UWAGA: PONIŻSZE WARUNKI ZOSTAŁY ZAKTUALIZOWANE W ZWIĄZKU Z NOWYMI ZATWIERDZONYMI PRZEZ KOMISJĘ EUROPEJSKĄ STANDARDOWYMI KLAUZULAMI UMOWNYMI, KTÓRE OBOWIĄZUJĄ OD 27 WRZEŚNIA 2021 R.

INFORMACJA O POSTĘPOWANIU ARBITRAŻOWYM: UŻYTKOWNIK PODLEGA POSTANOWIENIOM KLAUZULI ARBITRŻOWEJ W REGULAMINIE USŁUG BIZNESOWYCH. GDY UŻYTKOWNIK ZAWIERA UMOWĘ Z FIRMĄ SNAP INC., UŻYTKOWNIK I SNAP INC. ZRZEKAJĄ SIĘ PRAWA DO UDZIAŁU W POZWIE ZBIOROWYM, A TAKŻE DO GRUPOWEGO DOCHODZENIA ROSZCZEŃ W POSTĘPOWANIU ARBITRAŻOWYM.

Niniejsza Umowa o udostępnianiu danych („Umowa”) stanowi prawnie wiążącą umowę między użytkownikiem a firmą Snap i ma zastosowanie w zakresie, w jakim użytkownik i firma Snap udostępniają dane osobowe klientów w sposób opisany poniżej, i jest włączona do Regulaminu usług biznesowych. Definicje niektórych terminów użytych w niniejszej Umowie znajdują się w Regulaminie świadczenia usług biznesowych.

„Dane osobowe klientów” oznaczają dane osobowe osób z EOG, Szwajcarii, Wielkiej Brytanii i Brazylii, które są dostarczane użytkownikowi lub firmie Snap („Strona otrzymująca”) przez drugą stronę lub w imieniu („Strona otrzymująca”), jeśli zarówno Strona otrzymująca, jak i Strona ujawniająca są administratorami.

„Prawo o ochronie danych” oznacza przepisy EOG, Szwajcarii, Zjednoczonego Królestwa i Brazylii o ochronie danych mające zastosowanie do przetwarzania danych osobowych klientów na mocy niniejszej Umowy, w tym RODO, brytyjskie przepisy o ochronie danych i LGPD.

„EOG” oznacza Europejski Obszar Gospodarczy.

„RODO” oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz uchylenie dyrektywy 95/46/WE.

„LGPD” oznacza brazylijskie ogólne prawo o ochronie danych (Lei Geral de Proteção de Dados Pessoais).

„Naruszenie danych osobowych” oznacza przypadkowe lub niezgodne z prawem zniszczenie, utrata, zmiana, nieuprawnione ujawnienie danych osobowych klientów lub dostęp do nich w systemach zarządzanych lub kontrolowanych przez stronę.

„Zjednoczone Królestwo” oznacza Wielką Brytanię.

„Brytyjskie przepisy o ochronie danych” oznaczają RODO, ponieważ stanowią one część prawa Anglii i Walii, Szkocji i Irlandii Północnej na mocy sekcji 3 ustawy o Wyjściu Wielkiej Brytanii z Unii Europejskiej z 2018 r. („brytyjskie RODO”) i Ustawy o ochronie danych z 2018 r.

Pojęcia „dane osobowe”, „podmiot danych”, „przetwarzanie”, „administrator”, „podmiot przetwarzający”, „przedstawiciel” i „organ nadzorczy”, każde z nich użyte w niniejszej Umowie, mają znaczenie nadane w RODO, brytyjskim prawie o ochronie danych lub LGPD, w każdym przypadku, niezależnie od tego, czy ma zastosowanie prawo o ochronie danych.

