МОЛЯ, ОБЪРНЕТЕ ВНИМАНИЕ: АКТУАЛИЗИРАХМЕ УСЛОВИЯТА ВЪВ ВРЪЗКА С НОВИТЕ СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ, ОДОБРЕНИ ОТ ЕВРОПЕЙСКАТА КОМИСИЯ, В СИЛА ОТ 27 СЕПТЕМВРИ 2021 Г.

УВЕДОМЛЕНИЕ ЗА АРБИТРАЖ: ВИЕ СТЕ ОБВЪРЗАНИ С РАЗПОРЕДБИТЕ ЗА АРБИТРАЖ, ИЗЛОЖЕНИ НА ПО-КЪСЕН ЕТАП В НАСТОЯЩИТЕ УСЛОВИЯ ЗА БИЗНЕС УСЛУГИ. АКО СКЛЮЧВАТЕ ДОГОВОР СЪС SNAP INC., ТОГАВА ВИЕ И SNAP INC. СЕ ОТКАЗВАТЕ ОТ ПРАВОТО ДА УЧАСТВАТЕ В ДЕЛА ЗА ГРУПОВ ИСК ИЛИ АРБИТРАЖ ЗА ГРУПОВ ИСК.

Настоящото Споразумение за споделяне на данни („Споразумението“) представлява правно обвързващ договор между Вас и Snap, прилага се по отношение на споделяните между Вас и Snap лични данни на клиенти, описани по-долу, и е част от Условията за бизнес услуги. Някои условия, използвани в настоящото Споразумение, са определени в Условията за бизнес услуги.

„Лични данни на клиенти“ означава личните данни на субекти на данни от ЕИП, Швейцария, Обединеното кралство и Бразилия, които се предоставят на Вас или Snap („Приемащата страна“) от или от името на другата страна („Оповестяващата страна“), като и Приемащата страна, и Оповестяващата страна са администратори на данни.

„Законодателство за защита на данните“ означава законодателството за защита на данните на ЕИП, Швейцария, Обединеното кралство и Бразилия, приложими по отношение на обработването на лични данни на клиенти съгласно настоящото Споразумение, включително ОРЗД, Закона за защита на данните във Великобритания и Общия закон за защита на данните в Бразилия (ОЗЗД).

„ЕИП“ означава Европейското икономическо пространство.

„ОРЗД“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и относно свободното движение на такива данни и отменящ Директива 95/46/ЕО.

„ОЗЗД“ означава Общият закон за защита на данните (Lei Geral de Proteção de Dados Pessoais) в Бразилия.

„Нарушение на сигурността на личните данни“ означава случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни на клиенти в рамките на системи, управлявани или контролирани от една от страните.

"Великобритания" означава Обединеното кралство.

„Закон за защита на данните във Великобритания" означава ОРЗД така, както формира част от закона на Англия и Уелс, Шотландия и Северна Ирландия по силата на раздел 3 от Закона за (оттегляне от) Европейския Съюз от 2018 г. във Великобритания („ОРЗД на Великобритания) и Закона за защита на данните от 2018 г.

Термините „лични данни“, „субект на данни“, „обработване“, „администратор“, „обработващ данни“, „представител и „надзорен орган“, всеки от които се използва в настоящото Споразумение, имат значенията, определени в ОРЗД, Закон за защита на данните във Великобритания или ОЗЗД, когато е приложимо, във всички случаи независимо от това дали законодателството за защита на данните е приложимо.

а. Роли на страните. Вие и Snap по отделно представлявате независими администратори на лични данни на клиенти, които, при спазване на ограниченията, определени в настоящото Споразумение и Условията за бизнес услуги, включително всички Допълнителни условия и политики, определят по независим начин целите и средствата за обработване на личните данни на клиенти съгласно законодателството за защита на данните.

б. Прозрачност и права на защита на личните данни. Вие и Snap информирате индивидуално субектите на данни и осигурявате възможност за субектите на данни да упражняват правата си съгласно законодателството за защита на данните.

