Regole aziendali riguardanti gli Utenti PayPal
>> Mostra tutti gli accordi legali
Regole aziendali riguardanti gli Utenti PayPal
L'obiettivo del Gruppo PayPal è l'implementazione di appropriati e unif ormi standard relativi alla tutela e alla privacy in merito alla gestione dei Dati personali degli Utenti in tutte le Societàdel Gruppo. Le presenti "Regole aziendali riguardanti gli Utenti PayPal" devono essere applicate al Trattamento dei Dati personali degli Utenti da parte delle Societàmembri del Gruppo in tutto il mondo.
Gli Utenti di tutto il mondo forniscono i propri Dati personali alle Societàmembri del Gruppo per poter usufruire dei servizi che questi offrono. La maggior parte dei Dati personali degli Utenti vengono raccolti e archiviati negli Stati Uniti. La presenza globale di PayPal rende necessaria la condivisione dei Dati personali degli Utenti con le altre Societàdel Gruppo PayPal negli Stati Uniti e in tutti i Paesi del mondo in cui qu esta ègià presente o ha in programma di esserlo.
Al momento, possono accedere ai Dati personali degli utenti i dipendenti delle filiali dei seguenti Paesi dello Spazio economico europeo: Lussemburgo, Belgio, Francia, Germania, Irlanda, Italia, Paesi Bassi, Polonia, Spagna, Svezia.
Anche i dipendenti che attualmente si trovano nei seguenti Paesi extra UE hanno la possibilitàdi accedere ai Dati personali degli utenti: Stati Uniti d'America, Taiwan, Turchia, Isole Vergini (britanniche), Australia, Canada, Cina, Hong Kong, India, Indonesia, Israele, Giappone, Repubblica di Xxxxx, Malesia, Mauritius, Filippine, Russia, Singapore, Svizzera, Regno Unito, Argentina, Brasile e Messico.
PayPal si impegna a proteggere i Dati personali degli Utenti, indipendentemente dal luogo in cui questi si trovino, anche quando vengono trasferiti al di fuori dello Spazio economico europeo.
L'elenco di Paesi può variare in funzione delle politiche di espansione dell'azienda.
1. Governance, Struttura e Responsabilità relative alla Privacy
Le Regole Aziendali riguardanti gli utenti PayPal vengono rese legalmente vincolanti da un contratto ("CIG") stipulato tra PayPal (Europe) S.à r.l. & Cie, S.C.A ("Capogruppo") e altre Societàdel Gruppo PayPal. Il CIG impone alle Societàmembri de l Gruppo il rispetto delle Regole aziendali riguardanti gli Utenti PayPal. Le Societàmembri del
Gruppo devono fare osservare queste Regole aziendali riguardanti gli Utenti PayPal ai propri Dipendenti in merito al Trattamento dei Dati personali degli Utenti.
I dirigenti del Gruppo PayPal sono responsabili di fare rispettare ai Dipendenti le Regole aziendali riguardanti gli Utenti PayPal, mantenendoli aggiornati in merito e facendo in modo che queste vengano applicate.
Il Responsabile di Compliance Privacy dirige il programma relativo alla privacy di PayPal. Si tratta di una posizione "senior" all'interno di PayPal Holdings, Inc. che riferisce direttamente al Chief Compliance Officer o ai massimi dirigenti di Compliance presso PayPal. Il Responsabile di Compliance Privacy supervisiona e gestisce il Global Privacy Compliance Team di PayPal e interagisce con altre organizzazioni interne o team, come Operations, Information Security, Compliance, Risk e Internal Audit, per garantire comunicazioni, regole e pratiche relative alla privacy che siano coerenti all'interno del Gruppo PayPal, in tutto il mondo. Il Global Privacy Compliance Team di PayPal èresponsabile dello sviluppo e dell'implementazione delle proprie strategie di compliance all'interno del Gruppo PayPal e delle relative verifiche operative. Il Global Privacy Compliance Team di PayPal si avvale di rappresentanti diretti o indiretti in tutto il Gruppo PayPal, i quali, tra le altre cose, contribuiscono a garantire il rispetto delle Regole aziendali riguardanti gli Utenti e delle leggi sulla tutela dei Dati personali.
Il Responsabile Legale per la Privacy sorveglia le attivitàdel Global Privacy Legal Team di PayPal e riferisce direttamente al responsabile legale o al più alto dirigente con mansioni di responsabilitàlegali presso PayPal. Il Responsabile Legale per la Privacy definisce gli obblighi dell'azienda ai sensi della leggi sulla tutela dei dati e delle Regole aziendali riguardanti gli Utenti PayPal. Il Responsabile Legale per la Privacy e il Global Privacy Legal Team di PayPal lavorano in stretta collaborazione con il Responsabile di Compliance Privacy e il PayPal Global Compliance Privacy Team e insieme interagiscono con altre organizzazioni interne e team, come Legal, Operations, Information Security e Risk, per fornire supporto legale e per interpretare tutte le implicazioni legali e le normative in evoluzione in ambito di privacy in tutto il Gruppo PayPal, a livello globale.
Il Global Privacy Compliance Team e il Global Privacy Legal Team di PayPal formano insieme il Global Privacy Team di PayPal.
