MEDDELANDE OM SKILJEDOM: DU ÄR BUNDEN AV SKILJEDOMSFÖRFARANDET SOM ANGES I VILLKOR FÖR FÖRETAGSTJÄNSTER. OM DU SKRIVER AVTAL MED SNAP INC., KOMMER DU OCH SNAP INC. AVSÄGER ER ALLA RÄTTIGHETER ATT DELTA I GRUPPTALAN ELLER GRUPPSKILJEDOM.

Denna överenskommelse för databearbetning ("överenskommelse") utgör ett juridisk bindande kontrakt mellan dig och Snap och gäller i den utsträckning som Snap bearbetar personuppgifter för kund för din räkning när du är personuppgiftsansvarig och är införlivade i Villkoren för verksamhetstjänster. Vissa termer som används i denna överenskommelse definieras i Villkoren för verksamhetstjänster.

Sammanfattningsvis: denna överenskommelse gäller när Snap bearbetar dina kunders personuppgifter när du är personuppgiftsansvarig och Snap är personuppgiftsbiträdet.

"Kundens personuppgifter" avser personuppgifter för registrerade inom EES, Schweiz, Storbritannien och Brasilien som tillhandahålls Snap av dig eller för din räkning när du är personuppgiftsansvarig.

"Personuppgiftsansvarig" avser en ansvarig person enligt definitionen i GDPR, UK GDPR eller LGPD, beroende på vad som är tillämpligt, som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av Kundens personuppgifter.

"Dataskyddslag" avser EES, Schweiz, Storbritannien och brasilianska dataskyddslagar som är tillämpliga på behandlingen av Kunders personuppgifter enligt detta avtal, inklusive GDPR, Storbritanniens dataskyddslagar och LGPD.

"EES" avser Europeiska Ekonomiska Samarbetsområdet.

"GDPR" avser Europaparlamentets och rådets förordning (EU) 2016/679 för 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

"LGPD" avser brasiliansk allmän dataskyddslag (Lei Geral de Proteção de Dados Pessoais).

"Personuppgiftsintrång" avser oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till kundpersonuppgifter på system som hanteras eller kontrolleras av Snap.

"Subprocessorer" avser tredje parter som enligt detta Avtal är auktoriserade att få tillgång till och behandla Kundens personuppgifter för att tillhandahålla delar av Företagstjänsterna.

"UK" avser Storbritannien.

"Storbritanniens dataskyddslagar" avser GDPR eftersom den utgör en del av lagen i England och Wales, Skottland och Nordirland i enlighet med avsnitt 3 i Europeiska unionens (Utträde) Act 2018 i Storbritannien ("UK GDPR") och Data Protection Act 2018.

Termerna "personuppgifter", "registrerad", "bearbetning", "ansvarig", "processor", "representant" och "tillsynsmyndighet", var och en som används i detta avtal, har den betydelse som ges i GDPR, Storbritanniens GDPR eller LGPD, beroende på vad som är tillämpligt, i varje enskilt fall, oavsett om dataskyddslagstiftningen gäller.

a. Parternas roller. Snap bearbetar personuppgifter för kund på uppdrag av och enligt instruktioner av personuppgiftsansvarig i enlighet med artikel 28 (1) GDPR, GDPR för Storbritannien och LGPD, i tillämpliga fall.

b. Tillsättning. Personuppgiftsansvarig utser Snap för att bearbeta personuppgifter för kund på personuppgiftsansvarigs vägnar endast som är nödvändig för att tillhandahålla verksamhetstjänsterna och som kan komma att godkännas av parterna skriftligen.

c. Legitimitet för bearbetning. Personuppgiftsansvarig är ansvarig för att säkerställa en giltig rättslig grund för bearbetning av personuppgifter för kund.

d. Detaljer för bearbetning. Ämnet och detaljerna för bearbetning beskrivs i Schema 1 i denna överenskommelse.

e. Efterlevnad av lag. Varje part samtycker till att den kommer att uppfylla sina skyldigheter enligt dataskyddslag som avser alla personuppgifter för kund som den bearbetar enligt eller i samband med denna överenskommelse. Utan skada på det föregående kommer Snap inte att bearbeta personuppgifter för kund på ett sätt som kommer, eller sannolikt kommer att, resultera i att personuppgiftsansvarig bryter sina skyldigheter enligt dataskyddslagen. Snap kommer snabbt att informera personuppgiftsansvarig om Snap anser att personuppgiftsansvarigs instruktioner inkräktar på dataskyddslagen.

