VÁLASZTOTTBÍRÓSÁGI ELJÁRÁSRA VONATKOZÓ MEGJEGYZÉS: RÁD NÉZVE AZOK A VÁLASZTOTTBÍRÓSÁGI ELJRÁSRA VONATKOZÓ RENDELKEZÉSEK VONATKOZNAK, AMELYEKET AZ ÜZLETI SZOLGÁLTATÁSI FELTÉTELEK RÖGZÍTENEK. HA A SNAP INC. VÁLLALATTAL SZERZŐDÉSES JOGVISZONYBAN ÁLLSZ, AKKOR TE ÉS A SNAP INC. EZENNEL LEMONDUNK A CSOPORTOS KERESETHEZ VAGY A VÁLASZTOTTBÍRÓSÁG KERETÉBEN TÖRTÉNŐ CSOPORTOS JOGÉRVÉNYESÍTÉSHEZ VALÓ JOGUNKRÓL.

A jelen Adatfeldolgozási megállapodás (a továbbiakban „Megállapodás”) jogilag kötelező erővel bíró szerződést testesít meg közted és a Snap között, abban az esetben alkalmazandó, amikor a Snap dolgozza fel a személyes ügyféladatokat a nevedben, amikor te vagy az Adatkezelő, és az Üzleti szolgáltatási feltételek részét képezi. A jelen Megállapodásban használt fogalmak némelyikének meghatározását az Üzleti szolgáltatási feltételek tartalmazzák.

Összefoglalva: a jelen Megállapodás arra az esetre vonatkozik, amikor a Snap dolgozza fel az ügyfeleid személyes adatait, és amikor te vagy az adatkezelő, a Snap pedig az adatfeldolgozó.

„Személyes ügyféladatok”: EGT-beli, svájci, egyesült királyságbeli és brazíliai érintettek személyes adatai, amelyeket közvetlenül te vagy a nevedben más bocsát a Snap rendelkezésére, amikor te vagy az Adatkezelő.

„Adatkezelő”: Az adott helyzetnek megfelelően a GDPR-ben, a UK GDPR-ben és az LGPD-ben meghatározott adatkezelő, aki a személyes ügyféladatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

„Adatvédelmi törvény”: az EGT, Svájc, az Egyesült Királyság és Brazília adatvédelmi törvényei, amelyek hatálya kiterjed a személyes ügyféladatok jelen Megállapodás szerinti feldolgozására, beleértve a GDPR-t, az Egyesült Királyság adatvédelmi törvényeit és az LGPD-t.

„EGT”: az Európai Gazdasági Térség.

„GDPR”: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

„LGPD”: a brazil általános adatvédelmi törvény (Lej Geral de Proteção de Dados Pessoais).

„Személyes adatok megsértése”: A Snap által kezelt vagy ellenőrzött rendszereken tárolt személyes ügyféladatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés.

„Al-adatfeldolgozók”: Olyan harmadik felek, akik az Üzleti szolgáltatások egyes elemeinek biztosítása céljából a jelen Megállapodás alapján fel vannak hatalmazva arra, hogy személyes ügyféladatokhoz férjenek hozzá és feldolgozzák azokat.

„UK”: az Egyesült Királyság.

„Az Egyesült Királyság adatvédelmi törvényei”: a GDPR, mivel az a kilépésről rendelkező 2018. évi törvény (European Union (Withdrawal) Act 2018) 3. szakasza értelmében Anglia, Wales, Skócia és Észak-Írország jogrendszerének részét képezi az Egyesült Királyságban („UK GDPR"), továbbá a 2018. évi adatvédelmi törvény.

A jelen Megállapodásban használt „személyes adatok”, „érintett”, „adatfeldolgozás”, „adatkezelő”, „adatfeldolgozó”, „képviselő” és „felügyeleti hatóság” fogalmak az adott helyzetnek megfelelően a GDPR-ben, a UK GDPR-ben és az LGPD-ben meghatározott jelentéssel bírnak, minden esetben függetlenül attól, hogy az Adatvédelmi törvény rendelkezik-e róluk vagy sem.

a. A felek feladatai. A Snap az Adatkezelő nevében és utasításai szerint, az adott helyzetnek megfelelően a GDPR 28. cikkének (1) bekezdésében, a UK GDPR-ben és az LGPD-ben foglaltak alapján végzi a személyes ügyféladatok feldolgozását.

