Wij zijn Snap Inc.

Overeenkomst inzake de uitwisseling van gegevens

Van kracht: 27 september 2021

LET OP: WE HEBBEN DE ONDERSTAANDE VOORWAARDEN BIJGEWERKT IN VERBAND MET DE NIEUWE DOOR DE EUROPESE COMMISSIE GOEDGEKEURDE MODELCONTRACTBEPALINGEN, MET INGANG VAN 27 SEPTEMBER 2021

MEDEDELING OVER ARBITRAGE: JE BENT GEBONDEN DOOR HET ARBITRAGEPROCES ZOALS UITEENGEZET IN DE VOORWAARDEN VOOR ZAKELIJKE DIENSTEN. ALS JE EEN OVEREENKOMST SLUIT MET SNAP INC., DAN DOEN ZOWEL JIJZELF ALS SNAP INC. AFSTAND VAN HET RECHT TOT DEELNAME AAN COLLECTIEVE GERECHTELIJKE PROCESSEN (CLASS-ACTION) OF COLLECTIEVE ARBITRAGE (CLASS-WIDE ARBITRATION).

Inleiding

Deze Overeenkomst inzake de uitwisseling van gegevens ("Overeenkomst") vormt een juridisch bindend contract tussen jou en Snap, is van toepassing voor zover jij en Snap persoonsgegevens van klanten delen zoals hieronder beschreven, en is opgenomen in de Voorwaarden voor zakelijke diensten. Sommige voorwaarden die in deze overeenkomst worden gebruikt, worden gedefinieerd in de voorwaarden voor zakelijke diensten.

1. Definities

"Persoonlijke gegevens van klanten" betekent de persoonsgegevens van gegevenssubjecten uit de EER, Zwitserland, het VK en Brazilië die aan jou of Snap (de "ontvangende partij") worden verstrekt door of namens de andere partij (de "verstrekkende partij") wanneer zowel de ontvangende partij als de verstrekkende partij elk een gegevenscontroller zijn.

"Wet inzake gegevensbescherming" betekent de wetten inzake gegevensbescherming van de EER, Zwitserland, het VK en de Braziliaanse wet inzake gegevensbescherming die van toepassing is op de verwerking van persoonsgegevens van klanten onder deze overeenkomst, inclusief de AVG, de wetten inzake gegevensbescherming van het Verenigd Koninkrijk en de LGPD.

'EER' staat voor de Europese Economische Ruimte.

'AVG' betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

'LGPD' staat voor de Braziliaanse algemene wet inzake gegevensbescherming (Lei Geral de Proteção de Dados Pessoais).

"Inbreuk op persoonsgegevens" betekent de onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens van klanten op systemen die worden beheerd door een partij.

'VK' betekent het Verenigd Koninkrijk.

'Britse wetten voor gegevensbescherming' betekent de AVG zoals deze deel uitmaakt van de wet van Engeland en Wales, Schotland en Noord-Ierland op grond van sectie 3 van de Europese Unie (intrekkings) Act 2018 in het Verenigd Koninkrijk ('Britse AVG') en de Wet voor gegevensbescherming 2018.

De termen "persoonsgegevens", "gegevenssubject", "verwerking", "controller", "processor", "vertegenwoordiger" en "toezichthoudende autoriteit", elk zoals gebruikt in deze overeenkomst, hebben de betekenis die wordt gegeven in de AVG, wetten inzake gegevensbescherming van het Verenigd Koninkrijk of de LHPD, indien van toepassing, in elk geval, ongeacht of de wet inzake gegevensbescherming van toepassing is.

2. Rollen en beperkingen

a. Rollen van de partijen. Jij en Snap zijn beide een onafhankelijke gegevenscontroller van persoonlijke gegevens van klanten die, onderhevig aan beperkingen uitgezet in deze Overeenkomst en de Voorwaarden voor zakelijke diensten, inclusief aanvullende Voorwaarden en Beleidslijnen, onafhankelijk de doeleinden en middelen bepalen voor de verwerking van persoonlijke gegevens van klanten onder de Wet Bescherming Persoonsgegevens.

b. Transparantie en rechten op het gebied van gegevensbescherming. Jij en Snap zullen gegevenssubjecten individueel op de hoogte stellen en gegevenssubjecten toestaan om hun rechten onder de Wet Bescherming Persoonsgegevens uit te oefenen.

c. Details van de gegevensverwerking. Het onderwerp en de details van de verwerking worden beschreven in bijlage 1 van deze overeenkomst.

d. Naleving van de Wet. Elke partij stemt ermee in te voldoen aan haar verplichtingen volgens de Wet Bescherming Persoonsgegevens met betrekking tot persoonlijke klantgegevens die ze verwerkt onder of in verband met deze overeenkomst.

