INFORMACJA O POSTĘPOWANIU ARBITRAŻOWYM: UŻYTKOWNIK PODLEGA POSTANOWIENIOM KLAUZULI ARBITRAŻOWEJ W REGULAMINIE USŁUG BIZNESOWYCH. GDY UŻYTKOWNIK ZAWIERA UMOWĘ Z FIRMĄ SNAP INC., UŻYTKOWNIK I SNAP INC. ZRZEKAJĄ SIĘ PRAWA DO UDZIAŁU W POZWIE ZBIOROWYM, A TAKŻE DO GRUPOWEGO DOCHODZENIA ROSZCZEŃ W POSTĘPOWANIU ARBITRAŻOWYM.

Niniejsza Umowa o przetwarzaniu danych (zwana dalej „Umową”) reguluje stosunek prawny pomiędzy użytkownikiem a firmą Snap, który obejmuje przetwarzanie przez firmę Snap danych osobowych klientów w imieniu użytkownika będącego Administratorem danych, i stanowi część Regulaminu świadczenia usług biznesowych. Definicje niektórych terminów użytych w niniejszej Umowie znajdują się w Regulaminie świadczenia usług biznesowych.

Podsumowując, niniejsza Umowa ma zastosowanie w przypadku, gdy firma Snap przetwarza dane osobowe klientów użytkownika, w sytuacji, gdy użytkownik jest Administratorem danych, a firma Snap jest podmiotem przetwarzającym dane.

„Dane osobowe klientów” oznaczają dane osobowe podmiotów z EOG, Szwajcarii, Wielkiej Brytanii i Brazylii, które zostały przekazane firmie Snap przez użytkownika lub w imieniu użytkownika jako administratora danych.

„Administrator danych” oznacza administratora zgodnie z definicją w RODO, brytyjskim RODO lub LGDP, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych klientów.

„Prawo o ochronie danych” oznacza przepisy EOG, Szwajcarii, Zjednoczonego Królestwa i Brazylii o ochronie danych mające zastosowanie do przetwarzania danych osobowych klientów na mocy niniejszej Umowy, w tym RODO, brytyjskie przepisy o ochronie danych i LGPD.

„EOG” oznacza Europejski Obszar Gospodarczy.

„RODO” oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz uchylenie dyrektywy 95/46/WE.

„LGPD” oznacza brazylijskie ogólne prawo o ochronie danych (Lei Geral de Proteção de Dados Pessoais).

„Naruszenie danych osobowych” oznacza przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmiana, nieuprawnione ujawnienie danych osobowych klientów lub dostęp do nich w systemach zarządzanych lub kontrolowanych przez firmę Snap.

„Podmioty przetwarzające dane” oznaczają strony trzecie upoważnione na mocy niniejszej Umowy do uzyskiwania dostępu do danych osobowych klientów i przetwarzania ich w celu świadczenia części usług biznesowych.

„Zjednoczone Królestwo” oznacza Wielką Brytanię.

„Brytyjskie przepisy o ochronie danych” oznaczają RODO, ponieważ stanowią one część prawa Anglii i Walii, Szkocji i Irlandii Północnej na mocy sekcji 3 ustawy o Wyjściu Wielkiej Brytanii z Unii Europejskiej z 2018 r. („brytyjskie RODO”) i Ustawy o ochronie danych z 2018 r.

Pojęcia „dane osobowe”, „podmiot danych”, „przetwarzanie”, „administrator”, „podmiot przetwarzający”, „przedstawiciel” i „organ nadzorczy”, każde z nich użyte w niniejszej Umowie, mają znaczenie nadane w RODO, brytyjskim RODO lub LGPD, w każdym przypadku, niezależnie od tego, czy ma zastosowanie prawo o ochronie danych.

a. Role stron. Firma Snap przetwarza dane osobowe klientów w imieniu Administratora danych osobowych oraz zgodnie z jego instrukcjami na podstawie art. 28 ust. 1 RODO.

b. Powierzenie przetwarzania danych. Administrator danych powierza firmie Snap przetwarzanie danych osobowych klientów w swoim imieniu wyłącznie w zakresie, jaki jest niezbędny do świadczenia usług biznesowych, a także w zakresie uzgodnionym przez strony na piśmie.