a. Role stron. Użytkownik i firma Snap są niezależnymi administratorami danych osobowych klientów, który, z zastrzeżeniem wszelkich ograniczeń określonych w niniejszej Umowie i Regulaminie usług biznesowych, w tym wszelkich Warunkach uzupełniających i Zasadach, niezależnie określa cele i sposoby przetwarzania danych osobowych klientów na mocy Prawa o ochronie danych.

b. Prawo do przejrzystości i ochrony danych. Użytkownik i firma Snap indywidualnie poinformują osoby, których dotyczą dane i umożliwią osobom, których dotyczą dane, dochodzenia ich praw na mocy Prawa o ochronie danych.

c. Szczegóły dotyczące przetwarzania danych. Zakres i szczegółowe informacje dotyczące przetwarzania danych osobowych określone są w Załączniku Nr 1 do niniejszej Umowy.

d. Zgodność z prawem. Każda ze stron zgadza się wypełnić swoje zobowiązania wynikające z ustawy o ochronie danych w odniesieniu do wszelkich danych osobowych klientów, które przetwarza na mocy niniejszej Umowy lub w związku z nią.

e. Bezpieczeństwo danych. Zgodnie z ustawą o ochronie danych każda ze stron wdroży i będzie utrzymywać wszelkie odpowiednie środki techniczne, administracyjne i organizacyjne wymagane w celu: (i) zapewnienia poziomu poufności i bezpieczeństwa odpowiedniego do ryzyka związanego z przetwarzaniem i charakterem danych osobowych klientów; oraz (ii) zapobiegania nieautoryzowanemu lub niezgodnemu z prawem przetwarzaniu danych osobowych klientów, przypadkowej utracie, ujawnieniu lub zniszczeniu danych osobowych klientów.

f. Poufność. Każda strona dopilnuje, aby dostęp do danych osobowych klientów mieli wyłącznie pracownicy, których zadaniem może być pomoc w wypełnianiu zobowiązań wynikających z Regulaminu usług biznesowych lub niniejszej Umowy, oraz aby tacy pracownicy byli objęci odpowiednimi zobowiązaniami w zakresie zachowania poufności, a także podejmowali wszelkie uzasadnione kroki zgodnie z najlepszymi praktykami w branży w celu zapewnienia poufności danych osobowych klientów.

a. Powiadomienie. Użytkownik powiadomi firmę Snap bez zbędnej zwłoki i w miarę możliwości nie później niż 72 godziny po otrzymaniu wiadomości o naruszeniu danych osobowych. Użytkownik przekaże firmie Snap również opis naruszenia danych osobowych, rodzaj danych, które były przedmiotem naruszenia danych osobowych, (w zakresie znanym) kategorie osób, których dotyczą dane, oraz inne informacje wymagane przez obowiązujące prawo o ochronie danych, gdy tylko takie informacje będą mogły zostać zebrane lub w inny sposób staną się dostępne, a także będzie współpracować na każdy uzasadniony wniosek firmy Snap dotyczący naruszenia danych osobowych.

b. Badanie. Użytkownik zobowiązuje się do natychmiastowego podjęcia badania dotyczącego naruszenia danych osobowych w celu zidentyfikowania, zapobiegania i przeciwdziałania skutkom takiego naruszenia danych osobowych, a także za uprzednią zgodą Snap w celu podjęcia wszelkich działań naprawczych lub innych działań niezbędnych do usunięcia skutków naruszenia danych osobowych.

a. W przypadku jakiegokolwiek przekazywania danych osobowych klientów przez jedną stronę drugiej stronie poza terytorium EOG lub Zjednoczonego Królestwa wówczas Umowa o przekazywaniu danych:

(i) ma zastosowanie do takiego przekazywania danych osobowych;

(ii) ma pierwszeństwo przed wszelkimi innymi postanowieniami, w tym postanowieniami niniejszej Umowy, w odniesieniu do takiego przekazywania danych;

