Sme spoločnosť Snap Inc.

Dohoda o zdieľaní údajov

Efektívna: 27. septembra 2021

UPOZORNENIE: NIŽŠIE UVEDENÉ PODMIENKY SME AKTUALIZOVALI V SÚVISLOSTI S NOVÝMI ŠTANDARDNÝMI ZMLUVNÝMI DOLOŽKAMI SCHVÁLENÝMI EURÓPSKOU KOMISIOU S ÚČINNOSŤOU OD 27. SEPTEMBRA 2021

OZNÁMENIE O ARBITRÁŽI: STE VIAZANÝ ARBITRÁŽNYM USTANOVENÍM UVEDENÝM V PODMIENKACH OBCHODNÝCH SLUŽIEB. AK UZATVÁRATE ZMLUVU SO SPOLOČNOSŤOU SNAP INC., POTOM SA VY A SPOLOČNOSŤ SNAP INC. ZRIEKATE AKÉHOKOĽVEK PRÁVA ZÚČASTNIŤ SA HROMADNEJ ŽALOBY ALEBO CELOTRIEDNEHO ARBITRÁŽNEHO KONANIA.

Úvod

Táto Dohoda o zdieľaní údajov („Dohoda“) tvorí právne záväznú zmluvu medzi vami a spoločnosťou Snap, a uplatňuje sa ak budú medzi vami a spoločnosťou Snap zdieľané osobné údaje zákazníka tak, ako je opísané nižšie, a je súčasťou Podmienok obchodných služieb. Niektoré pojmy použité v tejto dohode sú definované v Podmienkach obchodných služieb.

1. Definície

„Osobné údaje zákazníka“ znamenajú osobné údaje dotknutých osôb z EHP, Švajčiarska, Spojeného kráľovstva a Brazílie, ktoré vám alebo spoločnosti Snap („príjemca“) poskytuje druhá strana alebo sú poskytované v jej mene („poskytovateľ“) za predpokladu, že príjemca aj poskytovateľ sú prevádzkovateľom údajov.

„Zákon o ochrane údajov“ znamená právne predpisy o ochrane osobných údajov EHP, Švajčiarska, Spojeného kráľovstva a Brazílie, ktoré sa vzťahujú na spracúvanie osobných údajov zákazníka podľa tejto dohody, vrátane GDPR, právnych predpisov Spojeného kráľovstva o ochrane osobných údajov, a všeobecných právnych predpisov Brazílie o ochrane osobných údajov – LGPD.

„EHP“ znamená Európsky hospodársky priestor.

„GDPR“ znamená Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES.

„LGPD“ znamená brazílsky Všeobecný zákon o ochrane údajov (Lei Geral de Proteção de Dados Pessoais).

„Porušenie ochrany osobných údajov“ znamená náhodné alebo nezákonné zničenie, stratu, zmenu, neoprávnené prezradenie alebo prístup k osobným údajom zákazníka v systémoch spravovaných alebo prevádzkovaných zmluvnou stranou.

„UK“ znamená Spojené kráľovstvo.

„Zákony o ochrane údajov Spojeného kráľovstva“ znamená GDPR ako súčasť zákona Anglicka a Walesu, Škótska a Severného Írska podľa § 3 Zákona o Európskej únii (o odstúpení) z roku 2018 v Spojenom kráľovstve („UK GDPR“) a Zákona o ochrane údajov z roku 2018.

Pojmy „osobné údaje“, „dotknutá osoba“, „spracovanie“, „prevádzkovateľ“, „sprostredkovateľ“, „zástupca“ a „dozorný orgán“, každý z nich tak, ako sú použité v tejto dohode, majú význam uvedený v GDPR, právnych predpisoch Spojeného kráľovstva o ochrane údajov, alebo v LGPD, v každom prípade bez ohľadu na to, či sa uplatňuje Zákon o ochrane údajov.