b. Megbízás. Az Adatkezelő megbízza a Snapet, hogy kizárólag az üzleti szolgáltatások biztosításához szükséges mértékben és a felek későbbi írásbeli megállapodása alapján személyes ügyféladatokat dolgozzon fel.

c. Az adatfeldolgozás jogszerűsége. Az Adatkezelő feladata, hogy érvényes jogalapot biztosítson a személyes ügyféladatok feldolgozásához.

d. Az adatfeldolgozás részletei. Az adatfeldolgozás tárgyát és részleteit a jelen Megállapodás 1. melléklete tartalmazza.

e. A jogszabályok betartása. A felek vállalják, hogy eleget tesznek az Adatvédelmi törvényben meghatározott kötelezettségeiknek minden olyan személyes ügyféladat tekintetében, amelyet a jelen Megállapodás alapján vagy azzal kapcsolatban feldolgoznak. A fentiek sérelme nélkül, a Snap nem jár el oly módon a személyes ügyféladatok feldolgozása során, ami az Adatkezelő Adatvédelmi törvényben foglalt kötelezettségeinek megszegését vonja vagy vonhatja maga után. A Snap haladéktalanul tájékoztatja az Adatkezelőt, ha megítélése szerint az Adatkezelő utasítása sérti az Adatvédelmi törvényt.

Összefoglalva: megbízod a Snapet, hogy személyes ügyféladatokat dolgozzon fel a nevedben. A te feladatod marad, hogy érvényes jogalapot teremts a személyes adatok feldolgozásához. Te és a Snap mindketten vállaljátok, hogy betartotok minden adatvédelmi törvényt.

a. Személyes ügyféladatok feldolgozása. A Snap kizárólag az Üzleti szolgáltatási feltételekben és a jelen Megállapodásban foglaltak szerint végzi a személyes ügyféladatok feldolgozását, és a személyes ügyféladatokat kizárólag az Adatkezelő által meghatározott célokra, adatkezelői minőségében használja és dolgozza fel.

b. Adatbiztonság. Az adott helyzetnek megfelelően a GDPR 32. cikkében, a UK GDPR-ben és az LGPD-ben foglaltak alapján, valamint a jelen Megállapodás 2. mellékletében foglaltak szerint a Snap megtesz és érvényben tart minden szükséges technikai, adminisztratív és szervezeti intézkedést annak érdekében, hogy: (i) olyan szintű titoktartási és biztonsági feltételeket teremtsen, amelyek megfelelnek a személyes ügyféladatok feldolgozásából és jellegéből adódó kockázatoknak; és (ii) megakadályozza a személyes ügyféladatok jogosulatlan vagy jogellenes feldolgozását, azok véletlen elvesztését, közzétételét vagy megsemmisülését vagy a személyes ügyféladatok sérülését.

c. Titoktartás. A Snap nem jelenteti meg, nem teszi közzé és nem szivárogtatja ki (és biztosítja, hogy a munkatársai se jelentessék meg, tegyék közzé vagy szivárogtassák ki) a személyes ügyféladatokat harmadik félnek, kivéve ha az Adatkezelő ehhez írásban előzetesen hozzájárult.

d. Bizalmas jelleg. A Snap biztosítja, hogy csak azok a munkatársak férjenek hozzá a személyes ügyféladatokhoz, akiknek közreműködésére szükség van ahhoz, hogy a Snap eleget tudjon tenni az Üzleti szolgáltatási feltételek vagy a jelen Megállapodás alapján fennálló kötelezettségeinek, valamint hogy ezek a munkatársak megfelelő titoktartási kötelezettséget vállaljanak, és a legjobb iparági gyakorlatnak megfelelően minden szükséges intézkedést megtesz a személyes ügyféladatok bizalmas kezelése érdekében.

e. Együttműködés. A Snap észszerűen együttműködik az Adatkezelővel, és megadja számára az Adatkezelő által indokoltan kért segítséget annak érdekében, hogy az Adatkezelő eleget tudjon tenni az adott helyzetnek megfelelően a GDPR 32–36. cikkében, a UK GDPR-ben és az LGPD-ben foglalt kötelezettségeinek, amelyek magukban foglalják az adatbiztonsággal, az adatok megsértésének bejelentésével, az adatvédelmi hatásvizsgálatokkal, a felügyeleti hatóságokkal folytatott előzetes konzultációval, az érintettek jogainak kielégítésével, valamint a felügyeleti hatóság megkeresésével, felszólításával vagy vizsgálatával kapcsolatos kötelezettségeket, a jelen Megállapodásban részletesebben kifejtett rendelkezések szerint.

