logo

Andmetöötlusleping

Kehtivad alates: 25. juuli 2023

VAHEKOHTUTEADE: TE OLETE KOHUSTATUD JÄRGIMA VAHEKOHTU SÄTET, MIS ON SÄTESTATUD LEPINGU ÄRITEENUSTE TINGIMUSTES. KUI TE SÕLMITE LEPINGU SNAP INC.-IGA, SIIS TEIE JA SNAP INC. LOOBUTE MIS TAHES ÕIGUSEST OSALEDA KOLLEKTIIVSES HAGIS VÕI KOGU KLASSI HÕLMAVAS VAHEKOHTUMENETLUSES.

Sissejuhatus

Käesolev andmetöötlusleping ("Leping") moodustab õiguslikult siduva lepingu teie ja Snapi vahel, seda kohaldatakse ulatuses, milles Snap töötleb teie nimel kliendi isikuandmeid, kui te olete Andmetöötleja, ning see on lisatud äriteenuste tingimustesse. Mõned käesolevas Lepingus kasutatud mõisted on määratletud äriteenuste tingimustes.

Kokkuvõttes: käesolevat Lepingut kohaldatakse juhul, kui Snap töötleb teie klientide isikuandmeid, kui te olete andmetöötleja ja Snap on andmete volitatud töötleja.

1. Definitsioonid

"Kliendi isikuandmed" - EMP, Šveitsi, Ühendkuningriigi ja Brasiilia andmesubjektide isikuandmed, mis on Snapile esitatud teie poolt või teie nimel, kui te olete Andmetöötleja.

"Andmetöötleja" - vastutav töötleja, nagu on määratletud GDPR-is, UK GDPR-is või LGPD-s, kes üksi või koos teistega määrab kindlaks kliendi isikuandmete töötlemise eesmärgid ja vahendid.

"Andmekaitseseadus" - EMP, Šveitsi, Ühendkuningriigi ja Brasiilia andmekaitseseadused, mida kohaldatakse kliendi isikuandmete töötlemise suhtes käesoleva Lepingu alusel, sealhulgas GDPR, Ühendkuningriigi andmekaitseseadused ja LGPD.

"EMP" - Euroopa Majanduspiirkond.

"GDPR" - Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ja selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ.

"LGPD" - Brasiilia üldine andmekaitseseadus (Lei Geral de Proteção de Dados Pessoais).

"Isikuandmetega seotud rikkumine" - juhuslik või ebaseaduslik hävitamine, kadumine, muutmine, omavoliline avaldamine või juurdepääs Snapi hallatavates või kontrollitavates süsteemides olevatele Kliendi isikuandmetele.

"Alltöötlejad" - kolmandad isikud, kellel on käesoleva Lepingu alusel õigus pääseda ligi ja töödelda Kliendi isikuandmeid, et osasid äriteenuseid osutada.

"UK" - Ühendkuningriik.

"Ühendkuningriigi andmekaitseseadused" - GDPR, nagu see moodustab osa Inglismaa ja Walesi, Šotimaa ja Põhja-Iirimaa õigusest Euroopa Liidu (väljaastumise) seaduse 2018. aasta paragrahvi 3 alusel Ühendkuningriigis ("Ühendkuningriigi GDPR") ja 2018. aasta andmekaitseseaduse alusel.

Mõisted "isikuandmed", "andmesubjekt", "töötlemine", "vastutav töötleja", "volitatud töötleja", "esindaja" ja "järelevalveasutus", nagu neid käesolevas Lepingus kasutatakse, on määratletud GDPRis, UK GDPRis või LGPDs, olenemata sellest, kas kohaldatakse Andmekaitseseadust.

