logo

Ugovor o obradi podataka

Učinkovit: 25. srpnja 2023.

OBAVIJEST O ARBITRAŽI: OBVEZUJE VAS ODREDBA O ARBITRAŽI NAVEDENA U UVJETIMA ZA POSLOVNE USLUGE. AKO SKLAPATE UGOVOR S DRUŠTVOM SNAP. INC., TADA SE VI I DRUŠTVO SNAP INC. ODRIČETE BILO KOJEG PRAVA SUDJELOVANJA U ZAJEDNIČKOJ TUŽBI ILI ZAJEDNIČKOJ ARBITRAŽI.

Uvod

Ovaj Ugovor o obradi podataka (“Ugovor”) predstavlja pravno obvezujući ugovor između Vas i društva Snap, primjenjuje se u opsegu u kojem društvo Snap u Vaše ime obrađuje Osobne podatke korisnika kada ste Voditelj obrade podataka te čini dio Uvjeta za poslovne usluge. Neki uvjeti koji se koriste u ovom Ugovoru definirani su u Uvjetima poslovnih usluga.

Ukratko: ovaj Ugovor primjenjuje se kada društvo Snap obrađuje osobne podatke Vaših korisnika ako ste Vi voditelj obrade podataka, a društvo Snap izvršitelj obrade podataka.

1. Definicije

“Osobni podaci korisnika” znači osobni podaci ispitanika iz EGP-a, Švicarske, UK-a i Brazila koje Vi dostavite društvu Snap ili u svoje ime kada ste Voditelj obrade podataka.

“Voditelj obrade podataka” znači voditelj obrade kako je definirano u GDPR-u, GDPR-u za Ujedinjeno Kraljevstvo ili LGPD-u (ovisno koji se primjenjuje) koji sam ili zajedno s drugima određuje svrhe i načine obrade Osobnih podataka korisnika.

“Zakon o zaštiti podataka” znači zakoni o zaštiti podataka u EGP-u, Švicarskoj, UK-u i Brazilu koji se primjenjuju na obradu Osobnih podataka korisnika na temelju ovog Ugovora, uključujući GDPR, zakone Ujedinjenog Kraljevstva o zaštiti podataka i LGPD.

“EGP” znači Europski gospodarski prostor.

“GDPR” znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ).

“LGPD” znači Brazilski opći zakon o zaštiti podataka (Lei Geral de Proteção de Dados Pessoais).

“Povreda osobnih podataka” znači slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje ili pristup Osobnim podacima korisnika u sustavima kojima upravlja društvo Snap ili koje kontrolira društvo Snap.

”Potprocesor podataka” znači treće strane ovlaštene u skladu s ovim Ugovorom za pristupanje Osobnim podacima korisnika i obradu Osobnih podataka korisnika kako bi pružile dijelove Poslovnih usluga.

“UK” znači Ujedinjeno Kraljevstvo.

“Zakoni o zaštiti podataka u Ujedinjenom Kraljevstvu” znači GDPR jer čini dio prava Engleske i Walesa, Škotske i Sjeverne Irske na temelju dijela 3 Zakona o Europskoj uniji (Povlačenje) iz 2018. u Ujedinjenom Kraljevstvu (“UK GDPR”) i Zakona o zaštiti podataka iz 2018.

Pojmovi “osobni podaci”, “ispitanik”, “obrada”, “voditelj obrade”, “izvršitelj obrade”, “predstavnik”, i “nadzorno tijelo”, svaki kako se upotrebljava u ovom Ugovoru, imaju značenja navedena u GDPR-u, GDPR-u za UK ili LGPD-u (ovisno koji se primjenjuje), u svakom slučaju neovisno o tome primjenjuje li se Zakon o zaštiti podataka.