c. Uzasadnienie przetwarzania danych. Administrator danych osobowych przetwarza dane osobowe klientów wyłącznie w granicach obowiązującego prawa.

d. Zakres przetwarzania danych. Zakres i szczegółowe informacje dotyczące przetwarzania danych osobowych określone są w Załączniku Nr 1 do niniejszej Umowy.

e. Zgodność z prawem. Każda ze stron zobowiązuje się do przestrzegania zobowiązań wynikających z przepisów prawa o ochronie danych osobowych w odniesieniu do wszelkich danych osobowych klientów, które przetwarza na mocy niniejszej Umowy lub w związku z jej wykonywaniem. Bez uszczerbku dla powyższego postanowienia, firma Snap zobowiązuje się przetwarzać dane osobowe klientów w taki sposób, który nie będzie skutkować naruszeniem przez Administratora danych osobowych obowiązków wynikających z przepisów prawa o ochronie danych. Firma Snap niezwłocznie powiadomi Administratora danych, jeśli uzna, że instrukcje Administratora danych osobowych naruszają przepisy prawa o ochronie danych.

Podsumowując, Użytkownik powierza firmie Snap przetwarzanie danych osobowych klientów w swoim imieniu. Użytkownik odpowiada za powierzenie przetwarzania danych na podstawie obowiązujących przepisów prawa o ochronie danych. Użytkownik i firma Snap zobowiązują się do przestrzegania wszystkich przepisów prawa o ochronie danych.

a. Przetwarzanie danych osobowych klientów. Firma Snap przetwarza dane osobowe klientów wyłącznie zgodnie z postanowieniami Regulaminu usług biznesowych oraz niniejszej umowy i nie będzie wykorzystywać ani przetwarzać danych osobowych klientów w innym celu niż jako podmiot wyznaczony przez administratora danych przetwarzający dane osobowe.

b. Bezpieczeństwo danych. Zgodnie z art. 32 RODO, brytyjskim RODO i LGDP, w zależności od tego, które z nich mają zastosowanie, oraz zgodnie z postanowieniami Załącznika 2 do niniejszej Umowy, Snap wdroży i będzie utrzymywać wszelkie odpowiednie środki techniczne, administracyjne i organizacyjne, wymagane do: (i) zapewnienia poziomu poufności i bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem i charakterem danych osobowych klientów; oraz (ii) zapobiegania nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych klientów, przypadkowej utracie, ujawnieniu lub zniszczeniu danych osobowych klientów.

c. Nieujawnianie informacji. Snap nie będzie publikować, ujawniać ani przekazywać (i dopilnuje, aby pracownicy Snap nie publikowali, ujawniali ani nie przekazywali) danych osobowych klientów stronom trzecim, o ile administrator danych nie wyrazi na to uprzedniej pisemnej zgody.

d. Poufność. Snap dopilnuje, aby dostęp do danych osobowych klientów mieli wyłącznie pracownicy, których zadaniem może być pomoc w wypełnianiu zobowiązań wynikających z Regulaminu usług biznesowych lub niniejszej Umowy, oraz aby tacy pracownicy byli objęci odpowiednimi zobowiązaniami w zakresie zachowania poufności, a także podejmowali wszelkie uzasadnione kroki zgodnie z najlepszymi praktykami w branży w celu zapewnienia poufności danych osobowych klientów.

e. Współpraca. Snap będzie współpracować z administratorem danych i udzielać mu pomocy w uzasadnionym zakresie, w jakim będzie to konieczne w celu umożliwienia administratorowi danych wypełnienia jego obowiązków wynikających z art. 32–36 RODO, brytyjskiego RODO i LGDP, w zależności od tego, które z nich mają zastosowanie, w tym w odniesieniu do bezpieczeństwa danych, powiadomienia o naruszeniu danych, oceny wpływu na ochronę danych, uprzednich konsultacji z organami nadzoru, wypełniania praw osób, których dane dotyczą, oraz wszelkich zapytań, powiadomień lub dochodzeń prowadzonych przez organy nadzoru, zgodnie z postanowieniami niniejszej Umowy.

