Mi smo Snap Inc.

Sporazum o dijeljenju podataka

Učinkovit: 27. rujna 2021.

NAPOMENA: UVJETE U NASTAVKU AŽURIRALI SMO U VEZI S NOVIM STANDARDNIM UGOVORNIM KLAUZULAMA KOJE JE ODOBRILA EUROPSKA KOMISIJA I KOJE SU NA SNAZI OD 27. RUJNA 2021.

OBAVIJEST O ARBITRAŽI: OBVEZUJE VAS ODREDBA O ARBITRAŽI NAVEDENA U UVJETIMA ZA POSLOVNE USLUGE. AKO SKLAPATE UGOVOR S DRUŠTVOM SNAP. IN, TADA SE VI I DRUŠTVO SNAP INC. ODRIČETE SE BILO KOJEG PRAVA SUDJELOVANJA U ZAJEDNIČKOJ TUŽBI ILI ZAJEDNIČKOJ ARBITRAŽI.

Uvod

Ovaj Ugovor o dijeljenju podataka ("Ugovor") čini pravno obvezujući sporazum između Vas i Snapa, primjenjuje se u mjeri u kojoj Vi i Snap dijelite osobne podatke Korisnika kako je opisano u nastavku te je uključen u Uvjete poslovnih usluga. Neki uvjeti koji se koriste u ovom Ugovoru definirani su u Uvjetima poslovnih usluga.

1. Definicije

„Osobni podaci korisnika” označava osobne podatke ispitanika iz EGP-a, Švicarske, Ujedinjenog Kraljevstva i Brazila koje je Vama ili Snapu („Primatelj”) izravno ili posredno pružila druga strana („Otkrivatelj”) kada su i Primatelj i Otkrivatelj voditelji obrade.

“Zakon o zaštiti podataka” označava zakone o zaštiti podataka u EGP-u, Švicarskoj, UK-u i Brazilu koji se primjenjuju na obradu osobnih podataka korisnika na temelju ovog Ugovora, uključujući GDPR, zakone Ujedinjenog Kraljevstva o zaštiti podataka i LGPD.

“EGP” znači Europski gospodarski prostor.

“GDPR” znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ).

“LGPD” znači Brazilski opći zakon o zaštiti podataka (Lei Geral de Proteção de Dados Pessoais).

“Povreda osobnih podataka” označava slučajno ili nezakonito uništenje, gubitak, izmjenu, neovlašteno otkrivanje ili pristup osobnim podacima korisnika u sustavima kojima upravlja ili koje kontrolira jedna strana.

“UK” znači Ujedinjeno Kraljevstvo.

“Zakoni o zaštiti podataka u Ujedinjenoj Kraljevini” znači GDPR jer čini dio prava Engleske i Walesa, Škotske i Sjeverne Irske na temelju dijela 3 Zakona o Europskoj uniji (Povlačenje) iz 2018. u Ujedinjenom Kraljevstvu (“UK GDPR”) i Zakona o zaštiti podataka iz 2018.

Pojmovi “osobni podaci”, “ispitanik”, “obrada”, “voditelj obrade”, “izvršitelj obrade”, “predstavnik” i “nadzorno tijelo”, svaki kako se upotrebljava u ovom Ugovoru, imaju značenja navedena u GDPR-u, zakonima o zaštiti podataka UK-a ili LGPD-u, ovisno koji se primjenjuje, a u svakom slučaju neovisno o tome primjenjuje li se Zakon o zaštiti podataka.

2. Uloge i ograničenja

a. Uloge stranaka. Vi i Snap svaki ste neovisni voditelj obrade osobnih podataka korisnika koji će, podložno bilo kakvim ograničenjima navedenim u ovom Ugovoru i Uvjetima poslovnih usluga, uključujući sve dopunske uvjete i pravila, neovisno odrediti svrhe i načine obrade osobnih podataka prema Zakonu o zaštiti podataka.

b. Transparentnost i prava na zaštitu podataka. Vi i Snap pojedinačno ćete obavijestiti ispitanike i omogućiti ispitanicima da ostvare svoja prava prema Zakonu o zaštiti podataka.

c. Pojedinosti o obradi podataka. Predmet i pojedinosti obrade opisani su u Prilogu 1. ovom Ugovoru.

d. Usklađenost sa zakonom. Svaka strana suglasna je poštovati svoje obveze u skladu sa Zakonom o zaštiti podataka koji se odnose na Osobne podatke korisnika koje obrađuje u skladu s ovim Ugovorom.