f. Az érintettek és a felügyeleti hatóságok megkeresései. A Snap köteles haladéktalanul, de minden esetben két munkanapon belül tájékoztatni az Adatkezelőt minden olyan megkeresésről vagy keresetlevélről, amely a személyes ügyféladatokkal kapcsolatban egy érintettől vagy felügyeleti hatóságtól hozzá beérkezik. A Snap köteles az üzletileg indokolt segítséget megadni az Adatkezelő számára annak érdekében, hogy az Adatkezelő eleget tudjon tenni a kötelezettségének, miszerint az Adatvédelmi törvényben foglaltak értelmében választ kell adnia az érintettek és a felügyeleti hatóságok megkereséseire.

g. Adatvédelmi hatásvizsgálat. A Snap az Adatkezelő kérésére megadja az Adatkezelőnek az üzletileg indokolt információkat és segítséget, figyelembe véve az adatfeldolgozási tevékenység jellegét és a Snap rendelkezésére álló információkat, hogy segítsen az Adatkezelőnek lefolytatni az Adatvédelmi törvényben előírt adatvédelmi hatásvizsgálatot.

h. Bizonyítékok szolgáltatása. A Snap a jelen Megállapodás időtartama alatt és az azt követő egy éves időszakban köteles az Adatkezelő vagy az Adatkezelő megbízásából eljáró, nemzetközileg elismert könyvvizsgáló cég rendelkezésére bocsátani minden olyan információt, amely észszerűen szükséges annak bizonyítására, hogy a Snap eleget tesz a jelen Megállapodásból eredő kötelezettségeinek, és a Snap lehetővé teszi és közreműködésével elősegíti az Adatkezelő vagy annak megfelelő titoktartásra kötelezett képviselői által folytatott auditokat; ha: (i) az Adatkezelő legalább tíz munkanappal korábban írásban értesíti a Snapet; (ii) az audit lefolytatására a Snap rendes munkaidejében és oly módon kerül sor, hogy az ne zavarja indokolatlan mértékben a Snap rendes üzletmenetét; (iii) az ilyen audit összességében nem tart tovább három munkanapnál; (iv) az Adatkezelő (vagy – az egyértelműség kedvéért – a felhatalmazott független ellenőr) semmilyen körülmények között nem férhet vagy juthat hozzá a Snap védett vagy bizalmas információihoz, kivéve azokat az információkat, amelyek feltétlenül szükségesek a jelen Megállapodásnak való megfelelés bizonyításához; és (v) az Adatkezelő köteles megtéríteni a Snap dokumentált és indokolt költségeit, ha az audit megállapítása szerint a Snap eleget tesz a jelen Megállapodásból eredő kötelezettségeinek. Amennyiben az audit megállapítása szerint a Snap nem tesz eleget a jelen Megállapodásból eredő kötelezettségeinek, úgy a Snap köteles az audit minden indokoltan felmerült költségét megfizetni.

i. A személyes ügyféladatok visszaszolgáltatása vagy megsemmisítése. Miután a Snap a jelen Megállapodás alapján teljesítette a személyes ügyféladatok feldolgozásával kapcsolatos kötelezettségeit, vagy ha azt az Adatkezelő a jelen Megállapodás időtartama alatt bármikor kéri (és az Adatkezelő igénye szerint az általa meghatározott rendszeres időközönként), a Snap köteles vagy: (i) visszaszolgáltatni az Adatkezelőnek a Snap birtokában lévő személyes ügyféladatok egészét vagy részét; vagy (ii) úgy anonimizálni a személyes ügyféladatok egészét vagy részét, hogy az adatok elveszítsék személyes adat jellegüket, vagy (iii) véglegesen törölni vagy olvashatatlanná tenni a személyes ügyféladatok egészét vagy részét. Az Adatkezelő kérésére a Snap köteles írásban megerősíteni az Adatkezelő számára a személyes ügyféladatok anonimizálásának, visszaszolgáltatásának és törlésének tényét.

j. Álnevesített személyes ügyféladatok. Ha a Snap álnevesítve vagy egyéb rejtett formában kapja meg a személyes ügyféladatokat, a Snap: (i) nem kísérelheti meg visszafejteni vagy más módon nem próbálhatja meg újból azonosíthatóvá tenni az álnevesített vagy rejtett személyes ügyféladatokat, kivéve ha az Adatkezelő utasítja erre a Snapet; és (ii) csak abban a formátumban oszthatja meg a személyes ügyféladatokat, amilyen formátumban a Snap átvette azokat az Adatkezelőtől.