e. Gegevensbeveiliging. In overeenstemming met de Wet Bescherming Persoonsgegevens zal elke partij alle passende technische, administratieve en organisatorische maatregelen implementeren en onderhouden die nodig zijn om: (i) een niveau van vertrouwelijkheid en veiligheid te verzekeren dat geschikt is voor de risico's die de verwerking en de aard van gegevens van klanten met zich meebrengen; en (ii) ongeoorloofde of onwettige verwerking van gegevens van klanten, onopzettelijk verlies, openbaarmaking of vernietiging van, of schade aan, persoonlijke gegevens van klanten voorkomen.

f. Vertrouwelijkheid. Elke partij zal ervoor zorgen dat alleen personeel dat noodzakelijke ondersteuning moet bieden om te kunnen voldoen aan zijn plichten onder de Voorwaarden voor zakelijke diensten of deze overeenkomst, toegang zal hebben tot persoonlijke gegevens van klanten en dat dergelijk personeel gebonden is aan passende verplichtingen van vertrouwelijkheid, en alle redelijke stappen ondernemen in overeenstemming met de beste praktijken uit de branche om de vertrouwelijkheid van de persoonlijke gegevens van klanten te garanderen.

3. Datalek persoonsgegevens

a. Melding. Je stelt Snap zonder onnodige vertraging op de hoogte en, waar mogelijk, niet meer dan 72 uur nadat je je bewust bent geworden van een datalek. Je zult Snap ook voorzien van een beschrijving van het datalek, het type gegevens waarop het datalek betrekking had, (voor zover bekend) de categorieën van de gegevenssubjecten en andere informatie die vereist is volgens de toepasselijke wetgeving inzake gegevensbescherming, zodra dergelijke informatie kan worden verzameld of anderszins beschikbaar komt, en je zult meewerken aan elk redelijk verzoek van Snap in verband met het datalek.

b. Onderzoek. Je stemt ermee in om onmiddellijk actie te ondernemen om het datalek te onderzoeken, om de gevolgen van een dergelijke datalek te identificeren, te voorkomen en te beperken, en om met voorafgaande toestemming van Snap alle herstelacties of andere acties uit te voeren die nodig zijn om het datalek te verhelpen.

4. Gegevensoverdrachten

a. Als er sprake is van overdracht van persoonlijke gegevens van klanten van de ene naar de andere partij buiten de EER of het VK, dan zal de Overeenkomst voor gegevensoverdracht:

(i) van toepassing zijn op dergelijke overdrachten;

(ii) voorrang hebben boven alle andere voorwaarden, waaronder de voorwaarden van deze overeenkomst, met betrekking tot dergelijke overdrachten;

(iii) een wettelijk bindend contract vormen tussen jou als de gegevensexporteur en Snap als of namens de gegevensimporteur; en

(iv) hierbij worden opgenomen in de Voorwaarden voor zakelijke diensten.

b. Met betrekking tot persoonsgegevens van gegevenssubjecten in de EER, Zwitserland en het Verenigd Koninkrijk komen jij en Snap overeen dat elke partij de persoonlijke klantgegevens mag verwerken buiten de EER, Zwitserland en het Verenigd Koninkrijk waar aan de vereisten van de Wet bescherming persoonsgegevens (inclusief, indien van toepassing, de artikelen 44 tot en met 47 van de AVG) is voldaan of een uitzondering (inclusief, indien van toepassing, die zijn vermeld in artikel 49 van de AVG) van toepassing is.

c. Met betrekking tot persoonsgegevens van Braziliaanse gegevenssubjecten stemmen jij en Snap ermee in dat elke partij de persoonlijke klantgegevens buiten Brazilië mag verwerken en verklaren en garanderen jullie dat een dergelijke overdracht van persoonlijke klantgegevens in overeenstemming is met de LGPD.

5. Beëindiging

Deze overeenkomst wordt automatisch beëindigd na beëindiging van de voorwaarden voor zakelijke diensten.

6. Conflicten

Als deze overeenkomst of de Overeenkomst voor gegevensoverdracht in strijd is met de Voorwaarden voor zakelijke diensten, aanvullende voorwaarden en beleidslijnen, of de Servicevoorwaarden van Snap, dan zijn, voor zover het conflict bestaat, de leidende documenten in de volgende aflopende volgorde: de Overeenkomst voor gegevensoverdracht (maar alleen voor zover deze van toepassing is onder artikel 4.a zoals hierboven genoemd), deze overeenkomst, aanvullende voorwaarden en beleidslijnen, de Voorwaarden voor zakelijke diensten, en de Servicevoorwaarden van Snap.

