ATENÇÃO: ATUALIZÁMOS OS TERMOS ABAIXO EM CONFORMIDADE COM AS NOVAS CLÁUSULAS CONTRATUAIS PADRÃO APROVADAS PELA COMISSÃO EUROPEIA, EM VIGOR A 27 DE SETEMBRO DE 2021

AVISO DE ARBITRAGEM: O UTILIZADOR ESTÁ VINCULADO PELA PROVISÃO DE ARBITRAGEM ESTIPULADA NAS CONDIÇÕES DOS SERVIÇOS PARA EMPRESAS. SE ESTÁ A CELEBRAR UM CONTRATO COM A SNAP INC., O UTILIZADOR E A SNAP INC. RENUNCIAM A QUALQUER DIREITO DE PARTICIPAÇÃO EM AÇÕES JUDICIAIS COLETIVAS OU PROCESSOS DE ARBITRAGEM COLETIVOS.

O presente Acordo da Partilha de Dados (“Acordo”) constitui um contrato legalmente vinculativo entre o utilizador e a Snap, aplica-se na medida em que o utilizador e a Snap partilham os Dados Pessoais do Cliente conforme descrito abaixo e está incorporado nos Termos dos Serviços para Empresas. Algumas condições utilizadas no presente Acordo encontram-se definidas nas Condições dos Serviços para Empresas.

“Dados pessoais do cliente” significa os dados pessoais de titulares do EEE, da Suíça, do Reino Unido e do Brazil que são fornecidos ao Utilizador ou à Snap (a “Parte Recetora”), por ou em nome da outra Parte (a “Parte Divulgadora”), quando tanto a Parte Recetora e a Parte Divulgadora são controladoras.

“Lei da proteção de dados” significa lei da proteção de dados do EEE, da Suíça, do Reino Unido e do Brazil, aplicável ao tratamento dos dados pessoais dos clientes e ao abrigo deste Acordo, incluindo o RGPD, Leis da Proteção de Dados do Reino Unido e LGPD.

“EEE” significa a Espaço Económico Europeu.

“RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que se refere ao tratamento de dados pessoais e à livre circulação de tais dados, revogando a Diretiva 95/46/46/CE.

“LGPD” significa a Lei Geral da Proteção de Dados do Brasil.

“Violação dos dados pessoais” significa a destruição, perda, alteração, divulgação não autorizada, acidental ou ilícita, ou o acesso aos dados pessoais do cliente nos sistemas geridos, ou controlados por uma das partes.

“RU” significa Reino Unido.

“Legislação da proteção de dados do Reino Unido” significa o RGPD, como parte integrante da Lei da Inglaterra e do País de Gales, da Escócia e da Irlanda do Norte, em virtude da secção 3 da Diretiva da União Europeia de 2018 (Saída) do Reino Unido (“RGPD do RU”) e da Diretiva da Proteção de dados (2018).

Os termos “dados pessoais”, “sujeito dos dados”, “processamento”, “controlador”, “processador”, “representante” e “autoridade supervisora”, conforme empregues neste Acordo; assumem os significados atrubuídos no RGPD, na Legislação da proteção de dados do Reino Unido ou LGPD, conforme aplicável, em cada caso independentemente da Legislação da proteção de dados aplicável.

a. Funções das partes. O Utilizador e a Snap são controladores independentes dos Dados Pessoais do Cliente que, sujeitos às restrições estabelecidas neste Acordo e nos Termos dos Serviços para Empresas, incluindo quaisquer Termos e Políticas suplementares, determinam de forma independente as finalidades e os meios de tratamento dos Dados Pessoais do Cliente ao abrigo da Lei da proteção de dados.

b. Transparência e Direitos da proteção de dados. O Utilizador e a Snap informarão, individualmente, os titulares dos dados e permitirão que os mesmos exerçam os seus direitos ao abrigo da Lei da proteção de dados.

c. Detalhes do tratamento de dados. O assunto e os detalhes do tratamento estão descritos no Cronograma 1 desde acordo.