Összefoglalva: a Snapnek számos kötelezettséget, köztük törvényi előírásokat is kell teljesítenie az általad rendelkezésre bocsátott személyes ügyféladatok fentiek szerinti feldolgozása során.

a. Értesítés. Az adott helyzetnek megfelelően a GDPR 33. cikkében, a UK GDPR-ben és az LGPD-ben foglaltak alapján a Snap a személyes adatok megsértését az arról való tudomásszerzését követően indokolatlan késedelem nélkül – és ahol megoldható, legfeljebb 72 órán belül – bejelenti az Adatkezelőnek. A Snap ezenkívül a személyes adatok megsértésének leírását, a személyes adatok megsértésének tárgyát képező adatok típusát, az érintettek kategóriáit (amennyiben ezek ismertek a Snap számára), valamint az alkalmazandó Adatvédelmi törvényben meghatározott egyéb információkat is az Adatkezelő rendelkezésére bocsátja, amint ezek az információk összegyűjthetők vagy más módon hozzáférhetővé válnak, és a Snap együttműködik minden indokolt kérés tekintetében, amit az Adatkezelő a személyes adatok megsértésével kapcsolatban hozzá intéz.

b. Kivizsgálás. A Snap vállalja, hogy haladéktalanul intézkedik a személyes adatok megsértésének kivizsgálásáról, a személyes adatok megsértése által kiváltott hatások meghatározásáról, megakadályozásáról és enyhítéséről, valamint az Adatkezelő előzetes egyetértésével a személyes adatok megsértésének orvoslásához szükséges helyreállítási vagy egyéb intézkedések megtételéről.

Összefoglalva: Ha az adatok megsértésére kerül sor, a Snap az esetről való tudomásszerzését követően 72 órán belül értesít téged, rendelkezésedre bocsátja a szükséges információkat, és haladéktalanul megteszi a szükséges intézkedéseket az adatok megsértésének kivizsgálása és a hatások enyhítése érdekében.

a. Jogosult al-adatfeldolgozók. Az Adatkezelő kifejezetten engedélyezi, hogy a Snap leányvállalatai megbízást kapjanak a személyes ügyféladatok feldolgozására, és az Adatkezelő általánosságban engedélyezi, hogy bármely más harmadik fél megbízást kapjon a személyes ügyféladatok al-adatfeldolgozóként történő feldolgozására.

b. Az al-adatfeldolgozó kötelezettségei. Az adott helyzetnek megfelelően a GDPR 28. cikkének (4) bekezdésében, a UK GDPR-ben és az LGPD-ben foglaltak alapján a Snap minden al-adatfeldolgozóra legalább annyira szigorú, jogilag kötelező erővel bíró szerződéses kötelezettségeket ró, mint amilyeneket a jelen Megállapodás tartalmaz.

c. Korlátozott hozzáférés. A Snap biztosítja, hogy minden al-adatfeldolgozó csak az alvállalkozóként rá bízott kötelezettségek teljesítéséhez szükséges mértékben és a jelen Megállapodásban foglaltak szerint férjen hozzá a személyes ügyféladatokhoz és használja azokat.

d. Az al-adatfeldolgozók listájának frissítése. (Az adott helyzetnek megfelelően) a GDPR 28. cikkének (2) bekezdésében és a UK GDPR-ben foglaltak szerint itt található egy naprakész lista: (i) a személyes ügyféladatok feldolgozásában részt vevő valamennyi al-adatfeldolgozóról; (ii) a személyes ügyféladatok al-adatfeldolgozók általi feldolgozásának céljairól; és (iii) az egyes al-adatfeldolgozók székhelyéről. A Snap legalább 30 nappal előre értesíti az Adatkezelőt minden új al-adatfeldolgozó felvételéről. 

