Olemme Snap Inc.

Tietojen jakamissopimus

Voimassa alkaen: 27. syyskuuta 2021

HUOMAA: OLEMME PÄIVITTÄNEET ALLA OLEVAT EHDOT UUSIEN EUROOPAN KOMISSION HYVÄKSYTTYJEN VAKIOSOPIMUSLAUSEKKEIDEN KANSSA, ASTUEN VOIMAAN 27. SYYSKUUTA 2021

VÄLIMIESMENETTELYÄ KOSKEVA HUOMAUTUS: YRITYSPALVELUEHDOISSA ILMOITETTUA VÄLIMIESMENETTELYSÄÄDÖSTÄ KOSKEVAT EHDOT SITOVAT SINUA. JOS SINULLA ON SOPIMUS SNAP INC:N KANSSA, SINÄ JA SNAP INC. LUOVUTTE OIKEUDESTANNE OSALLISTUA RYHMÄKANTEESEEN TAI RYHMÄN LAAJUISEEN VÄLIMIESMENETTELYYN.

Johdanto

Tämä tietojen jakamissopimus ("sopimus") muodostaa oikeudellisesti sitovan sopimuksen sinun ja Snapin välillä, sitä sovelletaan siltä osin kuin sinä ja Snap jaatte asiakkaan henkilötietoja alla kuvatulla tavalla, ja se sisältyy yrityspalveluehtoihin. Jotkin tässä sopimuksessa käytetyt termit on määritelty liiketoimintapalveluehdoissa.

1. Määritelmät

"Asiakkaan henkilötiedot" tarkoittavat ETA:n, Sveitsin, Yhdistyneen kuningaskunnan ja Brasilian hallintoalueella rekisteröityjen henkilötietoja, jotka toinen osapuoli tai sen edustaja ("ilmoittava osapuoli") toimittaa sinulle tai Snapille ("vastaanottava osapuoli"), kun sekä vastaanottava osapuoli että ilmoittava osapuoli ovat kumpikin rekisterinpitäjiä.

"Tietosuojalaki" tarkoittaa ETA:n, Sveitsin, Yhdistyneen kuningaskunnan ja Brasilian tietosuojalakeja, joita sovelletaan Asiakkaan henkilötietojen käsittelyyn tämän sopimuksen mukaisesti, mukaan lukien GDPR, Yhdistyneen kuningaskunnan tietosuojalait ja LGPD.

"ETA" tarkoittaa Euroopan talousaluetta.

"GDPR" tarkoittaa 27. päivänä huhtikuuta 2016 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaata liikkuvuutta ja direktiivin 95/46/EY kumoamista.

"LGPD" tarkoittaa Brasilian yleistä tietosuojalakia (Lei Geral de Proteção de Dados Pessoais).

"Henkilötietojen loukkaus" tarkoittaa vahingossa tapahtuvaa tai laitonta tuhoamista, hukkaamista, muuttamista, luvatonta paljastamista tai pääsyä osapuolen hallinnoimiin tai hallitsemiin asiakkaan henkilötietoihin.

"UK" tarkoittaa Yhdistynyttä kuningaskuntaa.

"Yhdistyneen kuningaskunnan tietosuojasäädännöt" tarkoittaa GDPR:ää, koska se on osa Englannin ja Walesin, Skotlannin ja Pohjois-Irlannin lakia Yhdistyneessä kuningaskunnassa annetun Euroopan unionin (Withdrawal) Act 2018 -lain ("UK GDPR") 3 §:n ja Tietosuojalaki 2018.

Termeillä "henkilötiedot", "rekisteröity", "käsittely", "rekisterinpitäjä", "käsittelijä", "edustaja" ja "valvontaviranomainen", kuten tässä sopimuksessa on käytetty, on GDPR:ssä, Yhdistyneen kuningaskunnan tietosuojalainsäädännössä tai LGPD:ssä määritetyt merkitykset, soveltuvin osin ja jokaisessa tapauksessa riippumatta siitä, sovelletaanko tietosuojasäädäntöä.