Il Responsabile Europeo per la Protezione dei Dati (European Data Protection Officer) ha sede in Lussemburgo ed ènominato dalla direzione di PayPal (Europe) S.à r.l. et Cie, S.C.A., alla quale riferisce. Il Responsabile Europeo per la Protezione dei Dati è l'interlocutore principale per le autoritàcompetenti dello Spazio economico europeo in merito alla protezione dei dati e ha tra le proprie funzioni: informare le Societàmembri del Gruppo e i relativi Dipendenti e offrire loro consulenza in merito agli obblighi legati al Trattamento dei Dati personali, in conformitàalla normativa sulla privacy, per
garantire il rispetto delle Regole aziendali riguardanti gli Utenti PayPal; collaborare con il Global Privacy Team di PayPal per controllare e monitorare la compliance con le normative sulla privacy e con le relative policy delle Societàmembri del Gruppo; offrire
consulenza legale alle Societàmembri del Gruppo, ove richiesto, per quanto riguarda la valutazione dell'impatto del GDPR e la sua implementazione.
2. Principi per il Trattamento dei Dati personali degli Utenti
Le Societàmembri del Gruppo devono osservare i seguenti principi per quanto riguarda il trattamento dei Dati personali degli Utenti.
2.1 Ambito di applicazione ed esclusioni
I Dati personali degli Utenti possono essere Trattati solo ed esclusivamente per motivi specifici, espliciti e legittimi. In particolare, i Dati personali degli Utenti possono essere trattati per:
- Offrire e agevolare la fornitura dei Servizi richiesti dagli Utenti, inclusa la creazione di un conto;
- Migliorare i Servizi e svilupparne dei nuovi;
- Appianare contrasti, gestire controversie, risolvere problemi e fornire assistenza ai clienti;
- Occuparsi della gestione del rischio (Risk Management);
- Elaborare transazioni e riscuotere le tariffe dovute;
- Verificare la solvibilitàe la situazione creditizia;
- Misurare l'interesse degli Utenti in merito ai Servizi offerti e raccoglierne i feedback e i pareri, informare gli Utenti relativamente alle offerte online e offline, ai Servizi offerti e agli aggiornamenti;
- Creare un'esperienza personalizzata per gli Utenti;
- Rilevare e prevenire errori, frodi e altre attivitàcriminali;
- Garantire l'ottemperanza agli obblighi legali, contrattuali o normativi del Gruppo PayPal;
- Fare osservare i termini e le condizioni del servizio, salvo disposizioni contrarie, rese note agli Utenti al momento dell'acquisizione dei dati e nell'informativa sulla privacy;
- Proteggere la sicurezza, garantire l'integrità e la disponibilitàdei Servizi e del network del Gruppo PayPal; e
- Tutelare legalmente gli interessi del Gruppo PayPal, incluso, a titolo di esempio, usandoli per la costituzione in giudizio, per l'esercizio di azioni legali o per preparare una difesa legale.
Il Trattamento dei Dati personali degli Utenti per altri scopi diversi da quelli precedentemente elencati saràsoggetto all'approvazione del Global Privacy Legal Team di PayPal. In caso di dubbi, le Societàmembri del Gruppo dovranno consultare il Global Privacy Legal Team di PayPal.
I Dati personali degli Utenti non potranno essere Trattati in modi non compatibili con le finalitàsopra indicate, a meno che non esista un fondamento giuridico che l o giustifichi, nell'ambito della giurisdizione locale di riferimento nello Spazio economico europeo della Societàmembro del Gruppo addetto alla raccolta e/o al trasferimento dei Dati personali.
2.2 Qualitàe proporzionalitàdei dati
I Dati personali degli Utenti devono essere:
• Precisi e, ove necessario, mantenuti aggiornati;
• Adeguati, rilevanti e non in eccesso in relazione agli scopi per i quali vengono Trattati; e
• Conservati non più del necessario per raggiungere gli scopi per cui sono stati originalmente raccolti o per essere ulteriormente Trattati.
I Dati personali degli Utenti che non sono più necessari per gli scopi per i quali sono stati Trattati devono essere cancellati, eliminati, distrutti o resi anonimi, a meno che non esista un fondamento legale per continuare con il loro trattamento o che la conservazione degli stessi non sia richiesta dalla legge applicabile.
2.3 Fondamenti giuridici per il Trattamento
Le Societàmembri del Gruppo devono garantire che i Dati personali degli Utenti vengano trattati in forma equa e legale e in particolare basandosi su almeno uno dei seguenti fondamenti giuridici:
• Consenso inequivocabile dell'Utente;
• Il Trattamento èindispensabile per l'esecuzione di un contratto di cui l'Utente è parte integrante o, su richiesta dell'Utente per adottare misure preventive alla stipula di un contratto:
• Il Trattamento ènecessario per soddisfare un obbligo legale al quale le Società membri del Gruppo sono soggette;
• Il Trattamento ènecessario per proteggere gli interessi fondamentali dell'Utente;
• Il Trattamento ènecessario per l'espletamento di una funzione di interesse pubblico o connessa all'esercizio di pubblici poteri, da parte di una Società membro del Gruppo o da una Terza parte a cui vengono forniti i dati; o
• Il Trattamento ènecessario per tutelare gli interessi legittimi della Società membro del Gruppo, della Terza parte o di terzi ai quali i dati vengono comunicati, ad eccezione dei casi in cui su tali interessi non prevalgano quelli costituiti dai diritti fondamentali e delle libertàdegli Utenti.
Come regola generale, le Societàmembri del Gruppo non raccolgono Dati personali sensibili. Qualora questi dati siano obbligatori o nel caso in cui vengano forniti volontariamente dagli Utenti, le Societàmem bri del Gruppo devono garantire che vengano Trattati solo ed esclusivamente sulla base di almeno uno dei seguenti fondamenti:
• Consenso esplicito dell'Utente;
• Il Trattamento ènecessario per tutelare gli interessi fondamentali dell'Utente o di un'altra persona nei casi in cui l'Utente sia fisicamente o giuridicamente impossibilitato a fornire il proprio consenso;
• Il Trattamento si riferisce a Dati personali resi palesemente pubblici dall'Utente; o
• Il Trattamento ènecessario per la costituzione in giudizio, per l'esercizio di azioni legali o per preparare una difesa legale.
