Mes esame „Snap Inc.“

Dalijimosi duomenimis sutartis

Įsigalioja nuo: 2021 m. rugsėjo 27 d.

ATKREIPKITE DĖMESĮ: TOLIAU PATEIKTAS SĄLYGAS ATNAUJINOME ATSIŽVELGDAMI Į NAUJAS EUROPOS KOMISIJOS PATVIRTINTAS STANDARTINES SUTARČIŲ SĄLYGAS, ĮSIGALIOSIANČIAS 2021 M. RUGSĖJO 27 D.

PRANEŠIMAS APIE ARBITRAŽĄ: PRIVALOTE LAIKYTIS ARBITRAŽO NUOSTATOS, IŠDĖSTYTOS VERSLO PASLAUGŲ SĄLYGOSE. JEIGU SUDAROTE SUTARTĮ SU „SNAP INC.“, JŪS IR „SNAP INC.“ ATSISAKOTE BET KOKIŲ TEISIŲ DALYVAUTI KOLEKTYVINIO IEŠKINIO BYLOJE ARBA KOLEKTYVINIO ARBITRAŽO PROCEDŪROJE.

Įžanga

Ši dalijimosi duomenimis sutartis (toliau - Sutartis) yra teisiškai įpareigojanti sutartis tarp jūsų ir „Snap“, taikoma tiek, kiek jūs ir „Snap“ dalijatės Kliento asmeniniais duomenimis, kaip aprašyta toliau, ir yra įtraukta į Verslo paslaugų teikimo sąlygas. Kai kurios šiame Susitarime vartojamos sąvokos apibrėžtos Verslo paslaugų sąlygose.

1. Apibrėžtys

„Kliento asmens duomenys“ - tai EEE, Šveicarijos, JK ir Brazilijos duomenų subjektų asmens duomenys, kuriuos jums arba „Snap“ („Gaunančioji šalis“) pateikia kita šalis („Atskleidžiančioji šalis“) arba kurie pateikiami kitos šalies (“Atskleidžiančioji šalis") vardu, kai tiek Gaunančioji šalis, tiek Atskleidžiančioji šalis yra duomenų valdytojai.

Duomenų apsaugos įstatymas – tai EEE, Šveicarijos, JK ir Brazilijos duomenų apsaugos įstatymai, pagal šį Susitarimą taikomi tvarkant Kliento asmens duomenis, įskaitant GDPR, JK duomenų apsaugos įstatymus ir LGPD.

EEE – tai Europos ekonominė erdvė.

GDPR (arba "BDAR; Bendras Duomenų Apsaugos Reglamentas") – tai 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo bei kuriuo panaikinama Direktyva 95/46/EB.

LGPD – tai Brazilijos Bendrasis duomenų apsaugos įstatymas (Lei Geral de Proteção de Dados Pessoais).

„Asmens duomenų saugumo pažeidimas“ – tai netyčinis arba neteisėtas Kliento asmens duomenų, esančių šalies tvarkomose arba valdomose sistemose, sunaikinimas, praradimas, pakeitimas, atskleidimas arba prieiga prie jų be leidimo.

JK – tai Jungtinė Karalystė.

JK duomenų apsaugos įstatymai – tai GDPR, nes šis reglamentas yra Anglijos, Velso, Škotijos ir Šiaurės Airijos teisės dalis, vadovaujantis JK 2018 m. (išstojimo iš) Europos Sąjungos akto (toliau – JK GDPR) 3 skyriumi ir 2018 m. Duomenų apsaugos aktu.

Sąvokos „asmens duomenys“, „duomenų subjektas“, „tvarkymas“, „valdytojas“, „tvarkytojas“, „atstovas“ ir „priežiūros institucija“ šiame Susitarime vartojamos GDPR, JK GDPR ir LGPD, jei taikoma, nustatyta reikšme, kiekvienu atveju neatsižvelgiant į tai, ar taikomas Duomenų apsaugos įstatymas.

