Vi er Snap Inc.

Aftale om deling af data

Træder i kraft: 27. september 2021

BEMÆRK: VI HAR OFFENTLIGGJORT VILKÅRENE NEDENFOR I FORBINDELSE MED DE NYE, AF EUROPAKOMMISIONEN GODKENDTE STANDARDKONTRAKTBESTEMMELSER, DER TRÆDER I KRAFT FRA OG MED 27. SEPTEMBER 2021

VOLDGIFTSMEDDELELSE: DU ER BUNDET AF VOLDGIFTSBESTEMMELSEN, DER ER ANFØRT I DISSE FORRETNINGSBETINGELSER. HVIS DER KONTRAHERES MED SNAP INC, GÆLDER DET FOR KONTRAHENTEN OG SNAP INC., AT DE AT I GIVER AFKALD PÅ ENHVER RET TIL AT DELTAGE I ET KOLLEKTIVT SØGSMÅL ELLER EN KOLLEKTIV VOLDGIFT.

Introduktion

Denne datadelingsaftale ("aftale") udgør en juridisk bindende kontrakt mellem dig og Snap, gælder i det omfang, du og Snap deler kundens personlige data som beskrevet nedenfor, og er inkorporeret i vilkårene for forretningstjenester. Nogle af de udtryk, der anvendes i denne aftale, er defineret i vilkårene for forretningstjenester.

1. Definitioner

"Kundepersondata" betyder persondata for registrerede i EØS, Schweiz, Storbritannien og Brasilien, som leveres til dig eller Snap (den "modtagende part") af eller på vegne af den anden part (den "videregivende part"), når både den modtagende part og den videregivende part hver især er en dataansvarlig.

"Databeskyttelseslov" betyder de databeskyttelseslove i EØS, Schweiz, Storbritannien og Brasilien, der gælder for behandlingen af kundens personlige data i henhold til denne aftale, herunder GDPR, Storbritanniens databeskyttelseslove og LGPD.

“EEA” betyder European Economic Area.

"GDPR" betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.

“LGPD” betyder Brazilian General Data Protection Law (den brasilianske generelle databeskyttelseslov.).

"Brud på persondatasikkerheden" betyder utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til kundens persondata på systemer, der administreres eller kontrolleres af en part.

“UK” betyder Storbritannien.

"UK Data Protection Laws" betyder GDPR, som den udgør en del af lovgivningen i England og Wales, Skotland og Nordirland i kraft af afsnit 3 i European Union (Withdrawal) Act 2018 i Storbritannien ("UK GDPR") og Data Protection Act 2018.

Udtrykkene "personoplysninger", "registreret", "behandling", "dataansvarlig", "databehandler", "repræsentant" og "tilsynsmyndighed" har, hver gang de anvendes i denne aftale, den betydning, der er angivet i GDPR, UK Data Protection Laws eller LGPD, alt efter hvad der er relevant, i hvert tilfælde uanset om databeskyttelseslovgivningen finder anvendelse.

2. Roller og begrænsninger

a. Parternes roller. Du og Snap er hver især en uafhængig dataansvarlig for kundens persondata, som med forbehold for eventuelle begrænsninger i denne aftale og vilkårene for forretningstjenester, herunder eventuelle supplerende vilkår og politikker, uafhængigt bestemmer formålene med og midlerne til behandlingen af kundens persondata i henhold til databeskyttelsesloven.

b. Gennemsigtighed og databeskyttelsesrettigheder. Du og Snap vil informere de registrerede individuelt og give de registrerede mulighed for at udøve deres rettigheder i henhold til databeskyttelsesloven.

c. Detaljer om databehandling. Emnet for og detaljerne i behandlingen er beskrevet i bilag 1 til denne aftale.

d. Overholdelse af loven. Hver part indvilliger i at overholde sine forpligtelser i henhold til databeskyttelsesloven vedrørende enhver kundes personlige data, der behandles i henhold til eller i forbindelse med denne aftale.