2. Obrada Osobnih podataka korisnika

a. Uloge stranaka. Društvo Snap Osobne podatke korisnika obrađuje u ime Voditelja obrade podataka i prema njegovim uputama, u skladu s člankom 28. stavkom 1. GDPR-a, GDPR-a za UK i LGPD-a (ovisno koji je primjenjiv).

b. Imenovanje. Voditelj obrade podataka imenuje društvo Snap za obradu Osobnih podataka korisnika u ime Voditelja obrade podataka samo u mjeri u kojoj je to potrebno za pružanje Poslovnih usluga i u kojoj stranke naknadno mogu pristati na njih u pisanom obliku.

c. Zakonitost obrade. Voditelj obrade podataka odgovoran je za osiguravanje valjane pravne osnove za obradu Osobnih podataka korisnika.

d. Pojedinosti obrade. Predmet i pojedinosti obrade opisani su u Prilogu 1. ovom Ugovoru.

e. Usklađenost sa zakonom. Svaka strana suglasna je poštovati svoje obveze u skladu sa Zakonom o zaštiti podataka koji se odnose na Osobne podatke korisnika koje obrađuje u skladu s ovim Ugovorom. Ne dovodeći u pitanje prethodno navedeno, društvo Snap Osobne podatke korisnika neće obrađivati na način koji će, ili za koji je vjerojatno da će, rezultirati time da Voditelj obrade podataka prekrši svoje obveze koje proizlaze iz Zakona o zaštiti podataka. Društvo Snap bez odgode će obavijestiti Voditelja obrade podataka ako društvo Snap smatra da uputa Voditelja obrade podataka krši Zakon o zaštiti podataka.

Ukratko: imenujete društvo Snap za obradu osobnih podataka korisnika u Vaše ime. Vi ste i dalje odgovorni za utvrđivanje važeće pravne osnove za obradu osobnih podataka. I Vi i društvo Snap suglasni ste pridržavati se svih zakona o zaštiti podataka.

3. Obveze društva Snap

a. Obrada Osobnih podataka korisnika. Društvo Snap obrađuje osobne podatke korisnika samo u skladu s Uvjetima poslovnih usluga i ovim Ugovorom te Osobne podatke korisnika neće upotrebljavati ili obrađivati ni u koju svrhu osim u svojem svojstvu izvršitelja obrade podataka koje imenuje Voditelj obrade podataka.

b. Sigurnost podataka. U skladu s člankom 32. GDPR-a, GDPR-a za UK i LDPR-u (ovisno koji je primjenjiv) te kako je opisano u Prilogu 2. ovom Ugovoru, društvo Snap provodit će i održavati sve odgovarajuće tehničke, administrativne i organizacijske mjere koje su potrebne za: (i) osiguranje razine povjerljivosti i sigurnosti koja je primjerena rizicima koje predstavljaju obrada i priroda Osobnih podataka korisnika; i (ii) sprječavanje neovlaštene ili nezakonite obrade Osobnih podataka korisnika, slučajnog gubitka, otkrivanja ili uništenja ili oštećenja Osobnih podataka korisnika.

c. Neotkrivanje. Društvo Snap neće objaviti, otkriti ili razotkriti (te će osigurati i da njegovo osoblje ne objavljuje, ne otkriva ili ne razotkriva) Osobne podatke korisnika trećoj strani, osim ako Voditelj obrade podataka za to nije dao svoj prethodni pisani pristanak.

d. Povjerljivost. Društvo Snap osigurat će da pristup Osobnim podacima korisnika ima samo osoblje koje mu može biti potrebno za pomoć u ispunjavanju svojih obveza u skladu s Uvjetima poslovnih usluga ili ovim Ugovorom te će osigurati da je takvo osoblje obvezano odgovarajućim obvezama povjerljivosti; također će poduzeti sve razumne korake u skladu s najboljim sektorskim praksama kako bi se osigurala povjerljivost Osobnih podataka korisnika.

e. Suradnja. Društvo Snap pružit će razumnu suradnju i pomoć Voditelju obrade podataka koju Voditelj obrade podataka može razumno zahtijevati kako bi Voditelju obrade podataka omogućio da djeluje u skladu s njegovim obvezama iz članaka 32. do 36. GDPR-a, GDPR-a za UK LGPD-a (ovisno koji je primjenjiv), uključujući i u pogledu sigurnosti podataka, obavijest o povredi podataka, procjene učinka zaštite podataka, prethodno savjetovanje s nadzornim tijelima, ispunjenje prava ispitanika te svaki upit, obavijest ili ispitivanje nadzornog tijela, kako je dodatno detaljno opisano u ovom Ugovoru.