2. Úlohy a obmedzenia

a. Úlohy zmluvných strán. Vy a spoločnosť Snap ste každý nezávislým prevádzkovateľom osobných údajov zákazníka, ktorý, v zmysle akýchkoľvek obmedzení uvedených v tejto dohode a v Podmienkach obchodných služieb vrátane akýchkoľvek doplňujúcich podmienok a politík, nezávisle určuje účely a prostriedky spracúvania osobných údajov zákazníka podľa Zákona o ochrane údajov.

b. Právo na transparentnosť a na ochranu údajov. Vy a spoločnosť Snap budete samostatne informovať dotknuté osoby o ich právach na ochranu údajov a umožníte im ich uplatniť podľa Zákona o ochrane údajov.

c. Podrobnosti o spracúvaní údajov. Predmet a podrobnosti spracovania sú opísané v prílohe 1 tejto dohody.

e. Dodržiavanie právnych predpisov. Každá zmluvná strana súhlasí, že bude dodržiavať svoje povinnosti podľa Zákona o ochrane údajov týkajúce sa akýchkoľvek osobných údajov zákazníka, ktoré spracúva podľa tejto dohody alebo v súvislosti s ňou.

e. Bezpečnosť údajov. V súlade so Zákonom o ochrane údajov každá zmluvná strana zavedie a bude udržiavať všetky vhodné technické, administratívne a organizačné opatrenia potrebné na: (i) zabezpečenie úrovne dôvernosti a bezpečnosti primeranej rizikám, ktoré predstavuje spracúvanie a povaha osobných údajov zákazníka; a (ii) zabránenie neoprávnenému alebo nezákonnému spracúvaniu osobných údajov zákazníka, náhodnej strate, prezradeniu, zničeniu alebo poškodeniu osobných údajov zákazníka.

f. Dôvernosť. Každá zmluvná strana zabezpečí, aby k osobným údajom zákazníka mali prístup len pracovníci, ktorí môžu byť požiadaní o pomoc pri plnení jej povinností podľa Podmienok obchodných služieb alebo tejto dohody, a aby boli títo pracovníci viazaní príslušnými záväzkami mlčanlivosti a aby prijali všetky primerané opatrenia v súlade s osvedčenými postupmi v odvetví na zabezpečenie dôvernosti osobných údajov zákazníka.

3. Porušenie ochrany osobných údajov

a. Upozornenie. Porušenie ochrany osobných údajov oznámite Snap bez zbytočného odkladu, a ak je to možné, najneskôr do 72 hodín od zistenia porušenia. Spoločnosti Snap tiež poskytnete opis prípadu Porušenia ochrany osobných údajov, typ údajov, ktoré boli predmetom Porušenia ochrany osobných údajov, (a ak sú známe) kategórie dotknutých osôb, ktorých sa porušenie ochrany osobných údajov týka, a ďalšie informácie požadované platným Zákonom o ochrane údajov, a to hneď, ako bude možné takéto informácie získať alebo hneď, ako budú inak dostupné, a poskytnete súčinnosť na základe akejkoľvek primeranej žiadosti spoločnosti Snap týkajúcej sa Porušenia ochrany osobných údajov.

b. Vyšetrovanie. Súhlasíte s tým, že okamžite podniknete kroky na vyšetrenie Porušenia ochrany osobných údajov, identifikáciu, prevenciu a zmiernenie následkov Porušenia ochrany osobných údajov a na základe predchádzajúceho súhlasu spoločnosti Snap vykonáte akékoľvek kroky na obnovu predchádzajúceho stavu alebo iné kroky potrebné na nápravu stavu Porušenia ochrany osobných údajov.