e. Sigurnost podataka. U skladu sa Zakonom o zaštiti podataka svaka strana je dužna provoditi i održavati sve odgovarajuće tehničke, administrativne i organizacijske mjere potrebne da bi se: (i) osigurala razina povjerljivosti i sigurnosti primjerena rizicima koje predstavlja obrada i priroda osobnih podataka korisnika i (ii) spriječila neovlaštena ili nezakonita obrada osobnih podataka korisnika te slučajni gubitak, otkrivanje ili uništavanje ili oštećenje osobnih podataka korisnika.

f. Povjerljivost. Svaka strana osigurat će da pristup osobnim podacima korisnika ima samo osoblje kojem mogu biti potrebni za pomoć u ispunjavanju njihovih obveza u skladu s Uvjetima poslovnih usluga ili ovim Ugovorom te će osigurati da je takvo osoblje obvezano odgovarajućim obvezama povjerljivosti, kao i poduzeti sve razumne korake u skladu s najboljom industrijskom praksom kako bi se osigurala povjerljivost osobnih podataka korisnika.

3. Povreda osobnih podataka

a. Obavijest. Obavijestit ćete društvo Snap bez neopravdane odgode i, kad je to moguće, ne više od 72 sata nakon što postanete svjesni povrede osobnih podataka. Također ćete društvu Snap dostaviti opis povrede osobnih podataka, vrstu podataka koji su bili predmet povrede osobnih podataka, (koliko Vam je poznato) kategorije ispitanika koji su pogođeni i druge informacije koje zahtijeva primjenjivi zakon o zaštiti podataka čim takve informacije bude moguće prikupiti ili na drugi način postanu dostupne, te ćete surađivati sa svim razumnim zahtjevima društva Snap u vezi povrede osobnih podataka.

b. Istraga. Suglasni ste da se odmah poduzmu mjere za istragu povrede osobnih podataka kako bi se utvrdili, spriječili i ublažili učinci bilo koje takve povrede osobnih podataka te ste suglasni, uz prethodni pristanak društva Snap, provođenju mjera oporavka ili bilo koje druge mjere potrebne za otklanjanje povrede osobnih podataka.

4. Prijenosi podataka

a. Ako postoje prijenosi osobnih podataka korisnika od jedne strane drugoj izvan EGP-a ili Ujedinjenog Kraljevstva, Ugovor o prijenosu podataka:

(i) primjenjuje se na takve prijenose;

(ii) u pogledu takvih prijenosa, ima prednost nad svim drugim uvjetima, uključujući uvjete ovog Ugovora;

(iii) tvori pravno obvezujući ugovor između vas kao izvoznika podataka i društva Snap u ime uvoznika podataka; i

(iv) ovime se uvrštava u Uvjete poslovnih usluga.

b. Kad je riječ o osobnim podacima ispitanika iz EGP-a, Švicarske i Ujedinjenog Kraljevstva, Vi i društvo Snap suglasni ste da svaka strana može obrađivati osobne podatke korisnika izvan EGP-a, Švicarske i Ujedinjene Kraljevine kad su ispunjeni zahtjevi zakona o zaštiti podataka (uključujući, gdje je to primjenjivo, članke 44. do 47. GDPR-a) ili kad se primjenjuje iznimka (uključujući, gdje je primjenjivo, one navedene u članku 49. GDPR-a).

c. Kad je riječ o osobnim podacima ispitanika iz Brazila, Vi i društvo Snap suglasni ste da svaka strana može obrađivati osobne podatke korisnika izvan Brazila te izjavljujete i jamčite da je takav prijenos osobnih podataka korisnika u skladu s LGPD-om.

5. Raskid ugovora

Ovaj će se Ugovor automatski prekinuti nakon prestanka važenja Uvjeta za poslovne usluge.

6. Sukobi

U slučaju sukoba između ovog Ugovora ili Ugovora o prijenosu podataka i Uvjeta poslovnih usluga, bilo kojih dopunskih uvjeta i pravila ili Snapovih Uvjeta pružanja usluge, tada će u mjeri sukoba prevagu nositi sljedeći dokumenti, silaznim redoslijedom: Ugovor o prijenosu podataka (ali samo u mjeri u kojoj se primjenjuje pod odjeljkom 4.a gore), ovaj Ugovor, dopunski uvjeti i pravila, Uvjeti poslovnih usluga i Snapovi Uvjeti pružanja usluge.

Raspored 1: Pojedinosti o dijeljenju podataka

A. Popis stranaka

Izvoznik(ci) podataka

Vi ste izvoznik podataka s imenom, adresom i kontaktnim podacima koji su dostavljeni Snapu putem Poslovnih usluga. Aktivnosti važne za podatke koji se prenose u skladu s ovim klauzulama uključuju upotrebu relevantnih Poslovnih usluga u skladu s Uvjetima poslovnih usluga i primjenjivim dodatnim uvjetima i pravilima. Izvoznik podataka ima ulogu voditelja obrade.