Sammanfattningsvis:  du utser Snap för att bearbeta personuppgifter för kund för din räkning. Du förblir ansvarig för att etablera en giltig rättslig grund för bearbetning av personuppgifterna. Både du och Snap samtycker till att följa alla dataskyddslagar.

a. Bearbetning av personuppgifter för kund. Snap kommer endast att bearbeta personuppgifter för kund i enlighet med Villkoren för verksamhetstjänster och denna överenskommelse och kommer inte att använda eller bearbeta personuppgifter för kund för något annat ändamål än i sin kapacitet som personuppgiftsbiträde utsedd av personuppgiftsansvarig.

b. Datasäkerhet. I enlighet med artikel 32 GDPR och GDPR för Storbritannien och LGPD, i tillämpliga fall, och enligt beskrivningen i schema 2 i denna överenskommelse kommer Snap att genomföra och upprätthålla alla lämpliga tekniska, administrativa och organisatoriska åtgärder som krävs för att: (i) säkerställa en nivå av sekretess och säkerhet som är lämplig för de risker som är förknippade med bearbetning och typen av personuppgifter för kund; och (ii) förhindra obehörig eller olaglig bearbetning av personuppgifter för kund, oavsiktlig förlust, avslöjande eller förstörelse av eller skada på personuppgifter för kund.

c. Icke-avslöjande. Snap kommer inte att publicera eller avslöja (och kommer att se till att dess personal inte publicerar eller avslöjar några) personuppgifter för kund till en tredje part om inte personuppgiftsansvarig har gett sitt medgivande skriftligt.

d. Sekretess. Snap kommer att se till att endast personal som kan krävas för att hjälpa till att uppfylla skyldigheter enligt Villkor för verksamhetstjänster eller denna överenskommelse kommer att ha tillgång till personuppgifter för kund och att sådan personal är bunden av lämpliga skyldigheter för sekretess, och vidta alla rimliga åtgärder i enlighet med bästa branchpraxis för att säkerställa sekretessen för personuppgifter för kund.

e. Samarbete. Snap kommer att ge rimlig samverkan och hjälp till personuppgiftsansvarig eftersom personuppgiftsansvarig rimligen kan kräva att låta personuppgiftsansvarig uppfylla skyldigheter enligt artiklarna 32 till 36 GDPR, GDPR för Storbrittanien och LGPD, i tillämpliga fall, inklusive i relation till datasäkerhet, meddelande om dataintrång, konsekvensbedömningar för dataskydd, samråd med tillsynsmyndigheter, uppfyllande av den registrerades rättigheter och eventuella förfrågningar, meddelande eller utredningar av en tillsynsmyndighet enligt närmare uppgifter i denna överenskommelse.

f. Den registrerade och tillsynsförfrågningar. Snap kommer att informera personuppgiftsansvarig omgående, och i alla händelser inom två arbetsdagar om alla förfrågningar eller klagomål som Snap mottar från den registrerade eller tillsynsmyndighet som rör personuppgifter för kund. Snap kommer att hjälpa personuppgiftsansvarig i den mån det är kommersiellt resonligt att fullfölja personuppgiftsansvarigs skyldighet att svara på förfrågningar från den registrerade och tillsynsmyndigheter enligt krav i Dataskyddslag.

g. Konsekvensbedömningar för dataskydd. Vid förfrågan kommer Snap att förse personuppgiftsansvarig med kommersiellt rimlig information och hjälp med beaktande av typen av bearbetningsverksamhet och den information som är tillgänglig för Snap för att hjälpa personuppgiftsansvarig att genomföra konsekvensbedömning för dataskydd i enlighet med kraven i Dataskyddslag.