Quando il Trattamento comporta un processo decisionale automatico ("decisione automatica"), le Societàmembri del Gruppo devono fornire misure appropriate per salvaguardare i legittimi interessi dell'Utente, come ad esempio, offrire allo stesso la possibilitàdi fare controllare in forma individuale da parte di un addetto all'assistenza clienti la singola decisione, per potersi fare una propria idea in merito. L'operatore dell'Assistenza clienti deve seguire le procedure di escalation e passare la pratica all'istanza superiore, rappresentata dal Responsabile Europeo della Protezione dei Dati, qualora l'Utente continui a essere in disaccordo con una risposta automatica. Se opportuno, si provvederàa consultare in merito il Responsabile Legale per la Privacy e a informare il Responsabile Compliance Privacy.
2.4 Trasparenza
Al momento di raccogliere i Dati personali, le Societàmembri del Gruppo devono informare gli Utenti in merito a:
• Il nome e l'indirizzo della Societàmembro del Gruppo responsabile alla raccolta e al Trattamento degli stessi;
• Le relative categorie di Dati personali;
• Gli scopi del Trattamento;
• Le categorie degli Incaricati del Trattamento destinatari e delle Terze parti a cui i Dati personali degli Utenti vengono comunicati;
• Se sia obbligatorio rispondere alle domande o meno, nonchéle possibili conseguenze nel caso di non voler fornire una risposta;
• I diritti dell'Utente; e
• In caso di un processo di decisione automatica, il tipo di logica decisionale applicata.
Le Societàmembri del Gruppo forniranno le informazioni relative all'informativa sulla privacy usando un apposito link o mettendo queste in evidenza in una posizione prominente all'interno delle pagine internet del servizio o sull'applicazione in oggetto e durante il processo di registrazione. Non saràobbligatorio informare gli Utenti se questi sono giàa conoscenza delle informazioni.
Qualora fornire le informazioni risulti impossibile o comporti uno sforzo sproporzionato, le Societàmembri del Gruppo potranno esservi esentate. Questo solo nei casi in cui i Dati personali non siano stati ottenuti direttamente dagli Utenti.
In circostanze eccezionali, la comunicazione di informazioni specifiche può essere posticipata od omessa, ad esempio, nell'ambito di indagini relative a un comportamento illecito o per rispettare eventuali leggi e quando queste informazioni possono compromettere l'integrità dell'indagine.
2.5 Riservatezza e sicurezza
Le Societàmembri del Gruppo useranno controlli di sicurezza di tipo fisico, tecnologico e organizzativo, commisurati alla quantitàe al grado di sensibilitàdei Dati personali degli Utenti, per scongiurare un Trattamento non autorizzato degli stessi, come, per esempio, l'accesso non autorizzato, la loro raccolta e il loro impiego, lo smarrimento, la distruzione, e il loro danneggiamento. Le Societàmembri del Gruppo useranno sistemi di crittografia, firewall, controlli di accesso, standard e altre procedure di sicurezza per proteggere i dati Utente da accessi non autorizzati. L'accesso fisico o logico ai file elettronici e fisici dipenderàdalle responsabilitàlegate alla mansione e dalle esigenze aziendali.
2.6 Scelte e diritti degli Utenti
Gli Utenti hanno la possibilitàdi accedere e correggere o modificare la maggior parte dei Dati personali che li riguardano, in possesso delle Societàmembri del Gruppo, usando gli strumenti self-service online disponibili sulla pagina web del Servizio o sulla relativa applicazione.
In ogni caso, gli Utenti hanno il diritto di inviare una richiesta di accesso ai propri Dati personali, per vedere o ricevere una copia dei dati non accessibili tramite la pagina web del Servizio o la relativa applicazione. Gli Utenti possono contattare l'Assistenza clienti usando le indicazioni fornite sulla pagina Internet del Servizio o sulla relativa applicazione. Le Societàmembri del Gruppo dovranno fare fronte alle richieste nei termini previsti dalla legge applicabile, salvo per quanto riguarda le eccezioni
previste. Agli Utenti potrebbe essere chiesto di fornire una prova relativa alla propria
identitàe potrebbero essere soggetti al pagamento di una tariffa di manutenzione, negli ambiti consentiti dalla legge applicabile.
Gli Utenti possono richiedere inoltre la correzione o la modifica dei propri dati se questi sono incompleti o inesatti. Le Societàmembri del Gruppo dovranno esaudire tale richiesta e provvederanno a informare gli Utenti in merito non appena ciò avvenga. Le Societàmembri del Gruppo provvederanno a inviare una notifica alle Terze parti alle quali sono stati comunicati i dati, relativamente a qualsiasi tipo di modifica, a meno che ciò non risulti impossibile o comporti uno sforzo sproporzionato.
Per motivi legali stringenti, gli utenti possono opporsi al trattamento dei loro dati personali. I membri del gruppo PayPal ottempereranno a tali richieste, a meno che la conservazione dei dati personali in questione non sia richiesta dalla legge applicabile o serva a difendere il gruppo PayPal in caso di reclami legali. Gli utenti saranno informati sull'esito della richiesta e sulle misure adottate dai membri del gruppo PayPal.
