Meie oleme Snap Inc.

Andmete jagamise leping

Kehtivad alates: 27. september 2021

PALUN PANGE TÄHELE: OLEME AJAKOHASTANUD ALLJÄRGNEVAID TINGIMUSI SEOSES EUROOPA KOMISJONI POOLT HEAKS KIIDETUD UUTE STANDARDSETE LEPINGUTINGIMUSTEGA, MIS JÕUSTUVAD 27. SEPTEMBRIL 2021

ARBITRAAŽIFOORUMI TEADE: TE OLETE KOHUSTATUD JÄRGIMA ARBITRAAŽIFOORUMI SÄTET, MIS ON SÄTESTATUD LEPINGU ÄRITEENUSTE TINGIMUSTES. KUI TE SÕLMITE LEPINGU SNAP INC.-IGA, SIIS TEIE JA SNAP INC. LOOBUTE MIS TAHES ÕIGUSEST OSALEDA KOLLEKTIIVSES HAGIS VÕI KOGU KLASSI HÕLMAVAS ARBITRAAŽIFOORUMIS.

Sissejuhatus

Käesolev andmete jagamise leping ("Leping") moodustab õiguslikult siduva lepingu teie ja Snap'i vahel, seda kohaldatakse teie ja Snap'i vahel kliendi isikuandmete jagamisel, nagu allpool kirjeldatud, ning see on lisatud äriteenuste tingimustesse. Mõned käesolevas Lepingus kasutatud mõisted on määratletud äriteenuste tingimustes.

1. Definitsioonid

"Kliendi isikuandmed" - EMP, Šveitsi, Ühendkuningriigi ja Brasiilia andmesubjektide isikuandmed, mis on teile või Snapile ("vastuvõttev pool") edastatud teise poole ("avalikustav pool") poolt või selle nimel, kui nii vastuvõttev pool kui ka avalikustav pool on mõlemad vastutavad töötlejad.

"Andmekaitseseadus" - EMP, Šveitsi, Ühendkuningriigi ja Brasiilia andmekaitseseadused, mida kohaldatakse kliendi isikuandmete töötlemisele käesoleva lepingu alusel, sealhulgas GDPR, Ühendkuningriigi andmekaitseseadused ja LGPD.

"EMP" - Euroopa Majanduspiirkond.

"GDPR" - Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ja selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ.

"LGPD" - Brasiilia üldine andmekaitseseadus (Lei Geral de Proteção de Dados Pessoais).

"Isikuandmete rikkumine" - kliendi isikuandmete juhuslik või ebaseaduslik hävitamine, kadumine, muutmine, omavoliline avalikustamine või juurdepääs neile osapoole hallatavates või kontrollitavates süsteemides.

"UK" - Ühendkuningriik.

"Ühendkuningriigi andmekaitseseadused" - GDPR, nagu see moodustab osa Inglismaa ja Walesi, Šotimaa ja Põhja-Iirimaa õigusest Euroopa Liidu (väljaastumise) seaduse 2018. aasta paragrahvi 3 alusel Ühendkuningriigis ("Ühendkuningriigi GDPR") ja 2018. aasta andmekaitseseaduse alusel.

Mõisted "isikuandmed", "andmesubjekt", "töötlemine", "vastutav töötleja", "volitatud töötleja", "esindaja" ja "järelevalveasutus", nagu neid käesolevas lepingus kasutatakse, on määratletud GDPRis, Ühendkuningriigi andmekaitseseadustes või LGPDs, olenemata sellest, kas kohaldatakse andmekaitseseadust.

2. Rollid ja piirangud

a. Osapoolte rollid. Teie ja Snap olete sõltumatud vastutavad töötlejad Kliendi isikuandmete töötlemisel, millele kohaldatakse selles Lepingus ja Äriteenuste tingimustes sätestatud piiranguid, muu hulgas kõiki Täiendavaid tingimusi ja eeskirju, iseseisvalt kindlaks määrata Kliendi isikuandmete töötlemise eesmärgid ja meetodid andmekaitseseaduste kohaselt.

b. Läbipaistvus ja andmekaitsega seotud õigused Teie ja Snap teavitate andmesubjekte individuaalselt ja võimaldate andmesubjektidel kasutada oma andmekaitseseadusest tulenevaid õigusi.

c. Andmetöötluse üksikasjad. Töötlemise sisu ja üksikasjad on kirjeldatud käesoleva Lepingu Lisas 1.

d. Seaduse järgimine. Mõlemad pooled nõustuvad, et nad täidavad andmekaitseseadusest tulenevaid kohustusi, mis on seotud kliendi isikuandmete töötlemisega käesoleva lepingu alusel või seoses käesoleva lepinguga.