h. Att ge bevis. Under perioden för denna överenskommelse och under en period av ett år därefter kommer Snap att göra tillgänglig för personuppgiftsansvarig eller en internationellt erkänd revisionsbyrå som agerar på personuppgiftsansvarigs vägnar, all information som rimligen behövs för att visa att Snap uppfyller denna överenskommelse och Snap kommer att tillåta och bidra till revisioner som utförs av personuppgiftsansvarig eller dess representanter som är bundna av skyldigheter för sekretess; om: (i) personuppgiftsansvarig skickar skriftligt meddelande inte mindre än tio arbetsdagar i förväg till Snap; (ii) sådan revision utförs under Snap:s normala kontorstider och på ett sätt som inte otillbörligt stör Snap:s normala verksamheter; (iii) sådan revision inte varar längre än tre arbetsdagar; (iv) under inga omständigheter är personuppgiftsansvarig (eller, för att undvika tvivel, någon auktoriserad revisor från tredjepart) berättigad att få tillgång till eller ta emot Snap:s egna eller konfidentiella information, utom i den utsträckning som är strikt nödvändig för att visa att denna överenskommelse efterlevs; och (v) personuppgiftsansvarig är skyldig att ersätta Snap för Snap:s dokumenterade rimliga kostnader om revisionen fastställer att Snap efterlever denna överenskommelse. Om revisionen fastställer att Snap inte efterlever denna överenskommelse kommer Snap att vara skyldig till alla rimliga kostnader för sådan revision.

i. Återsändande eller förstörelse av personuppgifter för kund. Vid slutförandet av Snap:s skyldigheter i samband med bearbetning av personuppgifter för kund enligt denna överenskommelse eller på personuppgiftsansvarigs begäran när som helst under perioden för denna överenskommelse (och, om personuppgiftsansvarig begär det, med regelbundna intervaller som fastställts av personuppgiftsansvarig), kommer Snap antingen: (i) återsända alla eller undergrupper av personuppgifter för kund i Snap:s ägande till personuppgiftsansvarig (ii) göra all eller del av personuppgifter för kund anonym på ett sådant sätt att data inte längre utgör personuppgifter; eller (iii) permanent radera eller göra alla eller delar av personuppgifter för kund oläsbar. På personuppgiftsansvarigs begära måste Snap ge skriftlig bekräftelse till personuppgiftsansvarig på anonymisering, återsändning eller radering av personuppgifter för kund.

j. Hashade personuppgifter för kund. Om Snap får personuppgifter för kund i hashat eller på annat sätt förvrängt format kommer Snap att: (i) inte försöka rekonstruera eller på annat sätt försöka återidentifiera den personuppgiftsansvariges personuppgifter om inte personuppgiftsansvarig uppmanar Snap att göra det; och (ii) endast dela personuppgifter för kund i formatet som Snap fick den från personuppgiftsansvarig.

Sammanfattningsvis: Snap kommer att följa ett antal skyldigheter som vissa är lagstadgade krav vid bearbetning av personuppgifter för kund som du har tillhandahållit, enligt vad som anges ovan.

a. Meddelande. I enlighet med artikel 33 GDPR och GDPR för Storbritannien och LGPD, i tillämpliga fall, kommer Snap att meddela personuppgiftsansvarig utan onödigt dröjsmål och, om möjligt, högst 72 timmar efter att ha blivit medveten om ett personuppgiftsintrång. Snap kommer också att ge personuppgiftsansvarig en beskrivning av personuppgiftsintrånget, typen av data som var föremål för intrånget, (i den utsträckning som är känd för Snap) de kategorier av registrerade som berörs och annan information som krävs enligt lämplig dataskyddslag, så snart sådan information kan samlas in eller på annat sätt blir tillgänglig, och Snap kommer att samarbeta med alla rimliga förfrågningar som görs av personuppgiftsansvarig i samband med personuppgiftsintrång.

b. Utredning. Snap samtycker till att omedelbart starta åtgärder för att undersöka personuppgiftsintrång för att identifiera, förebygga och mildra effekterna av sådana intrång, och med personuppgiftsansvarigs tidigare överenskommelse, att utföra all återhämtning eller annan åtgärd som krävs för att rätta till personuppgiftsintrång.

