Mi smo podjetje Snap Inc.

Pogodba o izmenjavi podatkov

Učinkovito: 27. september 2021

UPOŠTEVAJTE: SPODNJE POGOJE SMO POSODOBILI V POVEZAVI Z NOVIMI STANDARDNIMI POGODBENIMI KLAVZULAMI, KI JIH JE POTRDILA EVROPSKA KOMISIJA IN VELJAJO OD 27. SEPTEMBRA 2021

OBVESTILO O ARBITRAŽI: ZAVEZUJE VAS DOLOČBA O ARBITRAŽI, NAVEDENA V POGOJIH POSLOVNIH STORITEV. ČE SKLEPATE POGODBO Z DRUŽBO SNAP INC., POTEM SE VI IN DRUŽBA SNAP INC. ODPOVEDUJETA KAKRŠNIKOLI PRAVICI DO SODELOVANJA V SKUPINSKI TOŽBI ALI SKUPINSKI ARBITRAŽI.

Uvod

Ta pogodba o izmenjavi podatkov (»pogodba«) predstavlja pravno zavezujočo pogodbo med vami in družbo Snap, velja, če si vi in družba Snap izmenjujete osebne podatke strank, kot je opisano spodaj, in je vključena v Pogoje poslovnih storitev. Nekateri izrazi, uporabljeni v tej pogodbi, so opredeljeni v Pogojih poslovnih storitev.

1. Opredelitve pojmov

»Osebni podatki strank« pomeni osebne podatke posameznikov, na katere se nanašajo osebni podatki v EGP, Švici, Združenem kraljestvu in Braziliji, ki se vam ali družbi Snap (»pogodbena stranka prejemnica«) posredujejo ali se posredujejo v imenu druge pogodbene stranke (»pogodbena stranka, ki podatke razkriva«), če sta tako pogodbena stranka prejemnica kot tudi pogodbena stranka, ki podatke razkriva, upravljavca.

»Zakonodaja o varstvu podatkov« pomeni zakone o varstvu podatkov v EGP, Švici, Združenem kraljestvu in Braziliji, ki veljajo za obdelavo osebnih podatkov strank na podlagi te pogodbe, vključno z GDPR, zakoni o varstvu podatkov v Združenem kraljestvu in LGPD.

»EGP« pomeni Evropski gospodarski prostor.

»GDPR« pomeni Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu fizičnih oseb pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES.

»LGPD« pomeni brazilski splošni zakon o varstvu podatkov (Lei Geral de Proteção de Dados Pessoais).

»Kršitev varstva osebnih podatkov« pomeni nenamerno ali nezakonito uničenje, izgubo, spreminjanje ali razkritje osebnih podatkov strank oziroma dostop do njih v sistemih, ki jih upravlja ali nadzira pogodbena stranka.

»ZK« pomeni Združeno kraljestvo.

»Zakoni o varstvu podatkov v Združenem kraljestvu« pomeni GDPR, ki je del zakonodaje Anglije in Walesa, Škotske in Severne Irske na podlagi 3. člena zakona o izstopu iz Evropske unije iz leta 2018 v Združenem kraljestvu (»GDPR V Združenem kraljestvu«), ter zakon Združenega kraljestva o varstvu podatkov iz leta 2018.

Izrazi »osebni podatki«, »posameznik, na katerega se nanašajo osebni podatki«, »obdelava«, »upravljavec«, »obdelovalec«, »zastopnik« in »nadzorni organ«, kot so uporabljeni v tej pogodbi, imajo pomene, ki so jim določeni v GDPR, zakonih o varstvu podatkov v Združenem kraljestvu ali LGPD, kot je v vsakem primeru ustrezno, ne glede na to, ali velja zakonodaja o varstvu podatkov.

2. Vloge in omejitve

a. Vloge pogodbenih strank. Vi in družba Snap ste neodvisni upravljavci podatkov za osebne podatke strank, ki bodo ob upoštevanju morebitnih omejitev, določenih v tej pogodbi in v Pogojih poslovnih storitev, vključno z morebitnimi dodatnimi pogoji in pravilniki, neodvisno določali namene in načine obdelave osebnih podatkov strank na podlagi zakonodaje o varstvu podatkov.

b. Pravice do preglednosti in varstva podatkov. Vi in družba Snap boste vsak posebej obveščali posameznike, na katere se nanašajo osebni podatki, in jim omogočili, da uveljavljajo svoje pravice na podlagi zakonodaje o varstvu podatkov.

c. Podrobnosti o obdelavi podatkov. Predmet in podrobnosti obdelave so opisani v popisu 1 te pogodbe.

d. Skladnost z zakonodajo. Vsaka pogodbena stranka se strinja, da bo izpolnila svoje obveznosti v skladu z zakonodajo o varstvu podatkov, ki se nanaša na morebitne osebne podatke strank, ki jih obdeluje v skladu s to pogodbo ali v povezavi z njo.