e. A tiltakozáshoz való jog. Az Adatkezelő az ebben a pontban leírtak szerint jogosult tiltakozni egy új al-adatfeldolgozó felvétele ellen. Amennyiben az Adatkezelő tiltakozik az ellen, hogy valamely újonnan megbízott al-adatfeldolgozó személyes ügyféladatokat dolgozzon fel, úgy köteles erről haladéktalanul tájékoztatni a Snapet, és ezt követően a Snap vagy: (i) utasítja az al-adatfeldolgozót a személyes ügyféladatok további feldolgozásának megszüntetésére, amely esetben a jelen Megállapodás változatlan formában érvényben marad; vagy (ii) lehetővé teszi az Adatkezelő számára, hogy haladéktalanul felmondja a jelen Megállapodást.

Összefoglalva: amellett, hogy feljogosítod a Snapet, hogy adatfeldolgozóként járjon el, a Snap leányvállalatait is feljogosítod arra, hogy al-adatfeldolgozóként személyes ügyféladatokat dolgozzanak fel. A Snap jogilag kötelező erővel bíró megállapodást köt minden al-adatfeldolgozóval, és listát vezet azokról, akikkel megbízást kötött. Jogod van tiltakozni a Snap al-adatfeldolgozóval kötött megbízása ellen.

a. Ha az Adatkezelő az EGT-ben, Svájcban vagy az Egyesült Királyságban rendelkezik tevékenységi hellyel, és a Snap Inc. részére ad át személyes adatokat, akkor az Adatátadási megállapodás:

(i) vonatkozik ezekre az adatátadásokra; 

(ii) ezen adatátadások tárgyában elsőbbséget élvez minden más feltétellel szemben, a jelen Megállapodás feltételeit is beleértve;

(iii) jogilag kötelező erővel bíró szerződést testesít meg közted mint adatátadó és a Snap mint adatátvevő vagy az adatátvevő nevében eljáró képviselő között; és 

(iv) ezennel beépül az Üzleti szolgáltatási feltételekbe. 

b. Az EGT, Svájc és az Egyesült Királyság területén élő érintettek személyes adatait illetően az Adatkezelő és a Snap megállapodnak abban, hogy a Snap abban az esetben dolgozhat fel személyes ügyféladatokat az EGT-n, Svájcon és az Egyesült Királyságon kívül, ha teljesülnek az Adatvédelmi törvény követelményei (értelemszerűen beleértve a GDPR 44–47. cikkét), vagy ha valamilyen kivétel vonatkozik rá (értelemszerűen beleértve a GDPR 49. cikkében felsoroltakat).

c. A Brazíliában élő érintettek személyes adatait illetően az Adatkezelő egyetért azzal, hogy a Snap feldolgozhat személyes ügyféladatokat Brazílián kívül, továbbá az Adatkezelő kijelenti és szavatolja, hogy a személyes ügyféladatok ilyen jellegű átadása összhangban áll az LGPD-vel.

Összefoglalva: ha a tartózkodási helyed az EGT, Svájc vagy az Egyesült Királyság területén található, akkor a személyes adatoknak a Snap számára történő átadása minden esetben az Adatátadási megállapodás hatálya alá tartozik. Az EGT, Svájc és az Egyesült Királyság területén élő érintettek személyes adatait illetően te és a Snap vállaljátok, hogy megfeleltek a GDPR szerinti nemzetközi adatátadásokra vonatkozó rendelkezéseknek. A brazíliai érintettek személyes adatait illetően biztosítod a Snapet arról, hogy ezeknek a személyes adatoknak a Snap által történő, Brazílián kívüli feldolgozása megfelel a brazil általános adatvédelmi törvény feltételeinek. 

a. Kártalanítás. A Snap vállalja, hogy kártalanítja az Adatkezelőt minden olyan, harmadik féltől származó keresetlevél, díj, követelés, kártérítés, veszteség, költség, tartozás és kiadás tekintetében, amely amiatt merül fel, illetve bármilyen módon azzal áll összefüggésben, hogy a Snap megszegi a jelen Megállapodást.