в. Информация относно обработката на данни. Въпросът и подробностите свързани с обработката на данни са описани в Приложение 1 към настоящото Споразумение.

г. Съответствие със законодателството. Всяка страна се съгласява да изпълнява задълженията си съгласно законодателството за защита на данните по отношение на личните данни на клиенти, които обработва съгласно или във връзка с настоящото Споразумение.

д. Сигурност на данните. В съответствие със законодателството за защита на данните всяка страна прилага и поддържа всички подходящи технически, административни и организационни мерки, необходими за: i) да се осигури равнище на поверителност и сигурност, съответстващи на рисковете, представлявани от обработката и естеството на личните данни на клиентите; и ii) да се предотврати неупълномощеното или незаконно обработване на лични данни на клиенти, случайната загуба, разкриването, унищожаването или повреждането на личните данни на клиенти.

е. Поверителност. Всяка страна гарантира, че единствено служители, от които може да се изисква да помагат за спазването на задълженията й съгласно Условията за бизнес услуги или настоящото Споразумение, имат достъп до лични данни на клиенти и че тези служители са обвързани с подходящи задължения за защита на поверителността, и предприема всички разумни стъпки в съответствие с най-добрите практики в сектора, за да се гарантира поверителността на личните данни на клиентите.

а. Уведомяване. Ако научите за нарушение на лични данни, Вие уведомявате Snap без ненужно забавяне и, ако е възможно, в рамките на 72 часа. Също така предоставяте на Snap описание на нарушението на лични данни, вида данни, които са били засегнати от нарушението на лични данни, (доколкото са известни) категориите на засегнатите субекти на данни и друга информация, изисквана от приложимото законодателство за защита на данните, веднага щом тази информация може да бъде събрана или стане налична по друг начин, и сътрудничите по отношение на всяко разумно искане от страна на Snap, свързано с нарушението на лични данни.

б. Разследване. Съгласявате се да предприемете незабавни действия за разследване на нарушението на лични данни и за идентифициране, предотвратяване и смекчаване на въздействието от това нарушение на лични данни и, с предварителното съгласие на Snap, да извършите всяко действие за възстановяване или друго действие, необходимо за отстраняването на нарушението на лични данни.

а. Ако са налице прехвърляния на лични данни на клиенти от една страна към друга извън ЕИП или Обединеното кралство, Споразумението за прехвърляне на данни:

(i) е приложимо за всички прехвърляния; 

(ii) има предимство пред всички други условия, включително условията на настоящото Споразумение, по отношение на съответните прехвърляния;

(iii) представлява правно обвързващ договор между Вас като износител на данни и Snap като или от името на вносителя на данни; и 

(iv) бъде включено в Условията за бизнес услуги. 

б. По отношение на личните данни на субекти на данни от ЕИП, Швейцария и Обединеното кралство Вие и Snap се съгласявате, че всяка от страните може да обработва лични данни на клиенти извън ЕИП, Швейцария и Обединеното кралство, при положение че са изпълнени условията на законодателството за защита на данните (включително, ако е приложимо, членове 44 – 47 от ОРЗД) или се прилага изключение (включително, когато е приложимо, изключенията, посочени в член 49 на ОРЗД).

в. По отношение на личните данни на субекти на данни от Бразилия Вие и Snap се съгласявате, че всяка от страните може да обработва лични данни на клиенти извън Бразилия, като заявява и гарантира, че това прехвърляне на лични данни на клиенти е в съответствие с ОЗЗД.

Настоящото Споразумение ще бъде прекратено автоматично при прекратяване на Условията за бизнес услуги.

Ако настоящото Споразумение или Споразумението за прехвърляне на данни е в противоречие с Условията за бизнес услуги, Допълнителните условия и политики или Общите условия на Snap, по отношение на конфликта предимство имат следните документи, в низходящ ред: Споразумението за прехвърляне на данни (но само доколкото то се прилага съгласно раздел 4.a по-горе), настоящото Споразумение, Допълнителните условия и политики, Условията за бизнес услуги и Общите условия на Snap.