2. Tehtävät ja rajoitukset

a. Osapuolten tehtävät. Sinä ja Snap olette kumpikin asiakkaan henkilötietojen riippumattomia rekisterinpitäjiä, jotka määrittävät itsenäisesti asiakkaan henkilötietojen käsittelyn tarkoitukset ja tavat tässä sopimuksessa ja yrityspalveluehdoissa, mukaan lukien mahdolliset lisäehdot ja käytännöt, asetettujen rajoitusten ja tietosuojalain mukaisesti.

b. Avoimuus ja tietosuojaoikeudet. Sinä ja Snap ilmoitatte erikseen rekisteröidyille heidän tietosuojalain mukaisista oikeuksistaan ja annatte rekisteröityjen käyttää tietosuojalain mukaisia oikeuksiaan.

c. Tietojen käsittelyn yksityiskohdat. Käsittelyn aihe ja yksityiskohdat on kuvattu tämän sopimuksen luettelossa 1.

d. Lainmukaisuus. Kukin osapuoli suostuu noudattamaan tietosuojalainsäädännön mukaisia velvoitteitaan liittyen kaikkiin asiakkaiden henkilötietoihin, joita osapuolet käsittelevät tämän sopimuksen mukaisesti tai siihen liittyen.

e. Tietosuoja. Tietosuojalain mukaisesti kukin osapuoli toteuttaa ja ylläpitää kaikkia asianmukaisia teknisiä, hallinnollisia ja organisatorisia toimenpiteitä, jotka ovat tarpeen: (i) varmistaakseen luottamuksellisuuden ja turvallisuuden tason, joka vastaa käsittelyn aiheuttamia riskejä ja asiakkaan henkilötietojen luonnetta; ja (ii) estääkseen asiakkaan henkilötietojen luvattoman tai laittoman käsittelyn ja vahingossa tapahtuvan katoamisen, paljastamisen, tuhoutumisen tai vahingoittumisen.

f. Luottamuksellisuus. Jokainen osapuoli varmistaa, että vain työntekijöillä, jotka avustavat yrityksen velvollisuuksien täyttämisessä yrityspalveluehtojen tai tämän sopimuksen mukaisesti, on pääsy asiakkaiden henkilötietoihin, ja että näitä työntekijöitä sitovat asianmukaiset luottamuksellisuusvelvoitteet, ja että he ryhtyvät kaikkiin asianmukaisiin toimiin toimialan parhaiden käytäntöjen mukaisesti, jotta asiakkaiden henkilötiedot pysyvät luottamuksellisina.

3. Henkilötietorikokset

a. Ilmoitus. Ilmoitat Snapille ilman aiheetonta viivytystä ja mahdollisuuksien mukaan enintään 72 tunnin kuluttua siitä, kun olet saanut tiedon henkilötietorikoksesta. Toimitat Snapille myös kuvauksen henkilötietorikoksesta, henkilötietorikoksen kohteena olevien tietojen tyypistä, asiaa koskevien rekisteröityjen luokista (siltä osin kuin tiedossa) ja muut sovellettavan tietosuojalain edellyttämät tiedot heti kun tällaiset tiedot voidaan kerätä tai muutoin tulevat saataville, ja teet yhteistyötä Snapin esittämien kohtuullisten henkilötietorikokseen liittyvien pyyntöjen kanssa.

b. Tutkimus. Sitoudut ryhtymään välittömästi toimiin henkilötietorikoksen tutkimiseksi sekä tällaisten henkilötietorikosten vaikutusten tunnistamiseksi, ehkäisemiseksi ja lieventämiseksi ja Snapin aiemman hyväksynnän mukaisesti suorittamaan kaikki korjaavat tai muut toimet, jotka ovat tarpeen oikeussuojakeinoina henkilötietorikoksen tapahduttua.