Sammanfattningsvis: om det uppstår ett dataintrång kommer Snap att meddela dig inom 72 timmar efter att ha blivit medveten om intrånget, ge dig relevant information och kommer omedelbart att starta åtgärder för att undersöka intrånget och mildra dess effekter.

a. Auktoriserade subprocessorer. Personuppgiftsansvarig bemyndigar specifikt engagemang från Snap:s dotterbolag att bearbeta personuppgifter för kund och personuppgiftsansvarig auktoriserar i allmänhet engagemang från andra tredje parter som subprocessorer för att bearbeta personuppgifter för kund.

b. Skyldigheter för subprocessor. I enlighet med artikel 28 (4) GDPR och GDPR för Storbritannien och LGPD, i tillämpliga fall, kommer Snap att införa juridiskt bindande villkor för varje subprocessor som är lika restriktiva som de som ingår i denna överenskommelse.

c. Begränsad åtkomst. Snap kommer att säkerställa att varje subprocessor endast får åtkomst till och använder personuppgifter för kund i den utsträckning som krävs för att fullgöra skyldigheter som de har underkontrakterats och i enlighet med denna överenskommelse.

d. Uppdateringar av subprocessorer. I enlighet med artikel 28 (2) GDPR och GDPR för Storbritannien (i tillämpliga fall) finns här en uppdaterad lista på: (i) alla subprocessorer som är involverade i bearbetning av personuppgifter för kund; (ii) syftet för vilka subprocessorer bearbetar personuppgifter för kund och (iii) plats för varje subprocessor. Snap kommer att meddela personuppgiftsansvarig minst 30 dagar innan de lägger till en ny subprocessor. 

e. Rätt att invända. Personuppgiftsansvarig har rätt att invända mot tillägg av en ny subprocessor, enligt beskrivningen i detta avsnitt. Om personuppgiftsansvarig invänder mot bearbetning av personuppgifter för kund av någon nyligen utsedd subprocessor kommer de omedelbart meddela Snap varefter Snap antingen kommer: (i) instruera subprocessorn att upphöra med all ytterligare bearbetning av personuppgifter för kund, i vilket fall denna överenskommelse kommer att fortsätta opåverkad; eller (ii) tillåta personuppgiftsansvarig att omedelbart avsluta denna överenskommelse.

Sammanfattningsvis: Förutom att tillåta att Snap agerar som datauppgiftsbiträde tillåter du också Snap:s dotterbolag att behandlar personuppgifter för kund som subprocessorer. Snap kommer att ingå en juridiskt bindande överenskommelse med alla subprocessorer och upprätthålla en lista över de utsedda. Du har rätt att invända mot Snaps utnämning av en subprocessor.

a. Om personuppgiftsansvarig är etablerad i EES, Schweiz eller Storbritannien och överför personuppgifter till Snap Inc. ska Överenskommelse om dataöverföring:

(i) gälla för sådana överföringar; 

(ii) ha företräde framför alla andra villkor, inklusive villkoren i denna överenskommelse, gällande sådana överföringar;

(iii) bilda ett juridiskt bindande avtal mellan dig som dataexportör och Snap som eller på uppdrag av dataimportören; och 

(iv) härmed vara införlivade i Villkoren för verksamhetstjänster. 

b. Med avseende på personuppgifter för registrerade i EES, Schweiz och Storbritannien är personuppgiftsansvarig och Snap överens om att Snap kan bearbeta personuppgifter för kund utanför EES, Schweiz och Storbritannien där Dataskyddslagens krav (inklusive, i tillämpliga fall, artiklarna 44 till 47 GDPR) är uppfyllda eller ett undantag (inklusive, i tillämpliga fall, de som anges i artikel 49 GDPR) gäller.

c. Med avseende på personuppgifter för registrerade i Brasilien samtycker personuppgiftsansvarig till att Snap kan bearbeta personuppgifter för kund utanför Brasilien och representerar och garanterar att sådan överföring av personuppgifter för kund är i överensstämmelse med LGPD.

