Adendum Perlindungan Data PayPal bagi Produk Pemprosesan Kad
Adendum Perlindungan Data PayPal bagi Produk Pemprosesan Kad
Kemas kini terakhir: 1 Disember 2021
Adendum Perlindungan Data PayPal ini untuk Produk Pemprosesan Kad ("Adendum" ini) terpakai untuk mana-mana produk, perkhidmatan atau tawaran lain yang ahli Kumpulan PayPal ("PayPal") menyediakan perkhidmatan perlindungan pemprosesan kad, get laluan dan/atau perlindungan penipuan ("Perkhidmatan Bayaran") kepada anda, Peniaga ("Peniaga" atau "Anda"). Adendum ini tidak terpakai kepada perkhidmatan dompet PayPal seperti tawaran bayar dengan PayPal atau bayar kemudian PayPal.
Adendum ini akan menjadi sebahagian daripada perjanjian yang berkaitan antara Peniaga dan PayPal yang mentadbir peruntukan Perkhidmatan Bayaran PayPal kepada anda ("Perjanjian") dan digabungkan dengan rujukan di dalamnya. Sekiranya terdapat apa-apa percanggahan di antara terma Adendum dan Perjanjian ini, terma Adendum ini akan mengawal. Terma berhuruf besar yang digunakan tetapi tidak ditakrifkan dalam Adendum ini hendaklah mempunyai maksud yang dinyatakan dalam Perjanjian.
Adendum ini berkuat kuasa pada akhir (i) tarikh kuat kuasa yang dinyatakan dalam Perjanjian atau (ii) tarikh kuat kuasa yang dinyatakan dalam notis yang disiarkan atau diberikan kepada anda berkaitan dengan Adendum ini. Kami boleh meminda Adendum ini dari semasa ke semasa. Versi semakan akan berkuat kuasa pada masa kami menyiarkan versi di laman web kami, kecuali jika dinyatakan sebaliknya. Jika perubahan kami mengurangkan hak anda atau meningkatkan tanggungjawab anda, kami akan menghantar notis pada halaman "Pengemaskinian Polisi" laman web kami dalam tempoh masa yang diperlukan oleh Perjanjian. Jika anda tidak bersetuju dengan apa-apa perubahan kepada Adendum, anda boleh menghentikan penggunaan Perkhidmatan Bayaran anda pada bila-bila masa.
Definisi
Terma berikut mempunyai makna di bawah apabila digunakan dalam Adendum ini:
”Pengawal” bermaksud entiti yang menentukan tujuan dan cara pemprosesan Data Peribadi, atau, jika terma (atau terma yang menangani fungsi yang serupa) yang ditakrifkan dalam Undang-undang Perlindungan Data, ”Pengawal” mempunyai erti seperti yang ditakrifkan dalam yang berkenaan Undang-undang Perlindungan Data.
" Pelanggan " bermaksud pelanggan anda yang menggunakan Perkhidmatan Bayaran dan untuk tujuan Adendum ini, ialah subjek data.
”Data Pelanggan” bermaksud Data Peribadi yang (i) Pelanggan berikan kepada Peniaga dan Peniaga memberikan data ini kepada PayPal melalui penggunaan Perkhidmatan Bayaran oleh Peniaga dan (ii) PayPal boleh mengumpul daripada peranti dan pelayar Pelanggan melalui penggunaan Perkhidmatan Bayaran oleh Peniaga.
" Undang-undang Perlindungan Data " bermaksud mana-mana undang-undang, peraturan, arahan, syarat pengawalseliaan dan kod amalan yang terpakai kepada penyediaan Perkhidmatan Bayaran termasuk apa-apa pindaan terhadapnya dan apa-apa peraturan atau instrumen yang berkaitan (contohnya, Akta Privasi Pengguna California 2018, Cal. Siv. Kod §1798.100 et seq, Peraturan Perlindungan Data Am (EU) 2016/679 (GDPR), Akta Privasi Xxxxxxxxx 0000 (Cth) Akta Perlindungan Maklumat Peribadi dan Dokumen Elektronik (Kanada), Ordinan Data Peribadi (Privasi) (Cap .486) (Hong Kong), Undang-undang Perlindungan Data Umum Brazil, No. Undang-undang Persekutuan.