4. Tiedonsiirrot

a. Jos asiakkaan henkilötietoja siirretään osapuolelta toiselle ETA:n tai Yhdistyneen kuningaskunnan ulkopuolelle, tiedonsiirtosopimus:

(i) on voimassa tällaisia siirtoja koskien;

(ii) ohittaa kaikki muut ehdot, mukaan lukien tämän sopimuksen ehdot, tällaisten siirtojen osalta;

(iii) muodostaa juridisesti sitovan sopimuksen sinun (tiedon viejänä) sekä Snapin (tiedon tuojana tai tämän puolesta toimivana) välille; ja

(iv) sisällytetään täten yrityksen palveluehtoihin.

b. ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan kansalaisten henkilötietoja koskien sinä ja Snap sovitte, että jokainen osapuoli voi käsitellä asiakkaiden henkilötietoja ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan ulkopuolella, jos tietosuojalain vaatimukset (mukaan lukien soveltuvin osin GDPR:n artiklat 44–47) täyttyvät, tai jos kyseessä on poikkeus (mukaan lukien soveltuvin osin GDPR:n artiklassa 49 luetellut).

c. Brasilian kansalaisten henkilötietoja koskien sinä ja Snap hyväksytte, että jokainen osapuoli voi käsitellä asiakkaiden henkilötietoja Brasilian ulkopuolella, ja toteatte ja takaatte sen, että tällainen asiakkaiden henkilötietojen siirto on LGPD:n mukainen.

5. Irtisanominen

Sopimus päättyy automaattisesti liiketoimintaehtojen päättyessä.

6. Ristiriidat

Jos tämä sopimus tai tiedonsiirtosopimus on ristiriidassa yrityspalveluehtojen, lisäehtojen ja käytäntöjen tai Snapin palveluehtojen kanssa, ristiriidan laajuudessa asiakirjat ovat määräysvaltaiset laskevassa järjestyksessä: tiedonsiirtosopimus (mutta vain siltä osin kuin sitä sovelletaan yllä olevan kohdan 4.a mukaisesti), tämä sopimus, lisäehdot ja käytännöt, yrityspalveluehdot ja Snapin palveluehdot.

Aikataulu 1: Tietojen jakamisen yksityiskohdat

A. Luettelo sopimuspuolista

Tietojen viejät

Olet tietojen viejä, jolla on nimi, osoite ja yhteystiedot, jotka on annettu Snapille liiketoimintapalvelujen kautta. Näiden lausekkeiden mukaisesti siirrettävien tietojen kannalta merkityksellisiin toimintoihin kuuluu Snapin asianomaisten liiketoimintapalvelujen käyttö yrityspalveluehtojen ja sovellettavien lisäehtojen ja -käytäntöjen mukaisesti. Tietojen viejän on oltava rekisterinpitäjän roolissa.

Tietojen tuojat

Tietojen tuoja on Snap Inc., jonka osoite on 3000 31st Street, Santa Monica, California 90405, jos tietojen viejä siirtää henkilötietoja Snap Inc.:lle tämän sopimuksen mukaisesti. Näiden lausekkeiden mukaisesti siirrettävien tietojen kannalta merkityksellisiin toimintoihin kuuluu Snapin asianomaisten liiketoimintapalvelujen käyttö yrityspalveluehtojen ja sovellettavien lisäehtojen ja -käytäntöjen mukaisesti. Tietojen tuojan on oltava rekisterinpitäjän roolissa.

B. Siirron kuvaus

Snapin tämän sopimuksen mukaiset tiedonjakamistoiminnot ovat seuraavat:

Aihealue

Snapin yrityspalvelujen tarjoaminen sinulle.

Luonne ja tarkoitus

Tietojen jakamisen tarkoitus on Snapin liiketoimintapalvelujen tarjoaminen sinulle yrityspalveluehtojen ja tämän sopimuksen mukaisesti ja niissä kuvatulla tavalla.