Sammanfattningsvis: om du är baserad i EES, Schweiz eller Storbritannien ska överenskommelse om dataöverföring gälla för alla överföringar av personuppgifter till Snap. Med avseende på personuppgifter för registrerade i EES, Schweiz och Storbritannien samtycker du och Snap till att följa bestämmelserna om internationella överföringar enligt GDPR. Med avseende på personuppgifter för registrerade i Brasilien försäkrar du att Snap:s bearbetning av sådana personuppgifter utanför Brasilien kommer att följa Brasiliens allmänna dataskyddslag. 

a. Skadestånd. Snap går med på att gottgöra personuppgiftsansvarig mot alla klagomål, priser, krav, skador, förluster, kostnader, ansvar och utgifter från tredjepart som beror på Snaps överträdelse av denna överenskommelse.

b. Skadeståndsprocess. Personuppgiftsansvarig kommer snabbt meddela Snap skriftligen om eventuella skadeståndskrav men all underlåtenhet att meddela Snap om eventuella skadeståndsansvar eller skyldigheter som de kan ha, utom i den mån Snap väsentligt skadas materiellt av denna underlåtenhet. Personuppgiftsansvarig kommer i rimlig mån att samarbeta med Snap på Snap:s bekostnad i samband med försvar, kompromiss, eller uppgörelse om eventuell skadeersättning. Snap kommer inte att kompromissa eller lösa några krav på något sätt och inte heller göra något medgivande om ansvar utan personuppgiftsansvarigs skriftliga medgivande, som personuppgiftsansvarig kan ge efter eget gottfinnande. Personuppgiftsansvarig kan delta (på egen bekostnad) i försvar, kompromiss och lösning av krav med personuppgiftsansvarigs ombud.

c. Ansvarig för underprocessor. Snap erkänner och godkänner att de kommer att fortsätta vara ansvariga gentemot personuppgiftsansvarig för en överträdelse mot villkoren i denna överenskommelse av en underprocessor och andra tredjepartprocessorer som utsetts av det.

Sammanfattningsvis: Om du drabbas av eventuella förluster från tredje part i samband med Snaps överträdelse av denna överenskommelse kommer Snap att kompensera dig. 

a. Uppsägning. Denna överenskommelse kommer att upphöra automatiskt efter uppsägning av Villkor för verksamhetstjänster.

b. Överlevnad. Snap:s skyldigheter för att återsända eller radera personuppgifter för kund kommer att överleva uppsägning av Villkor för verksamhetstjänster och denna överenskommelse tills Snap har återsänt eller raderat personuppgifter för kund i enlighet med denna överenskommelse.

Sammanfattningsvis: denna överenskommelse kommer att upphöra samtidigt som Villkor för verksamhetstjänster upphör, men Snap kommer fortfarande att vara skyldig att återsända eller radera personuppgifter för kund. 

Om det finns en konflikt eller inkonsekvens mellan denna överenskommelse, Överenskommelse om dataöverföring, Villkoren för verksamhetstjänster, alla tillämpliga kompletterande villkor och policyer eller Snap:s Användarvillkor kommer prioritetsordningen att vara: Överenskommelse om dataöverföring (men endast i den utsträckning det gäller under avsnitt 6.a ovan), denna överenskommelse, kompletterande villkor och policyer, Villkor för verksamhetstjänster, och Snap:s Användarvillkor.

Sammanfattningsvis: om det finns en konflikt mellan några bestämmelser i Snap:s olika villkor och policyer är ordningen för företräde som anges ovan. 