e. Datasikkerhed. I overensstemmelse med databeskyttelsesloven vil hver part implementere og opretholde alle passende tekniske, administrative og organisatoriske foranstaltninger, der kræves for at: (i) sikre et fortroligheds- og sikkerhedsniveau, der er passende i forhold til de risici, som behandlingen og karakteren af Kundens Personoplysninger repræsenterer; og (ii) forhindre uautoriseret eller ulovlig behandling af Kundens Personoplysninger, utilsigtet tab, offentliggørelse eller ødelæggelse af eller skade på Kundens Personoplysninger.

f. Fortrolighed. Hver part vil sikre, at kun personale, der kan være påkrævet for at hjælpe med at opfylde sine forpligtelser i henhold til vilkårene for forretningstjenester eller denne aftale, har adgang til kundens personlige data, og at sådant personale er bundet af passende fortrolighedsforpligtelser og tager alle rimelige skridt i overensstemmelse med bedste branchepraksis for at sikre fortroligheden af kundens personlige data.

3. Brud på persondatasikkerheden

a. Underretning. Du skal underrette Snap uden unødig forsinkelse og, hvor det er muligt, ikke mere end 72 timer efter at være blevet opmærksom på et brud på persondatasikkerheden. Du vil også give Snap en beskrivelse af bruddet på persondatasikkerheden, typen af data, der var genstand for bruddet på persondatasikkerheden, (i det omfang det er kendt) kategorierne af berørte registrerede og andre oplysninger, der kræves i henhold til gældende databeskyttelseslovgivning, så snart sådanne oplysninger kan indsamles eller på anden måde bliver tilgængelige, og du vil samarbejde med enhver rimelig anmodning fra Snap i forbindelse med bruddet på persondatasikkerheden.

b. Undersøgelse. Du accepterer straks at tage skridt til at undersøge bruddet på persondatasikkerheden, identificere, forhindre og afbøde virkningerne af et sådant brud på persondatasikkerheden og med Snaps forudgående samtykke at udføre enhver gendannelse eller anden handling, der er nødvendig for at afhjælpe bruddet på persondatasikkerheden.

4. Overførsel af data

a. Hvis der er overførsler af kundens personlige data fra den ene part til den anden uden for EØS eller Storbritannien, skal dataoverførselsaftalen:

(i) gælder for sådanne overførsler;

(ii) have forrang frem for alle andre vilkår, herunder vilkårene i denne aftale, i forbindelse med sådanne overførsler;

(iii) udgøre en juridisk bindende kontrakt mellem dig som dataeksportør og Snap som eller på vegne af dataimportøren; og

(iv) indarbejdes hermed i vilkårene for forretningsservice.

b. Med hensyn til persondata for registrerede i EØS, Schweiz og Storbritannien accepterer du og Snap, at hver part kan behandle kundens persondata uden for EØS, Schweiz og Storbritannien, hvor kravene i databeskyttelsesloven (herunder, hvor det er relevant, artikel 44 til 47 i GDPR) er opfyldt, eller en undtagelse (herunder, hvor det er relevant, dem, der er anført i artikel 49 i GDPR) gælder.

c. Med hensyn til personoplysninger om brasilianske registrerede accepterer du og Snap, at hver part kan behandle kundens personoplysninger uden for Brasilien, og repræsenterer og garanterer, at en sådan overførsel af kundens personoplysninger er i overensstemmelse med LGPD.

5. Afslutning

Denne aftale ophører automatisk ved opsigelse af vilkårene for forretningstjenester.

6. Konflikter

Hvis denne aftale eller dataoverførselsaftalen er i konflikt med vilkårene for forretningstjenester, eventuelle supplerende vilkår og politikker eller Snap-servicevilkårene, vil de styrende dokumenter, i det omfang der er konflikt, være, i faldende rækkefølge: dataoverførselsaftalen (men kun i det omfang, den gælder i henhold til afsnit 4.a ovenfor), denne aftale, de supplerende vilkår og politikker, vilkårene for forretningstjenester og Snap-servicevilkårene.