d. Cumprimento da lei. Cada uma das partes concorda que cumprirá as suas obrigações do abrigo da Lei da proteção de dados relativamente a quaisquer Dados pessoais do cliente que venha a processar ou ao abrigo deste acordo.

e. Segurança dos dados Em conformidade com a Lei da proteção de dados, cada uma das partes implementará e manterá todas as medidas técnicas, administrativas e organizacionais apropriadas para: (i) garantir um nível de confidencialidade e segurança adequado aos riscos representados pelo tratamento e a natureza dos Dados pessoais do cliente; e (ii) evitar o tratamento não autorizado ou ilegal, danificar, perder acidentalmente, divulgar ou destruir os Dados pessoais do cliente.

f. Confidencialidade. Cada uma das partes garante que apenas os funcionários obrigados a cumprir as suas obrigações, ao abrigo das Condições de Serviços para Empresas ou deste Acordo, terão acesso aos Dados pessoais do cliente e que estarão vinculados pelas obrigações devidas da confidencialidade e que tomarão todas as medidas razoáveis em conformidade com as melhores práticas do setor para assegurar a confidencialidade dos Dados pessoais do cliente.

a. Notificação O Utilizador notificará a Snap sem atraso indevido e, se possível, não mais do que 72 horas após tomar conhecimento da Violação dos dados pessoais. O Utilizador também fornecerá à Snap uma descrição da Violação dos dados pessoais, o tipo de dados que foram objeto dessa Violação (na medida do conhecido), as categorias dos dados afetados e outras informações exigidas pela Lei da proteção de dados aplicável, assim que essas informações possam ser recolhidas ou de outra forma estiverem disponíveis, e cooperará com qualquer pedido razoável realizado pela Snap em relação a essa Violação dos dados pessoais.

b. Investigação. O Utilizador concorda em tomar medidas para investigar a Violação dos dados pessoais, no imediato, a identificar, prevenir e mitigar os efeitos dessa Violação dos dados pessoais e, com o consentimento prévio da Snap, de realizar qualquer recuperação ou outra ação necessária para a resolução dessa Violação dos dados pessoais.

a. Se houver uma transferência dos Dados pessoais do cliente de uma das partes para a outra fora do EEE ou do Reino Unido, então o Acordo de Transferência de dados deverá:

(i) aplicar-se a essas transferências;

(ii) prevalecer sobre todas as outras Condições, incluindo as condições deste Acordo, relativamente a essas transferências;

(iii) constituir um acordo juridicamente vinculativo entre o utilizador, enquanto exportador dos dados, e a Snap, enquanto, ou em representação, do importador de dados; e

(iv) ser pelo presente incorporado nas Condições dos Serviços para Empresas.

b. No que se refere aos dados pessoais de titulares do EEE, da Suíça e do Reino Unido, o Utilizador e a Snap concordam que cada uma das partes pode tratar os Dados Pessoais do Cliente fora do EEE, da Suíça e do Reino Unido, onde os requisitos da Lei da proteção de dados (incluindo, se aplicável, dispostos nos Artigos 44 a 47 do RGPD) são cumpridos, ou quando se aplica uma exceção (incluindo, se aplicável, os dispostos no Artigo 49 do RGPD).

c. No que se refere aos Dados Pessoais de titulares brasileiros, o Utilizador e a Snap concordam que cada uma das partes pode tratar os Dados Pessoais do Cliente fora do Brasil, e que representam e garantem que essa transferência dos Dados Pessoais do Cliente está em conformidade com a LGPD.

O Acordo será automaticamente rescindido aquando da rescisão das Condições dos Serviços para Empresas.

Se o presente Acordo ou o Acordo de Transferência de Dados entrar em conflito com os Termos dos Serviços para Empresas, quaisquer Termos e Políticas Suplementares, ou os Termos de Serviço da Snap, então, na medida do conflito, os documentos que regem o contrato serão, por ordem decrescente: o Acordo de Transferência de Dados (mas apenas na medida aplicável ao abrigo da secção 4.a acima), o presente Acordo, os Termos e Políticas Suplementares, os Termos dos Serviços para Empresas e os Termos de Serviço da Snap.