2. Klientide isikuandmete töötlemine

a. Osapoolte rollid. Snap töötleb kliendi isikuandmeid andmetöötleja nimel ja juhiste kohaselt vastavalt GDPR artikli 28 lõikele 1, Ühendkuningriigi GDPR-le ja LGPD-le.

b. Nimetamine. Andmetöötleja volitab Snapi töötlema kliendi isikuandmeid andmetöötleja nimel ainult niivõrd, kuivõrd see on vajalik äriteenuste osutamiseks ja nagu osapooled võivad hiljem kirjalikult kokku leppida.

c. Töötlemise seaduslikkus. Andmetöötleja vastutab kliendi isikuandmete töötlemise kehtiva õigusliku aluse tagamise eest.

d. Töötlemise üksikasjad. Töötlemise sisu ja üksikasjad on kirjeldatud käesoleva Lepingu Lisas 1.

e. Seaduse järgimine. Mõlemad pooled nõustuvad, et nad täidavad andmekaitseseadusest tulenevaid kohustusi, mis on seotud kliendi isikuandmete töötlemisega käesoleva Lepingu alusel või seoses käesoleva Lepinguga. Ilma et see piiraks eeltoodut, ei töötle Snap kliendi isikuandmeid viisil, mille tulemusel Andmetöötleja rikub või tõenäoliselt rikub oma andmekaitseseadusest tulenevaid kohustusi. Snap teavitab viivitamata andmetöötlejat, kui Snap on arvamusel, et andmetöötleja korraldus rikub andmekaitseseadust.

Kokkuvõttes: volitate Snapi töötlema klientide isikuandmeid teie nimel. Te vastutate jätkuvalt isikuandmete töötlemise kehtiva õigusliku aluse kehtestamise eest. Nii teie kui ka Snap nõustute järgima kõiki andmekaitseseadusi.

3. Snapi kohustused

a. Kliendi isikuandmete töötlemine. Snap töötleb kliendi isikuandmeid ainult kooskõlas äriteenuste tingimuste ja käesoleva Lepinguga ning ei kasuta ega töötle kliendi isikuandmeid muul eesmärgil kui Andmetöötleja määratud volitatud töötlejana.

b. Andmete turvalisus. Vastavalt GDPRi artiklile 32, Ühendkuningriigi GDPRile ja LGPD-le (vastavalt vajadusele) ning nagu on kirjeldatud käesoleva Lepingu loendis 2, rakendab ja säilitab Snap kõik asjakohased tehnilised, haldus- ja korralduslikud meetmed, mis on vajalikud selleks, et: (i) tagada konfidentsiaalsuse ja turvalisuse tase, mis vastab töötlemisest tulenevatele riskidele ja kliendi isikuandmete laadile, ning ii) vältida kliendi isikuandmete volitamata või ebaseaduslikku töötlemist, juhuslikku kadumist, avalikustamist, hävitamist või kahjustamist.

c. Mitteavaldamine. Snap ei avalda, avalikusta ega tee teatavaks (ja tagab, et tema töötajad ei avalda, avalikusta ega tee teatavaks) kliendi isikuandmeid kolmandatele isikutele, välja arvatud juhul, kui Andmetöötleja on andnud eelneva kirjaliku nõusoleku.

d. Konfidentsiaalsus. Snap tagab, et juurdepääs Kliendi isikuandmetele on ainult nendel töötajatel, kes võivad olla kohustatud aitama täita Snapi kohustusi vastavalt äriteenuste tingimustele või käesolevale Lepingule, ning et sellised töötajad on seotud asjakohaste konfidentsiaalsuskohustustega, ning võtavad kasutusele kõik mõistlikud meetmed vastavalt parimatele tööstusharu tavadele, et tagada Kliendi isikuandmete konfidentsiaalsus.

e. Koostöö. Snap võimaldab andmetöötlejale mõistlikku koostööd ja abi, mida andmetöötleja võib mõistlikult nõuda, et võimaldada andmetöötlejal täita oma kohustusi vastavalt GDPRi artiklitele 32-36, Ühendkuningriigi GDPRile ja LGPD-le, sealhulgas seoses andmeturbega, andmetega seotud rikkumisest teavitamine, andmekaitsealane mõjuhinnang, eelnev konsulteerimine järelevalveasutustega, andmesubjektide õiguste täitmine ning järelevalveasutuse poolt läbiviidavad järelepärimised, teated või uurimised, nagu käesolevas Lepingus täpsemalt kirjeldatud.