b. Kártalanítási eljárás. Az Adatkezelő haladéktalanul írásban értesíti a Snapet minden kártalanítási követelésről, azonban a Snapnek küldendő értesítés elmulasztása nem mentesíti a Snapet semmilyen kártalanítási felelősség vagy kötelezettség alól, kivéve ha a mulasztás súlyosan hátrányosan érinti a Snapet. Az Adatkezelő a Snap költségén észszerűen együttműködik a Snappel a kártalanítási követeléssel kapcsolatos védekezés, egyezségkötés vagy rendezés során. Az Adatkezelő előzetes írásbeli hozzájárulása nélkül, amelyet az Adatkezelő saját belátása szerint biztosíthat, a Snap semmilyen módon nem köthet egyezséget, nem rendezhet semmilyen követelést, és nem ismerhet el semmilyen felelősséget. Az Adatkezelő (saját költségén) az általa választott jogi képviselővel részt vehet a követelés elleni védekezésben, az egyezségkötésben és a követelés rendezésében.

c. Al-adatfeldolgozói felelősség. A Snap tudomásul veszi és elfogadja, hogy az Adatkezelővel szembeni felelőssége akkor is fennáll, ha a jelen Megállapodás feltételeit egy al-adatfeldolgozó vagy a Snap által a későbbiekben adatfeldolgozással megbízott bármely más harmadik fél szegi meg.

Összefoglalva: ha harmadik félhez köthető károd keletkezik azzal kapcsolatban, hogy a Snap megszegi a jelen Megállapodást, akkor a Snap kártalanítani fog téged. 

a. Megszűnés. A jelen Megállapodás az Üzleti szolgáltatási feltételek megszűnésekor automatikusan megszűnik.

b. Érvényben maradás. A Snap személyes ügyféladatok visszaszolgáltatásával vagy törlésével kapcsolatos kötelezettségei az Üzleti szolgáltatási feltételek és a jelen Megállapodás megszűnését követően is érvényben maradnak mindaddig, amíg a Snap a jelen Megállapodásban foglaltak szerint vissza nem szolgáltatja vagy nem törli a személyes ügyféladatokat.

Összefoglalva: a jelen Megállapodás az Üzleti szolgáltatási feltételek megszűnésével egyidejűleg megszűnik, a Snapet azonban továbbra is terheli a személyes ügyféladatok visszaszolgáltatásának vagy törlésének kötelezettsége. 

Ha ellentmondás vagy következetlenség van a jelen Megállapodás, az Adatátadási megállapodás, az Üzleti szolgáltatási feltételek, bármely alkalmazandó Kiegészítő feltételek és irányelvek vagy a Snap Szolgáltatási feltételei között, akkor a következő fontossági sorrend érvényes: az Adatátadási megállapodás (de csak annyiban, amennyiben a fenti 6.a pont vonatkozik rá), a jelen Megállapodás, a Kiegészítő feltételek és irányelvek, az Üzleti szolgáltatási feltételek és a Snap Szolgáltatási feltételei.

Összefoglalva: Ha ellentmondás van a Snap különböző feltételeiben és irányelveiben foglalt rendelkezések között, akkor a fenti fontossági sorrend szerint kell figyelembe venni őket. 

Az adatátadó a jelen Megállapodásban meghatározott Adatkezelő, akinek neve, címe és elérhetősége megegyezik az üzleti szolgáltatásokon keresztül a Snap rendelkezésére bocsátott adatokkal. A jelen Kikötések alapján átadott adatok szempontjából releváns tevékenységnek minősül az adott üzleti szolgáltatásoknak az Üzleti szolgáltatási feltételek, valamint az alkalmazandó Kiegészítő feltételek és irányelvek szerinti igénybevétele. Az adatátadó adatkezelői szerepet tölt be. 

Az adatátvevő:

Snap Inc., amelynek címe 3000 31st Street, Santa Monica, California 90405

A jelen Kikötések alapján átadott adatok szempontjából releváns tevékenységnek minősül az adott üzleti szolgáltatásoknak az Üzleti szolgáltatási feltételek, valamint az alkalmazandó Kiegészítő feltételek és irányelvek szerinti biztosítása. Az adatátvevő adatfeldolgozói szerepet tölt be.

A Snap jelen Megállapodás szerinti adatfeldolgozási tevékenységei a következők:

Az üzleti szolgáltatások Snap által történő biztosítása az Adatkezelő számára.

A jelen Megállapodás időtartama plusz a jelen Megállapodás lejártától az adatok jelen Megállapodás szerinti anonimizálásáig, visszaszolgáltatásáig vagy törléséig eltelt idő.