f. Żądania osób, których dane dotyczą i organów nadzoru. Snap poinformuje administratora danych niezwłocznie, nie później niż w ciągu dwóch dni roboczych, o wszelkich zapytaniach lub skargach otrzymanych od osób, których dane dotyczą, lub organu nadzoru w odniesieniu do danych osobowych klientów. Snap będzie udzielać administratorowi danych wsparcia w zakresie, w jakim będzie to uzasadnione z handlowego punktu widzenia, w wypełnianiu obowiązku administratora danych polegającego na odpowiadaniu na wnioski osób, których dane dotyczą i organów nadzoru zgodnie z wymogami przepisów o ochronie danych.

g. Ocena wpływu na ochronę danych. Na żądanie Snap dostarczy administratorowi danych informacji i udzieli wsparcia w zakresie, w jakim będzie to uzasadnione z handlowego punktu widzenia, biorąc pod uwagę charakter przetwarzania oraz informacje dostępne dla Snap, aby pomóc administratorowi danych w przeprowadzeniu oceny wpływu na ochronę danych zgodnie z wymogami przepisów o ochronie danych.

h. Dostarczanie dowodów. W okresie obowiązywania niniejszej Umowy oraz przez okres jednego roku po jej wygaśnięciu Snap udzieli administratorowi danych lub uznanej na arenie międzynarodowej firmie audytorskiej działającej w imieniu administratora danych, wszelkich informacji w uzasadnionym zakresie niezbędnych do wykazania zgodności Snap z postanowieniami niniejszej Umowy, jak również Snap zezwoli na przeprowadzanie audytów przez administratora danych lub jego przedstawicieli, którzy są objęci odpowiednimi zobowiązaniami do zachowania poufności i wniesie wkład w te audyty; jeśli: (i) administrator danych dostarczy Snap pisemne powiadomienie z wyprzedzeniem nie krótszym niż dziesięć dni roboczych; (ii) taki audyt zostanie przeprowadzony w zwykłych godzinach pracy Snap i w sposób, który nie zakłóca w nieuzasadnionym stopniu zwykłej działalności biznesowej Snap; (iii) taki audyt nie będzie trwał dłużej niż trzy dni robocze; (iv) w żadnym wypadku administrator danych (ani, dla uniknięcia wątpliwości, żaden upoważniony audytor zewnętrzny) nie będzie uprawniony do uzyskiwania dostępu do zastrzeżonych lub poufnych informacji Snap ani do ich otrzymywania, z wyjątkiem zakresu ściśle niezbędnego do wykazania zgodności z postanowieniami niniejszej Umowy; oraz (v) administrator danych jest zobowiązany do zwrotu Snap udokumentowanych uzasadnionych kosztów poniesionych przez Snap, jeśli audyt wykaże, że Snap przestrzega postanowień niniejszej Umowy. W przypadku gdy audyt wykaże, że Snap nie przestrzega postanowień niniejszej Umowy, Snap będzie zobowiązany do pokrycia wszelkich uzasadnionych kosztów takiego audytu.

i. Zwrot lub zniszczenie danych osobowych klientów. Po wypełnieniu zobowiązań Snap w zakresie przetwarzania danych osobowych klientów na mocy niniejszej Umowy lub na żądanie administratora danych w dowolnym momencie w okresie obowiązywania niniejszej Umowy (oraz, jeśli administrator danych tego zażąda, w regularnych odstępach czasu określonych przez administratora danych), Snap: (i) zwróci całość lub podzbiór danych osobowych klientów znajdujących się w posiadaniu Snapa administratorowi danych; lub (ii) zanonimizuje całość lub część danych osobowych klientów w taki sposób, że dane te nie będą już stanowić danych osobowych; lub (iii) trwale usunie całość lub część danych osobowych klientów lub sprawi, że będą nieczytelne. Na wniosek administratora danych Snap musi dostarczyć administratorowi danych pisemne potwierdzenie anonimizacji, zwrotu i usunięcia danych osobowych klientów.

j. Zaszyfrowane dane osobowe klientów. Jeśli Snap otrzyma dane osobowe klientów w formacie zaszyfrowanym lub w inny sposób zamaskowanym, Snap: (i) nie będzie podejmować prób inżynierii wstecznej ani innych prób ponownego zidentyfikowania zaszyfrowanych lub zamaskowanych danych osobowych administratora danych, o ile administrator danych nie zażąda tego od Snap; oraz (ii) będzie udostępniać dane osobowe klientów wyłącznie w formacie, w którym Snap otrzymał je od administratora danych.

