ŅEMIET VĒRĀ: MĒS ESAM ATJAUNINĀJUŠI ŠOS NOTEIKUMUS SAISTĪBĀ AR JAUNAJĀM EIROPAS KOMISIJAS APSTIPRINĀTAJĀM LĪGUMA STANDARTKLAUZULĀM, KAS STĀJĀS SPĒKĀ 2021. GADA 27. SEPTEMBRĪ

PAZIŅOJUMS PAR ŠĶĪRĒJTIESU: JUMS IR SAISTOŠS ŠĶĪRĒJTIESAS NOTEIKUMS, KAS IZKLĀSTĪTS BIZNESA PAKALPOJUMU SNIEGŠANAS NOTEIKUMOS. JA SLĒDZAT LĪGUMU AR SNAP INC., TAD JŪS UN SNAP INC. ATSAKĀTIES NO JEBKĀDĀM TIESĪBĀM PIEDALĪTIES KOLEKTĪVĀS PRASĪBAS TIESVEDĪBĀ VAI GRUPAS PRASĪBAS ŠĶĪRĒJTIESĀ.

Šis Datu kopīgošanas līgums ("Līgums") veido juridiski saistošu līgumu starp jums un Snap tādā mērā, kādā jūs un Snap kopīgo Klienta personas datus, kā aprakstīts tālāk, un tas ir iekļauts Biznesa pakalpojumu noteikumos. Daži šajā Līgumā lietotie termini ir definēti Biznesa pakalpojumu noteikumos.

“Klienta personas dati” ir EEZ, Šveices, Apvienotās Karalistes un Brazīlijas datu subjektu personas dati, ko jums vai Snap ("Saņēmēja puse") sniedz otra puse ("Atklājošā puse") vai kāda persona tās vārdā, kad gan Saņēmēja puse, gan Atklājošā puse ir datu pārzinis.

"Datu aizsardzības likums" ir EEZ, Šveices, Apvienotās Karalistes un Brazīlijas datu aizsardzības likumi, kas piemērojami Klienta personas datu apstrādei saskaņā ar šo Līgumu, tostarp GDPR, Apvienotās Karalistes datu aizsardzības likumi un LGPD.

"EEZ" ir Eiropas Ekonomikas zona.

"VDAR" ir Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un par Direktīvas 95/46/EK atcelšanu.

"LGPD" ir Brazīlijas Vispārējais datu aizsardzības likums (Lei Geral de Proteção de Dados Pessoais).

"Personas datu pārkāpums" ir nejauša vai nelikumīga Klienta personas datu iznīcināšana, pazaudēšana, pārveidošana, neatļauta atklāšana vai piekļuve tiem puses pārvaldītajās vai kontrolētajās sistēmās.

"AK" ir Apvienotā Karaliste.

"Apvienotās Karalistes datu aizsardzības likumi" ir VDAR, kas ir daļa no Anglijas un Velsas, Skotijas un Ziemeļīrijas tiesību aktiem saskaņā ar 2018. gada Eiropas Savienības (izstāšanās) likuma 3. pantu Apvienotajā Karalistē ("Apvienotās Karalistes VDAR") un 2018. gada Datu aizsardzības likumu.

Terminiem "personas dati", "datu subjekts", "apstrāde", "kontrolieris", "apstrādātājs", "pārstāvis" un "uzraudzības iestāde", kas katrs lietots šajā Līgumā, ir tāda nozīme, kāda tiem piešķirta attiecīgi GDPR, Apvienotās Karalistes datu aizsardzības likumos vai LGPD, katrā gadījumā neatkarīgi no tā, vai tiek piemērots Datu aizsardzības likums.

a. Pušu lomas. Jūs un Snap ir neatkarīgi Klienta personas datu kontrolieri, kas, ievērojot visus šajā Līgumā un Biznesa pakalpojumu noteikumos, tostarp Papildu noteikumos un politikās noteiktos ierobežojumus, neatkarīgi nosaka Klienta personas datu apstrādes mērķus un līdzekļus saskaņā ar Datu aizsardzības likumu.

b. Pārredzamība un Datu aizsardzības tiesības. Jūs un Snap individuāli informē datu subjektus un ļauj datu subjektiem īstenot savas tiesības saskaņā ar Datu aizsardzības likumu.

c. Sīkāka informācija par Datu apstrādi. Apstrādes priekšmets un sīkāka informācija par apstrādi ir aprakstīta šā nolīguma 1. pielikumā.

d. Atbilstība tiesību aktiem. Katra puse piekrīt ievērot savas saistības saskaņā ar Datu aizsardzības likumu attiecībā uz visiem Klienta personas datiem, ko tā apstrādā saskaņā ar šo Līgumu vai saistībā ar to.