Tietoluokat

Yksityishenkilöitä koskevat asiakkaan henkilötiedot, jotka ilmoittava osapuoli on toimittanut vastaanottavalle osapuolelle liiketoimintapalvelujen kautta, mukaan lukien:

sähköpostiosoite
puhelinnumero
mobiilimainos-ID (IDFA/AAD)
IP-osoitteita
evästeen tunnus
selaimen käyttäjäagentti
väestötiedot
käyttäjien väliset yhteydet
istunto, maksutapahtuma ja käyttäjän tunnukset
sukupuoli, pituus, paino, ikä ja muut henkilökohtaiset ominaisuudet
tuotetiedot, kuten tuotetunnus, tuotekategorian polku, tuotteen kuvaus, kokotiedot, EAN, tuotteen väri ja tuotteen sopivuustiedot
maksutapahtumatiedot, kuten ostojen ja palautusten tiedot
verkkosivustoilla ja sovelluksissa tehdyt toimet ja tapahtumat, mukaan lukien katsotut sivut, ostot, haut, uloskirjautumistapahtumat, toivelistat, asennukset ja käyttäjien rekisteröintimenetelmät
valokuvat

Siirretyt arkaluonteiset tiedot

Ei sovelleta

Siirron taajuus

Jatkuva

Rekisteröidyt

Rekisteröityjä ovat ETA:ssa, Sveitsissä, Yhdistyneessä kuningaskunnassa ja Brasiliassa asuvat henkilöt, joista ilmoittava osapuoli toimittaa henkilötietoja vastaanottavalle osapuolelle liiketoimintapalvelujen kautta.

C. Toimivaltainen viranomainen

Toimivaltainen valvontaviranomainen on Alankomaiden tietosuojaviranomainen (Autoriteit Persoonsgegevens, AP).

Aikataulu 2: Snapin turvatoimet

1. Toimialan vakiintuneiden standardien mukaisen, kirjallisen tietoturvaohjelman käyttöönotto ja noudattaminen. Ohjelma sisältää hallinnolliset, tekniset ja fyysiset suojatoimet, jotka ovat asianmukaisia asiakkaiden henkilötietojen luonteen kannalta ja joiden tarkoituksena on suojella näitä tietoja seuraavilta: luvaton pääsy, tuhoaminen, käyttö, muokkaus tai jakaminen; luvaton pääsy tai käyttö, joka voi aiheuttaa huomattavaa vahinkoa tai haittaa rekisterinpitäjälle, rekisterinpitäjän asiakkaille tai rekisterinpitäjän työntekijöille; mahdolliset ennakoidut uhat tai vaarat näiden tietojen suojaukselle tai koskemattomuudelle.

2. Turvallisuutta koskevien asianmukaisten käytäntöjen ja standardien omaksuminen ja toteuttaminen.

3. Tietoturvahallinnon vastuiden määrittely.

4. Riittävien henkilöstöresurssien kohdistaminen tietoturvatoimiin.

5. Tarkastusten suorittaminen pysyvään henkilökuntaan kuuluvilla, joilla tulee olemaan pääsy asiakkaiden henkilötietoihin.

6. Asianmukaisten taustatarkastusten suorittaminen sekä luottamuksellisuutta koskevien kirjallisten sopimusten edellyttäminen työntekijöiltä, myyjiltä ja muilta, joilla on pääsy asiakkaiden henkilötietoihin.

7. Koulutuksen toteuttaminen, jotta työntekijät ja muut, joilla on pääsy asiakkaiden henkilötietoihin, tulevat tietoisiksi tietoturvaa koskevista riskeistä ja jotta voidaan edistää Snapin tietoturvaa koskevien käytäntöjen ja standardien noudattamista.

8. Estetään luvaton pääsy asiakkaiden henkilötietoihin käyttämällä soveltuvin osin fyysisiä ja loogisia (salasanat) pääsyrajoitteita, suojattuja alueita tiedonkäsittelyssä, tiedonkäsittelytilojen käytön valvonnan menettelyitä, sisäänrakennettuja järjestelmätarkastuksen menettelyitä, suojattuja salasanoja, verkkoon tunkeutumisen havaitsemisteknologiaa, salaus- ja todennusteknologiaa, suojattuja kirjautumismenettelyitä ja virustorjuntaa sekä Snapin tietoturvaan liittyvien käytäntöjen ja standardien noudattamisen jatkuvaa valvontaa. Tarkemmin ottaen Snap on toteuttanut ja noudattaa soveltuvin osin ja rajoituksetta seuraavia:

Fyysiset pääsynvalvonnan toimenpiteet, joilla estetään luvaton pääsy tietojenkäsittelyjärjestelmiin (esim. tunnistekortit, kortinlukijat, turvallisuusvirkailijat, hälytysjärjestelmät, liiketunnistimet, murtohälyttimet, videovalvonta ja ulkotilojen turvallisuus);
Käytön estävät toimenpiteet, joilla torjutaan tietosuojajärjestelmien luvaton käyttö (esim. automaattisesti parannettu salasanavahvuus, pakollinen vaihtaminen ja palomuurit) ;
vaatimuspohjainen valtuutusjärjestelmä ja käyttöoikeudet sekä järjestelmän käytön valvonta ja kirjaaminen, jotta henkilöillä, joilla on oikeus käyttää tietojenkäsittelyjärjestelmää, on pääsy vain tietoihin, joiden käyttöoikeus heillä on, ja jotta asiakkaiden henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta;
tiedonsiirron valvontatoimenpiteet, joilla varmistetaan, että asiakkaiden henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta sähköisen siirron, kuljetuksen tai fyysisellä välineellä säilytyksen aikana eikä asiakirjojen siirron tai vastaanottamisen aikana. Tarkemmin ottaen Snapin tietoturvaohjelma suunnitellaan siten, että se:
- salaa säilytysvaiheessa kaikki Snapin omistamat tietojoukot, mukaan lukien arkaluonteiset henkilötiedot, käyttäen asianmukaisia salaustasoja perustuen toimialan johtaviin salausstandardeihin, mukaan lukien AES -256, ja säilyttämällä käyttäjätunnisteita järjestelmässä avainarvoparien avulla, kuten ghost_id, jotta voidaan välttää varsinaisen käyttäjätunnuksen säilytys; ja
- varmistaa, että kaikki arkaluonteiset henkilötiedot, jotka siirretään sähköisesti (muutoin kuin faksin välityksellä) Snapin IT-järjestelmän ulkopuoliselle henkilölle tai jotka siirretään julkisessa verkossa, salataan käyttäen uusimpia tuettuja TLS 1.2 -protokollan versioita siirron suojauksen varmistamiseksi;
tietojen lisäämisen valvontatoimenpiteet, jotta Snap voi tarkistaa ja selvittää, onko ja kenen toimesta asiakkaiden henkilötietoja syötetty tietojenkäsittelyjärjestelmiin, muokattu tai poistettu;
jatkuvat turvallisuuden testaustoimet, jotta tietoturvakäytännöt pysyvät relevantteina, tehokkaina ja ajantasaisina, mukaan lukien vuosittaiset tunkeutumistestit, Bug bounty -ohjelma, järjestelmäskannauksen työkalujen käyttö, valmiuskeskustelut, varmuuskopiointitestit, tuotantovaihetta edeltävät failover-testit sekä kaikkien tapahtuneiden haittatilanteiden selvitys, jotta asianmukaisia varautumissuunnitelmia voidaan päivittää;
alihankkijoiden suorittaman käsittelyn valvonta, jotta varmistetaan, että mikäli Snapin sallitaan käyttää alihankkijoita käsittelyssä, asiakkaiden henkilötiedot käsitellään täysin rekisterinpitäjän ohjeiden mukaisesti, mukaan lukien soveltuvin osin:
- toimenpiteet, joilla asiakkaiden henkilötiedot suojataan tahattomalta tuhoutumiselta tai menetykseltä, mukaan lukien soveltuvin osin ja rajoituksetta varmuuskopiointi, palauttaminen ja suojatut tuhoamiskäytännöt; suojattu tietojen säilytys toimipisteen ulkopuolella, joka riittää katastrofeista palautumiseen; keskeytymätön virran saanti ja katastrofeista palautumisen ohjelmat; ja
- toimenpiteet, joilla varmistetaan, että eri tarkoituksiin hankitut tiedot voidaan käsitellä erikseen, mukaan lukien soveltuvin osin fyysinen tai asianmukainen looginen asiakkaiden henkilötietojen erottelu.

9. Muihin tällaisiin toimenpiteisiin ryhtyminen silloin, kun se voi olla asianmukaista olosuhteiden kannalta.