4. Prenosy údajov

a. Ak dôjde k prenosu Osobných údajov zákazníka z jednej strany na druhú mimo EHP alebo Spojeného kráľovstva, potom sa Zmluva o prenose údajov:

(i) sa vzťahuje na tieto prenosy;

(ii) má prednosť pred všetkými inými podmienkami vrátane podmienok tejto Zmluvy v súvislosti s týmito prenosmi;

(iii) tvorí právne záväznú zmluvu medzi vami ako exportérom údajov a spoločnosťou Snap ako importérom údajov alebo v jeho mene; a

(iv) sa týmto začleňuje do Podmienok poskytovania obchodných služieb.

b. Pokiaľ ide o osobné údaje dotknutých osôb z EHP, Švajčiarska a Spojeného kráľovstva, vy a spoločnosť Snap súhlasíte s tým, že každá strana môže spracúvať Osobné údaje zákazníka mimo EHP, Švajčiarska a Spojeného kráľovstva, ak sú splnené požiadavky Zákona o ochrane údajov (vrátane prípadných článkov 44 až 47 GDPR) alebo sa uplatňuje výnimka (vrátane, podľa potreby, prípadov uvedených v článku 49 GDPR).

c. Pokiaľ ide o Osobné údaje týkajúce sa dotknutých osôb z Brazílie, vy a spoločnosť Snap súhlasíte s tým, že každá zmluvná strana môže spracúvať Osobné údaje zákazníka mimo Brazílie, a vyhlasujete a zaručujete, že takýto prenos osobných údajov zákazníka je v súlade s LGPD.

5. Ukončenie

Platnosť tejto Zmluvy končí automaticky skončením platnosti Podmienok poskytovania obchodných služieb.

6. Konflikty a nezrovnalosti

Ak je táto dohoda alebo Dohoda o prenose údajov v rozpore s Podmienkami obchodných služieb, akýmikoľvek doplňujúcimi podmienkami a politikami, alebo Podmienkami používania spoločnosti Snap, potom budú, v rozsahu rozporu, rozhodujúcimi nasledujúce dokumenty, uvedené v zostupnom poradí: Dohoda o prenose údajov (ale len v rozsahu, v akom sa uplatňuje podľa oddielu 4.a vyššie), táto dohoda, doplňujúce podmienky a politiky, Podmienky obchodných služieb a Podmienky používania spoločnosti Snap.

Príloha 1: Podrobnosti o zdieľaní údajov

A. Zoznam strán

Exportér(i) údajov

Vývozcom údajov ste vy, s menom, adresou a kontaktnými údajmi, ako ste ich poskytli spoločnosti Snap v súvislosti s poskytovaním obchodných služieb. Činnosti týkajúce sa údajov prenášaných podľa týchto ustanovení zahŕňajú používanie príslušných obchodných služieb v súlade s Podmienkami obchodných služieb a príslušnými doplňujúcimi podmienkami a politikami. Vývozca údajov je v úlohe prevádzkovateľa údajov.

Importér(i) údajov

Dovozcom údajov je spoločnosť Snap Inc., so sídlom 300031st Street, Santa Monica, California 90405, ak vývozca údajov prenáša osobné údaje spoločnosti Snap Inc. podľa tejto dohody. Činnosti relevantné pre údaje prenášané podľa týchto ustanovení zahŕňajú poskytovanie príslušných obchodných služieb spoločnosťou Snap v súlade s Podmienkami obchodných služieb a príslušnými doplňujúcimi podmienkami a politikami. Dovozca údajov je v úlohe sprostredkovateľa údajov.

B. Popis prenosu

Činnosti zdieľania údajov, ktoré Snap vykonáva na základe tejto dohody, sú tieto:

Predmet zmluvy

Poskytovanie obchodných služieb spoločnosťou Snap pre vás.

Povaha a účel

K zdieľaniu údajov dochádza preto, aby vám spoločnosť Snap mohla poskytovať obchodné služby v súlade s Podmienkami obchodných služieb a touto dohodou.