e. Datu drošība. Saskaņā ar Datu aizsardzības likumu katra puse ievieš un uztur visus atbilstošos tehniskos, administratīvos un organizatoriskos pasākumus, kas nepieciešami, lai: (i) nodrošinātu konfidencialitātes un drošības līmeni atbilstoši riskam, ko rada Klienta personas datu apstrāde un raksturs, un (ii) novērstu neatļautu vai nelikumīgu Klienta personas datu apstrādi, nejaušu Klienta personas datu nozaudēšanu, izpaušanu, iznīcināšanu vai bojāšanu.

f. Konfidencialitāte. Katra puse nodrošina, ka tikai tie darbinieki, kuriem var būt nepieciešams palīdzēt pildīt tās saistības saskaņā ar Biznesa pakalpojumu noteikumiem vai šo Līgumu, būs piekļuve Klienta personas datiem un ka šādam personālam ir saistošas attiecīgās konfidencialitātes saistības, un veiks visus nepieciešamos pasākumus saskaņā ar nozares labāko praksi, lai nodrošinātu Klienta personas datu konfidencialitāti.

a. Paziņojums. Jūs bez kavēšanās informēsiet Snap par datu aizsardzības pārkāpumu - ja iespējams, ne vēlāk kā 72 stundas pēc Personas datu pārkāpuma atklāšanas. Jūs iesniegsiet Snap Personas datu pārkāpuma aprakstu, informāciju par datu veidu, kas bija Personas datu pārkāpuma priekšmets, (ciktāl zināms) ietekmēto datu subjektu kategorijas un citu informāciju, kas nepieciešama saskaņā ar piemērojamo Datu aizsardzības likumu, tiklīdz šādu informāciju varēs savākt vai kā citādi tā kļūs pieejama, un jūs sadarbosieties ar Snap, atbildot uz Snap pieprasījumu saistībā ar Personas datu pārkāpumu.

b. Izmeklēšana. Jūs piekrītat nekavējoties veikt darbības, lai izmeklētu Personas datu pārkāpumu, identificētu, novērstu un mazinātu Personas datu pārkāpuma sekas, kā arī ar Snap iepriekšēju piekrišanu veikt atgūšanas vai citas nepieciešamās darbības, lai novērstu Personas datu pārkāpumu.

a. Ja puse pārsūta Klienta personas datu otrai pusei ārpus EEZ vai Apvienotās Karalistes, tad Datu pārsūtīšanas līgumu:

(i) piemēro šādiem pārvedumiem;

(ii) attiecībā uz šādu nodošanu ir prioritāri pār visiem citiem noteikumiem, tostarp šā Līguma noteikumiem;

(iii) veido juridiski saistošu līgumu starp jums kā datu nosūtītāju un Snap kā datu saņēmēju vai datu saņēmēja vārdā; un

(iv) ar šo iekļauj Biznesa pakalpojumu sniegšanas noteikumos.

b. Attiecībā uz EEZ, Šveices un Apvienotās Karalistes datu subjektu personas datiem, jūs un Snap vienojas, ka katra puse var apstrādāt klienta personas datus ārpus EEZ, Šveices un Apvienotās Karalistes, ja ir izpildītas Datu aizsardzības likuma prasības (tostarp, attiecīgā gadījumā, GDPR 44.-47. pants) vai ir piemērojams izņēmums (tostarp, attiecīgā gadījumā, GDPR 49. pantā uzskaitītās prasības).

c. Attiecībā uz Brazīlijas datu subjektu personas datiem jūs un Snap piekrīt, ka katra puse var apstrādāt klientu personas datus ārpus Brazīlijas, un apliecina un garantē, ka šāda klientu personas datu pārsūtīšana notiek saskaņā ar LGPD.

Šis Līgums tiek automātiski izbeigts, kad tiek izbeigti Biznesa pakalpojumu sniegšanas noteikumi.

Ja šis Līgums vai Datu nodošanas līgums ir pretrunā ar Biznesa pakalpojumu noteikumiem, Papildu noteikumiem un politikām vai Snap Pakalpojumu sniegšanas noteikumiem, tad konflikta apmērā dilstošā secībā noteicošie būs šādi dokumenti: Datu nodošanas līgums (tikai tādā mērā, kādā tas tiek piemērots saskaņā ar 4.a sadaļu), šis Līgums, Papildu noteikumi un politikas Biznesa pakalpojumu noteikumi un Snap Pakalpojumu sniegšanas noteikumi.