Gli Utenti possono inoltre richiedere la chiusura del proprio conto, seguendo le istruzioni fornite tramite la pagina Internet del Servizio o la relativa applicazione. Le Società membri del Gruppo provvederanno a rimuovere o rendere anonimi i dati dell'Utente relativi a un servizio non appena ciò sia ragionevolmente possibile, in base alla cronologia e all'attivitàdel conto. In alcuni casi, le Societàmembri del Gruppo potrebbero ritardare la chiusura di un conto o conservare i Dati personali degli Utenti per effettuare delle indagini o se richiesto dalla legge applicabile. Le Societàmembri del Gruppo potrebbero anche trattenere i dati di Utenti i cui conti siano giàstati chiusi per rilevare e prevenire eventuali frodi, riscuotere eventuali tariffe dovute, risolvere controversie e problemi, collaborare a eventuali indagini, gestire i rischi, applicare i termini e le condizioni del servizio, rispettare requisiti legali o normativi e intraprendere qualsiasi tipo di azione ulteriore, consentita dalla legge applicabile. I dati saranno conservati in forma tale da consentire l'identificazione dei soggetti interessati per un periodo non superiore a quello previsto dagli scopi per cui gli stessi sono stati raccolti o sono stati successivamente trattati e verranno cancellati una volta venuto meno il motivo per la loro conservazione.
Fatta eccezione per gli Utenti che hanno scelto di non ricevere determinate comunicazioni, le Societàmembri del Gruppo potranno usare i Dati personali degli Utenti per comunicazioni mirate, sulla base degli interessi di questi ultimi, in base alle leggi applicabili. Gli Utenti che non desiderino ricevere comunicazioni di marketing del Gruppo PayPal potranno facilmente opporsi a ricevere ulteriori pubblicità, ad esempio, modificando il profilo e le impostazioni o seguendo le indicazioni fornite tramite email o da un link all'interno della comunicazione ricevuta.
Gli Utenti possono esercitare i diritti sopra citati contattando l'Assistenza clienti. Qualora l'identitàdi un Utente sia difficile da verificare, le Societàmembri del Gruppo potranno richiedere all'Utente di fornire un'ulteriore identificazione.
2.7 Divulgazione e comunicazione dei Dati personali
Le Societàmembri del Gruppo possono condividere i dati personali degli utenti nell'ambito dello svolgimento normale e quotidiano delle attivitàaziendali con altre Societàmembri del Gruppo , in tutto il mondo, per le finalitàindicate nella Sezione 2.1.
In base alle leggi applicabili, ai trattati o alle convenzioni internazionali, le Società membri del Gruppo potranno condividere i Dati personali con le forze dell'ordine e le autoritàdi con trollo quando in un regime democratico ciò sia reso necessario per motivi di sicurezza nazionale, per tutelare la difesa, la pubblica sicurezza, la prevenzione, l'indagine, il rilevamento e la persecuzione di delitti, in particolare, per rispettare normative e le sanzioni previste per i metodi di pagamento internazionali e/o nazionali, far fronte alle richieste della Guardia di Finanza o per fornire resoconti obbligatori per prevenire il lavaggio e il riciclaggio del denaro.
Le Societàmembri del Gruppo non potranno vendere o cedere i Dati personali degli Utenti a Terze parti per scopi di marketing senza aver ricevuto il previo consenso esplicito e univoco. Le Societàmembri del Gruppo possono divulgare i dati dell'Utente a Terze parti in base alle disposizioni dell'Utente o nei limiti del consenso da questo fornito (laddove consentito dalla legge applicabile).
Quando i Dati personali degli Utenti vengono trasferiti agli Incaricati del loro Trattamento, questi ultimi dovranno sottostare a un processo preventivo di valutazione del rischio relativo alla privacy, alla protezione dei dati e alla sicurezza dell'informazione, prima di qualsiasi trasferimento. L'ambito della valutazione dipenderàdal tipo di Dati personali trattati e dal loro grado di sensibilità. G li Incaricati del Trattamento, inclusa una Societàmembro del Gruppo qualora questa partecipi al processo di Trattamento, dovranno sottoscrivere un accordo con le Societàmembri del Gruppo pertinenti, relativamente a misure adeguate per la protezione della privacy dei dati e delle informazioni. Questo contratto dovràincludere delle clausole atte a garantire l'uso appropriato dei Dati personali degli Utenti e delle misure di sicurezza commisurate alla quantità, alla natura e al grado di sensibilitàdei Dati personali degli Utenti in oggetto. I requisiti minimi che le garanzie contrattuali dovranno contemplare sono i seguenti:
• Dovranno essere rispettate le leggi vigenti e si dovranno Trattare i Dati personali degli Utenti solo in conformitàalle condizioni d el contratto e unicamente sulla base delle istruzioni delle Societàmembri del Gruppo interessate;
• Dovranno essere adottate delle misure tecniche e di tipo organizzativo funzionali al grado di sensibilitàdei Dati personali degli Utenti e al Trattamento contemplato;
• Si avràdiritto di controllare che l'Incaricato del Trattamento dei dati rispetti le garanzie contrattuali;
• Obblighi di notifica relativi a violazioni della sicurezza; e
• Disposizioni relative al rimborso di eventuali danni in caso di mancato rispetto degli obblighi legali o contrattuali da parte dell'Incaricato del Trattamento dei dati.
I contratti devono contenere tra le misure di tutela previste, delle disposizioni che garantiscano che l'eventuale mancato rispetto dei termini contrattuali possa determinare la sospensione o cessazione del contratto stesso.
Non sarànecessario che l'Incaricato del Trattamento dei dati si sottoponga nuovamente al processo di valutazione del rischio relativo alla privacy, alla protezione dei dati e alla sicurezza dell'informazione se lo ha giàfatto in precedenza, a meno che i dati Trattati siano da considerarsi ad alto rischio, per la loro natura e quantitàe per il tipo di Trattamento in questione.