(iii) reguluje stosunek prawny między użytkownikiem jako podmiotem przekazującym dane osobowe a firmą Snap jako podmiotem odbierającym dane osobowe lub działającą w imieniu takiego podmiotu;

(iv) staje się częścią Regulaminu świadczenia usług biznesowych.

b. W odniesieniu do danych osobowych osób, których dotyczą dane z EOG, Szwajcarii i Wielkiej Brytanii, użytkownik i firma Snap zgadzają się, że każda ze stron może przetwarzać dane osobowe klientów poza EOG, Szwajcarią i Wielką Brytanią, jeśli spełnione są wymogi prawa o ochronie danych (w tym, w stosownych przypadkach, art. 44–47 RODO), lub jeśli zastosowanie mają wyjątki (w tym, w stosownych przypadkach, przepisy wymienione w art. 49 RODO).

c. W odniesieniu do danych osobowych osób z Brazylii, których dotyczą dane, użytkownik i firma Snap zgadzają się, że każda ze stron może przetwarzać dane osobowe klientów poza Brazylią, a także oświadczają i gwarantują, że takie przekazywanie danych osobowych klientów jest zgodne z LGPD.

Niniejsza Umowa wygasa wraz z wygaśnięciem Regulaminu świadczenia usług biznesowych.

Jeśli niniejsza Umowa lub Umowa o przekazywaniu danych są sprzeczne z Regulaminem usług biznesowych, wszelkimi Warunkami uzupełniającymi i Zasadami lub Regulaminem świadczenia usług Snap, wówczas w zakresie konfliktu obowiązującymi dokumentami będą, w kolejności malejącej: Umowa o przekazywaniu danych (ale tylko w zakresie określonym w punkcie 4.a powyżej), niniejsza Umowa, Warunki uzupełniające i Zasady, Regulaminem usług biznesowych, a także Regulamin świadczenia usług Snap.

Użytkownik jest podmiotem przekazującym dane, a jego imię i nazwisko, adres i dane kontaktowe są przekazywane firmie Snap za pośrednictwem Usług biznesowych. Działania dotyczące danych przekazywanych na mocy tych postanowień obejmują stosowanie odpowiednich usług biznesowych zgodnie z postanowieniami Regulaminu świadczenia usług biznesowych oraz mającymi zastosowanie uzupełniającymi Warunkami i Zasadami. Podmiot przekazujący dane pełni rolę administratora.

Podmiotem odbierającym dane jest Snap Inc. z adresem 3000 31st Street, Santa Monica, California 90405, jeśli podmiot przekazujący dane przekazuje dane osobowe Snap Inc. na mocy niniejszej Umowy. Działania dotyczące danych przekazywanych na mocy tych postanowień obejmują stosowanie odpowiednich usług biznesowych zgodnie z postanowieniami Regulaminu świadczenia usług biznesowych oraz mającymi zastosowanie uzupełniającymi Warunkami i Zasadami. Podmiot odbierający dane pełni rolę administratora.

Działania w zakresie udostępniania danych prowadzone przez firmę Snap na mocy niniejszej Umowy są następujące:

Świadczenie Usług biznesowych przez firmę Snap na rzecz użytkownika.

Udostępnianie danych odbywa się w celu świadczenia przez firmę Snap usług biznesowych na rzecz użytkownika zgodnie z Regulaminem usług biznesowych i niniejszą Umową.

Dane osobowe klientów dotyczące osób fizycznych przekazane Stronie otrzymującej przez Stronę ujawniającą za pośrednictwem Usług biznesowych, które mogą obejmować:

• adres e-mail

• numer telefonu

• identyfikator reklamy mobilnej (IDFA/AAID)

• adres IP;

• ID pliku cookie

• nagłówek przeglądarki

• dane demograficzne

• połączenia między użytkownikami

• sesja, transakcja i identyfikatory użytkowników

• płeć, wzrost, waga, wiek i inne cechy osobowe

• dane o produkcie, takie jak identyfikator produktu, ścieżka kategorii produktu, opis produktu, informacje o rozmiarze i dane o rozmiarze, EAN, kolor produktu i informacje o dopasowaniu produktu