f. Zahtjevi ispitanika i nadzornog tijela. Društvo Snap će bez odgode, a u svakom slučaju u roku od dva radna dana, obavijestiti Voditelja obrade podataka o bilo kojem upitu ili prigovoru koje društvo Snap dobije od ispitanika ili nadzornog tijela u pogledu Osobnih podataka korisnika. Društvo Snap pomoći će Voditelju obrade podataka, u mjeri u kojoj je to komercijalno razumno, da ispuni obvezu Voditelja obrade podataka i odgovori na zahtjeve ispitanika i nadzornih tijela u skladu sa Zakonom o zaštiti podataka.

g. Procjena učinka zaštite podataka. Voditelj obrade podataka na zahtjev će pružiti komercijalno razumne informacije i pomoć, uzimajući u obzir prirodu aktivnosti obrade i informacija koje su dostupne društvu Snap, kako bi se Voditelju obrade podataka pomoglo u provedbi procjene učinka zaštite podataka u skladu sa zahtjevima Zakona o zaštiti podataka.

h. Pružanje dokaza. Tijekom trajanja ovog Ugovora i tijekom razdoblja od jedne godine nakon toga, društvo Snap stavit će Voditelju obrade podataka ili međunarodno priznatom revizorskom društvu koje djeluje u ime Voditelja obrade podataka na raspolaganje sve informacije koje su razumno potrebne da se dokaže usklađenost duštva Snap s ovim Ugovorom, a društvo Snap omogućit će revizije i pridonijet će revizijama koje provodi Voditelj obrade podataka ili njegovi predstavnici koje obvezuju odgovarajuće obveze povjerljivosti; ako: (i) Voditelj obrade podataka ne dostavi društvu Snap prethodnu pisanu obavijest najmanje deset radnih dana ranije; (ii) se takva revizija provodi tijekom uobičajenog radnog vremena društva Snap i na način koji ne utječe neuobičajeno na uobičajene poslovne operacije društva Snap; (iii) takva revizija ne traje dulje od tri cijela radna dana; (iv) Voditelj obrade podataka (ili, kako bi se izbjegla sumnja, bilo koji ovlašteni revizor treće strane) ni u kojem slučaju nema pravo pristupiti vlasničkim ili povjerljivim podacima društva Snap ili ih dobiti, osim u mjeri u kojoj je strogo nužno za dokazivanje usklađenosti s ovim Ugovorom; i (v) Voditelj obrade podataka dužan je nadoknaditi razumne troškove društvu Snap za dokumentirane razumne troškove društva Snap ako se tom revizijom utvrdi da društvo Snap djeluje u skladu s ovim Ugovorom. U slučaju da revizija utvrdi da društvo Snap ne djeluje u skladu s ovim Ugovorom, društvo Snap bit će dužno podmiriti sve razumne troškove takve revizije.

i. Povrat ili uništenje Osobnih podataka korisnika. Po završetku obveza društva Snap u vezi s obradom Osobnih podataka korisnika u skladu s ovim Ugovorom ili na zahtjev Voditelja obrade podataka u bilo kojem trenutku tijekom trajanja ovog Ugovora (i, ako Voditelj obrade podataka to zatraži u redovitim intervalima koje određuje Voditelj obrade podataka), društvo Snap će: (i) Voditelju obrade podataka vratiti sve Osobne podatke korisnika ili podskupine Osobnih podataka korisnika u posjedu društva Snap; (ii) sve Osobne podatke korisnika ili dio Osobnih podataka korisnika učiniti anonimnim na način da ti podaci više ne čine osobne podatke ili (iii) trajno obrisati sve Osobne podatke korisnika ili dijelove Osobnih podataka korisnika ili ih učiniti nečitljivima. Na zahtjev Voditelja obrade podataka društvo Snap Voditelju obrade podataka mora dostaviti pisanu potvrdu o anonimizaciji, povratu i brisanju Osobnih podataka korisnika.

j. Hashirani Osobni podaci korisnika. Ako društvo Snap Osobne podatke korisnika dobije u hashiranom ili drugačije nečitljivom formatu, društvo Snap: (i) neće pokušati obrnuti inženjering ili neće pokušati na drugi način ponovno identificirati hashirane ili nečitljive osobne podatke Voditelja obrade podataka osim ako Voditelj obrade podataka to ne naloži društvu Snap; i (ii) će Osobne podatke korisnika dijeliti samo u obliku u kojem ih je društvo Snap dobilo od Voditelja obrade podataka.