A Snap azzal a céllal dolgozza fel a személyes ügyféladatokat, hogy az Üzleti szolgáltatási feltételekben és a jelen Megállapodásban foglalt rendelkezések és leírások szerint biztosítsa az üzleti szolgáltatásokat az Adatkezelő számára.

Az Adatkezelő által (vagy utasítására) az üzleti szolgáltatásokon keresztül a Snapnek átadott, természetes személyekre vonatkozó személyes ügyféladatok körébe tartozhatnak a következők:

• e-mail-cím

• telefonszám

• mobilhirdetés azonosítója (IDFA/AAID)

• IP-cím

• sütiazonosító

• böngészőfelhasználói ügynök

• weboldalakon és alkalmazásokban végrehajtott műveletek és események, beleértve a megtekintett oldalakat, vásárlásokat, kereséseket, vásárláslezárási eseményeket, kívánságlistákat, telepítéseket és a felhasználói regisztrációs módszereket

Nem vonatkozik ide

Folyamatos

Az érintettek közé olyan EGT-beli, svájci, egyesült királyságbeli és brazíliai természetes személyek tartoznak, akikre vonatkozóan az Adatkezelő (vagy az utasítására más) az üzleti szolgáltatásokon keresztül személyes adatokat bocsát a Snap rendelkezésére.

Az illetékes felügyeleti hatóság a holland adatvédelmi hatóság (Autoriteit Persoonsgegevens, AP).

Összefoglalva: az adatfeldolgozás tárgyát és részleteit a fentiek ismertetik.

1. Egy írásos információbiztonsági program megvalósítása és betartása, amely összhangban áll a bevált iparági szabványokkal, a személyes ügyféladatok jellegének megfelelő adminisztratív, technikai, és fizikai biztosítékokat tartalmaz, és védi ezeket az adatokat a következők ellen: jogosulatlan hozzáférés, megsemmisülés, felhasználás, módosítás vagy közzététel; jogosulatlan hozzáférés vagy felhasználás, amely jelentős sérelemmel vagy kellemetlenséggel járhat az Adatkezelő, az Adatkezelő ügyfelei vagy az Adatkezelő alkalmazottai számára; valamint az ilyen adatok biztonságát vagy integritását érintő, előre látható fenyegetések vagy veszélyek.

2. Biztonsággal kapcsolatos ésszerű irányelvek és normák elfogadása és végrehajtása.

3. Az információbiztonság irányításával kapcsolatos feladatok kiosztása.

4. Megfelelő személyi erőforrások biztosítása az információbiztonsági feladatok ellátásához.

5. Ellenőrző vizsgálatok elvégzése a személyes ügyféladatokhoz hozzáférő állandó alkalmazottakon.

6. Megfelelő háttérellenőrzések lefolytatása, valamint a személyes ügyféladatokhoz hozzáférő alkalmazottak, beszállítók és egyéb személyek kötelezése arra, hogy írásos titoktartási megállapodásokat írjanak alá.

7. Képzések tartása annak érdekében, hogy a személyes ügyféladatokhoz hozzáférő alkalmazottak és más személyek tisztában legyenek az információbiztonsági kockázatokkal, valamint a Snap adatvédelmi irányelveinek és normáinak való megfelelés erősítése érdekében.

8. A személyes ügyféladatokhoz való jogosulatlan hozzáférés megakadályozása megfelelő fizikai és logikai (jelszavas) belépés-ellenőrzés használatával, adatfeldolgozásra alkalmas védett területekkel, az adatfeldolgozó helyiségek használatának monitorozására szolgáló eljárásokkal, rendszerbe épített ellenőrzési nyomvonalakkal, biztonságos jelszavak használatával, hálózati behatolásészlelési technológiával, titkosítási és hitelesítési technológiával, biztonságos bejelentkezési eljárásokkal, vírusvédelemmel, valamint a Snap adatvédelmi irányelveinek és normáinak betartását ellenőrző folyamatos monitorozással. A Snap értelemszerűen és a teljesség igénye nélkül különösen az alábbiakat valósította meg és tartja be:

• Fizikai hozzáférést szabályozó intézkedések az adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megakadályozása érdekében (pl. beléptetőkártyák, kártyaolvasók, recepció, riasztórendszerek, mozgásérzékelők, betörésjelzők, térfigyelő kamerák és kültéri biztonsági megoldások);