e. Varnost podatkov. V skladu z zakonodajo o varstvu podatkov bo vsaka pogodbena stranka uvedla in imela vse ustrezne tehnične, administrativne in organizacijske ukrepe, potrebne za: (i) zagotavljanje ravni zaupnosti in varnosti, primerne za tveganja, ki jih predstavljata obdelava in narava osebnih podatkov strank; in (ii) preprečevanje nepooblaščene ali nezakonite obdelave osebnih podatkov strank, nenamerne izgube, razkritja, uničenja ali poškodovanja osebnih podatkov strank.

f. Zaupnost. Vsaka pogodbena stranka bo zagotovila, da bodo dostop do osebnih podatkov strank imeli samo zaposleni, od katerih bo morda zahtevano, da pomagajo pri njenem izpolnjevanju obveznosti iz Pogojev za poslovne storitve ali te pogodbe, da bodo te zaposlene zavezovale ustrezne obveznosti glede zaupnosti ter, da bo izvedla vse razumne ukrepe v skladu z najboljšimi praksami v panogi, da zagotovi zaupnost osebnih podatkov strank.

3. Kršitev varstva osebnih podatkov

a. Obvestilo Družbo Snap boste brez nepotrebnega odlašanja in, kjer je izvedljivo, najpozneje po 72 urah obvestili o kršitvi varstva osebnih podatkov. Družbi Snap boste zagotovili tudi opis kršitve varstva osebnih podatkov, vrste podatkov, pri katerih je prišlo do kršitve varstva osebnih podatkov (če je znana), kategorije prizadetih posameznikov, na katere se nanašajo osebni podatki, in druge informacije, ki jih zahteva veljavna zakonodaja o varstvu podatkov, in sicer takoj, ko bo te informacije mogoče zbrati ali bodo drugače na voljo, in sodelovali boste pri vseh razumnih zahtevah družbe Snap v zvezi s kršitvijo varstva osebnih podatkov.

b. Preiskava. Strinjate se, da boste takoj ukrepali, da preiščete kršitev varstva osebnih podatkov, da se ugotovi, prepreči in odpravi učinke morebitne kršitve varstva osebnih podatkov, ter s prejšnjim soglasjem družbe Snap izvedli vse obnovitvene ali druge ukrepe, potrebne za odpravo kršitve varstva osebnih podatkov.

4. Prenosi podatkov

a. V primeru morebitnih prenosov osebnih podatkov strank od ene pogodbene stranke k drugi zunaj EGP ali Združenega kraljestva, potem za Pogodbo o prenosu podatkov velja naslednje:

(i) velja za take prenose;

(ii) ima glede takih prenosov prednost pred vsemi drugimi pogoji, vključno s pogoji te pogodbe;

(iii) predstavlja pravno zavezujočo pogodbo med vami kot izvoznikom podatkov in družbo Snap kot uvoznik podatkov ali v njegovem imenu; in

(iv) se s tem vključuje v Pogoje poslovnih storitev.

b. Vi in družba Snap se glede osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, v EGP, Švici in Združenem kraljestvu strinjate, da lahko vsaka pogodbena stranka obdeluje osebne podatke strank zunaj EGP, Švice in Združenega kraljestva, kjer so zahteve zakonodaje o varstvu podatkov (vključno s členi 44–47 GDPR, kjer je primerno) izpolnjene ali obstaja izjema (vključno s tistimi, ki so navedene v členu 49 GDPR, kjer je primerno).

c. V zvezi z osebnimi podatki brazilskih posameznikov, na katere se nanašajo osebni podatki, se vi in družba Snap strinjate, da lahko vsaka pogodbena stranka obdeluje osebne podatke strank zunaj Brazilije, ter zagotavljate in jamčite, da je tak prenos osebnih podatkov strank v skladu z LGPD.

5. Preklic

Ta pogodba samodejno preneha veljati po prekinitvi Pogojev poslovnih storitev.

6. Nasprotja

Če je ta pogodba ali Pogodba o prenosu podatkov v navzkrižju s Pogoji poslovnih storitev, morebitnimi dodatnimi pogoji in pravilniki ali pogoji storitve družbe Snap, potem se v kontekstu navzkrižja v padajočem zaporedju uporabljajo naslednji dokumenti: pogodba o prenosu podatkov (vendar le, če velja na podlagi zgornjega razdelka 4.a), ta pogodba, dopolnilni pogoji in pravilniki, Pogoji poslovnih storitev ter pogoji storitve družbe Snap.