Ukratko: pri obradi Osobnih podataka korisnika koje ste dostavili, društvo Snap pridržavat će se brojnih obveza, od kojih su neke zakonski propisi, kako je prethodno navedeno.

4. Povreda osobnih podataka

a. Obavijest. U skladu s člankom 33. GDPR-a, GDPR-a za UK i LGPD-a (ovisno o tome koji je primjenjiv), društvo Snap bez nepotrebnog odgađanja će obavijestiti Voditelja obrade podataka o Povredi osobnih podataka i to, ako je to izvedivo, najkasnije u roku od 72 sata nakon što postane svjesno povrede osobnih podataka. Društvo Snap također će Voditelju obrade podataka dostaviti opis Povrede osobnih podataka, vrstu podataka koja je bila predmetom Povrede osobnih podataka, (u mjeri u kojoj je to poznato društvu Snap) kategorije ispitanika koje su pogođene i druge informacije koje se zahtijevaju na temelju primjenjivog Zakona o zaštiti podataka čim se takve informacije mogu prikupiti ili čim na drugi način postanu dostupne. Društvo Snap surađivat će u skladu s bilo kojim razumnim zahtjevom Voditelja obrade podataka u vezi s Povredom osobnih podataka.

b. Istraga. Društvo Snap suglasno je odmah poduzeti mjere istrage Povrede osobnih podataka kako bi se utvrdili, spriječili i ublažili učinci bilo koje takve Povrede osobnih podataka te je suglasno, uz prethodni dogovor s Voditeljem obrade podataka, provesti mjere oporavka ili bilo koje druge mjere potrebne za otklanjanje Povreda osobnih podataka.

Ukratko: ako je došlo do povrede podataka, društvo Snap obavijestit će Vas u roku od 72 sata otkad postane svjesno povrede, pružiti Vam važne informacije te će odmah poduzeti mjere za istraživanje povrede i ublažavanje njezinih učinaka.

5. Podizvršitelji obrade podataka

a. Ovlašteni Podizvršitelji obrade podataka. Voditelj obrade podataka izričito odobrava uključivanje podružnica društva Snap u obradu Osobnih podataka korisnika te Voditelj obrade podataka općenito odobrava sudjelovanje bilo koje druge treće strane kao Podizvršitelja obrade podataka u obradi Osobnih podataka korisnika.

b. Obveze Podizvršitelja obrade. U skladu s člankom 28. stavkom 4. GDPR-a, GDPR-a za UK i LGPD-a (ovisno koji je primjenjiv), društvo Snap svakom će Podizvršitelju obrade podataka nametnuti pravno obvezujuće ugovorne uvjete koji su jednako ograničavajući kao i oni sadržane u ovom Ugovoru.

c. Ograničeni pristup. Društvo Snap osigurat će da svaki Podizvršitelj obrade podataka pristupa samo Osobnim podacima korisnika i upotrebljava samo Osobne podatke korisnika u mjeri u kojoj je to potrebno za izvršavanje obveza koje su mu podugovorene i u skladu s ovim Ugovorom.

d. Ažuriranja Podizvršitelja obrade. U skladu s člankom 28. stavkom 2. GDPR-a i GDPR-a za UK (ovisno koji je primjenjiv), ovdje se nalazi ažurirani popis: (i) svih Podizvršitelja obrade Osobnih podataka korisnika uključenih u obradu Osobnih podataka korisnika; (ii) svrha u koje Podizvršitelji obrade podataka obrađuju Osobne podatke korisnika; i (iii) lokacije svakog Podizvršitelja obrade podataka. Društvo Snap obavijestit će Voditelja obrade podataka najmanje 30 dana prije dodavanja novog Podizvršitelja obrade podataka. 

e. Pravo na prigovor. Voditelj obrade podataka ima pravo uložiti prigovor na dodavanje novog Podizvršitelja obrade podataka, kako je opisano u ovom Odjeljku. Ako Voditelj obrade podataka prigovori obradi Osobnih podataka korisnika bilo kojeg novoimenovanog Podizvršitelja obrade podataka, o tome će odmah obavijestiti društvo Snap, nakon čega će društvo Snap: (i) uputiti Podizvršitelja obrade podataka da prestane s daljnjom obradom Osobnih podataka korisnika, što ne utječe na ovaj Ugovor koji nastavlja važiti ili (ii) Voditelju obrade podataka omogućiti trenutačni raskid ovog Ugovora.