13,709/2018 dan Akta Xxxxxxxxxxxx Xxxx Xxxxxxxx 0000 (Xxxxxxxxx)).
“Kumpulan PayPal“ bermaksud PayPal, Inc. dan semua syarikat yang PayPal atau penggantinya memiliki dan mengawal secara langsung atau tidak langsung dari semasa ke semasa.
“Data Peribadi“ bermaksud apa-apa maklumat yang berkaitan dengan individu natural yang dikenal pasti atau boleh dikenal pasti (“subjek data“); orang semula jadi yang boleh dikenal pasti ialah individu yang boleh dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau kepada satu atau lebih faktor yang khusus untuk fizikal, fisiologi, identiti genetik, mental, ekonomi, budaya atau sosial orang natural tersebut.
“Proses” atau terma yang menangani fungsi yang serupa apabila digunakan dalam Adendum ini mempunyai pengertian seperti yang ditakrifkan dalam Undang-undang Perlindungan Data yang berkenaan.
PayPal Sebagai Pengawal
PayPal hendaklah mematuhi keperluan Undang-undang Perlindungan Data yang terpakai kepada Pengawal berkaitan dengan Pemprosesan Data Pelanggan di bawah Adendum ini (termasuk tanpa had, dengan melaksanakan dan mengekalkan pada setiap masa semua langkah-langkah keselamatan yang sesuai berkaitan dengan Pemprosesan Data Pelanggan) dan tidak boleh dengan sengaja melakukan apa-apa atau membenarkan apa- apa untuk dilakukan berkenaan Data Pelanggan yang boleh menyebabkan pelanggaran oleh Peniaga Undang-undang Perlindungan Data. PayPal hanya akan memindahkan Data Pelanggan kepada pihak ketiga, subpemproses atau ahli Kumpulan PayPal yang akan menandatangani perjanjian bertulis yang mengandungi terma untuk perlindungan Data Pelanggan, yang sama dari segi memberikan perlindungan dengan terma yang dinyatakan dalam Adendum ini.
Pemprosesan Data Pelanggan Berkaitan dengan Perkhidmatan Bayaran
Pihak-pihak tersebut mengakui dan bersetuju bahawa Peniaga dan PayPal masing-masing ialah Pengawal bebas berkenaan semua Data Pelanggan yang Diproses berkaitan dengan Perkhidmatan Bayaran. Oleh yang demikian, PayPal menentukan tujuan dan cara Pemprosesan Data Pelanggan sedemikian secara bebas dan bukan Pengawal bersama dengan Peniaga berkenaan Data Pelanggan tersebut.
Pihak tersebut mengakui dan bersetuju bahawa PayPal dibenarkan untuk menggunakan, menghasilkan semula dan memproses Data Pelanggan dan data transaksi bayaran untuk tujuan terhad berikut:
• kerana secara munasabah perlu untuk menyediakan dan meningkatkan Perkhidmatan Bayaran kepada Peniaga dan Pelanggannya, termasuk peralatan perlindungan penipuan;
• untuk memantau, mencegah dan mengesan transaksi bayaran penipuan dan untuk mengelakkan bahaya kepada Peniaga, PayPal dan kepada pihak ketiga,
• untuk mematuhi kewajipan perundangan atau kawal selia yang berkenaan dengan Pemprosesan dan pengekalan data bayaran yang PayPal tertakluk, termasuk anti- pengubahan wang haram dan kewajipan pengesahan identiti;
• untuk menganalisis, mengembangkan dan menambah baik produk dan perkhidmatan PayPal;
• penggunaan dalaman, termasuk tetapi tidak terhad kepada, analisis data dan metrik;
• untuk menyusun dan mendedahkan Data Pelanggan dan data transaksi bayaran dalam agregat yang Data Pelanggan individu atau pengguna anda tidak dapat dikenal pasti, termasuk mengira purata anda mengikut wilayah atau industri;
• mematuhi keperluan perundangan yang berkenaan dan membantu agensi penguatkuasa undang-undang dengan menjawab permintaan untuk pendedahan maklumat mengikut undang-undang; dan
• sebarang tujuan lain yang memaklumkannya kepada Peniaga asalkan tujuan tersebut adalah selaras dengan Undang-undang Perlindungan Data.