Popis 1: Podrobnosti o izmenjavi podatkov

A. Seznam strank

Izvozniki podatkov

Vi ste izvoznik podatkov z imenom, naslovom in kontaktnimi podatki, ki so družbi Snap posredovani prek poslovnih storitev. Dejavnosti, relevantne za podatke, prenesene na podlagi teh klavzul, vključujejo uporabo ustreznih poslovnih storitev v skladu s pogoji poslovnih storitev in veljavnimi dodatnimi pogoji in pravilniki. Izvoznik podatkov je v vlogi upravljavca.

Uvozniki podatkov

Uvoznik podatkov je Snap Inc. z naslovom na 3000 31st Street, Santa Monica, California 90405 v ZDA, če izvoznik podatkov na podlagi te pogodbe prenaša osebne podatke družbi Snap Inc. Dejavnosti, relevantne za podatke, prenesene na podlagi teh klavzul, vključujejo zagotavljanje ustreznih poslovnih storitev s strani družbe Snap v skladu s Pogoji poslovnih storitev in veljavnimi dodatnimi pogoji in pravilniki. Uvoznik podatkov je v vlogi upravljavca podatkov.

B. Opis prenosa

Dejavnosti izmenjave podatkov, ki jih družba Snap izvaja na podlagi te pogodbe, so naslednje:

Predmet obdelave

Zagotavljanje poslovnih storitev s strani družbe Snap za vas.

Narava in namen

Izmenjava podatkov je za namene zagotavljanja poslovnih storitev za vas s strani družbe Snap v skladu s pogoji poslovnih storitev in te pogodbe ter kot je opisano v njih.

Kategorije podatkov

Osebni podatki strank, ki se nanašajo na posameznike, ki jih pogodbena stranka, ki podatke razkriva, zagotavlja pogodbeni stranki prejemnici prek poslovnih storitev in lahko vključujejo:

e-poštni naslov
telefonsko številko
ID mobilnega oglasa (IDFA/AAID)
naslov IP
ID piškotke
brskalnikov uporabniški posrednik
demografske podatke
povezave med uporabniki
ID-je sej, transakcij in uporabnikov
spol, višina, teža, starost in druge osebne značilnosti
podatke o izdelkih, kot so ID izdelka, pot do kategorije izdelkov, opis izdelkov, podatki o velikosti, EAN, barva izdelka in podatki o primernosti velikosti izdelka
podatki o transakcijah, kot so nakupi, in podatki o vračilih
dejanja in dogodke na spletnih mestih in v aplikacijah, vključno z obiskanimi stranmi, nakupi, iskanji, dogodki na blagajni, seznami želja, namestitvami in načini registracije uporabnikov
fotografije

Preneseni občutljivi podatki

Brez

Pogostost prenosa

Stalno

Posamezniki, na katere se nanašajo osebni podatki

Posamezniki, na katere se nanašajo osebni podatki, vključujejo fizične osebe v EGP, Švici, Združenem kraljestvu in Braziliji, o katerih pogodbena stranka, ki razkriva osebne podatke, posreduje osebne podatke pogodbeni stranki prejemnici prek poslovnih storitev.

C. Pristojni nadzorni organ

Pristojni nadzorni organ bo nizozemski organ za varstvo podatkov (Autoriteit Persoonsgegevens, AP).

Popis 2: Varnostni ukrepi družbe Snap

1. Izvajanje in upoštevanje pisnega programa za informacijsko varnosti v skladu z uveljavljenimi standardi v panogi ter vključitev administrativnih, tehničnih in fizičnih zaščitnih ukrepov, primernih naravi osebnih podatkov strank in namenjenih zaščiti teh podatkov pred: nepooblaščenim dostopom, uničenjem, uporabo, spreminjanjem ali razkritjem; nepooblaščeno dostopom ali uporabo, ki bi lahko povzročila znatno škodo ali neprijetnosti upravljavcu podatkov, njegovim strankam ali zaposlenim, ter vsakršnimi pričakovanimi grožnjami ali nevarnostmi za varnost ali celovitost teh podatkov.

2. Uvajanje in izvedba razumnih pravilnikov in standardov, povezanih z varnostjo.

3. Dodeljevanje odgovornosti za upravljanje informacijske varnosti.

4. Namenjanje zadostnih človeških virov informacijski varnosti.

5. Izvajanje preverjanj redno zaposlenega osebja, ki bo imelo dostop do osebnih podatkov strank.

6. Izvajanje ustreznih preverjanj preteklosti in zahtevanje, da zaposleni, dobavitelji in drugi z dostopom do osebnih podatkov strank sklenejo pisne pogodbe o zaupnosti.

7. Izvajanje usposabljanja za ozaveščanje zaposlenih in drugih z dostopom do osebnih podatkov strank o tveganjih za informacijsko varnost in za izboljšanje skladnosti s pravilniki in standardi družbe Snap, povezanimi z varstvom podatkov.