• Használatmegtagadást szabályozó intézkedések az adatvédelmi rendszerek jogosulatlan használatának megakadályozása érdekében (pl. automatikusan kikényszerített jelszóbonyolultsági és jelszó-megváltoztatási követelmények, tűzfalak) ;

• Követelményvezérelt engedélyezési rendszer és hozzáférési jogok, valamint a rendszerhozzáférések monitorozása és naplózása, hogy az adatfeldolgozó rendszer használatára jogosult személyek csak olyan adatokhoz férhessenek hozzá, amelyekhez hozzáférési jogosultsággal rendelkeznek, és hogy a személyes ügyféladatokat ne lehessen jogosultság nélkül elolvasni, másolni, módosítani vagy eltávolítani;

• Az adattovábbítást szabályozó intézkedések, hogy elektronikus adattovábbítás, szállítás vagy adathordozón való tárolás, valamint rekordok átadása és átvétele során a személyes ügyféladatokat ne lehessen jogosultság nélkül elolvasni, másolni, módosítani vagy eltávolítani. A Snap információbiztonsági programja különösen oly módon lesz kialakítva:

  • hogy a Snap birtokában lévő bármely tárolt adathalmazt, az érzékeny személyes adatokat is beleértve, vezető iparági szabványokon alapuló megfelelő titkosítási szintek, például AES–256-os titkosítás alkalmazásával titkosítja, és a valós felhasználói azonosító tárolásának megakadályozása érdekében a felhasználói személyazonosságokat kulcs-érték pár, például ghost_id segítségével tárolja a rendszerben; és

  • hogy ha érzékeny személyes adatokat kell elektronikusan továbbítani (a faxon továbbított adatok kivételével) a Snap informatikai rendszerén kívüli személy számára vagy nyilvános hálózaton keresztül, akkor a biztonságos adattovábbítás érdekében az adatok titkosítása a TLS 1.2 protokoll legfrissebb támogatott verziójával történik;

• Adatbevitelt szabályozó intézkedések, hogy a Snap ellenőrizni tudja és meg tudja állapítani, hogy vittek-e be személyes ügyféladatokat az adatfeldolgozó rendszerbe, módosítottak vagy eltávolítottak-e személyes ügyféladatokat, és ha igen, akkor ki tette;

• Folyamatos biztonsági tesztelési intézkedések, hogy az információbiztonsági gyakorlatok relevánsak, hatékonyak és naprakészek maradjanak, beleértve az éves behatolási tesztelést, a hibavadászati programot, a rendszerellenőrző eszközök használatát, a szimulációs gyakorlatokat, a biztonsági mentések helyreállítását vizsgáló teszteket, az üzembe helyezés előtt álló rendszerek hibatűrésének vizsgálatát, valamint a megtörtént incidensek utólagos kivizsgálását a megfelelő katasztrófaelhárítási tervek frissítése érdekében;

• Az al-adatfeldolgozók felügyeletét célzó intézkedések annak biztosítása érdekében, hogy ha a Snap jogosult al-adatfeldolgozókat igénybe venni, akkor a személyes ügyféladatok feldolgozása szigorúan az Adatkezelő utasításainak megfelelően történjen, értelemszerűen beleértve az alábbi intézkedéseket:

  • intézkedések annak biztosítására, hogy a személyes ügyféladatok védve legyenek a véletlen megsemmisülés vagy elvesztés ellen, értelemszerűen és a teljesség igénye nélkül beleértve az adatmentésre, adatmegőrzésre és biztonságos megsemmisítésre vonatkozó irányelveket; a katasztrófa utáni helyreállításhoz szükséges adatok külső helyen való biztonságos tárolása; szünetmentes áramellátás, valamint katasztrófaelhárítási programok; és

  • intézkedések annak biztosítására, hogy a különböző célokból gyűjtött adatokat külön-külön lehessen feldolgozni, értelemszerűen beleértve a személyes ügyféladatok fizikai vagy megfelelő logikai elkülönítését. 

9. Az adott körülményeknek megfelelő egyéb lépések megtétele.

Összefoglalva: a Snap számos intézkedést foganatosított, hogy a fent írtak szerint gondoskodjon az ügyféladatok biztonságáról.