Podsumowanie: Snap będzie przestrzegać szeregu zobowiązań, do których należą również wymogi ustawowe, podczas przetwarzania danych osobowych klientów, które zostały dostarczone przez użytkownika, zgodnie z powyższymi postanowieniami.

a. Powiadomienie. Zgodnie z art. 33 RODO, brytyjskim RODO i LGDP, w zależności od tego, które z nich mają zastosowanie, Snap powiadomi administratora danych bez nieuzasadnionej zwłoki i w miarę możliwości nie później niż 72 godziny po otrzymaniu wiadomości o naruszeniu danych osobowych. Snap przekaże również administratorowi danych opis naruszenia danych osobowych, rodzaj danych, które były przedmiotem naruszenia (w zakresie znanym Snap), kategorie osób, których dane dotyczą oraz inne informacje wymagane przez obowiązujące przepisy o ochronie danych, gdy tylko takie informacje uda się uzyskać lub w inny sposób staną się dostępne, oraz Snap będzie współpracować w zakresie wszelkich uzasadnionych żądań administratora danych dotyczących przypadku naruszenia danych osobowych.

b. Badanie. Snap zobowiązuje się do natychmiastowego podjęcia badania dotyczącego naruszenia danych osobowych w celu zidentyfikowania, zapobiegania i przeciwdziałania skutkom takiego naruszenia danych osobowych, a także za uprzednią zgodą administratora danych w celu podjęcia wszelkich działań naprawczych lub innych działań niezbędnych do usunięcia skutków naruszenia danych osobowych.

Podsumowanie: w przypadku naruszenia danych Snap powiadomi użytkownika w ciągu 72 godzin od otrzymania wiadomości o naruszeniu, przekaże użytkownikowi odpowiednie informacje i natychmiast podejmie działania w celu zbadania naruszenia i przeciwdziałania jego skutkom.

a. Upoważnieni administratorzy wtórnie przetwarzający dane osobowe. Administrator danych wyraża zgodę na przetwarzanie danych osobowych klientów przez podmioty powiązane z firmą Snap. Administrator danych co do zasady wyraża zgodę na wtórne przetwarzanie danych osobowych klientów przez inne strony trzecie.

b. Obowiązki administratora wtórnie przetwarzającego dane osobowe. Zgodnie z art. 28 ust. 4 RODO, firma Snap zawiera umowę z każdym z administratorów wtórnie przetwarzającym dane osobowe, której postanowienia są równie restrykcyjne, jak postanowienia niniejszej Umowy.

c. Ograniczony dostęp. Firma Snap zobowiązuje się zapewnić, że każdy administrator wtórnie przetwarzający dane osobowe klientów będzie mieć do nich dostęp i korzystać z nich wyłącznie w zakresie niezbędnym do wypełnienia własnych zobowiązań oraz zgodnie z postanowieniami niniejszej Umowy.

d. Zmiany administratorów wtórnie przetwarzających dane osobowe. Zgodnie z art. 28 ust. 2 RODO przedstawiamy aktualną listę: (i) wszystkich administratorów wtórnie przetwarzających dane osobowe klientów; (ii) celów, w których administratorzy wtórnie przetwarzający dane osobowe przetwarzają dane osobowe klientów oraz (iii) lokalizacji każdego z administratorów wtórnie przetwarzających dane osobowe. Firma Snap powiadamia Administratora danych co najmniej 30 dni przed dodaniem nowego administratora wtórnie przetwarzającego dane osobowe.

e. Prawo wyrażenia sprzeciwu. Administrator danych ma prawo sprzeciwić się dodaniu nowego administratora wtórnie przetwarzającego dane osobowe, zgodnie z postanowieniami niniejszego paragrafu. W przypadku gdy Administrator danych wyraża sprzeciw przeciwko przetwarzaniu danych osobowych klientów przez nowo wyznaczonego administratora wtórnie przetwarzającego dane osobowe, niezwłocznie powiadamia o tym firmę Snap, a firma Snap: (i) nakazuje temu administratorowi zaprzestać dalszego przetwarzania danych osobowych klientów, co nie rodzi skutków względem obowiązywania niniejszej umowy, lub (ii) wyraża zgodę na natychmiastowe rozwiązanie niniejszej umowy przez Administratora danych.

