợp với các tiêu chuẩn trong ngành, đồng thời được thiết kế để thu hút sự cộng tác và hợp tác của các bên liên quan trong việc nhận thức và tuân thủ chính sách cũng như các biện pháp kiểm soát này trên toàn tổ chức nhằm đảm bảo việc tham gia và trách nhiệm giải trình từ trên xuống trong toàn tổ chức. Mỗi chương trình xác định trách nhiệm giải trình đối với các quyết định, quy trình và biện pháp kiểm soát liên quan đến dữ liệu của nhiều bộ phận chức năng khác nhau. Với vai trò là bên kiểm soát dữ liệu, PayPal chịu trách nhiệm và chứng minh sự tuân thủ các điều khoản có liên quan quy định nghĩa vụ trách nhiệm giải trình trong GDPR và các luật bảo vệ dữ liệu hiện hành khác thông qua thực hiện chính sách chương trình quyền riêng tư cũng như triển khai cấu trúc kiểm soát kỹ thuật và tổ chức phân lớp cơ sở để đảm bảo toàn bộ doanh nghiệp tuân thủ luật pháp, quy định, chính sách và quy trình liên quan đến quyền riêng tư. Trong đó bao gồm khả năng chứng minh sự tuân thủ luật bảo vệ dữ liệu thông qua: 1) văn hóa tuân thủ chặt chẽ, 2) cấu trúc quản trị rủi ro và tính tuân thủ tại doanh nghiệp bao gồm ban quản lý, vai trò giám sát, báo cáo quyền riêng tư, 3) trách nhiệm giải trình theo chức năng doanh nghiệp đối với việc tuân thủ chương trình quyền riêng tư bao gồm thiết lập, lưu trữ tài liệu và duy trì các quy trình và hoạt động kiểm soát tại doanh nghiệp, 4) một bộ phận phụ trách quyền riêng tư toàn cầu trong Tổ chức đảm bảo tính tuân thủ tại doanh nghiệp để giám sát hoạt động tuân thủ của doanh nghiệp đối với chương trình quyền riêng tư, đồng thời xác định chính sách, tiêu chuẩn, quy trình và công cụ được vận hành bởi các bộ phận chức năng của doanh nghiệp, 5) thông tin liên lạc với doanh nghiệp thông qua bộ phận chức năng về quyền riêng tư toàn cầu để thúc đẩy nhận thức và hiểu biết về quyền riêng, 6) Khung quản lý rủi ro và sự tuân thủ tại doanh nghiệp để đảm bảo sử dụng các quy trình nhất quán, bao gồm đánh giá tác động của quyền riêng tư, giám sát và kiểm tra quyền riêng tư, quản lý vấn đề quyền riêng tư, đào tạo về quyền riêng tư, lập kế hoạch hàng năm về quyền riêng tư và 7) báo cáo và phân tích cho các ủy ban quản lý giám sát Chương trình quyền riêng tư.
PayPal áp dụng một chương trình để đảm bảo các quyền của chủ thể dữ liệu được thực hiện, bao gồm quyền truy cập, chỉnh sửa và xóa bỏ. Yêu cầu xóa dữ liệu được thực hiện trừ khi PayPal có nghĩa vụ theo luật pháp, quy định hoặc lý do xác đáng khác về kinh doanh để giữ lại dữ liệu. Chính sách của PayPal đảm bảo rằng quy trình xóa bỏ sẽ xảy ra trong suốt vòng đời khách hàng.
PayPal có một chương trình quản lý bên thứ ba toàn diện và đảm bảo, giúp liên tục quản lý rủi ro trong suốt vòng đời cam kết với bên thứ ba. Chúng tôi có các biện pháp kiểm soát theo hợp đồng để yêu cầu các bên xử lý và bên xử lý phụ của họ áp dụng các tiêu chuẩn bảo mật dữ liệu và quyền riêng tư toàn diện trong suốt chuỗi xử lý. Tất cả các bên xử lý phụ phải yêu cầu chúng tôi phê duyệt trước khi tham gia.