Kategórie údajov

Osobné údaje zákazníka týkajúce sa fyzických osôb, ktoré poskytuje poskytovateľ prijímateľovi prostredníctvom obchodných služieb a ktoré môžu zahŕňať údaje ako napr.:

emailová adresa
telefónne číslo
ID mobilnej reklamy (IDFA/AAID)
IP adresa
ID súboru cookie
používateľský agent internetového prehliadača
demografické údaje
prepojenia medzi používateľmi
ID relácie, transakcie a používateľa
pohlavie, výška, hmotnosť, vek a iné osobné charakteristiky
údaje o produkte, ako sú identifikátor (ID) produktu, cesta ku kategórií produktu, opis produktu, informácie a údaje o veľkosti, EAN, farba produktu, a informácie o uložení produktu
údaje o transakciách, ako sú informácie o nákupoch a vráteniach
aktivity a udalosti na webových stránkach a aplikáciách vrátane zobrazených stránok, nákupov, vyhľadávaní, nákupných udalostí (check-out events), zoznamov želaní, inštalácií a metód registrácie
fotografie

Prenesené citlivé údaje

Neaplikovateľné

Frekvencia prenosu

Nepretržitá

Subjekty údajov

Medzi dotknuté osoby patria fyzické osoby z EHP, Švajčiarska, Spojeného kráľovstva a Brazílie, ktorých osobné údaje poskytuje Poskytovateľ Prijímateľovi v súvislosti s poskytovaním Obchodných služieb.

C. Kompetentný dozorný orgán

Kompetentným dozorným orgánom bude Holandský úrad na ochranu údajov (Autoriteit Persoonsgegevens, AP).

Plán 2: Bezpečnostné opatrenia Snap

1. Realizácia a dodržiavanie bezpečnostného programu písomných informácií v súlade s platnými normami tohto odvetvia vrátane administratívnej, technickej a fyzickej ochrany zodpovedajúcej povahe osobných údajov zákazníka za účelom ochrany takýchto informácií pred: neoprávneným prístupom, zničením, použitím, zmenou alebo prezradením; neoprávneným prístupom alebo použitím, ktoré by mohli mať za následok značné škody alebo problémy pre prevádzkovateľa údajov, zákazníkov prevádzkovateľa údajov alebo zamestnancov prevádzkovateľa údajov; a pred všetkými očakávanými hrozbami alebo nebezpečenstvami pre bezpečnosť a integritu týchto informácií.

2. Prijatie a realizácia primeraných politík a noriem týkajúcich sa bezpečnosti.

3. Pridelenie zodpovednosti za riadenie informačnej bezpečnosti.

4. Priradenie primeraných zamestnaneckých zdrojov informačnej bezpečnosti.

5. Vykonávanie overovacích kontrol stálych zamestnancov, ktorí budú mať prístup k osobným údajom zákazníka.

6. Vykonávanie primeraných previerok a požadovanie uzavretia písomných zmlúv o mlčanlivosti od zamestnancov, dodávateľov a iných osôb s prístupom k osobným údajom zákazníka.

7. Vedenie školení s cieľom informovať zamestnancov a ďalšie osoby s prístupom k osobným údajom zákazníka o rizikách informačnej bezpečnosti a zlepšiť dodržiavanie zásad a noriem spoločnosti Snap týkajúcich sa ochrany údajov.

8. Predchádzanie neoprávnenému prístupu k osobným údajom zákazníka primeraným používaním fyzických a logických vstupných kontrol (hesiel), bezpečných oblastí na spracovanie údajov, procedúr monitorovania zariadení na spracovanie údajov, vstavaných systémových auditových záznamov, používania bezpečných hesiel, technológie detekcie narušenia sietí, šifrovacej a autentifikačnej technológie, bezpečných prihlasovacích postupov, ochrany pred vírusmi, priebežného monitorovania dodržiavania zásad a noriem spoločnosti Snap týkajúcich sa ochrany údajov. Konkrétne spoločnosť Snap zaviedla a dodržiava, podľa potreby a bez obmedzenia:

Opatrenia na ovládanie fyzickej dostupnosti s cieľom zabrániť neoprávnenému prístupu k systémom spracovania údajov (napr. prístupové identifikačné karty, čítačky kariet, referenti, poplachové systémy, detektory pohybu, alarmy proti vlámaniu, kamerové bezpečnostné systémy a vonkajšia ochranka);
Ovládacie opatrenia na odmietnutie prístupu s cieľom zabrániť neoprávnenému použitiu systémov na ochranu údajov (napr. automaticky vyžadovaná komplexnosť a potreba zmien hesiel a brány firewall.) ;
Systém autorizácie a prístupových práv založený na požiadavkách a monitorovanie a zaznamenávanie prístupov do systémov s cieľom zabezpečiť, aby osoby oprávnené používať systémy na spracovanie údajov mali prístup len k údajom, ku ktorým majú prístupové práva, a aby sa osobné údaje zákazníka nedali čítať, upravovať alebo odstraňovať bez oprávnenia;
Ovládacie opatrenia na prenos údajov s cieľom zabezpečiť, aby sa osobné údaje zákazníka nedali kopírovať, upravovať alebo odstraňovať bez oprávnenia počas elektronického prenosu, prepravy alebo uchovávania na dátových nosičoch a prenosu a príjmu záznamov. Konkrétne bude Program informačnej bezpečnosti spoločnosti Snap:
- Šifrovať na úložisku všetky súbory údajov, ktorými spoločnosť Snap disponuje, vrátane citlivých osobných údajov použitím vhodných úrovní šifrovania na základe špičkových šifrovacích noriem vrátane AES -256 a ukladaním identít používateľov v systéme použitím párov kľúč-hodnota ako napríklad ghost_id s cieľom zabrániť uloženiu skutočnej identity používateľov; a
- Zabezpečiť, aby všetky citlivé osobné údaje prenášané elektronicky (iné než presné kópie) osobám mimo informačného systému spoločnosti Snap alebo prenášané cez verejnú sieť boli šifrované použitím najnovších podporovaných verzií protokolu TLS 1.2 s cieľom ochrániť bezpečnosť prenosu;
Ovládacie opatrenia na vstupe údajov s cieľom zabezpečiť, aby spoločnosť Snap mohla kontrolovať a zistiť, či osobné údaje zákazníkov boli vložené do systémov na spracovanie údajov, upravené alebo odstránené a kým;
Nepretržité opatrenia na testovanie bezpečnosti s cieľom zabezpečiť, aby postupy informačnej bezpečnosti zostali relevantné a aktualizované, vrátane každoročného penetračného testovania, programu odmien za nájdenie chýb („bug bounty“), používanie efektívnych nástrojov skenovania systému, strategických cvičení, testov obnovy záloh, predprodukčných systémov na spustenie zo záloh („failover“) a vykonávanie post-mortem analýz všetkých skutočných incidentov s cieľom aktualizovať príslušné plány na obnovu po havárii;
Opatrenia na dohľad nad pod-sprostredkovateľmi s cieľom zabezpečiť, aby osobné údaje zákazníka boli spracované výlučne v súlade s pokynmi prevádzkovateľa údajov, ak spoločnosť Snap bude mať povolenie použiť pod-sprostredkovateľa vrátane, podľa potreby:
- Opatrení na zabezpečenie ochrany osobných údajov zákazníka pred náhodným zničením alebo stratou vrátane, podľa potreby a bez obmedzenia, zálohovania údajov, bezpečnostných stratégii uchovávania a ničenia, bezpečeného ukladania údajov dostatočných na obnovu po havárii mimo miesta prevádzky; nepretržitého zdroja elektrickej energie, programov na obnovu po havárii a
- Opatrení na zabezpečenie, že údaje zozbierané za rôznymi účelmi môžu byť spracované oddelenie vrátane, podľa potreby, fyzického alebo primeraného logického rozdelenia osobných údajov zákazníka.

9. Podniknutie ďalších krokov, ktoré môžu byť za daných okolností vhodné.