Ukratko: osim ovlaštenja društva Snap da djeluje kao izvršitelj obrade podataka, podružnice društva Snap također ovlašćujete za obradu osobnih podataka korisnika u funkciji podizvršitelja obrade podataka. Društvo Snap sklopit će pravno obvezujući ugovor sa svim podizvršiteljima obrade podataka i voditi popis imenovanih podizvršitelja obrade. Imate pravo uložiti prigovor na imenovanje podizvršitelja obrade podataka koje imenuje društvo Snap.

6. Prijenosi podataka

a. Ako Voditelj obrade podataka ima nastan u EGP-u, Švicarskoj ili Ujedinjenom Kraljevstvu i ako osobne podatke prenosi društvu Snap Inc., tada za Ugovor o prijenosu podataka vrijedi sljedeće:

(i) na takve prijenose primjenjuje se; 

(ii) u pogledu takvih prijenosa, ima prednost nad svim drugim uvjetima, uključujući uvjete ovog Ugovora;

(iii) tvori pravno obvezujući ugovor između Vas kao izvoznika podataka i društva Snap u ime uvoznika podataka; i 

(iv) ovime se uvrštava u Uvjete poslovnih usluga

b. Kad je riječ o osobnim podacima ispitanika iz EGP-a, Švicarske i Ujedinjenog Kraljevstva, Voditelj obrade podataka i društvo Snap suglasni su da društvo Snap može obrađivati Osobne podatke korisnika izvan EGP-a, Švicarske i Ujedinjenog Kraljevstva kada su ispunjeni zahtjevi Zakona o zaštiti podataka (uključujući, gdje je to primjenjivo, članke 44. do 47. GDPR-a) ili kada se primjenjuje iznimka (uključujući, gdje je primjenjivo, one navedene u članku 49. GDPR-a).

c. Kad je riječ o osobnim podacima ispitanika iz Brazila, Voditelj obrade podataka suglasan je da društvo Snap može obrađivati Osobne podatke korisnika izvan Brazila te izjavljuje i jamči da je takav prijenos Osobnih podataka korisnika u skladu s LGPD-om.

Ukratko: ako se nalazite u EGP-u, Švicarskoj ili Ujedinjenom Kraljevstvu, Ugovor o prijenosu podataka primjenjuje se na sve prijenose osobnih podataka društvu Snap. Kad je riječ o osobnim podacima ispitanika iz EGP-a, Švicarske i Ujedinjenog Kraljevstva, Vi i društvo Snap suglasni ste pridržavati se odredbi koje se odnose na međunarodne prijenose u skladu s GDPR-om. Kad je riječ o osobnim podacima ispitanika iz Brazila, jamčite društvu Snap da će obrada takvih osobnih podataka izvan Brazila biti u skladu s Općim brazilskim zakonom o zaštiti podataka. 

7. Obeštećenje; odgovornost podizvršitelja obrade

a. Obeštećenje. Društvo Snap suglasno je obeštetiti Voditelja obrade podataka za sve pritužbe treće strane, naknade, zahtjeve, odštete, gubitke, troškove, potraživanja i izdatke koji proizlaze iz kršenja ovog Ugovora za koje je odgovorno društvo Snap ili koji su na bilo koji način povezani s tim kršenjem.