Notis Peniaga kepada Pelanggan
Peniaga hendaklah menggunakan usaha yang munasabah secara komersial untuk (i) memaklumkan Pelanggan dalam polisi privasi mereka bahawa PayPal ialah Pengawal bebas untuk tujuan Pemprosesan Data Pelanggan seperti yang diterangkan dalam Adendum ini dan (ii) termasuk pautan kepada Pernyataan Privasi PayPal yang boleh didapati di xxx.xxxxxx.xxx dalam polisi privasi Peniaga.
Bantuan bersama
Pihak-pihak tersebut bersetuju untuk bekerjasama antara satu sama lain setakat munasabah perlu untuk membolehkan pihak lain melaksanakan tanggungjawab mereka dengan secukupnya sebagai Pengawal bebas di bawah Undang-undang Perlindungan Data. Pihak-pihak ini bersetuju bahawa setakat Peniaga menerima permintaan akses subjek atau apa-apa penggunaan hak oleh Pelanggan di bawah Undang-undang
Perlindungan Data, Peniaga hendaklah memberi respons kepada permintaan akses Pelanggan tersebut secara langsung. Peniaga juga hendaklah memaklumkan kepada Pelanggan bahawa mereka boleh menggunakan hak subjek data mereka berkaitan dengan Perkhidmatan Bayaran dengan PayPal mengikut arahan yang diterangkan dalam Penyata Privasi yang terdapat di xxx.xxxxxx.xxx. Di samping itu, jika PayPal menentukan dalam keputusannya sendiri berkaitan dengan apa-apa kejadian keselamatan bahawa ia mesti memaklumkan kepada Pelanggan yang terjejas dan PayPal tidak mempunyai maklumat hubungan yang diperlukan tentang Pelanggan yang terjejas untuk membuat komunikasi sedemikian, maka Peniaga hendaklah menggunakan usaha yang munasabah secara komersial, untuk memberikan maklumat tentang Pelanggan itu kepada PayPal yang Peniaga mungkin miliki untuk tujuan terhad bagi pematuhan PayPal terhadap kewajipan pemberitahuan terpakai mengenai Pelanggan yang terjejas di bawah Undang- undang Perlindungan Data.
Pindahan Data Sempadan Merentas
Pihak-pihak tersebut bersetuju bahawa PayPal boleh memindahkan Data Pelanggan yang Diproses di bawah Perjanjian ini di luar negara di mana data dikumpul sebagai jika perlu untuk menyediakan Perkhidmatan Bayaran. Jika PayPal memindahkan Data Pelanggan yang dilindungi di bawah Adendum ini kepada bidang kuasa pihak berkuasa kawal selia yang terpakai bagi negara di mana data dikumpulkan tidak mengeluarkan keputusan yang mencukupi, PayPal akan memastikan bahawa perlindungan yang sesuai telah dilaksanakan untuk pindahan Data Pelanggan mengikut Undang-undang Perlindungan Data yang terpakai. Sebagai contoh, dan untuk tujuan pematuhan GDPR, kami bergantung kepada Peraturan Korporat yang Mengikat yang diluluskan oleh pihak berkuasa penyeliaan kompeten dan mekanisme pindahan data lain untuk pindahan Data Pelanggan kepada ahli Kumpulan PayPal yang lain.