Podsumowując, oprócz upoważnienia firmy Snap do pełnienia funkcji podmiotu przetwarzającego dane osobowe, użytkownik upoważnia również podmioty powiązane z firmą Snap do przetwarzania danych osobowych klientów jako administratorzy wtórnie przetwarzający dane osobowe. Firma Snap zawiera umowy z wszystkimi administratorami wtórnie przetwarzającymi dane osobowe oraz prowadzi ich listę. Użytkownikowi przysługuje prawo sprzeciwu wobec wyznaczenia przez firmę Snap administratora wtórnie przetwarzającego dane osobowe.

a. W przypadku gdy Administrator danych osobowych ma siedzibę w EOG, Szwajcarii lub Wielkiej Brytanii i przekazuje dane osobowe firmie Snap Inc., wówczas Umowa o przekazywaniu danych osobowych:

(i) ma zastosowanie do takiego przekazywania danych osobowych;

(ii) ma pierwszeństwo przed wszelkimi innymi postanowieniami, w tym postanowieniami niniejszej Umowy, w odniesieniu do takiego przekazywania danych;

(iii) reguluje stosunek prawny między użytkownikiem jako podmiotem przekazującym dane osobowe a firmą Snap jako podmiotem odbierającym dane osobowe lub działającą w imieniu takiego podmiotu;

(iv) staje się częścią Regulaminu świadczenia usług biznesowych.

b. W odniesieniu do danych osobowych osób, których dane dotyczą, z EOG, Szwajcarii i Wielkiej Brytanii Administrator danych osobowych oraz firma Snap uzgadniają, że firma Snap może przetwarzać dane osobowe klientów poza EOG, Szwajcarią i Wielką Brytanią, jeżeli spełnione będą wymogi określone w prawie o ochronie danych osobowych (w tym w stosownych przypadkach, art. 44-47 RODO), lub zachodzi wyjątek (w tym, w stosownych przypadkach, wyjątki przewidziane w art. 49 RODO).

c. W odniesieniu do danych osobowych osób, których dane dotyczą, z Brazylii, Administrator danych osobowych wyraża zgodę na przetwarzanie przez firmę Snap danych osobowych klientów poza Brazylią, a także oświadcza, że takie przekazywanie danych osobowych klientów jest zgodne z wymogami prawnymi dotyczącymi ochrony danych osobowych.

Podsumowując, jeżeli Użytkownik ma siedzibę w EOG, Szwajcarii lub Wielkiej Brytanii, postanowienia Umowy o przekazywaniu danych osobowych mają zastosowanie do wszystkich przypadków przekazywania danych osobowych na rzecz firmy Snap. W odniesieniu do danych osobowych osób, których dane dotyczą, z EOG, Szwajcarii i Wielkiej Brytanii, Użytkownik i firma Snap zobowiązują się do przestrzegania przepisów RODO dotyczących międzynarodowego przekazywania danych. W odniesieniu do danych osobowych obywateli Brazylii, Użytkownik zapewnia firmę Snap, że przetwarzanie takich danych osobowych przez firmę Snap poza Brazylią będzie zgodne z przepisami brazylijskiej ustawy o ochronie danych.

a. Wyłączenie odpowiedzialności. Firma Snap zobowiązuje się zwolnić Administratora danych z odpowiedzialności z tytułu wszelkich skarg, zarzutów, roszczeń, szkód, strat, kosztów, zobowiązań i wydatków poniesionych przez strony trzecie z powodu lub w związku z naruszeniem przez firmę Snap postanowień niniejszej Umowy.