Bilag 1: Detaljer om datadeling

A. Liste over parter

Dataeksportør(er)

Du er dataeksportøren med det navn, den adresse og de kontaktoplysninger, som du har oplyst til Snap via forretningstjenesterne. De aktiviteter, der er relevante for de data, der overføres i henhold til disse bestemmelser, omfatter brugen af de relevante forretningstjenester i overensstemmelse med vilkårene for forretningstjenester og gældende supplerende vilkår og politikker. Dataeksportøren skal være i rollen som dataansvarlig.

Dataimportør(er)

Dataimportøren skal være Snap Inc. med adresse på 3000 31st Street, Santa Monica, California 90405, hvis dataeksportøren overfører personoplysninger til Snap Inc. i henhold til denne aftale. De aktiviteter, der er relevante for de data, der overføres i henhold til disse klausuler, omfatter Snaps levering af de relevante forretningstjenester i overensstemmelse med vilkårene for forretningstjenester og gældende supplerende vilkår og politikker. Dataimportøren skal være i rollen som dataansvarlig.

B. Beskrivelse af overførslen

De datadelingsaktiviteter, der udføres af Snap i henhold til denne aftale, er som følger:

Emne

Snaps levering af forretningstjenesterne til dig.

Natur og formål

Datadelingen sker med det formål, at Snap kan levere forretningstjenesterne til dig i overensstemmelse med og som beskrevet i vilkårene for forretningstjenester og denne aftale.

Kategorier af data

Kundepersondata vedrørende enkeltpersoner, der leveres af den videregivende part til den modtagende part via forretningstjenesterne, som kan omfatte:

e-mailadresse
telefonnummer
mobil annonce-ID (IDFA/AAID)
IP-adresse
cookie ID
browserens brugeragent
demografiske data
forbindelser mellem brugere
sessions-, transaktions- og bruger-ID'er
køn, højde, vægt, alder og andre personlige karakteristika
produktdata såsom produktID, produktkategoristi, produktbeskrivelse, størrelsesinformation og -data, EAN, produktfarve og information om produktets pasform
transaktionsdata såsom oplysninger om køb og returneringer
handlinger og hændelser på hjemmesider og apps, herunder viste sider, køb, søgninger, check-out-hændelser, ønskelister, installationer og brugerregistreringsmetoder
fotos

Overførsel af følsomme data

Ikke relevant

Hyppighed af overførslen

Kontinuerlig

Registrerede personer

De registrerede omfatter personer fra EØS, Schweiz, Storbritannien og Brasilien, om hvem personoplysninger leveres af den videregivende part til den modtagende part via forretningstjenesterne.

C. Kompetent tilsynsmyndighed

Den kompetente tilsynsmyndighed vil være den hollandske databeskyttelsesmyndighed (Autoriteit Persoonsgegevens, AP).

Skema 2: Snap-sikkerhedsforanstaltninger

1. Implementering og overholdelse af et skriftligt informationssikkerhedsprogram i overensstemmelse med etablerede industristandarder og inklusive administrative, tekniske og fysiske sikkerhedsforanstaltninger, der passer til arten af kundens personlige data og er designet til at beskytte sådanne oplysninger mod: uautoriseret adgang, ødelæggelse, brug, ændring eller offentliggørelse; uautoriseret adgang til eller brug, der kan resultere i væsentlig skade eller ulempe for den dataansvarlige, den dataansvarliges kunder eller den dataansvarliges medarbejdere; og eventuelle forventede trusler eller farer for sikkerheden eller integriteten af sådanne oplysninger.

2. Vedtagelse og implementering af rimelige politikker og standarder i forbindelse med sikkerhed.

3. Tildeling af ansvar for styring af informationssikkerhed.

4. Afsætte tilstrækkelige personaleressourcer til informationssikkerhed.

5. Udførelse af verifikationskontrol af fastansatte medarbejdere, der har adgang til kundens personlige data.

6. Gennemføre passende baggrundstjek og kræve, at medarbejdere, leverandører og andre med adgang til kundens personlige data indgår skriftlige fortrolighedsaftaler.

7. Gennemførelse af uddannelse for at gøre medarbejdere og andre med adgang til kundens personlige data opmærksomme på informationssikkerhedsrisici og for at forbedre overholdelsen af Snaps politikker og standarder i forbindelse med databeskyttelse.