Berkenaan dengan pindahan data kepada PayPal Pelanggan anda yang terletak di Kesatuan Eropah, Switzerland, Kawasan Ekonomi Eropah, dan/atau negara anggota mereka atau United Kingdom, kami masing-masing bersetuju bahawa (i) setakat yang terpakai, tindakan anda menandatangani Perjanjian ini akan dianggap sebagai tandatangan dan penerimaan Keputusan Pelaksanaan Suruhanjaya Eropah (EU) 2021/914 pada 4 Jun 2021 mengenai fasal kontrak standard untuk pemindahan data peribadi ke negara ketiga menurut GDPR ("Fasal Pindahan EU") oleh Peniaga, sebagai pengeksport data dan dalam peranan pengawal, dan akan dianggap sebagai tandatangan dan penerimaan fasal perlindungan data standard yang dinyatakan dalam peraturan yang dibuat oleh Setiausaha Negara di bawah seksyen 17C(b) Akta Perlindungan Data 2018 dan buat masa ini, yang berkuat kuasa di United Kingdom ("Fasal Pindahan UK"), sebagai pengeksport data (ii) setakat yang terpakai, tandatangan Perjanjian PayPal akan dianggap sebagai tandatangan dan penerimaan kepada Fasal Pindahan EU oleh PayPal, sebagai pengimport data dan dalam peranan pengawal, dan akan dianggap sebagai tandatangan dan penerimaan Fasal Pindahan UK, sebagai pengimport data; dan (iii) pihak-pihak tersebut tertakluk pada peruntukan Modul 1 Fasal Pindahan EU. Sekiranya Suruhanjaya Eropah atau Setiausaha Negara UK (atau badan yang diberi kuasa UK yang terpakai) menyemak dan selepas itu menerbitkan Fasal Pindahan EU atau Fasal Pindahan
UK yang baharu, masing-masing (atau seperti yang diwajibkan atau dilaksanakan oleh Suruhanjaya Eropah atau Setiausaha UK Negeri (atau badan lain yang diberi kuasa UK yang terpakai)), pihak-pihak tersebut bersetuju bahawa Fasal Pindahan EU atau Fasal Pindahan UK yang baharu, seperti yang terpakai, akan menggantikan Fasal Pindahan EU atau Fasal Pindahan UK yang sedia ada, seperti yang terpakai, dan pihak tersebut bersetuju untuk mengambil semua tindakan sedemikian yang diperlukan untuk menjalankan pelaksanaan Fasal Pindahan EU atau Fasal Pindahan UK yang baharu, seperti yang terpakai. Fasal Pindahan EU (Modul 1) dan Fasal Pindahan UK akan digabungkan ke dalam Perjanjian sebagai rujukan dan akan dianggap dilaksanakan dengan sewajarnya di antara pihak-pihak ini apabila Perjanjian ini berkuat kuasa tertakluk pada butiran berikut:
A) Fasal Pindahan EU
1. pilihan 1 Fasal 17 (Undang-undang yang mengawal) akan terpakai dan undang- undang Luxembourg akan mentadbir Fasal EU;
2. selaras dengan Fasal 00 (Xxxxxxx xxxxx xxx xxxxxx xxxxx), xxxxxxxx Xxxxxxxxxx akan menyelesaikan apa-apa pertikaian yang timbul daripada Fasal EU; dan
3. Pihak-pihak ini bersetuju bahawa butiran yang diperlukan di bawah Lampiran Fasal Pindahan EU adalah seperti yang dinyatakan pada Lampiran 1.
B) Fasal Pindahan UK
1. Fasal II (h) (iii) digabungkan dan tandatangan Perjanjian oleh PayPal akan dianggap sebagai permulaan yang diperlukan daripada PayPal sebagai pengimport data;
2. Pihak-pihak tersebut bersetuju bahawa butiran yang diperlukan di bawah Lampiran B Fasal Pindahan UK adalah seperti yang dinyatakan pada Lampiran 1 (setakat yang terpakai).