f. Andmesubjektide ja järelevalveasutuste taotlused. Snap teavitab andmetöötlejat viivitamata ja igal juhul kahe tööpäeva jooksul igast päringust või kaebusest, mille Snap saab andmesubjektilt või järelevalveasutuselt seoses kliendi isikuandmetega. Snap abistab andmetöötlejat niivõrd, kuivõrd see on majanduslikult mõistlik, et täita andmetöötleja kohustust vastata andmesubjektide ja järelevalveasutuste taotlustele vastavalt andmekaitseseadusele.

g. Andmekaitse mõjuhinnang. Taotluse korral annab Snap andmetöötlejale äriliselt mõistlikku teavet ja abi, võttes arvesse töötlemistegevuse laadi ja Snapi käsutuses olevat teavet, et aidata andmetöötlejal viia läbi andmekaitsealase mõjuhinnangu, nagu on nõutud andmekaitseseaduses.

h. Tõendite esitamine. Käesoleva Lepingu kehtivuse ajal ja ühe aasta jooksul pärast seda annab Snap andmetöötleja või andmetöötleja nimel tegutseva rahvusvaheliselt tunnustatud audiitorfirma käsutusse, kogu teabe, mis on mõistlikult vajalik selleks, et tõendada Snapi vastavust käesolevale Lepingule, ning Snap lubab andmetöötleja või tema esindajatele, keda seovad asjakohased konfidentsiaalsuskohustused, läbiviidavaid auditeid ja osaleb neis; kui: (i) andmetöötleja teatab Snapile kirjalikult vähemalt kümme tööpäeva ette; (ii) selline audit viiakse läbi Snapi tavapärasel tööajal ja viisil, mis ei sega põhjendamatult Snapi tavapärast äritegevust; (iii) selline audit ei kesta kauem kui kolm tööpäeva kokku; iv) andmetöötlejal (või kahtluste vältimiseks mis tahes volitatud kolmandast isikust audiitoril) ei ole mingil juhul õigust pääseda ligi Snapi omandi- või konfidentsiaalsele teabele ega saada seda, välja arvatud ulatuses, mis on rangelt vajalik käesoleva Lepingu täitmise tõendamiseks; ja v) Andmetöötleja on kohustatud hüvitama Snapile dokumenteeritud mõistlikud kulud, kui auditi käigus tuvastatakse, et Snap täidab käesolevat Lepingut. Kui auditi käigus leitakse, et Snap ei täida käesolevat Lepingut, on Snap kohustatud kandma kõik sellise auditi mõistlikud kulud.

i. Kliendi isikuandmete tagastamine või hävitamine. Pärast seda, kui Snap on täitnud käesolevast Lepingust tulenevad kohustused seoses kliendi isikuandmete töötlemisega, või andmetöötleja taotlusel mis tahes ajal käesoleva Lepingu kehtivusaja jooksul (ja kui andmetöötleja seda nõuab, siis andmetöötleja määratud korrapäraste ajavahemike järel), Snap kas: (i) tagastab kõik või osa Snapi valduses olevatest kliendi isikuandmetest andmetöötlejale; (ii) muudab kõik või osa kliendi isikuandmetest anonüümseks nii, et andmed ei ole enam isikuandmed; või (iii) kustutab kõik või osa kliendi isikuandmetest lõplikult või muudab need loetamatuks. Andmetöötleja nõudmisel peab Snap esitama andmetöötlejale kirjaliku kinnituse kliendi isikuandmete anonüümseks muutmise, tagastamise ja kustutamise kohta.

j. Räsistatud kliendi isikuandmed. Kui Snap saab kliendi isikuandmeid šifreeritud või muul viisil varjatud kujul, siis Snap: (i) ei püüa pöördprojekteerida või muul viisil püüda uuesti identifitseerida andmetöötleja isikuandmeid, kui andmetöötleja ei anna Snapile selleks korraldust; ja ii) jagab kliendi isikuandmeid ainult sellisel kujul, nagu Snap on need andmetöötlejalt saanud.