Jūs esat datu eksportētājs, kura parādāmais vārds, adrese un kontaktinformācija ir sniegta uzņēmumam Snap, izmantojot Biznesa pakalpojumus. Darbības, kas attiecas uz datiem, kuri nosūtīti saskaņā ar šīm klauzulām, ietver attiecīgo Biznesa pakalpojumu izmantošanu saskaņā ar Biznesa pakalpojumu noteikumiem un piemērojamiem Papildu noteikumiem un politikām. Datu eksportētājs pilda datu pārziņa funkcijas.

Datu importētājs ir Snap Inc. ar adresi 3000 31st Street, Santa Monica, California 90405, ja datu eksportētājs pārsūta personas datus uzņēmumam Snap Inc. saskaņā ar šo Līgumu. Darbības, kas attiecas uz datiem, kuri nosūtīti saskaņā ar šīm klauzulām, ietver attiecīgo Snap Biznesa pakalpojumu sniegšanu saskaņā ar Biznesa pakalpojumu noteikumiem un piemērojamiem Papildu noteikumiem un politikām. Datu importētājs pilda datu pārziņa funkcijas.

Datu kopīgošanas darbības, ko Snap veic saskaņā ar šo Līgumu, ir šādas:

Biznesa pakalpojumi, ko Snap sniedz jums.

Datu kopīgošana paredzēta, lai Snap sniegtu jums Biznesa pakalpojumus atbilstoši Biznesa pakalpojumu noteikumiem un šim Līgumam.

Klienta personas dati, kas attiecas uz fiziskām personām, ko Atklāšānas puse sniedz Saņēmējai pusei, izmantojot uzņēmējdarbības pakalpojumus, tostarp:

• e-pasta adresi

• tālruņa numuru

• mobilās reklāmas ID (IDFA/AAID)

• IP adresi

• sīkfaila ID

• pārlūkprogrammas lietotāja aģentu

• demogrāfiskos datus

• savienojumi starp lietotājiem

• sesiju, darījumu un lietotāju ID

• dzimumu, augumu, svaru, vecumu un citas personiskās iezīmes

• produkta datus, piemēram, produkta ID, produkta kategorijas ceļu, produkta aprakstu, informāciju par izmēriem un datiem, EAN, produkta krāsu un produkta atbilstības informāciju

• darījumu datus, piemēram, informāciju par pirkumiem un atpakaļatdošanu

• tīmekļa vietnēs un lietotnēs veiktās darbības un notikumi, tostarp skatītās lapas, pirkumi, meklējumi, izrakstīšanās notikumi, vēlmju saraksti, instalācijas un lietotāju reģistrācijas metodes

• fotogrāfijas

Nav piemērojams

Nepārtraukts

Datu subjekti ir personas no EEZ, Šveices, Apvienotās Karalistes un Brazīlijas, par kurām Atklāšanas puse sniedz personas datus Saņēmējai pusei, izmantojot Biznesa pakalpojumus.

Kompetentā uzraudzības iestāde ir Nīderlandes Datu aizsardzības iestāde (Autoriteit Persoonsgegevens, AP).

1. Rakstiskas informācijas drošības programmas īstenošana un atbilstība noteiktajiem nozares standartiem, kas ietver administratīvus, tehniskus un fiziskus drošības pasākumus, kuri ir piemēroti klienta personas datu būtībai un paredzēti, lai aizsargātu šādu informāciju no: nesankcionētas piekļuves, iznīcināšanas, izmantošanas, pārveidošanas vai izpaušanas; nesankcionētas piekļuves vai izmantošanas, kas varētu radīt būtisku kaitējumu vai neērtības Datu pārzinim, Datu pārziņa klientiem vai Datu pārziņa darbiniekiem; un jebkādiem paredzamiem draudiem vai apdraudējumiem šādas informācijas drošībai vai integritātei.

2. Pieņemt un īstenot saprātīgu politiku un standartus saistībā ar drošību.

3. Atbildības piešķiršana par informācijas drošības pārvaldību.

4. Atbilstošu personāla resursu novirzīšana informācijas drošībai.

5. Veikt pastāvīgo darbinieku pārbaudes, kuriem būs piekļuve klienta personas datiem.

6. Veicot atbilstošas biogrāfijas pārbaudes un pieprasot, lai darbinieki, pārdevēji un citas personas, kam ir piekļuve klienta personas datiem, noslēdz rakstiskus konfidencialitātes līgumus.

7. Apmācību rīkošana, lai informētu darbiniekus un citas personas, kam ir piekļuve klienta personas datiem, par informācijas drošības riskiem un veicinātu atbilstību Snap politikai un standartiem saistībā ar datu aizsardzību.