8. Forebyggelse af uautoriseret adgang til kundens personlige data gennem brug af fysiske og logiske (adgangskoder) adgangskontroller, sikre områder til databehandling, procedurer til overvågning af brugen af databehandlingsfaciliteter, indbyggede systemrevisionsspor, alt efter hvad der er relevant, brug af sikre adgangskoder, teknologi til detektering af netværksindtrængen, krypterings- og autentificeringsteknologi, sikre log-on-procedurer og virusbeskyttelse, løbende overvågning af overholdelse af Snaps politikker og standarder i forbindelse med databeskyttelse. Snap har i særdeleshed implementeret og overholder, hvor det er relevant og uden begrænsning:

Fysiske adgangskontrolforanstaltninger for at forhindre uautoriseret adgang til databehandlingssystemer (f.eks. adgangs-ID-kort, kortlæsere, skrankevagter, alarmsystemer, bevægelsesdetektorer, tyverialarmer, videoovervågning og udvendig sikkerhed);
Denial-of-use kontrolforanstaltninger for at forhindre uautoriseret brug af databeskyttelsessystemer (f.eks. automatisk håndhævet adgangskodekompleksitet og krav om ændring og firewalls). ;
Kravdrevet autorisationsordning og adgangsrettigheder samt overvågning og logning af systemadgang for at sikre, at personer, der har ret til at bruge et databehandlingssystem, kun har adgang til de data, de har ret til at få adgang til, og at kundens personlige data ikke kan læses, kopieres, ændres eller fjernes uden tilladelse;
Kontrolforanstaltninger til datatransmission for at sikre, at kundens personlige data ikke kan læses, kopieres, ændres eller fjernes uden tilladelse under elektronisk transmission, transport eller lagring på datamedier og overførsel og modtagelse af optegnelser. I særdeleshed vil Snaps informationssikkerhedsprogram blive designet:
- At kryptere alle datasæt, som Snap er i besiddelse af, herunder følsomme personoplysninger, ved hjælp af passende krypteringsniveauer baseret på branchens førende krypteringsstandarder, herunder AES-256, og lagring af brugeridentiteter på systemet ved hjælp af nøgleværdipar såsom ghost_id for at forhindre lagring af det faktiske bruger-ID; og
- At sikre, at alle følsomme persondata, der overføres elektronisk (undtagen via fax) til en person uden for Snaps IT-system eller overføres via et offentligt netværk, krypteres ved hjælp af de nyeste understøttede versioner af TLS 1.2-protokollen for at beskytte overførslens sikkerhed;
Kontrolforanstaltninger for dataindtastning for at sikre, at Snap kan kontrollere og fastslå, om og af hvem kundens persondata er blevet indtastet i databehandlingssystemer, ændret eller fjernet;
Kontinuerlig sikkerhedstest for at sikre, at informationssikkerhedspraksis forbliver relevant, effektiv og opdateret, herunder årlige penetrationstest, bug bounty-program, brug af systemscanningsværktøjer, tabletop-øvelser, backup-genoprettelsestest, pre-production failovers og gennemførelse af post-mortems på alle faktiske hændelser for at opdatere de relevante disaster recovery-planer;
Overvågningsforanstaltninger for underbehandlere for at sikre, at hvis Snap har tilladelse til at bruge underbehandlere, behandles kundens persondata strengt i overensstemmelse med den dataansvarliges instruktioner, herunder, hvor det er relevant:
- Foranstaltninger til at sikre, at kundens personlige data er beskyttet mod utilsigtet ødelæggelse eller tab, herunder, hvor det er relevant og uden begrænsning, politikker for sikkerhedskopiering, opbevaring og sikker destruktion af data; sikker ekstern lagring af data, der er tilstrækkelig til katastrofegendannelse; uafbrudt strømforsyning og katastrofeberedskabsprogrammer; og
- Foranstaltninger til at sikre, at data indsamlet til forskellige formål kan behandles separat, herunder, hvis det er relevant, fysisk eller tilstrækkelig logisk adskillelse af kundens personlige data.

9. At tage andre skridt, som måtte være passende under omstændighederne.