Lampiran 1
Lampiran kepada Fasal Pindahan EU dan Lampiran B Fasal Pindahan UK
A) Perkara berikut boleh digunakan, setakat yang diperlukan, di bawah Fasal Pindahan EU dan Fasal Pindahan UK
Lampiran 1.A. Senarai Pihak Pengeksport Data
• Nama dan Alamat: Pengeksport data ialah Peniaga dan alamat adalah seperti yang dinyatakan dalam Perjanjian
• Nama, jawatan dan butiran hubungan orang hubungan: seperti yang dinyatakan
dalam Perjanjian
• Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Fasal Kontrak Standard: seperti yang dinyatakan dalam Perjanjian
• Tandatangan dan tarikh: sila lihat bahagian "Pindahan Merentas Sempadan" pada Adendum ini
• Peranan (pengawal/pemproses): pengawal
Pengimport Data
• Nama dan Alamat: Pengimport data ialah ahli Kumpulan PayPal yang menyediakan perkhidmatan menurut Perjanjian dan alamat adalah seperti yang dinyatakan dalam Perjanjian
• Nama, jawatan dan butiran hubungan orang hubungan: seperti yang dinyatakan dalam Perjanjian
• Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Fasal Kontrak Standard: seperti yang dinyatakan dalam Tandatangan dan tarikh Perjanjian: sila lihat seksyen "Pindahan Merentas Sempadan" pada Adendum ini
• Peranan (pengawal/pemproses): pengawal
Lampiran 1.B. Perihalan Pindahan Subjek data
Data peribadi yang dipindahkan melibatkan kategori subjek data berikut: Pengeksport data dan Pelanggan, pekerja dan kenalan perniagaan lain.
Kategori Data Peribadi yang Dipindahkan
Data peribadi yang dipindahkan mungkin termasuk kategori data berikut:
Nama, amaun yang akan dikenakan, tarikh/masa, butiran akaun bank, butiran kad bayaran, kod CVC, poskod, kod negara, alamat, alamat e-mel, faks, telefon, laman web, data tamat tempoh, butiran pengiriman, status cukai, pengenal pasti pelanggan unik, Alamat IP, lokasi dan apa-apa data lain yang diterima oleh PayPal di bawah Perjanjian.
Data sensitif (jika sesuai) dan Sekatan atau Perlindungan Gunaan
Data peribadi yang dipindahkan melibatkan kategori data sensitif yang berikut:
• Tidak berkenaan, kecuali Peniaga mengkonfigurasi perkhidmatan untuk mengambil data tersebut.
• Mengenakan sekatan dan perlindungan:
• Tidak berkenaan, kecuali Peniaga mengkonfigurasi perkhidmatan untuk mengambil data tersebut.
Sifat Pemprosesan
• Seperti yang dinyatakan dalam Perjanjian.
Xxxxxx pindahan
Pindahan dibuat untuk tujuan berikut:
• Prestasi perkhidmatan yang disediakan oleh pengimport data kepada pengeksport data mengikut Perjanjian.
• Untuk mengenal pasti aktiviti dan risiko penipuan yang, atau mungkin, memberi kesan kepada pengimport data, pengeksport data atau pelanggan lain pengimport data.
• Untuk mematuhi undang-undang yang terpakai kepada pengimport data.
• Seperti yang dinyatakan dalam Adendum Perlindungan Data.
Tempoh Data Peribadi akan Dikekalkan, atau, jika tidak Mungkin, Kriteria yang Digunakan untuk Menentukan Tempoh tersebut
Pengimport data hanya mengekalkan data peribadi selama yang diperlukan berhubung dengan tujuan relevan data tersebut dikumpulkan (sila lihat tujuan di atas). Untuk menentukan tempoh pengekalan yang sesuai untuk data peribadi, pengimport data mempertimbangkan amaun, sifat dan kepekaan data peribadi, potensi risiko bahaya daripada penggunaan atau pendedahan data peribadi yang tidak dibenarkan, tujuan data peribadi diproses dan sama ada tujuan tersebut boleh dicapai melalui cara lain, dan keperluan perundangan, kawal selia, cukai, perakaunan atau keperluan lain yang terpakai.
Untuk pindahan kepada (Sub-) Pemproses, juga Nyatakan Perkara Subjek, Sifat dan Tempoh Pemprosesan
Pengimport data boleh berkongsi data peribadi dengan pembekal perkhidmatan pihak ketiga yang melaksanakan perkhidmatan dan fungsi atas arahan pengimport data dan bagi pihaknya. Pembekal perkhidmatan pihak ketiga ini boleh, sebagai contoh, menyediakan elemen perkhidmatan yang disediakan di bawah Perjanjian seperti pengesahan pelanggan, pemprosesan transaksi atau sokongan pelanggan, atau menyediakan perkhidmatan kepada pengimport data yang menyokong perkhidmatan yang disediakan di bawah perjanjian seperti simpanan. Apabila menentukan tempoh pemprosesan yang diambil oleh pembekal perkhidmatan pihak ketiga, pengimport data menggunakan kriteria yang disediakan di atas dalam Lampiran 1.B ini.