• dane transakcji, takie jak zakupy i informacje o zwrotach

• działania i zdarzenia podejmowane na stronach internetowych i aplikacjach, w tym przeglądane strony, zakupy, wyszukiwania, przejścia do kasy, dodanie do listy życzeń, instalacje oraz sposoby rejestracji użytkownika

• zdjęcia

Nie dotyczy

Ciągle

Podmioty danych obejmują osoby fizyczne z EOG, Szwajcarii, Wielkiej Brytanii i Brazylii, których dane osobowe są przekazywane przez stronę ujawniającą stronie otrzymującej za pośrednictwem firmy.

Właściwym organem nadzorczym jest holenderski Urząd Ochrony Danych Osobowych (Autoriteit Persoonsgegevens, AP).

1. Wdrożenie i przestrzeganie pisemnego programu bezpieczeństwa informacji zgodnego z uznanymi standardami branżowymi, obejmującego zabezpieczenia administracyjne, techniczne i fizyczne dostosowane do charakteru danych osobowych klientów i mającego na celu ochronę takich informacji przed: nieautoryzowanym dostępem, zniszczeniem, wykorzystaniem, modyfikacją lub ujawnieniem; nieautoryzowanym dostępem lub wykorzystaniem, które mogłyby spowodować znaczne szkody lub utrudnienia dla administratora danych, klientów administratora danych lub pracowników administratora danych; oraz wszelkimi potencjalnymi zagrożeniami lub ryzykami dla bezpieczeństwa lub integralności takich informacji.

2. Ustanowienie i wdrażanie uzasadnionych zasad i standardów dotyczących bezpieczeństwa.

3. Przydzielenie odpowiedzialności za zarządzanie bezpieczeństwem informacji.

4. Wyznaczenie odpowiedniego personelu na potrzeby bezpieczeństwa informacji.

5. Przeprowadzanie kontroli weryfikacyjnych pracowników etatowych, którzy będą mieli dostęp do danych osobowych klientów.

6. Przeprowadzanie odpowiednich sprawdzeń historii oraz zobowiązanie pracowników, dostawców i innych osób z dostępem do danych osobowych klientów do zawierania pisemnych umów o poufności.

7. Przeprowadzanie szkoleń w celu zaznajomienia pracowników i innych osób mających dostęp do danych osobowych klientów z zagrożeniami dla bezpieczeństwa informacji oraz w celu zwiększenia stopnia przestrzegania zasad i standardów Snap dotyczących ochrony danych.

8. Zapobieganie nieautoryzowanemu dostępowi do danych osobowych klientów poprzez wykorzystanie, w stosownych przypadkach, fizycznych i logicznych (hasła) kontroli wejścia, bezpiecznych obszarów przetwarzania danych, procedur monitorowania wykorzystania urządzeń do przetwarzania danych, wbudowanych ścieżek audytu systemu, korzystanie z bezpiecznych haseł, technologii wykrywania włamań do sieci, technologii szyfrowania i uwierzytelniania, bezpiecznych procedur logowania i ochrony przed wirusami, a także bieżące monitorowanie zgodności z zasadami i standardami Snap dotyczącymi ochrony danych. W szczególności Snap wdrożył i przestrzega w uzasadnionym zakresie oraz bez ograniczeń:

• środki fizycznej kontroli dostępu w celu zapobiegania nieautoryzowanemu dostępowi do systemów przetwarzania danych (np. karty identyfikacyjne dostępu, czytniki kart, inspektorzy ochrony danych, systemy alarmowe, czujniki ruchu, alarmy włamaniowe, wideomonitoring i zabezpieczenia zewnętrzne);