b. Postupak obeštećenja. Voditelj obrade podataka bez odgode će u pisanom obliku obavijestiti društvo Snap o bilo kojem odštetnom zahtjevu, ali bilo kakav propust da se društvo Snap obavijesti o tome neće osloboditi društvo Snap od nikakve odgovornosti ili obveze koju može imati, osim u mjeri u kojoj društvo Snap materijalno oštećeno tim propustom. Voditelj obrade podataka razumno će surađivati s društvom Snap, o trošku društva Snap, u vezi s obranom, postizanjem kompromisa ili rješenja za bilo koji odštetni zahtjev. Društvo Snap neće pristati na kompromis ili podmiriti bilo kakav zahtjev ni na koji način niti će priznati ikakvu odgovornost bez prethodne pisane privole voditelja obrade podataka, a koju Voditelj obrade podataka može dati po vlastitom nahođenju. Voditelj obrade podataka može (o svom trošku) sudjelovati u obrani, postizanju kompromisa i podmirenju zahtjeva s odvjetnikom kojeg odabere voditelj obrade podataka.

c. Odgovornost podizvršitelja obrade. Društvo Snap prihvaća i suglasno je da će ostati odgovorno voditelju obrade podataka za povredu uvjeta ovog Ugovora koju izvrši podizvršitelj obrade i svih drugi naknadni izvršitelji obrade treće strane koje je ono imenovalo.

Ukratko: ako pretrpite bilo kakve gubitke treće strane u vezi s kršenjem ovog Ugovora društva Snap, društvo Snap će Vam to nadoknaditi. 

8. Prekid ugovora

a. Prekid. Ovaj će se Ugovor automatski prekinuti nakon prestanka važenja Uvjeta za poslovne usluge.

b. Važenje nakon isteka. Obveze društva Snap u vezi s vraćanjem ili brisanjem Osobnih podataka korisnika nastavit će važiti nakon prestanka važenja Uvjeta za poslovne usluge i ovog Ugovora dok društvo Snap ne vrati ili ne izbriše Osobne podatke korisnika u skladu s ovim Ugovorom.

Ukratko: ovaj Ugovor prestat će važiti istovremeno s prestankom važenja Uvjeta za poslovne usluge, ali će društvo Snap i dalje imati obavezu vratiti ili izbrisati osobne podatke korisnika. 

9. Sukobi

Ako postoji sukob ili nedosljednost s ovim Ugovorom, Ugovorom o prijenosu podataka, Uvjetima poslovnih usluga, svim primjenjivim Dodatnim uvjetima i pravilima ili Uvjetima pružanja usluga društva Snap, redoslijed prednosti bit će kako slijedi: Ugovor o prijenosu podataka (ali samo u mjeri u kojoj se to primjenjuje na temelju prethodnog odjeljka 6.a), ovaj Ugovor, Dodatni uvjeti i pravila Uvjeti poslovnih usluga te Uvjeti pružanja usluga društva Snap.

Ukratko: ako postoji sukob s bilo kojim odredbama različitih uvjeta i pravila društva Snap, red prvenstva ide kako je prethodno navedeno. 

Prilog 1: Pojedinosti obrade podataka
A. Popis stranaka
Izvoznik(ci) podataka

Izvoznik podataka jest Voditelj obrade podataka, kako je definirano u ovom Ugovoru, s imenom, adresom i podacima za kontakt koji su društvu Snap dostavljeni preko Poslovnih usluga. Aktivnosti važne za podatke koji se prenose u skladu s ovim Klauzulama uključuju upotrebu relevantnih Poslovnih usluga u skladu s Uvjetima poslovnih usluga i primjenjivim Dodatnim uvjetima i pravilima. Izvoznik podataka ima ulogu voditelja obrade. 

Uvoznik(ci) podataka

Uvoznik podataka je:

društvo Snap Inc. s adresom 3000 31st Street, Santa Monica, Kalifornija 90405

Aktivnosti važne za podatke koji se prenose u skladu s ovim Klauzulama uključuju pružanje relevantnih Poslovnih usluga u skladu s Uvjetima poslovnih usluga i primjenjivim Dodatnim uvjetima i pravilima. Uvoznik podataka ima ulogu izvršitelja obrade.

B. Opis prijenosa

Aktivnosti obrade podataka koje društvo Snap provodi u skladu s ovim Ugovorom jesu kako slijedi:

Predmet

Pružanje Poslovnih usluga koje društvo Snap pruža Voditelju obrade podataka.