Lampiran 1.C. Pihak Berkuasa Penyeliaan
Selaras dengan Fasal 13(a) Fasal Pindahan EU, pihak berkuasa penyeliaan yang bertanggungjawab untuk memastikan pematuhan oleh pengeksport data terhadap Peraturan (EU) 2016/679 berkenaan dengan pemindahan data, seperti yang d inyatakan akan bertindak sebagai pihak berkuasa penyeliaan yang kompeten.
Lampiran II. Langkah-langkah Teknikal dan Organisasi Termasuk Langkah- langkah Teknikal dan Organisasi untuk Memastikan Keselamatan Data
1. Nama samaran, Penyulitan dan Perlindungan Data Semasa Penghantaran.
Polisi PayPal memastikan pematuhan kepada prinsip ini dan memerlukan penggunaan kawalan teknikal untuk mengelakkan risiko pendedahan data peribadi. PayPal menggunakan penyulitan dalam transit dan pada masa rehat untuk semua data peribadi. Kami juga menggunakan teknik pemberian nama samaran standard industri, seperti pentokenan untuk melindungi data peribadi jika berkenaan. PayPal mempunyai polisi komprehensif yang menyediakan obligasi dan proses utama untuk melindungi data apabila data dipindahkan dalam perusahaan dan secara luaran dengan pihak ketiga.
2. Perubahan Pengurusan dan Kesinambungan Perniagaan.
Proses pengurusan perubahan PayPal yang mantap melindungi ketersediaan dan ketahanan berterusan data dan sistem sepanjang kitaran hayat data dengan memastikan perubahan dirancang, diluluskan, dilaksanakan dan disemak dengan sewajarnya. Proses pengurusan kesinambungan perniagaan Syarikat menyediakan rangka kerja untuk membina kebingkasan organisasi dengan keupayaan respons yang berkesan yang melindungi kepentingan pihak berkepentingan utamanya.
3. Pemulihan Bencana.
Program bencana mantap PayPal mempunyai proses untuk memulihkan maklumat atau sistem teknologi jika berlaku apa-apa gangguan yang ketara, dengan memberi fokus kepada sistem IT yang menyokong proses perniagaan kritikal dan aktiviti pelanggan.
Infrastruktur teknologi PayPal ditempatkan di beberapa pusat data yang selamat, dengan keupayaan utama dan sekunder, masing-masing dilengkapi dengan infrastruktur rangkaian dan keselamatan, aplikasi dan pelayan pangkalan data khusus dan penyimpanan.
4. Ujian Berkala, Penilaian dan Menilai Keberkesanan langkah-langkah Teknikal dan Organisasi.
PayPal sentiasa merancang, melaksanakan dan melaporkan keputusan program ujian Syarikat untuk menaksir dan menilai keberkesanan langkah teknologi dan organisasi. Program ini diuruskan menerusi pasukan risiko dan pematuhan perusahaan kami yang bekerjasama dengan pihak berkepentingan yang berkaitan untuk mendapatkan dan menilai maklumat yang diperlukan untuk ujian, pelaporan dan pemulihan jika perlu.
5. Pengenalan dan Pengesahan Pengguna.
Proses pengurusan akses PayPal memerlukan pengguna untuk log masuk ke dalam rangkaian korporat menggunakan ID dan kata laluan akaun rangkaian korporat yang unik untuk pengenalan dan pengesahan pengguna sebelum mengakses apa-apa aplikasi dalam skop lain. Polisi automatik mengenai komposisi, panjang, perubahan, penggunaan semula dan halang masuk kata laluan digunakan. Akses dan kelulusan berdasarkan peranan, yang
disahkan setiap suku tahun, dilaksanakan di semua sistem dalam skop untuk menguatkuasakan prinsip yang paling kurang istimewa.