• środki kontroli typu „odmowa usługi” w celu zapobiegania nieuprawnionemu wykorzystaniu systemów ochrony danych (np. automatyczne egzekwowanie wymogów w zakresie złożoności haseł i konieczności ich zmian oraz zapory sieciowe). ;

• system autoryzacji oparty na wymaganiach i prawa dostępu oraz monitorowanie i rejestrowanie dostępu do systemu w celu zapewnienia, że osoby uprawnione do korzystania z systemu przetwarzania danych mają dostęp wyłącznie do danych, do których mają prawo dostępu, oraz że danych osobowych klientów nie można odczytać, kopiować, modyfikować ani usuwać bez autoryzacji;

• środki kontroli transmisji danych w celu zapewnienia, że danych osobowych klientów nie można odczytać, kopiować, modyfikować ani usuwać bez autoryzacji podczas elektronicznego przesyłania, transportu lub przechowywania na nośnikach danych oraz transferu i odbierania rekordów. W szczególności program bezpieczeństwa informacji Snap zostanie zaprojektowany z uwzględnieniem następujących elementów:

  • szyfrowanie w pamięci wszystkich zestawów danych w posiadaniu Snap, w tym danych osobowych wrażliwych, przy użyciu odpowiednich poziomów szyfrowania w oparciu o najlepsze standardy szyfrowania w branży, w tym AES-256 oraz przechowywanie identyfikatorów użytkowników w systemie za pomocą pary klucz-wartość, takich jak ghost_id, aby zapobiec przechowywaniu rzeczywistego identyfikatora użytkownika; oraz

  • zapewnienie, że wszelkie dane osobowe wrażliwe przekazywane drogą elektroniczną (z wyjątkiem faksu) osobie spoza systemu informatycznego Snap lub przekazywane za pośrednictwem sieci publicznej są szyfrowane przy użyciu najnowszych obsługiwanych wersji protokołu TLS 1.2 w celu ochrony bezpieczeństwa transmisji;

• Środki kontroli wprowadzania danych w celu zapewnienia, że Snap może sprawdzić i określić, czy i przez kogo dane osobowe klientów zostały wprowadzone do systemów przetwarzania danych, zmodyfikowane lub usunięte;

• Środki ciągłego testowania bezpieczeństwa w celu zapewnienia zachowania odpowiedniego poziomu, skuteczności i aktualności działań w zakresie bezpieczeństwa informacji, w tym coroczne testy penetracyjne, program nagradzania za wykrywanie błędów, wykorzystanie narzędzi do skanowania systemu, ćwiczenia praktyczne, testy przywracania kopii zapasowych, przedprodukcyjne testy awaryjne oraz przeprowadzanie analizy po fakcie w odniesieniu do wszelkich zaistniałych incydentów w celu aktualizacji odpowiednich planów usuwania skutków awarii;

• Środki nadzoru nad administratorem danych w celu zapewnienia, że w przypadku gdy Snap ma prawo do korzystania z usług podwykonawców przetwarzania danych, dane osobowe klientów są przetwarzane ściśle zgodnie z instrukcjami administratora danych, w tym, w uzasadnionym zakresie:

  • środki mające na celu zapewnienie, że dane osobowe klientów są chronione przed przypadkowym zniszczeniem lub utratą, w tym, w uzasadnionym zakresie i bez ograniczeń, zasady tworzenia kopii zapasowych, przechowywania i bezpiecznego niszczenia danych; bezpieczne przechowywanie danych poza siedzibą na potrzeby skutecznego odzyskiwania danych po awarii; systemy nieprzerwanego zasilania i programy odzyskiwania po awarii; oraz

  • środki mające na celu zapewnienie, że dane zebrane w różnych celach mogą być przetwarzane odrębnie, w tym, w uzasadnionym zakresie, fizyczne lub odpowiednie logiczne oddzielenie danych osobowych klientów. 

9. Podejmowanie innych kroków tego rodzaju w zależności od okoliczności.