b. Procedura przejmowania odpowiedzialności. Administrator danych niezwłocznie powiadamia firmę Snap na piśmie o wszelkich roszczeniach odszkodowawczych. Niepowiadomienie firmy Snap nie zwalnia jej z odpowiedzialności lub zobowiązań odszkodowawczych z wyjątkiem sytuacji, w których takie zaniechanie spowodowało istotne ograniczenie praw przysługujących firmie Snap. Administrator danych będzie w uzasadnionym zakresie współpracował z firmą Snap (na jej koszt) w kwestiach dotyczących obrony, negocjacji lub zaspokojenia roszczeń odszkodowawczych. Firma Snap zobowiązuje się nie negocjować lub nie zaspokajać roszczeń ani nie przyjmować odpowiedzialności bez uprzedniej pisemnej zgody Administratora danych, wyrażonej według własnego uznania. Administrator danych może na własny koszt uczestniczyć w obronie, negocjacjach i zaspokajaniu roszczeń za pośrednictwem wybranych przez siebie przedstawicieli.

c. Odpowiedzialność administratora wtórnie przetwarzającego dane osobowe. Firma Snap przyjmuje do wiadomości i wyraża zgodę na to, że wobec Administratora danych będzie ponosić odpowiedzialność za naruszenie postanowień niniejszej Umowy przez administratora wtórnie przetwarzającego dane osobowe oraz inne wyznaczone przez nią podmioty przetwarzające dane osobowe.

Podsumowując, jeżeli podmiot zewnętrzny wyrządzi Ci szkodę w związku z naruszeniem przez firmę Snap postanowień niniejszej Umowy, firma Snap pokryje tę szkodę.

a. Rozwiązanie umowy. Niniejsza Umowa wygasa wraz z wygaśnięciem Regulaminu świadczenia usług biznesowych.

b. Zachowanie mocy prawnej. Zobowiązania firmy Snap w zakresie zwrotu lub usunięcia danych osobowych klientów pozostają w mocy po wygaśnięciu Regulaminu świadczenia usług biznesowych oraz niniejszej Umowy do czasu, gdy firma Snap zwróci lub usunie dane osobowe klientów zgodnie z postanowieniami niniejszej Umowy.

Podsumowując, niniejsza Umowa wygasa wraz z wygaśnięciem Regulaminu świadczenia usług biznesowych. Mimo tego, zobowiązanie firmy Snap do zwrotu lub usunięcia danych osobowych klientów pozostanie w mocy.

W przypadku sprzeczności lub niespójności między postanowieniami niniejszej umowy, umowy o przekazywaniu danych osobowych, regulaminu usług biznesowych, wszelkich mających zastosowanie uzupełniających warunków i zasad lub regulaminu Snap, pierwszeństwo jest następujące: umowa o przekazywaniu danych osobowych (ale tylko w zakresie określonym w punkcie 6.a powyżej), niniejsza umowa, uzupełniające warunki i zasady, regulamin usług biznesowych oraz regulamin Snap.

Podsumowanie: w przypadku sprzeczności między postanowieniami różnych warunków i zasad Snap, pierwszeństwo postanowień opisano powyżej. 

Podmiotem przekazującym dane jest Administrator danych określony w niniejszej Umowie, którego firma, adres i dane kontaktowe zostały przekazane firmie Snap za pośrednictwem usług biznesowych. Działania dotyczące danych przekazywanych na mocy tych postanowień obejmują stosowanie odpowiednich usług biznesowych zgodnie z postanowieniami Regulaminu świadczenia usług biznesowych oraz mającymi zastosowanie uzupełniającymi warunkami i zasadami. Podmiot przekazujący dane pełni rolę administratora.

Podmiotem odbierającym dane jest:

Snap Inc. z siedzibą pod adresem 3000 31st Street, Santa Monica, Kalifornia 90405

Działania dotyczące danych przekazywanych na mocy tych postanowień obejmują świadczenie odpowiednich usług biznesowych zgodnie z postanowieniami Regulaminu usług biznesowych oraz mającymi zastosowanie uzupełniającymi warunkami i zasadami. Podmiot odbierający dane pełni rolę podmiotu przetwarzającego.

Na mocy niniejszej Umowy firma Snap podejmuje następujące działania w zakresie przetwarzania danych:

Świadczenie przez firmę Snap usług biznesowych na rzecz administratora danych.

Przez okres obowiązywania niniejszej Umowy oraz okres od wygaśnięcia niniejszej Umowy do momentu anonimizacji, zwrotu lub usunięcia danych zgodnie z postanowieniami niniejszej Umowy.