Ciò nonostante, qualora le Societàmembri del Gruppo trasferiscano Dati personali di Utenti residenti nello Spazio economico europeo (SEE) a Terze parti o a Incaricati del Trattamento dei dati che non siano Societàmembri del Gruppo: (i) residenti in Paesi che non forniscono un livello adeguato di protezione (ai sensi della direttiva 95/46/CE), (ii) non coperti da Regole aziendali approvate e vincolanti, o (iii) che non siano in possesso di altri documenti che soddisfino i requisiti adeguatezza dell'UE, le Societàmembri del Gruppo dovranno garantire:
• Che le Terze parti applichino dei controlli contrattuali adeguati, come le clausole contrattuali modello approvate dalla Commissione europea, per garantire dei livelli di protezione commisurati a queste Regole aziendali riguardanti gli Utenti PayPal o, in alternativa, assicurino che il trasferimento (i) avvenga con il consenso univoco e dell'Utente, (ii) che sia necessario per concludere o eseguire un contratto in essere con l'Utente, (iii) sia necessario o obbligatorio per legge, per motivi di interesse pubblico o (iv) sia necessario per salvaguardare gli interessi fondamentali dell'Utente;
• Che gli Incaricati del Trattamento dei dati implementino un sistema di controlli adeguati, come ad esempio le clausole contrattuali modello approvate dalla Commissione Europea, per garantire dei livelli di protezione commisurati a queste Regole aziendali riguardanti gli Utenti PayPal.
3. Meccanismo di gestione reclami
Se un Utente dovesse ritenere che i suoi i Dati personali sono stati trattati in violazione alle Regole aziendali riguardanti gli Utenti PayPal, potràsegnalare il problema all'assistenza clienti della Societàmembro del Gruppo tramite la relativa pagina Internet, un'email, o come altrimenti indicato, nei termini e nelle condizioni applicabili. Gli Utenti, in genere possono trovare le risposte alle domande sulla privacy e relative ai problemi più comuni digitando la parola "privacy" nella sezione aiuto del servizio pertinente, che solitamente li condurràa una pagina o policy specifica relativa alla privacy. La sezione "aiuto" del servizio può essere usata dagli Utenti per qualsiasi domanda relativa alla privacy o al Trattamento dei Dati personali e offre la possibilitàdi contattare l'assistenza clienti.
L'Assistenza clienti cercherà, dopo avere svolto le indagini del caso, di risolvere i problemi e di diramare i dubbi sollevati dagli Utenti. I Dipendenti responsabili per l'indirizzamento delle questioni relative alla privacy lavorano a stretto contatto con il Global Privacy Team di PayPal e rispondono agli Utenti in base alle regole, alle procedure e alle indicazioni di PayPal. Se un Utente ritiene che il problema sollevato non sia stato affrontato adeguatamente o in mancanza di una risposta, può richiedere di passare la questione a un'istanza superiore rappresentata dal Responsabile Europeo per la Protezione dei Dati. A tal proposito saràconsultato il responsabile legale per la privacy e il Responsabile di Compliance Privacy verràinformato. La procedura di escalation sarà determinata dalla natura e dall'ambito del problema e dovràessere inoltrata al team più appropriato senza indugi. L'Utente deve ricevere una risposta al reclamo entro un periodo di tempo ragionevole e in ogni caso non superiore a un periodo di tre (3) mesi a partire dalla data di richiesta, tranne in circostanze anomale o quando si tratti di richieste complesse. In questo caso l'Utente saràinformato che la risposta potrebbe richiedere più di tre (3) mesi.
Il meccanismo previsto per l'inoltro dei reclami non pregiudica il diritto dell'Utente di presentare un reclamo direttamente alle Autoritàpreposte alla protezione dei dati o ai tribunali competenti.
4. Responsabilità e diritti di terze parti beneficiarie
Gli Utenti che sospettino una violazione delle Regole aziendali riguardanti gli Utenti PayPal commessa al di fuori dello Spazio economico europeo (SEE) hanno il diritto di richiedere l'applicazione delle Regole aziendali riguardanti gli Utenti PayPal in qualitàdi terze parti beneficiarie, in base alle sezioni 2, 3, 4, 7 e 8, presso il foro legale della Capogruppo o della Societàmembro del Gruppo che agisce in qualitàdi
esportatore. L'applicazione di questi diritti può essere esercitata in combinazione con altre soluzioni o diritti forniti da PayPal o disponibili in base alle leggi vigenti.
Se non strettamente necessario, gli Utenti dello Spazio economico europeo vengono incoraggiati a segnalare il problema direttamente alle Societàmembri del Gruppo prima di rivolgersi alle Autoritàpreposte alla protezione dei dati o al tribunale. Ciò consente una risposta rapida ed efficiente del Gruppo PayPal ed evita i tempi lunghi tipicamente richiesti dalle procedure presentate alle Autoritàpreposte alla protezione dei dati o ai tribunali.
PayPal Europe S.à r.l. et Cie, S.C.A., una societàdi capitali a respo nsabilitàlimitata con sede in Lussemburgo si accolla la responsabilitàrelativa alle Societàmembri del Gruppo ed èd'accordo a fare in modo che le stesse agiscano in conformitàalle Regole aziendali riguardanti gli utenti PayPal. La Capogruppo si impegna ad (i) adottare le misure
necessarie per risolvere una violazione commessa da Societàmembri del Gruppo fuori dallo Spazio economico europeo; e (ii) a risarcire gli Utenti dello Spazio economico europeo qualora il Garante per la protezione dei dati o i tribunali del Lussemburgo abbiano determinato eventuali danni derivanti direttamente dalla violazione delle Regole aziendali riguardanti gli Utenti PayPal da parte di Societàmembri del Gruppo al di fuori dello Spazio economico europeo e le stesse non siano in grado o disposte a effettuare il rimborso o a rispettare la sentenza.