6. Keselamatan Fizikal Lokasi Tempat Data Peribadi Diproses.
Polisi keselamatan global PayPal dan polisi dan proses keselamatan menetapkan keperluan yang diperlukan untuk memudahkan proses keselamatan dan keselamatan, termasuk keselamatan fizikal, mengikut undang-undang, peraturan dan keperluan rakan kongsi yang terpakai. Penekanan khas diberikan kepada sistem keselamatan dan perlindungan apabila membina kawasan khas atau sensitif seperti bilik mel, tempat penyimpanan peralatan, kawasan pengiriman dan penerimaan, bilik komputer/pelayan, peti besi komunikasi atau kawasan penyimpanan dokumen/maklumat sulit, selaras dengan standard pengendalian keselamatan maklumat Syarikat.
7. Pengelogan dan Konfigurasi Peristiwa.
PayPal telah menggariskan dan menentukan jenis dan atribut pengelogan dan pemantauan peristiwa. Syarikat mengumpul dan mengagregatkan beberapa jenis log ke sistem pemantauan keselamatan terpusat. Kawalan pengurusan konfigurasi standard disediakan untuk memastikan log dikumpulkan daripada sistem dan kemudian dikemukakan ke sistem pemantauan keselamatan terpusat kami. Dasar dan proses sokongan PayPal menetapkan bahawa konfigurasi sistem dan garis dasar pengukuhan perlu dilaksanakan di semua sistem.
8. Tadbir Urus dan Pengurusan IT; Pensijilan dan Jaminan Proses dan Xxxxxx.
PayPal menggalakkan falsafah keselamatan yang kukuh di seluruh Syarikat. Ketua Pegawai Keselamatan Maklumat kami mengawasi keselamatan maklumat di seluruh perusahaan global kami. Sebagai sebahagian daripada Program Pengurusan Risiko dan Pematuhan Perusahaan kami, Program Pemerhatian Teknologi dan Keselamatan Maklumat kami direka untuk menyokong Syarikat dalam menguruskan risiko keselamatan teknologi dan maklumat dan mengenal pasti, melindungi, mengesan, memberi respons kepada dan memulihkan daripada ancaman keselamatan maklumat. PayPal memperakui dan memastikan proses dan produknya melalui pelbagai program perusahaan, termasuk (i) audit dan penilaian kewajipan standard industri teknikal PayPal termasuk tetapi tidak terhad kepada, ISO 27001, standard Industri Kad Bayaran (PCI) yang terpakai (DSS, PIN, P2PE, dll.) dan Institut Akauntan Awam Bertauliah Amerika (AICPA) SOC-1 dan SOC-2, (ii) Proses Pengenalan Kawalan Risiko (RCIP) yang memastikan penglibatan awal dan pendekatan standard untuk pengukuran, pengurusan dan pemantauan risiko yang berkaitan dengan pembangunan dan pengeluaran penyelesaian produk, (iii) penilaian impak privasi yang disepadukan ke peringkat awal proses pembangunan produk dan perisian, dan (iv) program pengurusan pihak ketiga yang komprehensif, yang memberikan jaminan melalui pengurusan risiko yang berterusan sepanjang kitaran hayat penglibatan dengan pihak ketiga.
9. Peminimuman Data.
Polisi kami memerlukan, melalui kawalan teknikal, elemen data yang dikumpul dan dijana mencukupi, relevan dan terhad kepada perkara yang perlu berkaitan dengan tujuan data diproses. Proses penilaian impak privasi PayPal memastikan pematuhan dengan polisi ini.
10. Kualiti dan Pengekalan Data.
Akses dan polisi kualiti PayPal memastikan bahawa semua data peribadi adalah betul, lengkap dan terkini, yang membolehkan pengguna individu mengakses sistem untuk membetulkan dan mengubah suai butiran mereka (contohnya, alamat, butiran hubungan dll.), dan, jika ada permintaan untuk pembetulan diterima daripada subjek data, untuk menyediakan perkhidmatan yang memberikan hak mereka untuk membuat pembetulan. Program tadbir urus data kami memantau kualiti data, isu dan pemulihan, jika perlu.
Kami memerlukan semua data dikelaskan mengikut nilai perniagaannya dengan tempoh pengekalan yang ditetapkan, berdasarkan kepada keperluan perundangan, kawal selia dan penyimpanan rekod perniagaan PayPal. Setelah tempoh pengekalan tamat, data dan maklumat akan dilupuskan, dipadam atau dimusnahkan.