e. Andmete turvalisus. Vastavalt andmekaitseseadusele rakendab ja säilitab kumbki osapool kõik asjakohased tehnilised, haldus- ja korralduslikud meetmed, mis on vajalikud selleks, et: (i) tagada konfidentsiaalsuse ja turvalisuse tase, mis vastab töötlemisest tulenevatele riskidele ja kliendi isikuandmete laadile; ning (ii) vältida kliendi isikuandmete volitamata või ebaseaduslikku töötlemist, juhuslikku kadumist, avalikustamist või hävitamist või kahjustamist.

f. Konfidentsiaalsus. Kumbki pool tagab, et juurdepääs kliendi isikuandmetele on ainult nendel töötajatel, kes võivad olla kohustatud aitama täita oma kohustusi vastavalt äriteenuste tingimustele või käesolevale lepingule, ja et sellised töötajad on seotud asjakohaste konfidentsiaalsuskohustustega ning võtavad kasutusele kõik mõistlikud meetmed vastavalt parimatele tööstusharu tavadele, et tagada kliendi isikuandmete konfidentsiaalsus.

3. Isikuandmete rikkumine

a. Teavitamine. Te teavitate Snapi põhjendamatu viivituseta ja võimaluse korral mitte rohkem kui 72 tundi pärast seda, kui olete saanud teada isikuandmete rikkumisest. Te esitate Snapile ka isikuandmete rikkumise kirjelduse, isikuandmete rikkumise objektiks olnud andmete liigi, (niivõrd kui see on teada) mõjutatud andmesubjektide kategooriad ja muu kohaldatava andmekaitseseadusega nõutava teabe, niipea kui sellist teavet on võimalik koguda või kui see muutub muul viisil kättesaadavaks, ning te teete koostööd kõigi Snapi poolt isikuandmete rikkumisega seoses esitatud mõistlike taotluste täitmisel.

b. Uurimine. Te nõustute viivitamatult võtma meetmeid isikuandmete rikkumise uurimiseks, tuvastama, ennetama ja leevendama selliste isikuandmete rikkumise tagajärgi ning Snapi eelneva nõusoleku korral teostama mis tahes taastamis- või muid meetmeid, mis on vajalikud isikuandmete rikkumise kõrvaldamiseks.

4. Andmete edastamine

a. Kui kliendi isikuandmeid edastatakse ühelt poolelt teisele poolele väljaspool EMPd või Ühendkuningriiki, siis andmeedastusleping:

(i) kohaldub sellisteks edastusteks;

(ii) on selliste edastuste puhul ülimuslik kõigi muude tingimuste, sealhulgas käesoleva Lepingu tingimuste suhtes;

(iii) moodustab õiguslikult siduva lepingu teie kui andmeeksportija ja Snapi kui andmeimportija või tema nimel tegutseja vahel; ja

(iv) lisatakse käesolevaga äriteenuste tingimustesse.

b. EMP, Šveitsi ja Ühendkuningriigi andmesubjektide isikuandmete puhul nõustute teie ja Snap, et kumbki pool võib töödelda kliendi isikuandmeid väljaspool EMPd, Šveitsi ja Ühendkuningriiki, kui andmekaitseõiguse nõuded (sealhulgas vajaduse korral GDPRi artiklid 44-47) on täidetud või kui kohaldatakse erandit (sealhulgas vajaduse korral GDPRi artiklis 49 loetletud erandeid).

c. Brasiilia andmesubjektide isikuandmete osas nõustute teie ja Snap, et kumbki pool võib töödelda kliendi isikuandmeid väljaspool Brasiiliat ning te kinnitate ja garanteerite, et kliendi isikuandmete edastamine on kooskõlas LGPD-ga.

5. Lõpetamine

Käesolev Leping lõpeb automaatselt äriteenuste tingimuste lõpetamisel.

6. Konfliktid

Kui see Leping või Andmete edastamise leping on konfliktis Äriteenuste tingimustega, Täiendavate tingimuste ja eeskirjadega või Snapi Teenustingimustega, siis konflikti ulatuses rakendatakse järgmiseid dokumente, langevas järjestuses: Andmete edastamise leping (ainult üleval klauslis 4.a sätestatud ulatuses), see Leping, Täiendavad tingimused ja eeskirjad, Äriteenuste tingimused ja Snapi Teenustingimused.