La Capogruppo accetta e riconosce la responsabilitàrelativa all'onere di presentare eventuali prove per quanto riguarda una presunta violazione delle Regole aziendali riguardanti gli Utenti PayPal.
La Capogruppo (o qualsiasi altra Societàmembro del Gruppo) non saràresponsabile se si potràdimostrare, sulla base dei dati disponibili, tenendo in considerazione i commenti dell'Utente, che la Societàmembro del Gruppo non appartenente allo Spazio economico europeo non abbia violato le Regole aziendali riguardanti gli Utenti PayPal o che sia estranea a qualsiasi tipo di danno lamentato dall'Utente.
5. Formazione
Le Societàmembri del Gruppo dovranno garantire che tutti i Dipendenti che hanno a che fare con il Trattamento dei Dati personali degli Utenti, nonchéquelli coinvolti nella progettazione di strumenti dedicati alla loro raccolta o Trattamento, vengano sensibilizzati in merito alla privacy e alle informazioni di sicurezza, con una formazione che serva a far loro comprendere la necessitàdi proteggere e mettere in sicurezza i Dati personali degli Utenti, in conformitàcon le Regole aziendali riguardanti gli Utenti PayPal.
I Dipendenti dovranno completare un percorso di formazione online sulla compliance, offerto su base annua, incentrato sul Codice di condotta ed etica aziendale e che includa una sezione dedicata alla protezione dei dati. I nuovi Dipendenti dovranno completare il percorso di formazione online sulla compliance prima di iniziare a lavorare nel Gruppo.
Oltre a questo percorso di formazione online sulla compliance, il Global Privacy Team di PayPal insieme al Responsabile Europeo per la Protezione dei Dati offriranno un percorso di formazione per sensibilizzare e informare i dipendenti sulla necessitàdi proteggere e di mettere in sicurezza i Dati personali. Questa formazione verràofferta su base annua o a scadenze più brevi qualora le circostanze lo richiedano.
La formazione offerta ai Dipendenti dovràe ssere direttamente proporzionale ai livelli di accesso che questi hanno relativamente ai Dati personali degli Utenti: i Dipendenti in possesso di livelli di accesso più elevati dovranno ricevere una maggior formazione.
Le Societàmembri del Gruppo devono informare i Dipendenti che il mancato rispetto di queste Regole aziendali riguardanti gli Utenti PayPal potràdeterminare azioni disciplinari, oltre ad altre azioni previste dalla legge. Una copia di queste Regole aziendali riguardanti gli Utenti PayPal e altre regole e procedure relative alla privacy e alla sicurezza sono disponibili e possono essere consultate dai Dipendenti, in qualsiasi momento, tramite l'Intranet dell'azienda. Le Regole aziendali riguardanti gli Utenti PayPal sono inoltre contenute nel Codice di condotta ed etica aziendale che tutti i Dipendenti devono aver letto e accettato.
6. Auditing e monitoraggio
Per assicurare la compliance con le Regole aziendali riguardanti gli Utenti PayPal, il Global Privacy Compliance Team di PayPal riesamina e controlla in modo continuativo le attivitàe le procedure relative al trattamento dei Dati personali. Queste attivitàdi controllo e verifica sono coordinate in stretta collaborazione con il Responsabile Europeo per la Protezione dei Dati.
Il team Internal Audit èindipendente e funge da consulente obiettivo per la dirigenza e il consiglio di amministrazione, al quale comunica eventuali problemi rilevati tramite l'Audit Committee. Anche il Responsabile per la privacy e il Responsabile Europeo per la Protezione dei Dati dono destinatari di questo tipo di informazioni.
Il team Internal Audit può eseguire a intervalli costanti una revisione e un controllo delle attivitào procedure identificate dal Global Privacy Team. Il team Internal Audit, il responsabile per la privacy e il Responsabile Europeo per la Protezione dei Dati, se necessario, possono prescrivere la messa in pratica di questo piano di azione per garantire la conformitàcon le regole e normative aziendali. Nella misura in cui i gruppi inter ni non riescano a risolvere adeguatamente i problemi, il Gruppo potrànominare dei revisori esterni per trovare una soluzione.
Il Responsabile Europeo per la Protezione dei Dati, il Global Privacy Compliance Team di PayPal o i team di internal audit e i revisori esterni sono responsabili di redarre, in forma dettagliata, i piani di controllo e di pianificazione, relativamente ai rischi presenti durante il Trattamento dei dati.
I problemi rilevati dall'auditing relativo alla privacy saranno messi a disposizione delle autoritàcompetenti. PayPal si riserva il diritto di compilare alcune parti del resoconto di auditing per garantire la riservatezza dei proprietari o di altri dati aziendali riservati.
7. Rapporto tra le Regole aziendali riguardanti gli Utenti PayPal e le leggi nazionali
Con l'esistenza a livello mondiale di requisiti legali eterogenei relativi alla protezione dei dati, le Regole aziendali riguardanti gli Utenti PayPal stabiliscono un insieme coerente dei requisiti atti a garantire un trattamento appropriato dei Dati personali degli Utenti.
Anche se le Regole aziendali riguardanti gli Utenti PayPal costituiscono un requisito di base che deve essere rispettato dalle Societàmembri del Gruppo, queste dovranno attenersi alle eventuali leggi applicabili, qualora queste impongano degli standard più severi.