Schema 1: Informatie over het delen van gegevens

A. Lijst van partijen

Gegevensexporteur(s)

Jij bent de gegevensexporteur, met de naam, het adres en de contactgegevens zoals die aan Snap zijn verstrekt via de zakelijke diensten. De activiteiten die relevant zijn voor de gegevens die onder deze clausules worden doorgegeven, omvatten het gebruik van de relevante zakelijke diensten in overeenstemming met de voorwaarden voor zakelijke diensten en toepasselijke aanvullende voorwaarden en beleid. De gegevensexporteur heeft de rol van de gegevenscontroller.

Gegevensimporteur(s)

Indien de gegevensexporteur persoonsgegevens doorgeeft aan Snap Inc. krachtens deze overeenkomst, dan is de gegevensimporteur Snap Inc., gevestigd op 3000 31st St, Santa Monica, Californië 90405. De activiteiten die relevant zijn voor de gegevens die onder deze clausules worden doorgegeven, omvat de verstrekking van Snap van de relevante zakelijke diensten in overeenstemming met de voorwaarden voor zakelijke diensten en toepasselijke aanvullende voorwaarden en beleid. De gegevens importeur heeft de rol van controller.

B. Beschrijving van de overdracht

De activiteiten voor gegevensuitwisseling die door Snap onder deze overeenkomst worden uitgevoerd, zijn als volgt:

Onderwerp

De verlening van de zakelijke diensten door Snap aan jou.

Aard en doel

Het delen van de gegevens heeft als doel om Snap zakelijke diensten aan jou te leveren in overeenstemming met en zoals beschreven in de voorwaarden over zakelijke diensten en deze overeenkomst.

Gegevenscategorieën

Persoonlijke gegevens van klanten met betrekking tot individuen die door de verstrekkende partij aan de ontvangende partij zijn verstrekt via de zakelijke diensten, waaronder:

e-mailadres
telefoonnummer
mobiele advertentie-ID (IDFA/AAID)
IP-adres
cookie-ID
browser user agent
demografische gegevens
connecties tussen gebruikers
sessie-, transactie- en gebruikers-ID's
geslacht, lengte, gewicht, leeftijd en andere persoonlijke kenmerken
productgegevens zoals product-ID, categorie van het product, productbeschrijving, informatie en gegevens over afmetingen, EAN, productkleur en productpasvorminformatie
transactiegegevens zoals informatie over aankopen en retourzendingen
acties en evenementen die worden ondernomen op websites en apps, inclusief bekeken pagina's, aankopen, zoekopdrachten, uitcheckevenementen, verlanglijstjes, installaties en methoden voor gebruikersregistratie
foto's

Overgedragen gevoelige gegevens

Niet van toepassing

Frequentie van de overdracht

Doorlopend

Betrokkenen

Tot de gegevenssubjecten behoren EER-, Zwitserse, Britse en Braziliaanse personen over wie door de verstrekkende partij persoonsgegevens worden verstrekt aan de ontvangende partij via de zakelijke diensten.

C. Bevoegde toezichthoudende autoriteit

De bevoegde toezichthoudende autoriteit is de Nederlandse Autoriteit Persoonsgegevens (AP).

Schema 2 - Beveiligingsmaatregelen van Snap

1. Het implementeren en naleven van een schriftelijk informatiebeveiligingsprogramma dat in overeenstemming is met gevestigde branchenormen en tevens administratieve, technische en fysieke veiligheidsmaatregelen bevat die passen bij de aard van de persoonlijke klantgegevens en ontworpen zijn om dergelijke informatie te beschermen tegen: ongeautoriseerde toegang, vernietiging, gebruik, wijziging of openbaarmaking; ongeautoriseerde toegang tot of gebruik dat zou kunnen leiden tot aanzienlijke schade of ongemak voor de gegevenscontroller, de klanten van de gegevenscontroller of de werknemers van de gegevenscontroller; en alle verwachte bedreigingen of gevaren voor de veiligheid of integriteit van dergelijke informatie.

2. Het aannemen en implementeren van verstandig beleid en normen met betrekking tot beveiliging.

3. Het toewijzen van verantwoordelijkheid voor informatiebeveiligingsbeheer.

4. Het inzetten van voldoende personeel voor informatiebeveiliging.

5. Het uitvoeren van verificatiecontroles op vast personeel dat toegang heeft tot de Persoonsgegevens van de Klant.

6. Het uitvoeren van passende achtergrondcontroles en het verplichten van werknemers, leveranciers en anderen met toegang tot de Persoonsgegevens van klanten om schriftelijke vertrouwelijkheidsovereenkomsten aan te gaan.