2. Vaidmenys ir apribojimai

a. Šalių vaidmenys. Jūs ir „Snap“ esate nepriklausomi Kliento asmens duomenų valdytojai, kurie, atsižvelgdami į bet kokius šioje Sutartyje ir Verslo paslaugų teikimo sąlygose, įskaitant papildomas sąlygas ir taisykles, nustatytus apribojimus, savarankiškai nustato Kliento asmens duomenų tvarkymo tikslus ir priemones pagal Duomenų apsaugos įstatymą.

b. Skaidrumas ir Duomenų apsaugos teisės. Jūs ir „Snap“ individualiai informuosite duomenų subjektus ir leisite duomenų subjektams pasinaudoti savosiomis teisėmis pagal Duomenų apsaugos įstatymą.

c. Duomenų tvarkymo detalės. Duomenų tvarkymo dalykas ir informacija aprašyta šio Susitarimo 1 priede.

d. Įstatymų laikymasis. Kiekviena šalis sutinka laikytis savo įsipareigojimų, nustatytų Duomenų apsaugos įstatyme ir susijusių su bet kokiais Kliento asmens duomenimis, kuriuos tvarko pagal šią Sutartį arba jos atžvilgiu.

e. Duomenų saugumas. Vadovaudamasi Duomenų apsaugos įstatymu, kiekviena šalis įgyvendins ir palaikys visas tinkamas technines, administracines ir organizacines priemones, reikalingas: (i) užtikrinti konfidencialumo ir saugumo lygį, atitinkantį riziką, susijusią su Kliento asmens duomenų tvarkymu, ir Kliento asmens duomenų pobūdį; taip pat (ii) užkirsti kelią neleistinam ar neteisėtam Kliento asmens duomenų tvarkymui, atsitiktiniam Kliento asmens duomenų praradimui, atskleidimui, sunaikinimui ar pakenkimui.

f. Konfidencialumas. „Snap“ užtikrins, kad prieigą prie Kliento asmens duomenų turėtų tik tie darbuotojai, kurių gali būti paprašyta padėti vykdyti įmonės Verslo paslaugų sąlygas arba šią Sutartį ir kad tokie darbuotojai privalės laikytis atitinkamų konfidencialumo įsipareigojimų, taip pat imsis visų pagrįstų veiksmų, atitinkančių geriausią sektoriaus praktiką, siekdami užtikrinti Kliento asmens duomenų konfidencialumą.

3. Asmens duomenų saugumo pažeidimas

a. Pranešimas. Apie asmens duomenų pažeidimą "Snap" pranešite nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo tada, kai sužinojote apie asmens duomenų pažeidimą. Taip pat pateiksite „Snap“ asmens duomenų pažeidimo aprašymą, duomenų, kurie buvo asmens duomenų pažeidimo objektas, tipą, (kiek tai žinoma) paveiktų duomenų subjektų kategorijas ir kitą pagal taikomus duomenų apsaugos teisės aktus reikalaujamą informaciją, kai tik tokią informaciją bus galima surinkti ar kitaip gauti, ir bendradarbiausite su visais pagrįstais „Snap“ prašymais, susijusiais su asmens duomenų pažeidimu.

b. Tyrimas. Sutinkate nedelsdami imtis veiksmų, kad būtų ištirtas Asmens duomenų pažeidimas, nustatytas bet koks Asmens duomenų pažeidimas, užkirstas kelias jam ir sušvelnintas jo poveikis, ir, gavę išankstinį „Snap“ sutikimą, atlikti bet kokius išieškojimo ar kitus veiksmus, būtinus Asmens duomenų pažeidimui ištaisyti.

4. Duomenų perdavimai

a. Jei viena šalis perduoda Kliento asmens duomenis kitai šaliai už EEE arba JK ribų, tuomet Duomenų perdavimo susitarimas yra:

i) taikomas tokiam duomenų perdavimui;

ii) viršesnis už visas kitas sąlygas, įskaitant šio Susitarimo sąlygas, susijusias su tokiu duomenų perdavimu;

iii) yra teisiškai privaloma sutartis tarp tavęs, veikiančio kaip duomenų eksportuotojo, ir „Snap“, veikiančios kaip duomenų importuotojas arba jo vardu;

iv) yra įtraukiama į Verslo paslaugų sąlygas.