Il contenuto dalle presenti Regole aziendali riguardanti gli Utenti PayPal non riduce gli obblighi delle Societàmembri del Gruppo per quanto riguarda le leggi bancarie applicabili, in particolare in relazione al segreto bancario. Se le leggi applicabili dovessero entrare in conflitto con le Regole aziendali riguardanti gli Utenti PayPal impedendo a una Societàmembro del Gruppo di ottemperare agli obblighi in esse contenuti, influenzando in tal maniera in forma sostanziale le garanzie in esse contemplate, la Societàmembro del Gruppo dovràprovvedere senza indugi a inviare una notifica al Responsabile Europeo per la Protezione dei Dati, ad eccezione di quando ciò sia esplicitamente vietato dalla legge o da un'autoritàesecutiva. Il Responsabile Europeo per la Protezione dei Dati, il responsabile per la privacy e la Capogruppo dovranno decidere in merito alle azioni da intraprendere e, in caso di dubbi, dovranno consultare l'Autoritàcompetente pr eposta alla protezione dei dati.
8. Assistenza e cooperazione nei rapporti con le Autorità preposte alla protezione dei dati
Le Societàmembri del Gruppo dovranno collaborare e aiutarsi reciprocamente per gestire le richieste o i reclami degli Utenti per quanto riguarda le Regole aziendali riguardanti gli Utenti PayPal.
Le Societàmembri del Gruppo dovranno rispondere in maniera diligente e appropriata alle richieste ricevute dalle Autoritàpreposte alla protezione dei dati relative alle Regole aziendali riguardanti gli Utenti PayPal. Al ricevere una richiesta di questo tipo da parte di un'Autoritàpreposta alla protezione dei dati, il dipendente dovràinformare senza indugi il Responsabile Europeo per la Protezione dei Dati.
Le Societàmembr i del Gruppo dovranno cooperare e rispondere alle richieste di informazioni e accettare le verifiche e gli audit delle Autoritàcompetenti preposte alla protezione dei dati dello Spazio economico europeo, per quanto riguarda la conformità con le Regole aziendali riguardanti gli Utenti, rispettando le decisioni prese, osservando i diritti di legge e le procedure applicabili.
9. Aggiornamenti del contenuto delle Regole aziendali riguardanti gli Utenti PayPal ed elenco dei membri interessati
PayPal si riserva il diritto di modificare le presenti Regole aziendali riguardanti gli Utenti PayPal se necessario, ad esempio, per fare fronte a eventuali modifiche delle leggi in vigore, per rispettare regole, normative, pratiche PayPal, procedure e strutture organizzative o requisiti imposti dai garanti della protezione dei dati.
Il Global Privacy Legal Team di PayPal (dietro la supervisione del responsabile legale per la privacy), proporràle modifiche necessarie relative a queste Regole aziendali riguardanti gli Utenti PayPal. Il Global Privacy Compliance Team di PayPal (dietro la supervisione del responsabile legale per la privacy) e il Responsabile Europeo per la Protezione dei Dati dovranno approvare tutte le modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal e dovranno tenere traccia di tutte le modifiche apportate ad esse e all'elenco delle Societàmembri del Gruppo. Le Societàmembri del Gruppo dovranno comunicare le modifiche delle Regole aziendali riguardanti gli Utenti PayPal alle Autoritàpreposte alla protezione dei dati per un'approvazione formale, come richiesto dalla legge applicabile.
La Capogruppo contatteràil Garante della protezione dei dati per modifiche delle Regole aziendali riguardanti gli Utenti PayPal che possano avere un impatto negativo sulla compliance relativa alla protezione dei dati o che possano compromettere il funzionamento delle Regole stesse. La Capogruppo comunicheràle modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal e all'elenco delle Societàmembri del Gruppo almeno una volta all'anno al Garante della protezione dei dati. Il Global Privacy Team di PayPal collaboreràcon il Responsabile Europeo per la Protezione dei Dati che in modo particolare saràresponsabile di coordinare le rispo ste da indirizzare, senza indugi, per conto di PayPal, ai commenti, alle obiezioni e ai suggerimenti sollevati dal Garante della protezione dei dati, relativamente alle modifiche apportate. Eventuali ulteriori commenti, suggerimenti o obiezioni ricevuti da altre Autoritàpreposte alla protezione dei dati verranno comunicati da parte del Garante della protezione dei dati, che le rappresenterà, al Responsabile Europeo per la Protezione dei Dati.
Eventuali modifiche relative alle Regole aziendali riguardanti gli Utenti PayPal avranno valenza per tutte le Societàmembri del Gruppo alla data di implementazione. Le Società membri del Gruppo avviseranno gli Utenti in merito alle modifiche apportate alle Regole aziendali riguardanti gli Utenti PayPal, rispettando le preferenze di servizio selezionate da questi ultimi, tramite email massiva o tramite la pagina web, pubblicando un avviso chiaro agli Utenti, relativamente alle modifiche delle Regole riguardanti gli Utenti, in anticipo sulla data di entrata in vigore delle stesse. Le Societàmembri del Gruppo dovranno provvedere a pubblicare le nuove Regole aziendali riguardanti gli Utenti PayPal su pagine internet esterne selezionate, o su applicazioni accessibili agli Utenti. I cambiamenti relativi alle Regole aziendali riguardanti gli Utenti PayPal entreranno in vigore con una decorrenza di due mesi dalla notifica delle Societàmembri del Gruppo agli Utenti e dalla loro pubblicazione.