Uvoznik(ci) podataka

Uvoznik podataka bit će društvo Snap Inc. sa sjedištem na adresi 3000 31st Street, Santa Monica, California 90405, ako izvoznik podataka prenosi osobne podatke društvu Snap Inc. u skladu s ovim Ugovorom. Aktivnosti važne za podatke koji se prenose u skladu s ovim klauzulama uključuju Snapovo pružanje relevantnih poslovnih usluga u skladu s Uvjetima poslovnih usluga i primjenjivim dodatnim uvjetima i pravilima. Uvoznik podataka imat će ulogu voditelja obrade.

B. Opis prijenosa

Aktivnosti dijeljenja podataka koje provodi Snap u skladu s ovim Ugovorom su sljedeće:

Predmet

Snapovo pružanje poslovnih usluga Vama.

Priroda i svrha

Svrha dijeljenja podataka je Snapovo pružanje poslovnih usluga Vama u skladu sa i kako je opisano u Uvjetima poslovnih usluga i ovom Ugovoru.

Kategorije podataka

Osobni podaci korisnika koji se odnose na pojedince, a koje je Otkrivatelj dostavio Primatelju putem poslovnih usluga mogu uključivati:

adresu e-pošte
broj telefona
ID mobilnog oglasa (IDFA/AAID)
IP adresu
ID kolačića
korisnički posrednik preglednika
demografske podatke
veze između korisnika
ID-ove sesija, transakcija i korisnika
spol, visinu, težinu, dob i druge osobne značajke
podatke o proizvodu kao što su ID proizvoda, put kategorije proizvoda, opis proizvoda, informacije i podatke o veličini, EAN, boju proizvoda i informacije o prikladnosti proizvoda
transakcijske podatke kao što su informacije o kupnji i povratu
mjere i događaji koji se poduzimaju na web-mjestima i u aplikacijama, uključujući pregledane stranice, kupovine, pretraživanja, događaje odjave, popise želja, instalacije i metode registracije korisnika
fotografije

Preneseni osjetljivi podaci

Nije primjenjivo

Učestalost prijenosa

Kontinuirano

Ispitanici

Ispitanici uključuju osobe iz EGP-a, Švicarske, Ujedinjenog Kraljevstva i Brazila čije osobne podatke Otkrivatelj pruža Primatelju putem poslovnih usluga.

C. Nadležno nadzorno tijelo

Nadležno nadzorno tijelo bit će Nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens, AP).

Raspored 2: Snapove mjere sigurnosti

1. Provedba pisanog programa informacijske sigurnosti i usklađenost s njime u skladu s utvrđenim sektorskim standardima, što uključuje i administrativne, tehničke i fizičke zaštitne mjere koje odgovaraju prirodi Osobnih podataka korisnika i koje su osmišljene za zaštitu takvih podataka od: neovlaštenog pristupa, uništenja, korištenja, izmjene ili otkrivanja; neovlaštenog pristupa ili korištenja koje može rezultirati znatnom štetom ili neugodnošću Voditelja obrade podataka, kupcima Voditelja obrade podataka ili zaposlenicima Voditelja obrade podataka te od svih očekivanih prijetnji ili opasnosti za sigurnost ili integritet takvih informacija.

2. Donošenje i provedba razumnih pravila i standarda povezanih sa sigurnošću.

3. Pripisivanje odgovornosti za upravljanje informacijskom sigurnosti.

4. Ulaganje odgovarajućih resursa zaposlenika u informacijsku sigurnost.

5. Provedba provjera stalno zaposlenog osoblja koje će imati pristup Osobnim podacima korisnika.

6. Provedba odgovarajućih provjera podataka i podobnosti te zahtijevanje od zaposlenika, dobavljača i drugih dionika koji imaju pristup Osobnim podacima korisnika da potpišu pisane ugovore o povjerljivosti.

7. Obučavanje kako bi se zaposlenike i druge dionike koji imaju pristup Osobnim podacima korisnika osvijestilo o rizicima povezanima s informacijskom sigurnošću te kako bi se poboljšala usklađenost s pravilima i standardima društva Snap o zaštiti podataka.