Kokkuvõttes: Snap järgib klientide esitatud isikuandmete töötlemisel mitmeid kohustusi, millest mõned on seadusest tulenevad nõuded, nagu eespool kirjeldatud.

4. Isikuandmetega seotud rikkumine

a. Teavitamine. Vastavalt GDPRi artiklile 33, Ühendkuningriigi GDPRile ja LGPD-le, nagu on kohaldatav, teavitab Snap andmetöötlejat põhjendamatu viivituseta ja võimaluse korral mitte rohkem kui 72 tunni jooksul pärast isikuandmetega seotud rikkumisest teadasaamist. Snap esitab andmetöötlejale ka isikuandmetega seotud rikkumise kirjelduse, isikuandmetega seotud rikkumise objektiks olnud andmete liigi, (Snapile teadaolevas ulatuses) mõjutatud andmesubjektide kategooriad ja muu kohaldatava andmekaitseseadusega nõutava teabe niipea, kui sellist teavet on võimalik koguda või kui see muutub muul viisil kättesaadavaks, ning Snap teeb koostööd kõigi mõistlike taotlustega, mille Andmetöötleja on esitanud seoses isikuandmetega seotud rikkumisega.

b. Uurimine. Snap nõustub viivitamatult võtma meetmeid, et uurida isikuandmetega seotud rikkumist, tuvastada, ennetada ja leevendada sellise isikuandmetega seotud rikkumise tagajärgi ning viia vastutava andmetöötleja eelneva nõusoleku korral läbi kõik taastamis- või muud meetmed, mis on vajalikud isikuandmetega seotud rikkumise kõrvaldamiseks.

Kokkuvõttes: andmete rikkumise korral teavitab Snap teid 72 tunni jooksul pärast rikkumisest teadasaamist, annab teile asjakohast teavet ja võtab viivitamatult meetmeid rikkumise uurimiseks ja selle mõju leevendamiseks.

5. Alltöötlejad

a. Volitatud alltöötlejad. Andmetöötleja volitab konkreetselt Snapi sidusettevõtete kaasamist Kliendi isikuandmete töötlemiseks ja Andmetöötleja volitab üldiselt mis tahes muude kolmandate isikute kaasamist alltöötlejatena Kliendi isikuandmete töötlemiseks.

b. Alltöötleja kohustused. Vastavalt GDPR artikli 28 lõikele 4, Ühendkuningriigi GDPR-le ja LGPD-le (vastavalt vajadusele) kehtestab Snap igale alltöötlejale õiguslikult siduvad lepingutingimused, mis on sama piiravad kui käesolevas Lepingus sisalduvad tingimused.

c. Piiratud juurdepääs. Snap tagab, et iga alltöötleja pääseb Kliendi isikuandmetele juurde ja kasutab neid ainult ulatuses, mis on vajalik talle alltöövõtu korras antud kohustuste täitmiseks ja kooskõlas käesoleva Lepinguga.

d. Alltöötlejate ajakohastamine. Vastavalt GDPR artikli 28 lõikele 2 ja Ühendkuningriigi GDPR-le (vastavalt vajadusele) on siin ajakohastatud nimekiri: (i) kõik alltöötlejad, kes on kaasatud kliendi isikuandmete töötlemisse; ii) eesmärgid, milleks alltöötlejad töötlevad kliendi isikuandmeid; ja iii) iga alltöötleja asukoht. Snap teavitab Andmetöötlejat vähemalt 30 päeva enne uue alltöötleja lisamist. 

e. Õigus vastuväiteid esitada. Andmetöötlejal on õigus esitada vastuväiteid uue alltöötleja lisamise kohta, nagu on kirjeldatud käesolevas jaos. Juhul kui Andmetöötleja esitab vastuväiteid kliendi isikuandmete töötlemisele uue määratud alltöövõtja poolt, teavitab ta sellest viivitamatult Snapi, misjärel Snap kas: i) annab alltöövõtjale korralduse lõpetada kliendi isikuandmete edasine töötlemine, mille puhul käesolev Leping jääb muutumatuks, või ii) lubab Andmetöötlejal käesolev Leping viivitamatult lõpetada.

