Mi vagyunk a Snap Inc.

Adatmegosztási megállapodás

Hatásos: 2021. szeptember 27.

MEGJEGYZÉS: FRISSÍTETTÜK AZ ALÁBBI FELTÉTELEKET AZ EURÓPAI BIZOTTSÁG ÁLTAL JÓVÁHAGYOTT, 2021. SZEPTEMBER 27-TŐL HATÁLYOS ÚJ ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEKKEL KAPCSOLATBAN

VÁLASZTOTTBÍRÓSÁGI ELJÁRÁSRA VONATKOZÓ MEGJEGYZÉS: RÁD NÉZVE AZOK A VÁLASZTOTTBÍRÓSÁGI ELJRÁSRA VONATKOZÓ RENDELKEZÉSEK VONATKOZNAK, AMELYEKET AZ ÜZLETI SZOLGÁLTATÁSI FELTÉTELEK RÖGZÍTENEK. HA A SNAP INC. VÁLLALATTAL SZERZŐDÉSES JOGVISZONYBAN ÁLLSZ, AKKOR TE ÉS A SNAP INC. EZENNEL LEMONDUNK A CSOPORTOS KERESETHEZ VAGY A VÁLASZTOTTBÍRÓSÁG KERETÉBEN TÖRTÉNŐ CSOPORTOS JOGÉRVÉNYESÍTÉSHEZ VALÓ JOGUNKRÓL.

Bevezetés

A jelen Adatmegosztási megállapodás („Megállapodás”) jogilag kötelező érvényű szerződést képez közted és a Snap között, és olyan mértékben alkalmazandó, amennyire te és a Snap az alábbiakban leírtak szerint megosztjátok a személyes ügyféladatokat, és beépül az Üzleti szolgáltatási feltételekbe. A jelen Megállapodásban használt fogalmak némelyikének meghatározását az Üzleti szolgáltatási feltételek tartalmazzák.

1. Meghatározások

A „személyes ügyféladatok”: az EGT, Svájc, Egyesült Királyság és Brazília érintett személyeinek személyes adatait jelentik, amelyeket te vagy a Snap (a „fogadó fél”) kaptok meg a másik fél (a „közlő fél”) által vagy nevében, amikor mind a fogadó fél, mind a közlő fél adatkezelők.

„Adatvédelmi törvény”: az EGT, Svájc, az Egyesült Királyság és Brazília adatvédelmi törvényei, amelyek hatálya kiterjed a személyes ügyféladatok jelen Megállapodás szerinti feldolgozására, beleértve a GDPR-t, az Egyesült Királyság adatvédelmi törvényeit és az LGPD-t.

„EGT”: az Európai Gazdasági Térség.

„GDPR”: Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

„LGPD”: a brazil általános adatvédelmi törvény (Lej Geral de Proteção de Dados Pessoais).

„Személyes adatok megsértése”: az egyik fél által kezelt vagy ellenőrzött rendszereken tárolt személyes ügyféladatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés.

„UK”: az Egyesült Királyság.

„Az Egyesült Királyság adatvédelmi törvényei”: a GDPR, mivel az a kilépésről rendelkező 2018. évi törvény (European Union (Withdrawal) Act 2018) 3. szakasza értelmében Anglia, Wales, Skócia és Észak-Írország jogrendszerének részét képezi az Egyesült Királyságban („UK GDPR"), továbbá a 2018. évi adatvédelmi törvény.

A jelen Megállapodásban használt „személyes adatok”, „érintett”, „adatfeldolgozás”, „adatkezelő”, „adatfeldolgozó”, „képviselő” és „felügyeleti hatóság” fogalmak az adott helyzetnek megfelelően a GDPR-ben, a UK adatvédelmi törvényeiben és az LGPD-ben meghatározott jelentéssel bírnak, minden esetben függetlenül attól, hogy az Adatvédelmi törvény rendelkezik-e róluk vagy sem.