O utilizador é o exportador de dados, com o nome, morada e dados de contacto conforme fornecidos à Snap através dos Serviços para Empresas. As atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas incluem a utilização dos Serviços para Empresas relevantes de acordo com os Termos dos Serviços para Empresas e os Termos e Políticas Suplementares aplicáveis. O exportador dos dados deve desempenhar a função de controlador.

O importador de dados será a Snap Inc., com a morada em 3000 31st Street, Santa Monica, Califórnia 90405, se o exportador de dados estiver a transferir dados pessoais para a Snap Inc. ao abrigo do presente Acordo. As atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas incluem a disposição da Snap dos Serviços para Empresas relevantes de acordo com os Termos dos Serviços para Empresas e os Termos e Políticas Suplementares aplicáveis. O importador dos dados deve desempenhar a função de controlador.

As atividades de partilha de dados realizadas pela Snap ao abrigo do presente Acordo são as seguintes:

A disposição da Snap relativa aos Serviços para Empresas para o utilizador.

A partilha de dados tem como objetivo o fornecimento dos Serviços para Empresas pela Snap ao utilizador, de acordo com e conforme descrito nos Termos dos Serviços para Empresas e no presente Acordo.

Dados Pessoais do Cliente relativos a indivíduos fornecidos pela Parte Divulgadora à Parte Recetora através dos Serviços para Empresas, que podem incluir:

• endereço de e-mail

• número de telefone

• ID do anúncio para dispositivos móveis (IDFA/AAID)

• endereço IP

• ID de cookie

• agente do utilizador no navegador

• dados demográficos

• ligações entre utilizadores

• ID de sessão, transação e utilizador

• género, altura, peso, idade e outras características pessoais

• dados do produto, como o ID do produto, o caminho da categoria do produto, a descrição do produto, as informações e dados do tamanho, o EAN, a cor do produto e informação sobre a forma de ajuste do produto

• dados de transação, como informações sobre a compra e a devolução

• ações e eventos realizados em websites e aplicações, incluindo páginas visualizadas, compras, pesquisas, eventos de check-out, listas de desejos, instalações e métodos de registo do utilizador

• fotos

Não aplicável

Contínua

Os titulares dos dados incluem indivíduos do EEE, da Suíça, do Reino Unido e do Brasil sobre os quais são fornecidos os dados pessoais pela Parte Divulgadora à Parte Recetora através dos Serviços para Empresas.

A autoridade de supervisão competente será a Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Persoonsgegevens, AP).

1. A implementação e a conformidade com um programa de segurança de informações por escrito consistente com as normas do setor estabelecidas e incluindo salvaguardas administrativas, técnicas e físicas adequadas à natureza dos Dados Pessoais do Cliente e concebido para proteger tais informações de: acesso, destruição, utilização, modificação ou divulgação não autorizados; acesso ou utilização não autorizada que possa resultar em danos ou inconvenientes substanciais para o Controlador de Dados, os clientes do Controlador de Dados ou os funcionários do Controlador de Dados; e quaisquer ameaças ou perigos previstos para a segurança ou integridade de tais informações.

2. Adotar e implementar políticas e normas razoáveis relacionadas com a segurança.

3. Atribuir responsabilidade pela gestão da segurança da informação.

4. Dedicar pessoal adequado à segurança da informação.

5. Realizar verificações de funcionários permanentes que terão acesso aos Dados Pessoais do Cliente.

6. Realizar verificações de antecedentes adequadas e exigir que funcionários, fornecedores e outros com acesso aos Dados Pessoais do Cliente celebrem acordos de confidencialidade por escrito.

7. Realizar formação para sensibilizar os funcionários e outras pessoas com acesso aos Dados Pessoais do Cliente para os riscos de segurança da informação e para melhorar a conformidade com as políticas e normas da Snap relacionadas com a proteção de dados.