10. Pubblicazione
Le Regole aziendali riguardanti gli Utenti di PayPal saranno pubblicate e un collegamento al documento saràdisponibile sui siti web e nelle app del Servizio. Gli utenti possono richiedere una copia delle suddette regole al Responsabile della protezione dei dati europeo (DPO) presso PayPal (Europe) S.àr.l et Cie, S .C.A., 00-00 Xxxxxxxxx Xxxxx, X-0000 Xxxxxxxxxxx oppure online.
11. Disposizioni finali
Data di entrata in vigore: 25 maggio 2018
Contatto: gli Utenti possono inviare domande o eventuali dubbi in merito a queste Regole aziendali riguardanti gli Utenti PayPal a:
Il Responsabile Europeo per la Protezione dei Dati
PayPal (Europe) S.à r.l et Xxx, X.X.X., 00 -00 Xxxxxxxxx Xxxxx, X-0000 Xxxxxxxxxxx
12. Definizioni
Le Societàmembri del Gruppo dovranno interpretare le Regole aziendali riguardanti gli Utenti PayPal nella maniera più coerente possibile con i concetti base dei principi della Direttiva dell'Unione europea 95/46/CE o di ogni direttiva o regolamento sostitutivo.
Per gli scopi delle presenti Regole aziendali hanno effetto le seguenti definizioni:
Consiglio di amministrazione è il consiglio di amministrazione della Capogruppo.
Autorità preposte alla protezione dei dati sono le autoritàpubbliche responsabili per il monitoraggio e l'effettiva applicazione sul territorio di competenza delle leggi nazionali adottate dagli stati membri dello Spazio economico europeo (SEE), conformemente alla direttiva dell'Unione Europea (95/46/CE) relativa alla protezione dei dati.
SEE sta per Spazio economico europeo che attualmente comprende i membri dell'Unione Europea, l'Islanda, il Liechtenstein e la Norvegia.
Dipendente sta per i dipendenti, lavoratori, tirocinanti e altri membri del personale o dello staff, tra cui i collaboratori esterni o interinali, la forza lavoro a rotazione o gli appaltatori di una Societàmembro del Gruppo, sia che questi lavorino a tempo pieno o parziale e indipendentemente dal tipo di contratto o rapporto.
Responsabile Europeo per la Protezione dei Dati è il dipende nte nominato dalla direzione della Capogruppo alla quale riferisce e che fa parte del Global Privacy Legal
Team di PayPal. Il Responsabile Europeo della Protezione dei Dati ha sede in Lussemburgo.
Società membro del Gruppo sta per una societàdel Gruppo Pa yPal che ha sottoscritto una copia del CIG.
CIG sta per Contratto infragruppo
Garante per la protezione dei dati èla "Commission nationale pour la protection des données" ("CNPD") in Lussemburgo.
Capogruppo indica PayPal (Europe) S.à r.l. & Cie, S.C.A., una societàdi capitali a responsabilitàlimitata del Lussemburgo.
Global Privacy Team di PayPal ècomposto dal G lobal Privacy Compliance Team e dal Global Privacy Legal Team di PayPal.
Global Privacy Compliance Team di PayPal ècomposto dai membri del dipartimento Compliance che si occupano specificamente di temi a questa collegati e del funzionamento del programma sulla privacy di PayPal.
Global Privacy Legal Team di PayPal ècomposto dai membri del dipartimento Legal che si occupano specificamente della privacy e della protezione dei dati.
Gruppo PayPal indica PayPal Holdings, Inc. ("PayPal") e qualsiasi entitàdi rettamente o indirettamente controllata da PayPal che abbia a che fare con il Trattamento dei dati degli Utenti, laddove per Controllo si intende un quota di rappresentanza superiore al cinquanta per cento (50%) per l'elezione dell'amministrazione della società, o una partecipazione societaria superiore al cinquanta per cento (50%).
Dati personali sta per qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona identificabile èuna persona che può essere identificata, direttamente o indirettamente, in particolare grazie a un numero di identificazione o a uno o più fattori specifici relativi all'identitàfisica, fisiologica, mentale, economica, culturale
o sociale di quest'ultima.
Trattamento sta per qualsiasi operazione o gruppo di operazioni eseguite sui Dati personali, in forma più o meno automatica, ad esempio, la raccolta, la registrazione, l'organizzazione, la conservazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la divulgazione e trasmissione, la diffusione o altre modalitàdi distribuzione, l'allineamento o la combinazione, l'aggregazione, la cancellazione o la distruzione.
Incaricato del Trattamento sta per si intende qualsiasi persona fisica o giuridica incaricata da una Societàmemb ro del Gruppo con il Trattamento dei Dati personali.
Dati personali sensibili sono i Dati personali relativi alla razza o etnia, alle opinioni politiche, alla religione o alle credenze filosofiche, all'appartenenza sindacale, dati relativi alla fedina penale o alla salute o alla vita sessuale.
Servizio èuna pagina sito web, un'applicazione, o un altro prodotto o servizio offerto dal Gruppo PayPal agli Utenti.
Terza parte indica qualsiasi persona fisica o giuridica, autoritàpubblica, agenzia o qualsiasi altro ente che oltre all'Utente, alle Societàmembri del Gruppo, all'Incaricato del Trattamento dei dati e alle persone fisiche che, dietro autorizzazione diretta di una Societàmembro del Gruppo o dell'Incaricato del Trattamento dei dati, come ad esempio i Dipendenti, sia autorizzata a Trattare i Dati personali.
Utente indica i clienti, gli ex clienti, i clienti potenziali, gli investitori, i partner commerciali e i commercianti.
Dati personali dell'Utente sono i Dati personali relativi agli Utenti.