2. Szerepkörök és Korlátozások

a. A felek feladatai. Te és a Snap a személyes ügyféladatok független adatkezelői vagytok, és a jelen Megállapodásban és az Üzleti szolgáltatási feltételekben – beleértve a Kiegészítő feltételeket és irányelveket is – meghatározott korlátozásokra is figyelemmel önállóan határozzátok meg a személyes ügyféladatok feldolgozásának céljait és eszközeit az Adatvédelmi törvény alapján.

b. Átláthatóság és adatvédelmi jogok. Te és a Snap egyénileg tájékoztatjátok az érintetteket és lehetővé teszitek az érintettek számára, hogy az Adatvédelmi törvény alapján gyakorolhassák jogaikat.

c. Adatfeldolgozás részletei. Az adatfeldolgozás tárgyát és részleteit a jelen Megállapodás 1. melléklete tartalmazza.

d. A jogszabályok betartása. A felek vállalják, hogy eleget tesznek az Adatvédelmi törvényben meghatározott kötelezettségeiknek minden olyan személyes ügyféladat tekintetében, amelyet a jelen Megállapodás alapján vagy azzal kapcsolatban feldolgoznak.

e. Adatbiztonság. Az Adatvédelmi törvénynek megfelelően mindegyik fél meghoz és fenntart minden olyan megfelelő technikai, adminisztratív és szervezeti intézkedést, amely szükséges ahhoz, hogy: (i) biztosítsa a feldolgozás által képviselt kockázatoknak és a személyes ügyféladatoknak megfelelő szintű titoktartást és biztonságot; és (ii) megakadályozza a személyes ügyféladatok jogosulatlan vagy jogellenes feldolgozását, véletlen elvesztését, nyilvánosságra hozatalát vagy megsemmisítését, vagy a személyes ügyféladatok károsodását.

f. Bizalmasság. Minden fél biztosítja, hogy csak azok a munkatársak férjenek hozzá a személyes ügyféladatokhoz, akiknek közreműködésére szükség van ahhoz, hogy a Snap eleget tudjon tenni az Üzleti szolgáltatási feltételek vagy a jelen Megállapodás alapján fennálló kötelezettségeinek, valamint hogy ezek a munkatársak megfelelő titoktartási kötelezettséget vállaljanak, és a legjobb iparági gyakorlatnak megfelelően minden szükséges intézkedést megtesznek a személyes ügyféladatok bizalmas kezelése érdekében.

3. A személyes adatok megsértése

a. Értesítés. Indokolatlan késedelem nélkül értesíted a Snapet, és ha lehetséges, akkor mindenképp legkésőbb 72 órával azután, hogy tudomást szereztél a személyes adatok megsértéséről. Ugyanakkor a Snap rendelkezésére bocsátod a személyes adatok megsértésének leírását, a személyes adatok megsértésének tárgyát képező adatok típusát, (az ismert mértékig) az érintettek kategóriáit és az alkalmazandó adatvédelmi törvény által előírt egyéb információkat, amint az ilyen információk összegyűjthetők vagy más módon elérhetővé válnak, és együttműködsz a Snap által a személyes adatok megsértésével kapcsolatban benyújtott észszerű kérésekkel.

b. Kivizsgálás. Vállalod, hogy haladéktalanul intézkedsz a személyes adatok megsértésének kivizsgálásáról, a személyes adatok megsértése által kiváltott hatások meghatározásáról, megakadályozásáról és enyhítéséről, valamint a Snap előzetes egyetértésével a személyes adatok megsértésének orvoslásához szükséges helyreállítási vagy egyéb intézkedések megtételéről.