Вие сте износител на данни, с името, адреса и данните за контакт, предоставени в Snap чрез Бизнес услугите. Дейностите, свързани с данните, прехвърляни съгласно настоящите Клаузи, включват използването на съответните Бизнес услуги в съответствие с Общите бизнес условия и приложимите Допълнителни условия и политики. Износителят на данни е в ролята на администратор.

Вносителят на данни е Snap Inc., със своя адрес на 3000 31-ва улица, Санта Моника, Калифорния 90405, ако износителят на данни прехвърля лични данни в Snap Inc. съгласно настоящото Споразумение. Дейностите, свързани с данните, прехвърляни съгласно настоящите Клаузи, включват използването на съответните Бизнес услуги в съответствие с Общите бизнес условия и приложимите допълнителни условия и политики. Вносителят на данни е в ролята на администратор.

Дейностите за споделяне на данни, извършени от Snap съгласно настоящото Споразумение, са следните:

Предоставяне на бизнес услугите на Snap спрямо Вас.

Споделянето на данни е с цел Snap да Ви предоставя Бизнес услугите в съответствие с и както е описано в Общите условия за бизнес услуги и настоящото Споразумение.

Лични данни на клиенти, свързани с физически лица, предоставени от Оповестяващата страна към Приемащата страна чрез Бизнес услугите, които могат да включват:

• имейл адрес

• телефонен номер

• идентификационен номер на мобилна реклама (IDFA/AAID)

• IP адрес

• идентификационен номер на бисквитките

• Агент на браузъра на потребителя

• демографски данни

• връзки между потребителите

• сесия, транзакция и потребителски идентификационни данни

• пол, височина, тегло, възраст и други лични характеристики

• данни за продукти като идентификационен номер на продукта, път за категория продукти, описание на продукта, информация за оразмеряване и данни, EAN, цвят на продукта и информация за годност на продукта

• данни за транзакции, като покупки и информация за връщания

• действия и събития, предприети на уебсайтове и приложения, включително разглеждани страници, покупки, търсения, отбелязване на събития, списъци с желания, инсталирания, както и методи за регистрация на потребители

• снимки

Неприложимо

Постоянна

Субектите на данни включват ЕИП, швейцарски, британски и бразилски лица, за които личните данни са предоставени от Оповестяващата страна към Приемащата страна чрез Бизнес услугите.

Компетентният надзорен орган ще бъде нидерландският орган за защита на данните (Autoriteit Persoonsgegevens, AP).

1. Прилагане на и спазване на писмена програма за сигурност на информацията, която отговаря на установените в индустрията стандарти и включва административни, технически и физически мерки за сигурност, удачни за естеството на личните данни на Клиента и предназначени да защитят подобна информация от: неоторизиран достъп, унищожаване, използване, изменение или разкриване; неоторизиран достъп до или използване, което може да доведе до значителни вреди или неудобства за администратора на данни, клиентите на администратора на данни, или служителите на администратора на данни; както и всякакви очаквани заплахи или рискове за сигурността или целостта на такъв тип информацция.

2. Приемане и прилагане на разумни политики и стандарти, свързани със сигурността.

3. Възлагане на отговорност за управлението на информационната сигурност.

4. Отделяне на удачни ресури от персонала за информационна сигурност.

5. Извършване на удостоверяващи проверки на постоянният персонал, който има достъп до личните данни на Клиента.

6. Провежда не подходящи предварителни проверки и изискване от служителите, доставчиците и други лица, които имат достъп до лични данни на Клиента да сключат писмени споразумения за поверителност.

7. Повеждане на обучение, за да могат служителите и други лица с достъп до лични данни на Клиента да са наясно с рисковете за информационна сигурност и да се повиши спазването на политиките и стандартите на Snap, свързани със защитата на данни.