Firma Snap przetwarza dane osobowe klientów w celu świadczenia usług biznesowych na rzecz administratora danych zgodnie z postanowieniami Regulaminu świadczenia usług biznesowych oraz postanowieniami niniejszej Umowy.

Dane osobowe klientów dotyczące osób fizycznych przekazane firmie Snap za pośrednictwem usług biznesowych przez administratora danych (lub na jego polecenie), które mogą obejmować:

• adres e-mail

• numer telefonu

• identyfikator reklamy mobilnej (IDFA/AAID)

• adres IP;

• identyfikator pliku cookie

• nagłówek przeglądarki

• działania i zdarzenia podejmowane na stronach internetowych i aplikacjach, w tym przeglądane strony, zakupy, wyszukiwania, przejścia do kasy, dodanie do listy życzeń, instalacje oraz sposoby rejestracji użytkownika

Nie dotyczy

Ciągle

Podmioty danych osobowych obejmują osoby fizyczne z EOG, Szwajcarii, Wielkiej Brytanii i Brazylii, których dane osobowe są przekazywane firmie Snap za pośrednictwem usług biznesowych przez administratora danych (lub na jego polecenie).

Właściwym organem nadzorczym jest holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens, AP).

Podsumowując, powyżej określono zakres oraz szczegółowe informacje dotyczące przetwarzania danych.

1. Wdrożenie i przestrzeganie pisemnego programu bezpieczeństwa informacji zgodnego z uznanymi standardami branżowymi, obejmującego zabezpieczenia administracyjne, techniczne i fizyczne dostosowane do charakteru danych osobowych klientów i mającego na celu ochronę takich informacji przed: nieautoryzowanym dostępem, zniszczeniem, wykorzystaniem, modyfikacją lub ujawnieniem; nieautoryzowanym dostępem lub wykorzystaniem, które mogłyby spowodować znaczne szkody lub utrudnienia dla administratora danych, klientów administratora danych lub pracowników administratora danych; oraz wszelkimi potencjalnymi zagrożeniami lub ryzykami dla bezpieczeństwa lub integralności takich informacji.

2. Ustanowienie i wdrażanie uzasadnionych zasad i standardów dotyczących bezpieczeństwa.

3. Przydzielenie odpowiedzialności za zarządzanie bezpieczeństwem informacji.

4. Wyznaczenie odpowiedniego personelu na potrzeby bezpieczeństwa informacji.

5. Przeprowadzanie kontroli weryfikacyjnych pracowników etatowych, którzy będą mieli dostęp do danych osobowych klientów.

6. Przeprowadzanie odpowiednich sprawdzeń historii oraz zobowiązanie pracowników, dostawców i innych osób z dostępem do danych osobowych klientów do zawierania pisemnych umów o poufności.

7. Przeprowadzanie szkoleń w celu zaznajomienia pracowników i innych osób mających dostęp do danych osobowych klientów z zagrożeniami dla bezpieczeństwa informacji oraz w celu zwiększenia stopnia przestrzegania zasad i standardów Snap dotyczących ochrony danych.

8. Zapobieganie nieautoryzowanemu dostępowi do danych osobowych klientów poprzez wykorzystanie, w stosownych przypadkach, fizycznych i logicznych (hasła) kontroli wejścia, bezpiecznych obszarów przetwarzania danych, procedur monitorowania wykorzystania urządzeń do przetwarzania danych, wbudowanych ścieżek audytu systemu, korzystanie z bezpiecznych haseł, technologii wykrywania włamań do sieci, technologii szyfrowania i uwierzytelniania, bezpiecznych procedur logowania i ochrony przed wirusami, a także bieżące monitorowanie zgodności z zasadami i standardami Snap dotyczącymi ochrony danych. W szczególności Snap wdrożył i przestrzega w uzasadnionym zakresie oraz bez ograniczeń:

• środki fizycznej kontroli dostępu w celu zapobiegania nieautoryzowanemu dostępowi do systemów przetwarzania danych (np. karty identyfikacyjne dostępu, czytniki kart, inspektorzy ochrony danych, systemy alarmowe, czujniki ruchu, alarmy włamaniowe, wideomonitoring i zabezpieczenia zewnętrzne);