Trajanje obrade i zadržavanje

Tijekom trajanja ovog Ugovora, produženo za razdoblje od isteka trajanja ovog Ugovora do anonimizacije, povratka ili brisanja podataka u skladu s ovim Ugovorom.

Priroda i svrha

Društvo Snap obrađivat će Osobne podatke korisnika u svrhe pružanja Poslovnih usluga Voditelju obrade podataka u skladu s Uvjetima poslovnih usluga i ovim Ugovorom.

Kategorije podataka

Osobni podaci korisnika koji se odnose na pojedince koje Voditelj obrade podataka pruža društvu Snap (ili koji se pružaju na uputu Voditelja obrade) preko Poslovnih usluga, a koji mogu uključivati:

  • adresu e-pošte

  • broj telefona

  • ID mobilnog oglasa (IDFA/AAID)

  • IP adresu

  • ID kolačića

  • korisnički posrednik preglednika

  • mjere i događaji koji se poduzimaju na web-mjestima i u aplikacijama, uključujući pregledane stranice, kupovine, pretraživanja, događaje odjave, popise želja, instalacije i metode registracije korisnika

Preneseni osjetljivi podaci

Nije primjenjivo

Učestalost prijenosa 

Kontinuirano

Ispitanici

Ispitanici uključuju fizičke osobe iz EGP-a, Švicarske, UK-a i Brazila čije osobne podatke Voditelj obrade podataka pruža društvu Snap (ili koji se pružaju na uputu Voditelja obrade) preko Poslovnih usluga.

C. Nadležno nadzorno tijelo

Nadležno nadzorno tijelo bit će Nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens, AP).

Ukratko: prethodno su u dokumentu navedeni predmet i pojedinosti obrade.

Prilog 2. - Mjere sigurnosti društva Snap

1. Provedba pisanog programa informacijske sigurnosti i usklađenost s njime u skladu s utvrđenim sektorskim standardima, što uključuje i administrativne, tehničke i fizičke zaštitne mjere koje odgovaraju prirodi Osobnih podataka korisnika i koje su osmišljene za zaštitu takvih podataka od: neovlaštenog pristupa, uništenja, korištenja, izmjene ili otkrivanja; neovlaštenog pristupa ili korištenja koje može rezultirati znatnom štetom ili neugodnostima Voditelja obrade podataka, kupcima Voditelja obrade podataka ili zaposlenicima Voditelja obrade podataka te od svih očekivanih prijetnji ili opasnosti za sigurnost ili integritet takvih informacija.

2. Donošenje i provedba razumnih pravila i standarda povezanih sa sigurnošću.

3. Pripisivanje odgovornosti za upravljanje informacijskom sigurnosti.

4. Ulaganje odgovarajućih resursa zaposlenika u informacijsku sigurnost.

5. Provedba provjera stalno zaposlenog osoblja koje će imati pristup Osobnim podacima korisnika.

6. Provedba odgovarajućih provjera podataka i podobnosti te zahtijevanje od zaposlenika, dobavljača i drugih dionika koji imaju pristup Osobnim podacima korisnika da potpišu pisane ugovore o povjerljivosti.

7. Obučavanje kako bi se zaposlenike i druge dionike koji imaju pristup Osobnim podacima korisnika osvijestilo o rizicima povezanima s informacijskom sigurnosti te kako bi se poboljšala usklađenost s pravilima i standardima društva Snap o zaštiti podataka.

8. Sprječavanje neovlaštenog pristupa Osobnim podacima korisnika upotrebom (kako je primjenjivo) fizičkih i logičkih (lozinke) kontrola ulazaka, osiguravanjem sigurnih područja za obradu podataka, postupcima za praćenje korištenja prostorija za obradu podataka, ugrađenim sustavom praćenja revizije, upotrebom sigurnih lozinki, tehnologijom otkrivanja upada u mrežu, tehnologijom šifriranja i provjere autentičnosti, sigurnim postupcima prijavljivanja te zaštitom od virusa, kontinuiranim praćenjem usklađenosti s pravilima i standardima društva Snap koji se odnose na zaštitu podataka. Konkretno, u mjeri u kojoj je to primjereno i bez ograničenja, društvo Snap provodi sljedeće mjere i usklađeno je sa sljedećim mjerama:

  • Mjere za kontrolu fizičkog pristupa kako bi se spriječio neovlašteni pristup sustavima obrade podataka (npr. pristupne iskaznice, čitači kartica, uredski službenici, sustavi alarma, detektori pokreta, alarmi protiv provale, videonadzor i sigurnost eksterijera);

  • Mjere za zaštitu od odbijanja korištenja kako bi se spriječilo neovlašteno korištenje sustava za zaštitu podataka (npr. automatski nametnuti zahtjevi za složenost lozinke, promjenu lozike i za vatrozide.) ;

  • Programom ovlaštenja i prava pristupa koji se temelji na zahtjevima, te praćenje i zapisivanje pristupa sustavu kako bi se osiguralo da osobe koje imaju pravo koristiti sustav obrade podataka imaju pristup samo podacima kojima imaju pravo pristupa te da se Osobni podaci korisnika ne mogu čitati, kopirati, izmijeniti ili ukloniti bez odobrenja;

  • Mjere za kontrolu prijenosa podataka kako bi se osiguralo da se Osobni podaci korisnika ne mogu čitati, kopirati, izmijeniti ili ukloniti bez odobrenja tijekom elektroničkog prijenosa, prijevoza ili pohrane na podatkovnim medijima te prijenosa i primanja evidencija. Konkretno, program informacijske sigurnosti društva Snap bit će osmišljen:

    • Za šifriranje u pohranu bilo kojeg skupa podataka u posjedu društva Snap, uključujući osjetljive osobne podatke primjenom odgovarajućih razina šifriranja koje se temelje na vodećim sektorskim standardima šifriranja, uključujući AES -256, i pohranjivanje korisničkih identiteta u sustav s pomoću para ključ/vrijednost kao što je ghost_id kako bi se spriječila pohrana stvarnog korisničkog ID-ja i

    • Kako bi se osiguralo da se svi osjetljivi osobni podaci koji se prenose elektronički (osim faksimilom) osobi izvan IT sustava društva Snap ili koji se prenose javnom mrežom šifriraju s pomoću najnovijih podržanih verzija protokola TLS 1.2 kako bi se zaštitila sigurnost prijenosa;

  • Mjere za kontrolu unosa podataka kako bi se osiguralo da društvo Snap može provjeriti i utvrditi jesu li Osobni podaci korisnika uneseni u sustave obrade podataka izmijenjeni ili uklonjeni te tko ih je izmijenio ili uklonio;

  • Kontinuirane mjere za testiranje sigurnosti kako bi se osiguralo da prakse informacijske sigurnosti ostanu relevantne, učinkovite i ažurne, uključujući godišnja ispitivanja upada, program za prijavu propusta (“bug bounty”), korištenje alata za skeniranje sustava, zadatke simulacije, testove povrata sigurnosnih kopija, neuspjehe prije proizvodnje i provedbu naknadnih mjera utvrđivanja u bilo kojem stvarnom incidentu kako bi se ažurirali relevantni planovi oporavka od katastrofe;

  • Mjere nadzora podizvršitelja obrade kako bi se osiguralo da se, ako je društvu Snap dopušteno koristiti podizvršitelje obrade podataka, Osobni podaci korisnika obrađuju strogo u skladu s uputama Voditelja obrade podataka, uključujući, kako je to primjereno:

    • Mjere za osiguranje da su Osobni podaci korisnika zaštićeni od slučajnog uništenja ili gubitka, uključujući, kako je to prikladno i bez ograničenja, pravila za sigurnosno kopiranje, zadržavanje i sigurno uništenje; osiguranje pohrane izvan lokacije podataka koji su dostatni za oporavak od katastrofe; Programe neprekinutog napajanja i oporavka od katastrofe; i

    • Mjere za osiguranje da se podaci prikupljeni u različite svrhe mogu obrađivati odvojeno, uključujući, kako je to primjereno, fizičko ili odgovarajuće logičko razdvajanje Osobnih podataka korisnika. 

9. Poduzimanje takvih drugih koraka koji su prikladni u danim okolnostima.

Ukratko: društvo Snap donijelo je niz mjera da bi osiguralo sigurnost podataka korisnika, kako je prethodno navedeno.