8. Preprečevanje nepooblaščenega dostopa do osebnih podatkov strank s stalno uporabo, kjer je primerno, fizičnih in logičnih (gesel) ukrepov za nadzor dostopa, varnih območij za obdelavo podatkov, postopkov za spremljanje uporabe objektov za obdelavo podatkov, vgrajenih sistemskih revizijskih sledi, uporabo varnih gesel, tehnologijo za šifriranje in preverjanje pristnosti, varnih postopkov za prijavo in zaščite pred virusi, spremljanja skladnosti s pravilniki in standardi družbe Snap, ki so povezani z varstvom podatkov. Družba Snap je uvedla zlasti ukrepe, v skladu s katerimi ravna in med drugim vključujejo:

ukrepe za nadzor fizičnega dostopa za preprečevanje nepooblaščenega dostopa do sistemov za obdelavo podatkov (npr. z ID-karticami za dostop, bralniki kartic, vratarji, alarmnimi sistemi, detektorji gibanja, alarmi za vdor, video nadzorom in zunanjo varnostjo);
ukrepe za upravljanje zavrnitve uporabe za preprečevanje nepooblaščene uporabe sistemov za varstvo podatkov (npr. samodejno uveljavljanje zapletenosti gesel, zahteve glede spreminjanja gesel in požarni zidovi) ;
avtorizacijski pristop, ki temelji na zahtevah, in pravice do dostopa ter spremljanje in beleženje dostopa do sistema, da se zagotovi, da imajo osebe, ki imajo pravico do uporabe sistema za obdelavo podatkov, dostop samo do podatkov, za katere imajo pravico do dostopa, in da osebnih podatkov strank ni mogoče brati, kopirati, spreminjati ali odstraniti brez dovoljenja;
ukrepe za nadzor prenosa podatkov za zagotavljanje, da osebnih podatkov strank ni mogoče brez dovoljenja brati, kopirati, spreminjati ali odstraniti med elektronskim prenosom, prevozom ali shranjevanjem na podatkovnih nosilcih ter prenosom in prejemom zapisov. Program za informacijsko varnost družbe Snap bo zasnovan zlasti:
- za šifriranje vseh naborov podatkov v posesti družbe Snap, vključno z občutljivimi osebnimi podatki, z uporabo ustreznih ravni šifriranja, ki temeljijo na vodilnih panožnih standardih za šifriranje, vključno z AES 256, in shranjevanje uporabniških identitet v sistemu, z uporabo parov ključnih vrednosti, kot je ghost_id, za preprečevanje shranjevanja dejanskega ID-ja uporabnika; in
- za zagotavljanje, da so vsi občutljivi osebni podatki, ki se elektronsko prenašajo (razen po faksu) osebi zunaj IT-sistema družbe Snap ali prek javnega omrežja, šifrirani z uporabo najnovejših podprtih različic protokola TLS 1.2 za zaščito varnosti prenosa;
ukrepe za nadzor vnosa podatkov za zagotavljanje, da lahko družba Snap preveri in ugotovi, ali so bili osebni podatki strank vneseni v sisteme za obdelavo podatkov, spremenjeni ali odstranjeni ter, kdo je to storil;
ukrepe za stalno varnostno testiranje za zagotavljanje, da so postopki za informacijsko varnost še vedno ustrezni, učinkoviti in posodobljeni, vključno z letnim penetracijskim testiranjem, programi nagrad za odkrivanje napak, uporabo orodij za pregledovanje sistemov, namiznih vaj, preskusov obnovitve varnostnih kopij, preklopov na rezervne različice pred uvedbo v redno uporabo in izvajanjem post-mortemov v dejanskih primerih, da se posodobijo ustrezni načrti za obnovo po katastrofi;
ukrepe za nadzor podobdelovalcev za zagotavljanje, da se v primeru, da je družbi Snap dovoljena uporaba podobdelovalec, osebni podatki strank obdelujejo strogo v skladu z navodili upravljavca podatkov, vključno z naslednjimi, kot je primerno:
- ukrepi za zagotavljanje, da so osebni podatki strank zaščiteni pred naključnim uničenjem ali izgubo, med drugim tudi vključno z varnostnim kopiranjem, pravilniki o shrambi in varnem uničenju, varnim shranjevanjem podatkov na drugi lokaciji, kot je ustrezno za obnovo po katastrofi; neprekinjeno napajanje in programi za obnovo po katastrofi; in
- ukrepi za zagotavljanje, da se podatki, zbrani za različne namene, mogoče obdelovati ločeno, med drugim tudi, kot je primerno, s fizičnim ali ustreznim logičnim ločevanjem osebnih podatkov strank.

9. Izvajanje drugih korakov, kot je v danih okoliščinah primerno.