Kokkuvõttes: lisaks sellele, et volitate Snapi tegutsema volitatud töötlejana, volitate ka Snapi tütarettevõtteid töötlema klientide isikuandmeid alltöötlejatena. Snap sõlmib kõigi alltöötlejatega õiguslikult siduva lepingu ja haldab määratud alltöötlejate nimekirja. Teil on õigus esitada vastuväiteid Snapi poolt alltöötleja määramise kohta.

6. Andmete edastamine

a. Kui andmetöötleja asub EMPs, Šveitsis või Ühendkuningriigis ja edastab isikuandmeid ettevõttele Snap Inc., siis teeb andmeedastusleping järgmist:

(i) kohaldub sellisteks edastusteks; 

(ii) on selliste edastuste puhul ülimuslik kõigi muude tingimuste, sealhulgas käesoleva Lepingu tingimuste suhtes;

(iii) moodustab õiguslikult siduva lepingu teie kui andmeeksportija ja Snapi kui andmeimportija või tema nimel tegutseja vahel; ja 

(iv) lisatakse käesolevaga äriteenuste tingimustesse

b. EMP, Šveitsi ja Ühendkuningriigi andmesubjektide isikuandmete puhul lepivad Andmetöötleja ja Snap kokku, et Snap võib töödelda kliendi isikuandmeid väljaspool EMPd, Šveitsi ja Ühendkuningriiki, kui andmekaitseseaduse nõuded (sealhulgas vajaduse korral GDPRi artiklid 44-47) on täidetud või kui kohaldatakse erandit (sealhulgas vajaduse korral GDPRi artiklis 49 loetletud erandeid).

c. Brasiilia andmesubjektide isikuandmete puhul nõustub Andmetöötleja, et Snap võib töödelda kliendi isikuandmeid väljaspool Brasiiliat, ning kinnitab ja tagab, et kliendi isikuandmete edastamine on kooskõlas LGPD-ga.

Kokkuvõttes: kui teie asukoht on EMPs, Šveitsis või Ühendkuningriigis, kohaldatakse andmeedastuslepingut kõigi Snapile edastatavate isikuandmete suhtes. EMPs, Šveitsis ja Ühendkuningriigis asuvate andmesubjektide isikuandmete puhul nõustute teie ja Snap järgima GDPRi sätteid rahvusvahelise andmeedastuse kohta. Mis puutub Brasiilia andmesubjektide isikuandmetesse, siis kinnitate, et Snap töötleb selliseid isikuandmeid väljaspool Brasiiliat vastavalt Brasiilia üldisele andmekaitseseadusele. 

7. Kahjuhüvitis; alltöötleja vastutus

a. Kahjuhüvitis. Snap nõustub vabastama Andmetöötleja kõigist kolmandate osapoolte kaebustest, tasudest, nõuetest, kahjudest, kaotustest, kuludest ja kohustustest, mis tulenevad või on seotud Snapi poolt käesoleva Lepingu rikkumisega.

b. Hüvitusprotsess. Andmetöötleja teavitab Snapi viivitamatult kirjalikult igast hüvitamisnõudest, kuid mis tahes teavitamata jätmine ei vabasta Snapi mis tahes hüvitamisvastutusest või -kohustusest, välja arvatud juhul, kui Snapile tekitab selline teavitamata jätmine olulist kahju. Andmetöötleja teeb Snapiga mõistlikult ja Snapi kulul koostööd seoses mis tahes hüvitusnõude kaitsmise, kompromissi või lahendamisega. Snap ei sõlmi kompromissi ega lepi ühegi nõudega ega tunnista oma vastutust ilma Andmetöötleja eelneva kirjaliku nõusolekuta, mida Andmetöötleja võib anda omal äranägemisel. Andmetöötleja võib (omal kulul) osaleda nõude kaitsmises, kompromissis ja lahendamises koos Andmetöötleja poolt valitud advokaadiga.