Loetelu 1: Andmete jagamise üksikasjad

A. Osapoolte nimekiri

Andmeeksportija(d)

Te olete andmeeksportija, kelle nimi, aadress ja kontaktandmed on esitatud Snapile äriteenuste kaudu. Tegevused, mis on seotud käesolevate tingimuste alusel edastatavate andmetega, hõlmavad asjaomaste äriteenuste kasutamist vastavalt äriteenuste tingimustele ja kohaldatavatele lisatingimustele ja -põhimõtetele. Andmeeksportija on vastutava töötleja rollis.

Andmeimportija(d)

Andmeimportija on Snap Inc., aadressiga 3000 31st Street, Santa Monica, California 90405, kui andmeeksportija edastab käesoleva lepingu alusel isikuandmeid ettevõttele Snap Inc. Tegevused, mis on seotud käesolevate tingimuste alusel edastatavate andmetega, hõlmavad Snapi poolt asjakohaste äriteenuste osutamist vastavalt äriteenuste tingimustele ja kohaldatavatele täiendavatele tingimustele ja põhimõtetele. Andmeimportija on vastutava töötleja rollis.

B. Ülekande kirjeldus

Snap jagab käesoleva lepingu alusel andmeid järgmiselt:

Teema

Snap pakub teile äriteenuseid.

Olemus ja eesmärk

Andmete jagamine toimub selleks, et Snap pakuks teile äriteenuseid vastavalt äriteenuste tingimustele ja käesolevas lepingus kirjeldatule.

Andmekategooriad

Klientide isikuandmed, mis on seotud üksikisikutega ja mille avalikustav pool on edastanud vastuvõtvale poolele äriteenuste kaudu, mis võivad hõlmata järgmist:

meiliaadress
telefoninumber
mobiilireklaami ID (IDFA/AAID)
IP aadress
küpsisetunnus
brauseri kasutajaagent
demograafilised andmed
kasutajate vahelised ühendused
seansi-, tehingu- ja kasutajatunnused
sugu, pikkus, kaal, vanus ja muud isikuomadused
tooteandmed, nagu tooteID, tootekategooria tee, tootekirjeldus, suurusinfo ja -andmed, EAN, toote värv ja toote sobivusandmed
tehinguandmed, näiteks teave ostude ja tagastuste kohta
veebisaitidel ja rakendustes tehtud toimingud ja sündmused, sealhulgas vaadatud leheküljed, ostud, otsingud, väljaregistreerimissündmused, soovinimekirjad, installeerimised ja kasutaja registreerimismeetodid
fotod

Edastatud tundlikud andmed

Ei ole kohaldatav

Ülekande sagedus

Pidev

Andmesubjektid

Andmesubjektide hulka kuuluvad EMP, Šveitsi, Ühendkuningriigi ja Brasiilia isikud, kelle kohta edastab avalikustav pool äriteenuste kaudu vastuvõtvale poolele isikuandmeid.

C. Pädev järelevalveasutus

Pädevaks järelevalveasutuseks on Hollandi andmekaitseinstitutsioon (Autoriteit Persoonsgegevens, AP).

Loetelu 2: Snap turvameetmed

1. Kirjaliku infoturbe programmi rakendamine ja järgimine, mis on kooskõlas kehtestatud tööstusharu standarditega ja sisaldab kliendi isikuandmete laadile vastavaid halduslikke, tehnilisi ja füüsilisi kaitsemeetmeid, mis on kavandatud kaitsma sellist teavet järgmiste tegurite eest: omavoliline juurdepääs, hävitamine, kasutamine, muutmine või avaldamine; omavoliline juurdepääs või kasutamine, mis võib põhjustada olulist kahju või ebamugavust andmetöötlejale, andmetöötleja klientidele või andmetöötleja töötajatele; ja mis tahes eeldatavad ähvardused või ohud sellise teabe turvalisusele või terviklikkusele.

2. Turvalisusega seotud põhjendatud põhimõtete ja standardite vastuvõtmine ja rakendamine.

3. Vastutuse määramine infoturbe haldamise eest.

4. Piisavate personaliressursside eraldamine infoturbele.

5. Alalise personali, kellel on juurdepääs kliendi isikuandmetele, kontrollimine.

6. Asjakohase taustakontrolli läbiviimine ja nõue, et töötajad, müüjad ja teised, kellel on juurdepääs kliendi isikuandmetele, sõlmivad kirjalikud konfidentsiaalsuslepingud.

7. Koolituse läbiviimine, et töötajad ja teised, kellel on juurdepääs kliendi isikuandmetele, oleksid teadlikud infoturbe riskidest ning et parandada Snapi andmekaitsepõhimõtete ja -standardite järgimist.