b. EEE, Šveicarijos ir Jungtinės Karalystės duomenų subjektų asmens duomenų atžvilgiu jūs ir „Snap“ sutinkate, kad kiekviena šalis gali tvarkyti Kliento asmens duomenis už EEE, Šveicarijos ir Jungtinės Karalystės ribų, jei laikomasi duomenų apsaugos teisės aktų reikalavimų (įskaitant, kai taikoma, GDPR (Bendro duomenų apsaugos reglamento) 44-47 straipsnius) arba taikoma išimtis (įskaitant, kai taikoma, išvardytus GDPR 49 straipsnyje).

c. Brazilijos duomenų subjektų asmens duomenų atžvilgiu jūs ir „Snap“ sutinkate, kad kiekviena šalis gali tvarkyti Kliento asmens duomenis už Brazilijos ribų, ir pareiškiate bei garantuojate, kad toks Kliento asmens duomenų perdavimas atitinka LGPD.

5. Nutraukimas

Šis Susitarimas nustos galioti automatiškai, kai baigsis Verslo paslaugų sąlygų galiojimas.

6. Konfliktai

Jei ši Sutartis arba Duomenų perdavimo sutartis prieštarauja Verslo paslaugų sąlygoms, bet kokioms papildomoms sąlygoms ir taisyklėms arba „Snap“ Paslaugų teikimo sąlygoms, tuomet, atsižvelgiant į prieštaravimo mastą, reglamentuojančiais dokumentais mažėjančia tvarka bus laikomi: Duomenų perdavimo sutartis (bet tik tiek, kiek ji taikoma pagal 4.a skyrių), ši Sutartis, papildomos sąlygos ir taisyklės, Verslo paslaugų sąlygos ir „Snap“ Paslaugų teikimo sąlygos.

1 sąrašas: Dalijimosi duomenimis detalės

A. Šalių sąrašas

Duomenų eksportuotojas (-ai)

Jūs esate duomenų siuntėjas, kurio vardas, pavardė, adresas ir kontaktiniai duomenys pateikti „Snap“ per Verslo paslaugas. Veikla, susijusi su duomenų perdavimu pagal šias Sąlygas, apima naudojimąsi atitinkamomis Verslo paslaugomis vadovaujantis Verslo paslaugų sąlygomis bei taikomimis Papildomomis sąlygomis ir politikos nuostatomis. Duomenų eksportuotojas atliks duomenų valdytojo vaidmenį.

Duomenų importuotojas (-ai)

Duomenų importuotojas yra „Snap Inc.“, kurios adresas yra 3000 31st Street, Santa Monica, California 90405, jei duomenų eksportuotojas perduoda asmens duomenis „Snap Inc.“ pagal šią Sutartį. Veikla, susijusi su duomenų perdavimu pagal šias Sąlygas, apima naudojimąsi atitinkamomis Verslo paslaugomis vadovaujantis Verslo paslaugų sąlygomis ir taikomomis Taisyklėmis ir politikos nuostatomis. Duomenų importuotojas atlieka duomenų valdytojo vaidmenį.

B. Perdavimo proceso aprašymas

„Snap“ pagal šį susitarimą vykdo šią dalijimosi duomenimis veiklą:

Dalykas

„Snap“ teikia jums Verslo paslaugas.

Duomenų tvarkymo pobūdis ir tikslas

Duomenimis dalijamasi siekiant, kad „Snap“ teiktų jums Verslo paslaugas pagal Verslo paslaugų ir šią Sutartį.

Duomenų kategorijos

Kliento asmens duomenys, susiję su asmenimis, kuriuos Atskleidžiančioji Šalis pateikia Gaunančiajai Šaliai per Verslo paslaugas ir kurie gali apimti:

el. pašto adresą;
telefono numerį;
mobiliojo skelbimo ID (IDFA / AAID);
IP adresą;
slapukų ID;
naršyklės naudotojo programą;
demografinius duomenis
sąsajas tarp naudotojų;
sesiją, pervedimus ir naudotojo ID;
lytį, aukštį, svorį, amžių ir kitas asmenines charakteristikas;
gaminio duomenis, pavyzdžiui, gaminio ID, gaminio kategorijos kelią, gaminio aprašymą, dydžio informaciją ir duomenis, EAN, gaminio spalvą ir gaminio tinkamumo informaciją;
sandorių duomenis, pavyzdžiui, pirkimo ir grąžinimo informaciją;
veiksmus bei įvykius svetainėse ir programėlėse, įskaitant puslapių peržiūras, įsigijimus, paieškas, atsiskaitymus, sudarytų pageidavimų sąrašus, diegimus ir naudotojų registracijos būdus.
nuotraukas;