c. Alltöötleja vastutus. Snap tunnistab ja nõustub, et ta jääb vastutama Andmetöötleja ees käesoleva Lepingu tingimuste rikkumise eest alltöötleja ja teiste tema poolt määratud kolmanda osapoole alltöövõtjate poolt.

Kokkuvõttes: kui teil tekib seoses Snapi poolt käesoleva Lepingu rikkumisega kolmandatele isikutele kahju, hüvitab Snap selle teile. 

8. Lõpetamine

a. Lõpetamine. Käesolev Leping lõpeb automaatselt äriteenuste tingimuste lõpetamisel.

b. Kehtima jäämine. Snapi kohustused, mis on seotud Kliendi isikuandmete tagastamise või kustutamisega, kehtivad äriteenuste tingimuste ja käesoleva Lepingu lõpetamise järel, kuni Snap on tagastanud või kustutanud Kliendi isikuandmed vastavalt käesolevale lepingule.

Kokkuvõttes: käesolev Leping lõpeb samal ajal, kui lõppevad äriteenuste tingimused, kuid Snap on jätkuvalt kohustatud tagastama või kustutama kliendi isikuandmed. 

9. Konfliktid

Kui käesoleva Lepingu, andmeedastuslepingu, äriteenuste tingimuste, mis tahes kohaldatavate täiendavate tingimuste ja põhimõtete või Snapi teenustingimuste vahel esineb vastuolu või ebajärjepädevus, kehtib järgmine järjekord: andmeedastusleping (kuid ainult selles ulatuses, milles see kehtib punkti 6.a kohaselt), käesolev Leping, täiendavad tingimused ja põhimõtted, äriteenuste tingimused ja Snapi teenustingimused.

Kokkuvõttes: kui Snapi erinevate tingimuste ja põhimõtete sätted satuvad vastuollu, kehtib eespool sätestatud järjekord. 

Loetelu 1: Andmetöötluse üksikasjad
A. Osapoolte nimekiri
Andmeeksportija(d)

Andmeeksportija on käesolevas Lepingus määratletud Andmetöötleja, kelle nimi, aadress ja kontaktandmed on esitatud Snapile äriteenuste kaudu. Tegevused, mis on seotud käesolevate tingimuste alusel edastatavate andmetega, hõlmavad asjaomaste äriteenuste kasutamist vastavalt äriteenuste tingimustele ja kohaldatavatele lisatingimustele ja -põhimõtetele. Andmeeksportija on vastutava töötleja rollis. 

Andmeimportija(d)

Andmeimportija on :

Snap Inc., mille aadress on 3000 31st Street, Santa Monica, California 90405

Tegevused, mis on seotud käesolevate tingimuste alusel edastatavate andmetega, hõlmavad asjaomaste äriteenuste osutamist vastavalt äriteenuste tingimustele ja kohaldatavatele lisatingimustele ja -põhimõtetele. Andmeimportija on töötleja rollis.

B. Ülekande kirjeldus

Snap teostab käesoleva Lepingu alusel järgmisi andmetöötlustoiminguid:

Teema

Snap'i äriteenuste osutamine Andmetöötlejale.

Töötlemise ja säilitamise kestus

Käesoleva Lepingu kehtivusaja jooksul, millele lisandub ajavahemik alates käesoleva Lepingu kehtivusaja lõppemisest kuni andmete anonüümseks muutmise, tagastamise või kustutamiseni vastavalt käesolevale Lepingule.

Olemus ja eesmärk

Snap töötleb kliendi isikuandmeid äriteenuste osutamiseks Andmetöötleja jaoks vastavalt äriteenuste tingimustele ja käesolevas Lepingus kirjeldatule.