Dataexportören ska vara personuppgiftsansvarig enligt definitionen i denna överenskommelse med det namn, adress och kontaktuppgifter som tillhandahålls till Snap via Verksamhetstjänsterna. De aktiviteter som är relevanta för data som överförs enligt dessa klausuler inkluderar användning av relevanta verksamhetstjänster i enlighet med Villkoren för verksamhetstjänster och tillämpliga kompletterande villkor och principer. Dataexportören ska vara i rollen som personuppgiftsansvarig. 

Dataimportören ska vara:

Snap Inc. med sin adress på 3000 31st Street, Santa Monica, Kalifornien 90405

De aktiviteter som är relevanta för data som överförs enligt dessa klausuler inkluderar tillhandahållande av relevanta verksamhetstjänster i enlighet med Villkoren för verksamhetstjänster och tillämpliga kompletterande villkor och principer. Dataimportören ska vara i rollen personuppgiftsbiträde.

Aktiviteterna för databearbetning som utförs av Snap under denna överenskommelse är enligt följande:

Snaps tillhandahållande av verksamhetstjänsterna till personuppgiftsansvarig.

För perioden för denna överenskommelse plus perioden från utgången av perioden för denna överenskommelse fram till anonymisering, återsändning eller radering av data i enlighet med denna överenskommelse.

Snap kommer att berarbeta personuppgifter för kund i syfte att tillhandahålla verksamhetstjänsterna till personuppgiftsansvarig i enlighet med och enligt beskrivning i Villkor för verksamhetstjänster och denna överenskommelse.

Personuppgifter för kund som rör individer som tillhandahålls till Snap via verksamhetstjänsterna av (eller enligt eget gottfinnande) personuppgiftsansvarig som kan inkludera:

• e-postadress

• telefonnummer

• ID för mobilannons (IDFA/AAID)

• IP-adress

• cookie-id

• användaragent för webbläsare

• åtgärder och händelser som vidtagits på webbplatser och i appar, inklusive visade sidor, köp, sökningar, utcheckningshändelser, önskelistor, installationer och metoder för användarregistrering

Inte tillämplig

Kontinuerlig

Data inkluderar individer i EES, Schweiz, Storbritannien och Brasilien om vilkas personuppgifter tillhandahålls till Snap via verksamhetstjänsterna av (eller efter eget gottfinnande) personuppgiftsansvarig.

Behörig tillsynsmyndighet kommer att vara den Nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens, AP).

Sammanfattningsvis: Ämnet och informationen om bearbetning beskrivs ovan.

1. Implementering av och efterlevnad av ett skriftligt informationssäkerhetsprogram som överensstämmer med etablerade branschstandarder och inkluderar administrativa, tekniska och fysiska skyddsåtgärder som är lämpliga för typen av personuppgifter för kund och utformade för att skydda sådan information från: obehörig åtkomst, förstörelse, användning, ändring eller avslöjande; obehörig åtkomst till eller användning som kan resultera i betydande skada eller besvär för personuppgiftsansvarig, personuppgiftsansvarigs kunder eller personuppgiftsansvarigs anställda; och eventuella förväntade hot eller risker för säkerheten eller integriteten för sådan information.

2. Anta och genomföra rimliga policyer och standarder relaterade till säkerhet.

3. Tilldela ansvar för hantering av informationssäkerhet.

4. Att tilldela tillräckliga personalresurser till informationssäkerhet.

5. Utföra verifieringskontroller för permanent personal som kommer att ha tillgång till personuppgifter för kund.

6. Att utföra bakgrundskontroller och kräva att anställda, leverantörer och andra med tillgång till personuppgifter för kund ska ingå skriftliga sekretessavtal.

7. Utföra utbildning för att göra anställda och andra med tillgång till personuppgifter för kund medvetna om risker för informationssäkerhet och för att förbättra efterlevnaden av Snap:s policyer och standarder relaterade till dataskydd.