• środki kontroli typu „odmowa usługi” w celu zapobiegania nieuprawnionemu wykorzystaniu systemów ochrony danych (np. automatyczne egzekwowanie wymogów w zakresie złożoności haseł i konieczności ich zmian oraz zapory sieciowe). ;

• system autoryzacji oparty na wymaganiach i prawa dostępu oraz monitorowanie i rejestrowanie dostępu do systemu w celu zapewnienia, że osoby uprawnione do korzystania z systemu przetwarzania danych mają dostęp wyłącznie do danych, do których mają prawo dostępu, oraz że danych osobowych klientów nie można odczytać, kopiować, modyfikować ani usuwać bez autoryzacji;

• środki kontroli transmisji danych w celu zapewnienia, że danych osobowych klientów nie można odczytać, kopiować, modyfikować ani usuwać bez autoryzacji podczas elektronicznego przesyłania, transportu lub przechowywania na nośnikach danych oraz transferu i odbierania rekordów. W szczególności program bezpieczeństwa informacji Snap zostanie zaprojektowany z uwzględnieniem następujących elementów:

  • szyfrowanie w pamięci wszystkich zestawów danych w posiadaniu Snap, w tym danych osobowych wrażliwych, przy użyciu odpowiednich poziomów szyfrowania w oparciu o najlepsze standardy szyfrowania w branży, w tym AES-256 oraz przechowywanie identyfikatorów użytkowników w systemie za pomocą pary klucz-wartość, takich jak ghost_id, aby zapobiec przechowywaniu rzeczywistego identyfikatora użytkownika; oraz

  • zapewnienie, że wszelkie dane osobowe wrażliwe przekazywane drogą elektroniczną (z wyjątkiem faksu) osobie spoza systemu informatycznego Snap lub przekazywane za pośrednictwem sieci publicznej są szyfrowane przy użyciu najnowszych obsługiwanych wersji protokołu TLS 1.2 w celu ochrony bezpieczeństwa transmisji;

• Środki kontroli wprowadzania danych w celu zapewnienia, że Snap może sprawdzić i określić, czy i przez kogo dane osobowe klientów zostały wprowadzone do systemów przetwarzania danych, zmodyfikowane lub usunięte;

• Środki ciągłego testowania bezpieczeństwa w celu zapewnienia zachowania odpowiedniego poziomu, skuteczności i aktualności działań w zakresie bezpieczeństwa informacji, w tym coroczne testy penetracyjne, program nagradzania za wykrywanie błędów, wykorzystanie narzędzi do skanowania systemu, ćwiczenia praktyczne, testy przywracania kopii zapasowych, przedprodukcyjne testy awaryjne oraz przeprowadzanie analizy po fakcie w odniesieniu do wszelkich zaistniałych incydentów w celu aktualizacji odpowiednich planów usuwania skutków awarii;

• Środki nadzoru nad administratorem danych w celu zapewnienia, że w przypadku gdy Snap ma prawo do korzystania z usług podwykonawców przetwarzania danych, dane osobowe klientów są przetwarzane ściśle zgodnie z instrukcjami administratora danych, w tym, w uzasadnionym zakresie:

  • środki mające na celu zapewnienie, że dane osobowe klientów są chronione przed przypadkowym zniszczeniem lub utratą, w tym, w uzasadnionym zakresie i bez ograniczeń, zasady tworzenia kopii zapasowych, przechowywania i bezpiecznego niszczenia danych; bezpieczne przechowywanie danych poza siedzibą na potrzeby skutecznego odzyskiwania danych po awarii; systemy nieprzerwanego zasilania i programy odzyskiwania po awarii; oraz

  • środki mające na celu zapewnienie, że dane zebrane w różnych celach mogą być przetwarzane odrębnie, w tym, w uzasadnionym zakresie, fizyczne lub odpowiednie logiczne oddzielenie danych osobowych klientów. 

9. Podejmowanie innych kroków tego rodzaju w zależności od okoliczności.

Podsumowanie: Snap wdrożył szereg środków w celu zapewnienia bezpieczeństwa danych klientów, co opisano powyżej.