Andmekategooriad

Klientide isikuandmed, mis on seotud üksikisikutega ja mis on esitatud Snapile äriteenuste kaudu Andmetöötleja poolt (või tema korraldusel), mis võivad hõlmata järgmist:

  • meiliaadress

  • telefoninumber

  • mobiilireklaami ID (IDFA/AAID)

  • IP aadress

  • küpsise id

  • brauseri kasutajaagent

  • veebisaitidel ja rakendustes tehtud toimingud ja sündmused, sealhulgas vaadatud leheküljed, ostud, otsingud, väljaregistreerimissündmused, soovinimekirjad, installeerimised ja kasutaja registreerimismeetodid

Edastatud tundlikud andmed

Ei ole kohaldatav

Ülekande sagedus 

Pidev

Andmesubjektid

Andmesubjektide hulka kuuluvad EMP, Šveitsi, Ühendkuningriigi ja Brasiilia isikud, kelle kohta on Snapile äriteenuste kaudu (või Andmetöötleja korraldusel) esitatud isikuandmeid.

C. Pädev järelevalveasutus

Pädevaks järelevalveasutuseks on Hollandi andmekaitseinstitutsioon (Autoriteit Persoonsgegevens, AP).

Kokkuvõttes: töötlemise sisu ja üksikasjad on esitatud eespool.

Loetelu 2 – Snapi turvameetmed

1. Kirjaliku infoturbe programmi rakendamine ja järgimine, mis on kooskõlas kehtestatud tööstusharu standarditega ja sisaldab kliendi isikuandmete laadile vastavaid halduslikke, tehnilisi ja füüsilisi kaitsemeetmeid, mis on kavandatud kaitsma sellist teavet järgmiste tegurite eest: omavoliline juurdepääs, hävitamine, kasutamine, muutmine või avaldamine; omavoliline juurdepääs või kasutamine, mis võib põhjustada olulist kahju või ebamugavust andmetöötlejale, andmetöötleja klientidele või andmetöötleja töötajatele; ja mis tahes eeldatavad ähvardused või ohud sellise teabe turvalisusele või terviklikkusele.

2. Turvalisusega seotud põhjendatud põhimõtete ja standardite vastuvõtmine ja rakendamine.

3. Vastutuse määramine infoturbe haldamise eest.

4. Piisavate personaliressursside eraldamine infoturbele.

5. Alalise personali, kellel on juurdepääs kliendi isikuandmetele, kontrollimine.

6. Asjakohase taustakontrolli läbiviimine ja nõue, et töötajad, müüjad ja teised, kellel on juurdepääs kliendi isikuandmetele, sõlmivad kirjalikud konfidentsiaalsuslepingud.

7. Koolituse läbiviimine, et töötajad ja teised, kellel on juurdepääs kliendi isikuandmetele, oleksid teadlikud infoturbe riskidest ning et parandada Snapi andmekaitsepõhimõtete ja -standardite järgimist.

8. Vältida volitamata juurdepääsu kliendi isikuandmetele, kasutades vajaduse korral füüsilist ja loogilist (paroolid) sisenemise kontrolli, andmetöötluse turvalisi alasid, andmetöötlusvahendite kasutamise jälgimise menetlusi ja süsteemi sisseehitatud kontrolljälgi, turvaliste paroolide, võrgu sissetungi tuvastamise tehnoloogiat, krüpteerimis- ja autentimistehnoloogiat, turvalise sisselogimise korra ja viirusetõrje kasutamist, jälgides pidevalt Snapi andmekaitsepõhimõtete ja -standardite järgimist. Eelkõige on Snap rakendanud ja järgib vastavalt vajadusele ja piiranguteta järgmist:

  • Füüsilised juurdepääsukontrollimeetmed, et takistada loata juurdepääsu andmetöötlussüsteemidele (nt juurdepääsu ID-kaardid, kaardilugejad, lauaametnikud, häiresüsteemid, liikumisandurid, sissemurdmisalarmid, videovalve ja välisvalve);