7. Het geven van trainingen om werknemers en anderen met toegang tot de Persoonsgegevens van de klant bewust te maken van de risico's voor informatiebeveiliging en om de naleving van het beleid en de normen van Snap met betrekking tot gegevensbescherming te verbeteren.

8. Het voorkomen van ongeautoriseerde toegang tot de Persoonsgegevens van klanten door, indien van toepassing, het gebruik van fysieke en logische (met wachtwoord vergrendelde) toegangscontroles, beveiligde gebieden voor gegevensverwerking, procedures voor het bewaken van het gebruik van gegevensverwerkingsfaciliteiten, ingebouwde systeemaudits, het gebruik van veilige wachtwoorden, netwerkinbraakdetectietechnologie, coderings- en authenticatietechnologie, veilige inlogprocedures en virusbescherming, en het voortdurend controleren van de naleving van het beleid en de normen van Snap met betrekking tot gegevensbescherming. In het bijzonder heeft Snap, waar van toepassing en zonder beperking, het volgende geïmplementeerd en voldoet het aan:

Fysieke toegangscontrolemaatregelen om onbevoegde toegang tot gegevensverwerkende systemen te voorkomen (bijv. toegangspassen, kaartlezers, baliemedewerkers, alarmsystemen, bewegingsmelders, inbraakalarmen, videobewaking en buitenbeveiliging);
Controlemaatregelen voor het weigeren van gebruik om ongeoorloofd gebruik van gegevensbeschermingssystemen te voorkomen (bijv. automatisch afgedwongen vereisten voor wachtwoordcomplexiteit en -wijziging en firewalls). ;
Een op vereisten gebaseerd autorisatiesysteem en toegangsrechten, en monitoring en logging van systeemtoegang om ervoor te zorgen dat personen die gerechtigd zijn om een gegevensverwerkingssysteem te gebruiken, alleen toegang hebben tot de gegevens waartoe zij gerechtigd zijn, en dat de Persoonsgegevens van de klant niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd;
Controlemaatregelen voor gegevensoverdracht om ervoor te zorgen dat de Persoonsgegevens van de klant niet ongeautoriseerd kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht, transport of opslag op gegevensdragers, en overdracht en ontvangst van archieven. In het bijzonder zal het informatiebeveiligingsprogramma van Snap worden ontwikkeld:
- Om datasets in het bezit van Snap, inclusief gevoelige persoonlijke gegevens, in de opslag te versleutelen met behulp van geschikte versleutelingsniveaus op basis van toonaangevende versleutelingsstandaarden, waaronder AES -256, en gebruikersidentiteiten op het systeem op te slaan met behulp van sleutelwaardeparen zoals ghost_id om opslag van de daadwerkelijke gebruikers-ID te voorkomen; en
- Om ervoor te zorgen dat alle gevoelige persoonsgegevens die elektronisch worden verzonden (anders dan per fax) naar een persoon buiten het IT-systeem van Snap of die via een openbaar netwerk worden verzonden, worden gecodeerd met behulp van de nieuwste ondersteunde versies van het TLS 1.2-protocol om de veiligheid van de overdracht te beschermen;
Gegevensinvoercontrolemaatregelen te implementeren om ervoor te zorgen dat Snap kan controleren en vaststellen of en door wie de Persoonsgegevens van de klant in gegevensverwerkingssystemen zijn ingevoerd, gewijzigd of verwijderd;
Voortdurende maatregelen te implementeren voor het testen van de beveiliging om ervoor te zorgen dat de informatiebeveiligingspraktijken relevant, effectief en actueel blijven, waaronder jaarlijkse penetratietests, een bug bounty-programma, het gebruik van systeemscantools, simulatietests, tests voor het herstellen van back-ups, failovers vóór de productie en het uitvoeren van post-mortems op echte incidenten om de relevante noodherstelplannen bij te werken;
Toezichtsmaatregelen van sub-processors om ervoor te zorgen dat, als Snap is toegestaan om sub-processors te gebruiken, de Persoonsgegevens van de klant strikt worden verwerkt in overeenstemming met de instructies van de gegevenscontroller, waaronder, indien van toepassing:
- Maatregelen om ervoor te zorgen dat de Persoonsgegevens van de klant worden beschermd tegen onopzettelijke vernietiging of verlies, inclusief, indien van toepassing en zonder beperking, beleid voor gegevensback-up, bewaring en veilige vernietiging; veilige offsite opslag van gegevens die voldoende is voor noodherstel; ononderbroken stroomvoorziening en noodherstelprogramma's; en
- Maatregelen om ervoor te zorgen dat gegevens die voor verschillende doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt, inclusief, indien van toepassing, fysieke of adequate logische scheiding van Persoonsgegevens van klanten.

9. Het nemen van dergelijke andere stappen die in het kader van de situaties passend kunnen zijn.