4. Adattovábbítás

a. Ha a személyes ügyféladatokat az egyik féltől az EGT-n vagy az Egyesült Királyságon kívüli országba továbbítják, akkor az Adattovábbítási megállapodás:

(i) vonatkozik ezekre az adatátadásokra;

(ii) ezen adatátadások tárgyában elsőbbséget élvez minden más feltétellel szemben, a jelen Megállapodás feltételeit is beleértve;

(iii) jogilag kötelező erővel bíró szerződést testesít meg közted mit adatátadó és a Snap mint adatátvevő vagy az adatátvevő nevében eljáró képviselő között; és

(iv) ezennel beépül az Üzleti szolgáltatási feltételekbe.

b. Az EGT, Svájc és az Egyesült Királyság területén élő érintettek személyes adatait illetően te és a Snap megállapodtok abban, hogy mindkét fél abban az esetben dolgozhat fel személyes ügyféladatokat az EGT-n, Svájcon és az Egyesült Királyságon kívül, ha teljesülnek az Adatvédelmi törvény követelményei (értelemszerűen beleértve a GDPR 44–47. cikkét), vagy ha valamilyen kivétel vonatkozik rá (értelemszerűen beleértve a GDPR 49. cikkében felsoroltakat).

c. A Brazíliában élő érintettek személyes adatait illetően te és a Snap egyetértetek abban, hogy mindkét fél feldolgozhat személyes ügyféladatokat Brazílián kívül, továbbá kijelentitek és szavatoljátok, hogy a személyes ügyféladatok ilyen jellegű átadása összhangban áll az LGPD-vel.

5. Megszűnés

A jelen Megállapodás az Üzleti szolgáltatási feltételek megszűnésekor automatikusan megszűnik.

6. Konfliktusok

Ha a jelen Megállapodás vagy az Adattovábbítási megállapodás ütközik az Üzleti szolgáltatási feltételekkel, bármely Kiegészítő feltétellel és irányelvvel vagy a Snap Szolgáltatási feltételeivel, akkor a konfliktus mértékéig az irányadó dokumentumok csökkenő sorrendben a következők: az Adattovábbítási megállapodás (de csak annyiban, amennyiben a fenti 4.a. szakasz szerint alkalmazandó), a jelen Megállapodás, a Kiegészítő feltételek és irányelvek, az Üzleti szolgáltatási feltételek és a Snap Szolgáltatási feltételei.

1. melléklet: Az adatmegosztás részletei

A. A felek listája

Adatátadó(k)

Te vagy az adatátadó, az üzleti szolgáltatásokon keresztül a Snap számára megadott névvel, címmel és elérhetőségekkel. A jelen Kikötések alapján átadott adatok szempontjából releváns tevékenységnek minősül az adott üzleti szolgáltatásoknak az Üzleti szolgáltatási feltételek, valamint az alkalmazandó Kiegészítő feltételek és irányelvek szerinti igénybevétele. Az adatátadó adatkezelői szerepet tölt be.

Adatátvevő(k)

Az adatátvevő a Snap Inc., amelynek címe 3000 31st Street, Santa Monica, California 90405, amikor az adatátadó a jelen Megállapodás alapján személyes adatokat továbbít a Snap Inc.-nek. A jelen Kikötések alapján átadott adatok szempontjából releváns tevékenységnek minősül az adott üzleti szolgáltatások Snap általi nyújtása az Üzleti szolgáltatási feltételek, valamint az alkalmazandó Kiegészítő feltételek és irányelvek szerint. Az adatátvevő adatkezelői szerepet tölt be.

B. Az adatátadás ismertetése

A Snap által a jelen Megállapodás alapján végzett adatmegosztási tevékenységekre a következők vonatkoznak:

Tárgy

Az üzleti szolgáltatások biztosítása számodra a Snap által.

Jelleg és cél

Az adatmegosztás célja, hogy a Snap az üzleti szolgáltatásokat az Üzleti szolgáltatási feltételekkel és a jelen Megállapodással összhangban és azokban leírtak szerint nyújtsa neked.