  • Kasutamisest keeldumise kontrollimeetmed andmekaitsesüsteemide volitamata kasutamise vältimiseks (nt automaatselt jõustatavad paroolide keerukuse ja muutmise nõuded ning tulemüürid) ;

  • Nõuetest lähtuv autoriseerimisskeem ja juurdepääsuõigused ning süsteemi juurdepääsu jälgimine ja logimine, tagamaks, et andmetöötlussüsteemi kasutamiseks õigustatud isikutel on juurdepääs ainult nendele andmetele, millele neil on juurdepääsuõigus, ning et kliendi isikuandmeid ei saa loata lugeda, kopeerida, muuta või eemaldada;

  • Andmeedastuse kontrollimeetmed, mis tagavad, et kliendi isikuandmeid ei saa lugeda, kopeerida, muuta või eemaldada ilma loata elektroonilise edastamise, transpordi või andmekandjatel säilitamise ning andmete edastamise ja vastuvõtmise ajal. Eelkõige kavandatakse Snapi infoturbe programmi:

    • Krüpteerida salvestamisel kõik Snapi valduses olevad andmekogumid, sealhulgas tundlikud isikuandmed, kasutades asjakohaseid krüpteerimistasemeid, mis põhinevad valdkonna juhtivatel krüpteerimisstandarditel, sealhulgas AES -256, ning salvestada kasutajate identiteedid süsteemis, kasutades võtmeväärtuse sidumist, näiteks ghost_id, et vältida tegeliku kasutaja identiteedi salvestamist; ja

    • tagada, et kõik tundlikud isikuandmed, mis edastatakse elektrooniliselt (v.a faksiga) Snapi IT-süsteemist väljapoole jäävale isikule või edastatakse avaliku võrgu kaudu, krüpteeritakse TLS 1.2 protokolli uusimate toetatud versioonide abil, et kaitsta edastamise turvalisust;

  • Andmete sisestamise kontrollimeetmed, mis tagavad, et Snap saab kontrollida ja kindlaks teha, kas ja kes on kliendi isikuandmeid andmetöötlussüsteemidesse sisestanud, muutnud või eemaldanud;

  • Pidevad turvakontrollimeetmed, et tagada infoturbe tavade asjakohasus, tõhusus ja ajakohasus, sealhulgas iga-aastased penetratsioonitestid, vigade leidmise eest makstava auhinna programm, süsteemi skaneerimisvahendite kasutamine, lauaharjutused, varukoopiate taastamise testid, toodangueelsete ebaõnnestumiste ja tegelike vahejuhtumite järelanalüüside läbiviimine, et ajakohastada asjakohaseid hädaolukorrast taastumise kavasid;

  • Alltöötleja järelevalvemeetmed tagamaks, et kui Snapil on lubatud kasutada alltöötlejaid, töödeldakse kliendi isikuandmeid rangelt kooskõlas andmetöötleja juhistega, sealhulgas vajaduse korral:

    • Meetmed, millega tagatakse, et kliendi isikuandmed on kaitstud juhusliku hävimise või kadumise eest, sealhulgas vajaduse korral ja piiramatult andmete varundamise, säilitamise ja turvalise hävitamise poliitika; andmete turvaline välissalvestamine, mis on piisav katastroofidest taastumiseks; katkematu energiavarustuse ja katastroofidest taastumise programmid; ning

    • meetmed, millega tagatakse, et eri eesmärkidel kogutud andmeid saab töödelda eraldi, sealhulgas vajaduse korral kliendi isikuandmete füüsiline või piisav loogiline eraldamine. 

9. Muude meetmete kasutuselevõtt, mis võivad olla asjaolusid arvestades asjakohased.

Kokkuvõttes: Snap on võtnud kasutusele mitmeid meetmeid, et tagada klientide andmete turvalisus, nagu eespool kirjeldatud.