8. Impedir o acesso não autorizado aos Dados Pessoais do Cliente através da utilização, conforme adequado, de controlos de entrada físicos e lógicos (palavras-chave), áreas seguras para tratamento de dados, procedimentos para monitorizar a utilização de instalações de tratamento de dados, pistas de auditoria do sistema integradas, utilização de palavras-chave seguras, tecnologia de deteção de intrusão de rede, tecnologia de encriptação e autenticação, procedimentos de início de sessão seguros e proteção contra vírus, monitorizar continuamente a conformidade com as políticas e normas da Snap relacionadas com a proteção de dados. Em especial, a Snap implementou e respeita, conforme adequado e sem limitação:

• Medidas de controlo de acesso físico para impedir o acesso não autorizado a sistemas de tratamento de dados (por exemplo, cartões de identificação de acesso, leitores de cartões, funcionários de escritório, sistemas de alarme, detetores de movimento, alarmes de roubo, vigilância por vídeo e segurança exterior);

• Medidas de controlo de negação de utilização para impedir a utilização não autorizada de sistemas de proteção de dados (por exemplo, complexidade de palavra-passe automaticamente aplicada e requisitos de alteração e firewalls). ;

• Esquema de autorização e direitos de acesso orientados por requisitos e monitorização e registo do acesso ao sistema para garantir que as pessoas encarregadas de usar um sistema de tratamento de dados têm acesso apenas aos dados aos quais têm direito de acesso e que os Dados Pessoais do Cliente não podem ser lidos, copiados, modificados ou removidos sem autorização;

• Medidas de controlo da transmissão de dados para garantir que os Dados Pessoais do Cliente não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão, transporte ou armazenamento eletrónico em suporte de dados e transferência e receção de registos. Em especial, o programa de segurança da informação da Snap será concebido:

  • Para encriptar no armazenamento quaisquer conjuntos de dados na posse da Snap, incluindo dados pessoais confidenciais, usando níveis de encriptação adequados com base em normas de encriptação líderes do setor, incluindo a AES -256, e armazenar identificações do utilizador no sistema usando pares de valores chave como ghost_id para impedir o armazenamento de ID de utilizador real; e

  • Para garantir que quaisquer dados pessoais confidenciais transmitidos eletronicamente (exceto por fax) para uma pessoa fora do sistema de TI da Snap ou transmitidos por uma rede pública sejam criptografados usando as versões mais recentes suportadas do protocolo TLS 1.2 para proteger a segurança da transmissão;

• Medidas de controlo da introdução de dados para garantir que a Snap pode verificar e determinar se e por quem os Dados Pessoais do Cliente foram introduzidos em sistemas de tratamento de dados, modificados ou removidos;

• Medidas de testes de segurança contínuos para garantir que as práticas de segurança da informação continuam a ser relevantes, eficazes e atualizadas, incluindo testes anuais de penetração, programa de recompensas de erros, utilização de ferramentas de digitalização do sistema, exercícios de mesa, testes de restauração de cópias de segurança, falhas de pré-produção e realização de postmortems de quaisquer incidentes reais para atualizar os planos de reparação de catástrofes relevantes;

• Medidas de supervisão do subprocessador para garantir que, se a Snap tiver permissão para usar subprocessadores, os Dados Pessoais do Cliente sejam processados estritamente de acordo com as instruções do Controlador de Dados, incluindo, conforme adequado:

  • Medidas para garantir que os Dados Pessoais do Cliente estão protegidos contra destruição ou perda acidental, incluindo, conforme adequado e sem limitação, políticas de cópia de segurança, retenção e destruição segura de dados; armazenamento externo seguro de dados suficiente para a reparação de catástrofes; fornecimento de energia ininterrupta e programas de reparação de catástrofes; e

  • Medidas para garantir que os dados recolhidos para diferentes fins podem ser tratados separadamente, incluindo, conforme adequado, separação física ou lógica adequada de Dados Pessoais do Cliente. 

9. Tomar tais outras medidas que possam ser adequadas ao abrigo das circunstâncias.