Adatkategóriák

A közzétevő fél által az üzleti szolgáltatásokon keresztül a fogadó félnek átadott, magánszemélyekre vonatkozó személyes ügyféladatok, amelyek magukban foglalhatják a következőket:

e-mail-cím
telefonszám
mobilhirdetés azonosítója (IDFA/AAID)
IP-cím
cookie-azonosító
böngészőfelhasználói ügynök
demográfiai adatok
felhasználók közötti kapcsolatok
munkamenet, tranzakció és felhasználói azonosítók
nem, magasság, súly, életkor és egyéb személyes jellemzők
termékadatok, például termékazonosító, termékkategória-útvonal, termékleírás, méretezési információk és adatok, EAN, termékszín és termékilleszkedési információk
tranzakciós adatok, mint például vásárlások és visszaküldési információk
weboldalakon és alkalmazásokban végrehajtott műveletek és események, beleértve a megtekintett oldalakat, vásárlásokat, kereséseket, vásárláslezárási eseményeket, kívánságlistákat, telepítéseket és a felhasználói regisztrációs módszereket
fotók

Átadott érzékeny adatok

Nem vonatkozik ide

Az adatátadás gyakorisága

Folyamatos

Érintettek

Azok az EGT-beli, svájci, egyesült királysági és brazil személyek tartoznak az érintett felek kategóriájába, akikről a közzétevő fél személyes adatokat ad meg az üzleti szolgáltatásokon keresztül a fogadó fél számára.

C. Illetékes felügyeleti hatóság

Az illetékes felügyeleti hatóság a holland adatvédelmi hatóság (Autoriteit Persoonsgegevens, AP).

2. melléklet: A Snap biztonsági intézkedései

1. Egy írásos információbiztonsági program megvalósítása és betartása, amely összhangban áll a bevált iparági szabványokkal, a személyes ügyféladatok jellegének megfelelő adminisztratív, technikai, és fizikai biztosítékokat tartalmaz, és védi ezeket az adatokat a következők ellen: jogosulatlan hozzáférés, megsemmisülés, felhasználás, módosítás vagy közzététel; jogosulatlan hozzáférés vagy felhasználás, amely jelentős sérelemmel vagy kellemetlenséggel járhat az Adatkezelő, az Adatkezelő ügyfelei vagy az Adatkezelő alkalmazottai számára; valamint az ilyen adatok biztonságát vagy integritását érintő, előre látható fenyegetések vagy veszélyek.

2. Biztonsággal kapcsolatos ésszerű irányelvek és normák elfogadása és végrehajtása.

3. Az információbiztonság irányításával kapcsolatos feladatok kiosztása.

4. Megfelelő személyi erőforrások biztosítása az információbiztonsági feladatok ellátásához.

5. Ellenőrző vizsgálatok elvégzése a személyes ügyféladatokhoz hozzáférő állandó alkalmazottakon.

6. Megfelelő háttérellenőrzések lefolytatása, valamint a személyes ügyféladatokhoz hozzáférő alkalmazottak, beszállítók és egyéb személyek kötelezése arra, hogy írásos titoktartási megállapodásokat írjanak alá.

7. Képzések tartása annak érdekében, hogy a személyes ügyféladatokhoz hozzáférő alkalmazottak és más személyek tisztában legyenek az információbiztonsági kockázatokkal, valamint a Snap adatvédelmi irányelveinek és normáinak való megfelelés erősítése érdekében.

8. A személyes ügyféladatokhoz való jogosulatlan hozzáférés megakadályozása megfelelő fizikai és logikai (jelszavas) belépés-ellenőrzés használatával, adatfeldolgozásra alkalmas védett területekkel, az adatfeldolgozó helyiségek használatának monitorozására szolgáló eljárásokkal, rendszerbe épített ellenőrzési nyomvonalakkal, biztonságos jelszavak használatával, hálózati behatolásészlelési technológiával, titkosítási és hitelesítési technológiával, biztonságos bejelentkezési eljárásokkal, vírusvédelemmel, valamint a Snap adatvédelmi irányelveinek és normáinak betartását ellenőrző folyamatos monitorozással. A Snap értelemszerűen és a teljesség igénye nélkül különösen az alábbiakat valósította meg és tartja be:

Fizikai hozzáférést szabályozó intézkedések az adatfeldolgozó rendszerekhez való jogosulatlan hozzáférés megakadályozása érdekében (pl. beléptetőkártyák, kártyaolvasók, recepció, riasztórendszerek, mozgásérzékelők, betörésjelzők, térfigyelő kamerák és kültéri biztonsági megoldások);
Használatmegtagadást szabályozó intézkedések az adatvédelmi rendszerek jogosulatlan használatának megakadályozása érdekében (pl. automatikusan kikényszerített jelszóbonyolultsági és jelszó-megváltoztatási követelmények, tűzfalak) ;
Követelményvezérelt engedélyezési rendszer és hozzáférési jogok, valamint a rendszerhozzáférések monitorozása és naplózása, hogy az adatfeldolgozó rendszer használatára jogosult személyek csak olyan adatokhoz férhessenek hozzá, amelyekhez hozzáférési jogosultsággal rendelkeznek, és hogy a személyes ügyféladatokat ne lehessen jogosultság nélkül elolvasni, másolni, módosítani vagy eltávolítani;
Az adattovábbítást szabályozó intézkedések, hogy elektronikus adattovábbítás, szállítás vagy adathordozón való tárolás, valamint rekordok átadása és átvétele során a személyes ügyféladatokat ne lehessen jogosultság nélkül elolvasni, másolni, módosítani vagy eltávolítani. A Snap információbiztonsági programja különösen oly módon lesz kialakítva:
- hogy a Snap birtokában lévő bármely tárolt adathalmazt, az érzékeny személyes adatokat is beleértve, vezető iparági szabványokon alapuló megfelelő titkosítási szintek, például AES–256-os titkosítás alkalmazásával titkosítja, és a valós felhasználói azonosító tárolásának megakadályozása érdekében a felhasználói személyazonosságokat kulcs-érték pár, például ghost_id segítségével tárolja a rendszerben; és
- hogy ha érzékeny személyes adatokat kell elektronikusan továbbítani (a faxon továbbított adatok kivételével) a Snap informatikai rendszerén kívüli személy számára vagy nyilvános hálózaton keresztül, akkor a bintonságos adattovábbítás érdekében az adatok titkosítása a TLS 1.2 protokoll legfrissebb támogatott verziójával történik;
Adatbevitelt szabályozó intézkedések, hogy a Snap ellenőrizni tudja és meg tudja állapítani, hogy vittek-e be személyes ügyféladatokat az adatfeldolgozó rendszerbe, módosítottak vagy eltávolítottak-e személyes ügyféladatokat, és ha igen, akkor ki tette;
Folyamatos biztonsági tesztelési intézkedések, hogy az információbiztonsági gyakorlatok relevánsak, hatékonyak és naprakészek maradjanak, beleértve az éves behatolási tesztelést, a hibavadászati programot, a rendszerellenőrző eszközök használatát, a szimulációs gyakorlatokat, a biztonsági mentések helyreállítását vizsgáló teszteket, az üzembe helyezés előtt álló rendszerek hibatűrésének vizsgálatát, valamint a megtörtént incidensek utólagos kivizsgálását a megfelelő katasztrófaelhárítási tervek frissítése érdekében;
Az al-adatfeldolgozók felügyeletét célzó intézkedések annak biztosítása érdekében, hogy ha a Snap jogosult al-adatfeldolgozókat igénybe venni, akkor a személyes ügyféladatok feldolgozása szigorúan az Adatkezelő utasításainak megfelelően történjen, értelemszerűen beleértve az alábbi intézkedéseket:
- intézkedések annak biztosítására, hogy a személyes ügyféladatok védve legyenek a véletlen megsemmisülés vagy elvesztés ellen, értelemszerűen és a teljesség igénye nélkül beleértve az adatmentésre, adatmegőrzésre és biztonságos megsemmisítésre vonatkozó irányelveket; a katasztrófa utáni helyreállításhoz szükséges adatok külső helyen való biztonságos tárolása; szünetmentes áramellátás, valamint katasztrófaelhárítási programok; és
- intézkedések annak biztosítására, hogy a különböző célokból gyűjtött adatokat külön-külön lehessen feldolgozni, értelemszerűen beleértve a személyes ügyféladatok fizikai vagy megfelelő logikai elkülönítését.

9. Az adott körülményeknek megfelelő egyéb lépések megtétele.