8. Sprečavanje neovlaštenog pristupa Osobnim podacima korisnika upotrebom (kako je primjenjivo) fizičkih i logičkih (lozinke) kontrola ulazaka, osiguravanjem sigurnih područja za obradu podataka, postupcima za praćenje korištenja prostorija za obradu podataka, ugrađenim sustavom praćenja revizije, upotrebom sigurnih lozinki, tehnologijom otkrivanja upada u mrežu, tehnologijom šifriranja i provjere autentičnosti, sigurnim postupcima prijavljivanja te zaštitom od virusa, kontinuiranim praćenjem usklađenosti s pravilima i standardima društva Snap koji se odnose na zaštitu podataka. Konkretno, u mjeri u kojoj je to primjereno i bez ograničenja, društvo Snap provodi sljedeće mjere i usklađeno je sa sljedećim mjerama:

Mjere za kontrolu fizičkog pristupa kako bi se spriječio neovlašteni pristup sustavima obrade podataka (npr. pristupne iskaznice, čitači kartica, uredski službenici, sustavi alarma, detektori pokreta, alarmi protiv provale, videonadzor i sigurnost eksterijera);
Mjere za zaštitu od odbijanja korištenja kako bi se spriječilo neovlašteno korištenje sustava za zaštitu podataka (npr. automatski nametnuti zahtjevi za složenost lozinke, promjenu lozike i za vatrozide.) ;
Programom ovlaštenja i prava pristupa koji se temelji na zahtjevima, te praćenje i zapisivanje pristupa sustavu kako bi se osiguralo da osobe koje imaju pravo koristiti sustav obrade podataka imaju pristup samo podacima kojima imaju pravo pristupa te da se Osobni podaci korisnika ne mogu čitati, kopirati, izmijeniti ili ukloniti bez odobrenja;
Mjere za kontrolu prijenosa podataka kako bi se osiguralo da se Osobni podaci korisnika ne mogu čitati, kopirati, izmijeniti ili ukloniti bez odobrenja tijekom elektroničkog prijenosa, prijevoza ili pohrane na podatkovnim medijima te prijenosa i primanja evidencija. Konkretno, program informacijske sigurnosti društva Snap bit će osmišljen:
- Za šifriranje u pohranu bilo kojeg skupa podataka u posjedu društva Snap, uključujući osjetljive osobne podatke primjenom odgovarajućih razina šifriranja koje se temelje na vodećim sektorskim standardima šifriranja, uključujući AES -256, i pohranjivanje korisničkih identiteta u sustav s pomoću para ključ/vrijednost kao što je ghost_id kako bi se spriječila pohrana stvarnog korisničkog ID-ja i
- Kako bi se osiguralo da se svi osjetljivi osobni podaci koji se prenose elektronički (osim faksimilom) osobi izvan IT sustava društva Snap ili koji se prenose javnom mrežom šifriraju s pomoću najnovijih podržanih verzija protokola TLS 1.2 kako bi se zaštitila sigurnost prijenosa;
Mjere za kontrolu unosa podataka kako bi se osiguralo da društvo Snap može provjeriti i utvrditi jesu li Osobni podaci korisnika uneseni u sustave obrade podataka izmijenjeni ili uklonjeni te tko ih je izmijenio ili uklonio;
Kontinuirane mjere za testiranje sigurnosti kako bi se osiguralo da prakse informacijske sigurnosti ostanu relevantne, učinkovite i ažurne, uključujući godišnja ispitivanja upada, program za prijavu propusta (“bug bounty”), korištenje alata za skeniranje sustava, zadatke simulacije, testove povrata sigurnosnih kopija, neuspjehe prije proizvodnje i provedbu naknadnih mjera utvrđivanja u bilo kojem stvarnom incidentu kako bi se ažurirali relevantni planovi oporavka od katastrofe;
Mjere nadzora podizvršitelja obrade kako bi se osiguralo da se, ako je društvu Snap dopušteno koristiti podizvršitelje obrade podataka, Osobni podaci korisnika obrađuju strogo u skladu s uputama Voditelja obrade podataka, uključujući, kako je to primjereno:
- Mjere za osiguranje da su Osobni podaci korisnika zaštićeni od slučajnog uništenja ili gubitka, uključujući, kako je to prikladno i bez ograničenja, pravila za sigurnosno kopiranje, zadržavanje i sigurno uništenje; osiguranje pohrane izvan lokacije podataka koji su dostatni za oporavak od katastrofe; Programe neprekinutog napajanja i oporavka od katastrofe; i
- Mjere za osiguranje da se podaci prikupljeni u različite svrhe mogu obrađivati odvojeno, uključujući, kako je to primjereno, fizičko ili odgovarajuće logičko razdvajanje Osobnih podataka korisnika.

9. Poduzimanje takvih drugih koraka koji su prikladni u danim okolnostima.