11. Kebertanggungjawapan
PayPal telah membangunkan satu set polisi dan prinsip keselamatan maklumat, teknologi, tadbir urus data, pengurusan dan privasi pihak ketiga yang selaras dengan standard industri dan direka bentuk untuk melibatkan kerjasama dan perkongsian pihak berkepentingan dalam kesedaran dan pematuhan dasar dan kawalan tersebut di seluruh organisasi untuk memastikan penyertaan dan kebertanggungjawapan dari atas ke bawah di seluruh organisasi. Setiap program mentakrifkan kebertanggungjawapan untuk keputusan, proses dan kawalan berkaitan data pelbagai fungsi. Sebagai pengawal data, PayPal bertanggungjawab dan menunjukkan pematuhan terhadap artikel yang berkaitan yang membawa obligasi kebertanggungjawapan dalam GDPR dan undang-undang perlindungan data lain yang terpakai melalui pelaksanaan polisi program privasi dan struktur kawalan organisasi dan teknikal yang bertingkat untuk memastikan pematuhan perusahaan yang luas ke atas undang-undang, peraturan, polisi dan prosedur privasi. Ini termasuklah untuk menunjukkan kepatuhan terhadap undang-undang perlindungan data melalui: 1) budaya pematuhan yang kukuh, 2) struktur tadbir urus risiko dan pematuhan perusahaan yang merangkumi jawatankuasa pengurusan, peranan pemerhatian, pelaporan privasi, 3) kebertanggungjawapan fungsi perniagaan untuk pematuhan program privasi termasuk penubuhan, dokumentasi dan penyelenggaraan proses dan kawalan perniagaan,
4) jabatan privasi global dalam Organisasi Pematuhan Perusahaan untuk mengawasi pematuhan perniagaan dengan program privasi dan menentukan polisi, standard, prosedur, dan peralatan yang dikendalikan oleh fungsi perniagaan, 5) komunikasi kepada perusahaan oleh fungsi privasi global untuk menggalakkan kesedaran dan pemahaman tentang privasi, 6) Rangka Kerja Pengurusan Risiko dan Pematuhan Perusahaan untuk memastikan penggunaan proses yang konsisten termasuk penilaian impak privasi, pemantauan dan pengujian privasi, pengurusan isu privasi, latihan privasi, pelan privasi tahunan, dan 7) pelaporan dan analisis kepada jawatankuasa pengurusan yang mengawasi Program Privasi .
12. Hak Subjek Data.
PayPal mempunyai program untuk memastikan hak subjek data dipenuhi, termasuk akses, pembetulan dan pemadaman. Permintaan pemadaman data dipenuhi melainkan PayPal mempunyai sebab perundangan, obligasi kawal selia atau sebab perniagaan lain yang sah untuk mengekalkannya. Polisi PayPal memastikan bahawa pemadaman berlaku sepanjang kitaran hayat pelanggan.
13. Pemproses.
PayPal mempunyai program pengurusan pihak ketiga yang komprehensif, yang memberikan jaminan melalui pengurusan risiko yang berterusan sepanjang kitaran hayat penglibatan dengan pihak ketiga. Kami mempunyai kawalan kontrak yang menghendaki pemproses kami dan subpemproses mereka menyediakan standard keselamatan dan privasi data yang komprehensif di seluruh rantaian pemprosesan. Semua subpemproses perlu mendapatkan kelulusan awal kami sebelum melibatkan diri.
B) Perkara berikut hanya terpakai kepada Fasal Pindahan UK sahaja Penerima
Data peribadi yang dipindahkan boleh didedahkan hanya kepada penerima yang berikut:
• Pembekal perkhidmatan, ahli gabungan dan pegawai pengimport yang melaksanakan perkhidmatan mengikut Perjanjian.
Maklumat pendaftaran perlindungan data pengeksport data (jika berkenaan)
Tidak berkenaan .
Maklumat berguna tambahan (had storan dan maklumat lain yang berkaitan)
Seperti yang dinyatakan dalam Perjanjian dan di atas dalam Lampiran 1 ini.