Perduodami neskelbtini duomenys

Netaikoma

Duomenų perdavimo dažnumas

Nuolatinis

Duomenų subjektai

Duomenų subjektai yra EEE, Šveicarijos, Jungtinės Karalystės ir Brazilijos asmenys, kurių asmens duomenis Atskleidžiančioji šalis teikia Gaunančiajai šaliai per Verslo paslaugas.

C. Kompetentinga Priežiūros institucija

Kompetentinga Priežiūros institucija yra Nyderlandų duomenų apsaugos institucija (Autoriteit Persoonsgegevens, AP).

2 grafikas: „Snap“ saugumo priemonės

1. Rašytinės informacijos saugumo programos, atitinkančios pripažintus pramonės standartus ir apimančios administracines, technines bei fizines apsaugos priemones, pritaikytas pagal Kliento asmens duomenų pobūdį ir skirtas tokiai informacijai apsaugoti nuo toliau išvardytų veiksmų, įgyvendinimas ir laikymasis: neleistinos prieigos, sunaikinimo, naudojimo, pakeitimo ar atskleidimo; neleistinos prieigos arba naudojimo, dėl kurių gali būti smarkiai pakenkta arba sukelta nepatogumų Duomenų valdytojui, Duomenų valdytojo klientams ar darbuotojams; bet kokių numatomų grėsmių ar pavojų tokios informacijos saugumui arba vientisumui.

2. Pagrįstų politikos nuostatų ir standartų, susijusių su saugumu, priėmimas ir taikymas.

3. Už informacijos saugumo valdymą atsakingų asmenų paskyrimas.

4. Tinkamų personalo išteklių skyrimas informacijos saugumui užtikrinti.

5. Nuolatinių darbuotojų, turinčių prieigą prie Kliento asmens duomenų, patikrų atlikimas.

6. Tinkamų asmenų patikrinimų vykdymas ir reikalavimas darbuotojams, pardavėjams ir kitiems asmenims, turintiems prieigą prie Kliento asmens duomenų, pasirašyti rašytinį konfidencialumo susitarimą.

7. Mokymų organizavimas darbuotojams ir kitiems prieigą prie Kliento asmens duomenų turintiems asmenims siekiant informuoti juos apie informacijos saugumo riziką ir gerinti „Snap“ politikos bei standartų, susijusių su duomenų apsauga, laikymąsi.

8. Apsauga nuo neleistinos prieigos prie Kliento asmens duomenų, pasitelkiant atitinkamai fizinio ir loginio (slaptažodžių) patekimo kontrolės priemones, saugias duomenų tvarkymo vietas, duomenų tvarkymo infrastruktūros naudojimo stebėjimo procedūras, integruotas sistemų audito sekas, naudoti saugius slaptažodžius, įsilaužimo į tinklą aptikimo technologijas, šifravimo ir autentifikavimo technologijas, saugias prisijungimo procedūras ir apsaugą nuo virusų, nuolat stebint, kaip laikomasi „Snap“ politikos bei standartų, susijusių su duomenų apsauga. Visų pirma, „Snap“ įdiegė toliau nurodytas atitinkamas priemones ir jas taiko kaip pridera ir be apribojimų:

fizinės prieigos kontrolės priemonės siekiant apsisaugoti nuo neleistinos prieigos prie duomenų tvarkymo sistemų (pvz., prieigos tapatybės kortelės, kortelių skaitytuvai, registratūros darbuotojai, signalizacijos sistemos, judesio jutikliai, įsilaužimo signalizacijos, vaizdo stebėjimo sistemos ir išorinės apsaugos sistemos);
atsisakymo suteikti leidimą naudotis kontrolės priemonės, kurias naudojant apsisaugoma nuo neleistino duomenų apsaugos sistemų naudojimo (pvz., automatiškai taikomi reikalavimai nustatyti sudėtingą slaptažodį bei jį pasikeisti ir ugniasienės) ;
pagal reikalavimus suteikiamų leidimų sistema ir prieigos teisės, prieigos prie sistemų stebėjimas ir registravimas siekiant užtikrinti, kad asmenys, kuriems suteikta teisė naudotis duomenų tvarkymo sistema, turėtų prieigą tik prie tų duomenų, su kuriais jie turi teisę susipažinti, ir Kliento asmens duomenų nebūtų galima skaityti, kopijuoti, keisti ar pašalinti be leidimo;
duomenų perdavimo kontrolės priemonės, kuriomis užtikrinama, kad Kliento asmens duomenų nebūtų galima skaityti, kopijuoti keisti ar pašalinti be leidimo elektroniniu būdų perduodant, transportuojant arba saugant juos duomenų laikmenose ir perduodant bei gaunant įrašus. Visų pirma, „Snap“ informacijos saugumo programa sukurta taip, kad:
- saugykloje būtų šifruojami visi „Snap“ turimi duomenų rinkiniai, įskaitant neskelbtinus asmens duomenis, naudojant tinkamus šifravimo lygius, pagrįstus geriausiais sektoriaus šifravimo standartais, įskaitant AES-256, ir saugant naudotojų tapatybes sistemoje, pasitelkiant raktinių verčių porą, pvz., „ghost_id“, kad nebūtų saugomas tikrasis naudotojo identifikatorius; taip pat
- siekiant užtikrinti, kad bet kokie neskelbtini asmens duomenys, perduodami elektroniniu būdu (ne faksu) asmenims už „Snap“ IT sistemos ribų, arba perduodami viešu tinklu, būtų užšifruoti naudojant naujausias palaikomas TLS 1.2 protokolo versijas, kad būtų užtikrintas perdavimo saugumas;
duomenų įvedimo kontrolės priemonės, kuriomis užtikrinama, kad „Snap“ galėtų tikrinti ir nustatyti, ar Kliento asmens duomenys buvo įvesti į duomenų tvarkymo sistemas, pakeisti arba pašalinti ir kas tai padarė;
nuolatinės saugumo bandymų priemonės, kuriomis užtikrinama, kad informacijos saugumo praktika būtų aktuali, efektyvi ir atnaujinta, įskaitant kasmet atliekamus įsibrovimo bandymus, atlygio už surastus riktus programą, sistemos nuskaitymo įrankių naudojimą, teorinio modeliavimo pratybas, atsarginių kopijų atkūrimo bandymus, paruošiamąjį automatinį perjungimą ir bet kokių realių įvykusių incidentų analizę siekiant atnaujinti susijusius veiklos atkūrimo po ekstremaliųjų įvykių planus;
Apdorotojų priežiūros priemonės, kuriomis užtikrinama, kad, jei „Snap“ leidžiama naudotis Apdorotojų paslaugomis, Klientų asmens duomenys būtų tvarkomi griežtai laikantis Duomenų valdytojo nurodymų, atitinkamai įskaitant:
- priemones, kuriomis užtikrinama, kad Kliento asmens duomenys būtų apsaugoti nuo netyčinio sugadinimo ar sunaikinimo, be kita ko, įskaitant, jei reikia, duomenų atsarginio kopijavimo, saugojimo ir saugaus sunaikinimo politiką, saugų duomenų saugojimą išorės saugykloje, kad būtų įmanoma atkurti veiklą po ekstremaliųjų įvykių; nepertraukiamą energijos tiekimą ir veiklos atkūrimo po ekstremaliųjų įvykių programas; taip pat
- priemones, skirtas užtikrinti, kad skirtingais tikslais renkamus duomenis būtų galima tvarkyti atskirai, įskaitant, kai reikia, fizinį arba tinkamą loginį Kliento asmens duomenų atskyrimą.

9. Kiti veiksmai, kurie tikslingi susiklosčius konkrečioms aplinkybėms.