8. Neautorizētas piekļuves novēršana Klienta personas datiem, attiecīgi izmantojot fiziskās un loģiskās (paroles) piekļuves kontroles, drošas datu apstrādes zonas, datu apstrādes iekārtu izmantošanas uzraudzības procedūras, iebūvētas sistēmas revīzijas liecības, drošu paroļu, tīkla ielaušanās atklāšanas tehnoloģiju, šifrēšanas un autentifikācijas tehnoloģiju, drošu pieteikšanās procedūru un aizsardzības pret vīrusiem izmantošanu, pastāvīgi uzraugot atbilstību Snap politikām un standartiem saistībā ar datu aizsardzību. Jo īpaši Snap ir ieviesusi un attiecīgi un bez ierobežojumiem ievēro:

• Fiziskās piekļuves kontroles pasākumi, lai novērstu nesankcionētu piekļuvi datu apstrādes sistēmām (piemēram, piekļuves ID kartes, karšu lasītāji, dežuranti, signalizācijas sistēmas, kustību detektori, ielaušanās signalizācija, videonovērošana un ārējā apsardze);

• Lietošanas liegšanas kontroles pasākumi, lai novērstu datu aizsardzības sistēmu nesankcionētu izmantošanu (piemēram, automātiski ieviestas paroles sarežģītības un izmaiņu prasības un ugunsmūri.) ;

• Uz prasībām balstīta autorizācijas shēma un piekļuves tiesības, kā arī sistēmas piekļuves uzraudzība un reģistrēšana, lai nodrošinātu, ka personām, kam ir tiesības izmantot datu apstrādes sistēmu, ir piekļuve tikai tiem datiem, kuriem tām ir tiesības piekļūt, un ka klienta personas datus nevar izlasīt, kopēt, mainīt vai dzēst bez atļaujas;

• Datu pārraides kontroles pasākumi, lai nodrošinātu, ka Klienta personas datus nevar nolasīt, kopēt, mainīt vai izņemt bez atļaujas elektroniskās pārraides, transportēšanas vai glabāšanas datu nesējos, kā arī ierakstu nodošanas un saņemšanas laikā. Jo īpaši tiks izstrādāta Snap informācijas drošības programma:

  • Šifrēt glabāšanā visus Snap rīcībā esošos datu kopumus, tostarp sensitīvus personas datus, izmantojot atbilstošus šifrēšanas līmeņus, pamatojoties uz nozares vadošajiem šifrēšanas standartiem, tostarp AES -256, un uzglabāt lietotāja identitātes sistēmā, izmantojot atslēgas vērtību pāri, piemēram, ghost_id, lai novērstu faktiskā lietotāja ID glabāšanu; un

  • Nodrošināt, ka visi sensitīvie personas dati, kas tiek nosūtīti elektroniski (izņemot faksu) personai ārpus Snap IT sistēmas vai nosūtīti pa publisku tīklu, tiek šifrēti, izmantojot jaunākās atbalstītās TLS 1.2 protokola versijas, lai aizsargātu nosūtīšanas drošību;

• Datu ievades kontroles pasākumi, lai nodrošinātu, ka Snap var pārbaudīt un noteikt, vai un kurš ir ievadījis, mainījis vai izdzēsis Klienta personas datus datu apstrādes sistēmās;

• Pastāvīgi drošības testēšanas pasākumi, lai nodrošinātu, ka informācijas drošības prakse joprojām ir aktuāla, efektīva un atjaunināta, tostarp ikgadēji iekļūšanas testi, programma "bug bounty", sistēmu skenēšanas rīku izmantošana, galda vingrinājumi, rezerves kopiju atjaunošanas testi, pirmsprodukcijas avārijas atjaunošanas testi un pēcreģistrācijas ekspertīzes veikšana par visiem faktiskajiem incidentiem, lai atjauninātu attiecīgos avārijas atjaunošanas plānus;

• Apakšapstrādātāja uzraudzības pasākumi, lai nodrošinātu, ka, ja Snap ir atļauts izmantot apakšapstrādātājus, Klienta personas dati tiek apstrādāti stingri saskaņā ar Datu pārziņa norādījumiem, tostarp, ja nepieciešams:

  • Pasākumi, lai nodrošinātu, ka Klienta personas dati ir aizsargāti pret nejaušu iznīcināšanu vai pazaudēšanu, tostarp, attiecīgā gadījumā un bez ierobežojumiem, datu dublēšanas, saglabāšanas un drošas iznīcināšanas politika; droša datu glabāšana ārpus uzņēmuma telpām, kas ir pietiekama datu atjaunošanai pēc avārijas; nepārtrauktas elektroapgādes un katastrofu seku novēršanas programmas; un

  • Pasākumi, lai nodrošinātu, ka dažādos nolūkos savāktos datus var apstrādāt atsevišķi, tostarp attiecīgā gadījumā fiziski vai atbilstoši loģiski nodalīt Klienta personas datus.

9. Veicot citus pasākumus, kas var būt piemēroti attiecīgajos apstākļos.