8. Предотвратяване на неоторизиран достъп до личните данни на клиента чрез използване, според удачното, на физически и логически (пароли) контроли за достъп, подсигуряване на зони за обработка на данни, процедури за мониторинг на употребата на съоръжения за обработка на данни, вградени системни одитни пътища, използване на сигурни пароли, технология за засичане на неоторизирано влизане в мрежата, технологии за криптиране и удостоверяване, сигурни процедури за вписване, защита от вируси, постоянен мониторинг на спазването на политиките и стандартите на Snap, свързани със защитата на данни. По-конкретно, Snap е внедрил и спазва, както е удачно и безз да се ограничават до:

• Мерки за контрол на физическият достъп с цел предотвратяване на неоторизиран достъп до системите за обработка на данни (например идентификационни карти за достъп, четци за карти, длъжностни лица на място, алармени системи, детектори за засичане на движение, аларми против кражби, видео наблюдение и външна охрана);

• Мерки за контрол с отказ за използване с цел предотвратяване на неоторизирана употреба на системите за защита на данните (напр. автоматично усложнена подсилена парола и изисквания за промяна и файъруол.) ;

• Оторизационна схема водена от изисквания и права за достъп, както и мониторинг и регистриране на достъп до системата, за да се гарантира, че лицата, които имат право на достъп до системата за обработка на данни, имат достъп само до данните, до които имат дадени права за достъп, както и че личните данни на Клиента не могат да бъдат четени, копирани, изменяни или премахвани без разрешение;

• Мерки за контрол на предаването на данни, за да се гарантира, че личните данни на Клиента не могат да бъдат четени, копирани, изменяни или премахвани без разрешение по време на електронно предаване, транспорт или съхранение на средства за съхранение на данни, както и при прехвърляне и получаване на записи. По-конкретно, програмата за информационна сигурност на Snap ще бъде проектирана, за да:

  • Криптира при съхранение всякакви набори данни, които са притежание на Snap, включително чувствителни лични данни, използвайки подходящи нива на криптиране въз основа на водещи в индустрията стандарти за криптиране, включително AES -256 и за съхраняване на потребителски самоличности в системата, като се използват ключови стойностни двойки като ghost_id, за да се предотврати съхранението на действителен потребителски идентификатор; и

  • Се гарантира, че всякакви чувствителни лични данни, предавани по електронен път (различен от факсимиле) на дадено лице извън ИТ системата на Snap или предавани посредством публична мрежа, биват криптирани с помощта на най-новите поддържани версии на Протокол TLS 1.2 за защита на сигурността на предаването;

• Мерки за контрол на въвеждането на данни, за да се гарантира, че Snap може да провери и установи дали и от кого са били въведени лични данни на Клиента в системите за обработка на данни, от кого са били изменени или премахнати;

• Непрекъснати мерки за тестване на сигурността, за да се гарантира, че практиките за информационна сигурност остават подходящи, ефективни и актуални, включително годишни тествания за проникване, програма за докладване на бъгове, използване на инструменти за сканиране на системата, симулационни учения, тестове за възстановяване на архиви, тестове за употреба преди производство и провеждане на последващо разследване на всички действителни инциденти, за да се актуализират съответните планове за възстановяване при бедствие;

• Мерки за надзор на подизпълнителите, за да се гарантира, че ако на Snap бъде разрешено да използва подизпълнители, личните данни на Клиента ще бъдат обработвани стриктно в съответствие с инструкциите на администратора на данни, включително, както е уместно:

  • Мерки за гарантиране, че личните данни на Клиента са защитени от случайно унищожаване или загуба, включително, както е уместно, и без ограничение, политики за архивиране на данни, задържане и сигурно унищожаване; сигурно съхранение на данни извън обекта, достатъчно за възстановяване при бедствие; непрекъснато електрозахранване и програми за възстановяване при бедствие; и

  • Мерки за да се гарантира, че събраните за различни цели данни могат да бъдат обработвани отделно, включително, както е уместно, физическо или адекватно логично разделяне на лични данни на клиента. 

9. Предприемане на други стъпки, както може да са удачни според обстоятелствата.