8. Att förhindra obehörig åtkomst till personuppgifter för kund genom användning, i tillämpliga fall, av fysiska och logiska (lösenord) inträdeskontroller, säkra områden för databearbetning, förfaranden för att övervaka användningen av databearbetningsanläggningar, inbyggda systemrevisioner, användning av säkra lösenord, intrångsdetekteringsteknik för nätverk, krypterings- och autentiseringsteknik, säkra inloggningsförfaranden och virusskydd, övervaka efterlevnaden av Snap:s policyer och standarder relaterade till datasäkerhet på löpande basis. Framför allt har Snap implementerat och efterlever, i tillämpliga fall och utan begränsning:

• Fysisk åtkomstkontroll för att förhindra obehörig åtkomst till databearbetningssystem (id-kort för åtkomst, kortläsare, receptionspersonal, alarmsystem, rörelsedetektorer, inbrottslarm, videoövervakning och yttre säkerhet);

• kontrollmetoder för nekad användning för att förhindra obehörig användning av dataskyddssystem (t.ex. automatiskt tvingad lösenordskomplexitet och ändringskrav och brandväggar.) ;

• Kravdrivna auktoriseringssystem och åtkomsträttigheter samt övervakning och loggning av systemåtkomst för att säkerställa att personer som har rätt att använda databearbetningssystem endast har tillgång till den data som de har rätt att tillgå och att personuppgifter för kund inte kan läsas, kopieras, ändras eller tas bort utan tillstånd;

• Kontrollåtgärder för dataöverföring för att säkerställa att personuppgifter för kund inte kan läsas, kopieras, ändras eller tas bort utan tillstånd vid elektronisk överföring, transport eller lagring på datamedia samt överföring och mottagande av register. I synnerhet kommer Snap:s informationssäkerhetsprogram att utformas:

  • För att kryptera i lagring alla datamängder i Snap:s innehav, inklusive känsliga personuppgifter, med lämpliga krypteringsnivåer baserade på branschledande krypteringsstandarder, inklusive AES -256 och lagring av användaridentiteter på systemet med hjälp av nyckelvärdespar som ghost_id för att förhindra lagring av faktiska användar-ID:n; och

  • För att säkerställa att eventuella känsliga personuppgifter som överförs elektroniskt (andra än av faksimile) till en person utanför Snap:s IT-system eller överförs via ett offentligt nätverk krypteras med hjälp av de senaste versionerna av TLS 1.2-protokollet för att skydda säkerheten för överföringen;

• Kontrollåtgärder för datainmatning för att försäkra att Snap kan kontrollera och fastställa om och av vem personuppgifter för kund har inmatats i databearbetningssystemet, ändrats eller raderats;

• Kontinuerliga säkerhetstester för att säkerställa att rutiner för informationssäkerhet förblir relevanta, effektiva, och aktuella, inklusive årliga penetrationstester, buggjaktprogram, användning av systemgenomsökningsverktyg, övning, tester för återställning av säkerhetskopia, förproducerad felöverlämning samt utförande av eftersökning på alla eventuella faktiska incidenter för att uppdatera relevanta återställningsplaner;

• Övervakningsåtgärder för subprocessorer för att säkerställa att om Snap tillåts använda subprocessorer bearbetas personuppgifter för kund strikt i enlighet med personuppgiftsansvarigs instruktioner, inklusive, i tillämpliga fall:

  • Åtgärder för att säkerställa att personuppgifter för kund skyddas från oavsiktlig förstörelse eller förlust inklusive, i tillämpliga fall och utan begränsning, säkerhetskopia, lagrings- och säker förstörelsepolicyer; säker icke-lokal datalagring som är tillräcklig för katastrofåterställning; oavbruten strömförsörjning och program för katastrofåterställning; och

  • Åtgärder för att försäkra att data som samlats in för olika ändamål kan bearbetas separat inklusive, i tillämpliga fall, fysisk eller adekvat logisk separation av personuppgifter för kund. 

9. Att vidta sådana andra åtgärder som kan vara lämpliga under omständigheterna.

Sammanfattningsvis: Snap har antagit ett antal åtgärder för att säkerställa säkerheten för kunders data enligt ovan.