8. Vältida volitamata juurdepääsu kliendi isikuandmetele, kasutades vajaduse korral füüsilist ja loogilist (paroolid) sisenemise kontrolli, andmetöötluse turvalisi alasid, andmetöötlusvahendite kasutamise jälgimise menetlusi ja süsteemi sisseehitatud kontrolljälgi, turvaliste paroolide, võrgu sissetungi tuvastamise tehnoloogiat, krüpteerimis- ja autentimistehnoloogiat, turvalise sisselogimise korra ja viirusetõrje kasutamist, jälgides pidevalt Snapi andmekaitsepõhimõtete ja -standardite järgimist. Eelkõige on Snap rakendanud ja järgib vastavalt vajadusele ja piiranguteta järgmist:

Füüsilised juurdepääsukontrollimeetmed, et takistada loata juurdepääsu andmetöötlussüsteemidele (nt juurdepääsu ID-kaardid, kaardilugejad, lauaametnikud, häiresüsteemid, liikumisandurid, sissemurdmisalarmid, videovalve ja välisvalve);
Kasutamisest keeldumise kontrollimeetmed andmekaitsesüsteemide volitamata kasutamise vältimiseks (nt automaatselt jõustatavad paroolide keerukuse ja muutmise nõuded ning tulemüürid) ;
Nõuetest lähtuv autoriseerimisskeem ja juurdepääsuõigused ning süsteemi juurdepääsu jälgimine ja logimine, tagamaks, et andmetöötlussüsteemi kasutamiseks õigustatud isikutel on juurdepääs ainult nendele andmetele, millele neil on juurdepääsuõigus, ning et kliendi isikuandmeid ei saa loata lugeda, kopeerida, muuta või eemaldada;
Andmeedastuse kontrollimeetmed, mis tagavad, et kliendi isikuandmeid ei saa lugeda, kopeerida, muuta või eemaldada ilma loata elektroonilise edastamise, transpordi või andmekandjatel säilitamise ning andmete edastamise ja vastuvõtmise ajal. Eelkõige kavandatakse Snapi infoturbe programmi:
- Krüpteerida salvestamisel kõik Snapi valduses olevad andmekogumid, sealhulgas tundlikud isikuandmed, kasutades asjakohaseid krüpteerimistasemeid, mis põhinevad valdkonna juhtivatel krüpteerimisstandarditel, sealhulgas AES -256, ning salvestada kasutajate identiteedid süsteemis, kasutades võtmeväärtuse sidumist, näiteks ghost_id, et vältida tegeliku kasutaja identiteedi salvestamist; ja
- tagada, et kõik tundlikud isikuandmed, mis edastatakse elektrooniliselt (v.a faksiga) Snapi IT-süsteemist väljapoole jäävale isikule või edastatakse avaliku võrgu kaudu, krüpteeritakse TLS 1.2 protokolli uusimate toetatud versioonide abil, et kaitsta edastamise turvalisust;
Andmete sisestamise kontrollimeetmed, mis tagavad, et Snap saab kontrollida ja kindlaks teha, kas ja kes on kliendi isikuandmeid andmetöötlussüsteemidesse sisestanud, muutnud või eemaldanud;
Pidevad turvakontrollimeetmed, et tagada infoturbe tavade asjakohasus, tõhusus ja ajakohasus, sealhulgas iga-aastased penetratsioonitestid, vigade leidmise eest makstava auhinna programm, süsteemi skaneerimisvahendite kasutamine, lauaharjutused, varukoopiate taastamise testid, toodangueelsete ebaõnnestumiste ja tegelike vahejuhtumite järelanalüüside läbiviimine, et ajakohastada asjakohaseid hädaolukorrast taastumise kavasid;
Alltöötleja järelevalvemeetmed tagamaks, et kui Snapil on lubatud kasutada alltöötlejaid, töödeldakse kliendi isikuandmeid rangelt kooskõlas andmetöötleja juhistega, sealhulgas vajaduse korral:
- Meetmed, millega tagatakse, et kliendi isikuandmed on kaitstud juhusliku hävimise või kadumise eest, sealhulgas vajaduse korral ja piiramatult andmete varundamise, säilitamise ja turvalise hävitamise poliitika; andmete turvaline välissalvestamine, mis on piisav katastroofidest taastumiseks; katkematu energiavarustuse ja katastroofidest taastumise programmid; ning
- meetmed, millega tagatakse, et eri eesmärkidel kogutud andmeid saab töödelda eraldi, sealhulgas vajaduse korral kliendi isikuandmete füüsiline või piisav loogiline eraldamine.

9. Muude meetmete kasutuselevõtt, mis võivad olla asjaolusid arvestades asjakohased.