Vi är Snap Inc.

Datadelningsavtal

Giltigt: 27 september 2021

OBSERVERA: VI HAR UPPDATERAT VILLKOREN NEDAN I SAMBAND MED DE NYA STANDARDAVTALSKLAUSULERNA SOM GODKÄNDES AV EUROPEISKA KOMMISSIONEN, SOM GÄLLER FRÅN DEN 27 SEPTEMBER 2021

MEDDELANDE OM SKILJEDOM: DU ÄR BUNDEN AV SKILJEDOMSFÖRFARANDET SOM ANGES I VILLKOR FÖR FÖRETAGSTJÄNSTER. OM DU SKRIVER AVTAL MED SNAP INC., KOMMER DU OCH SNAP INC. AVSÄGA ER ALLA RÄTTIGHETER ATT DELTA I GRUPPTALAN ELLER GRUPPSKILJEDOM.

Introduktion

Detta avtal om datadelning (”avtalet”) utgör ett juridiskt bindande avtal mellan dig och Snap, gäller i den utsträckning du och Snap delar kundpersonuppgifter enligt beskrivningen nedan och är införlivat i villkoren för företagstjänster. Vissa termer som används i denna överenskommelse definieras i Villkoren för verksamhetstjänster.

1. Definitioner

”Kundpersonuppgifter” betyder personuppgifter för registrerade i EES, Schweiz, Storbritannien och Brasilien som tillhandahålls dig eller Snap (den ”mottagande parten”) av eller på uppdrag av den andra parten (den ”avslöjande parten”) när både den mottagande parten och den avslöjande parten är personuppgiftsansvariga.

"Dataskyddslag" avser EES, Schweiz, Storbritannien och brasilianska dataskyddslagar som är tillämpliga på behandlingen av Kunders personuppgifter enligt detta avtal, inklusive GDPR, Storbritanniens dataskyddslagar och LGPD.

"EES" avser Europeiska Ekonomiska Samarbetsområdet.

"GDPR" avser Europaparlamentets och rådets förordning (EU) 2016/679 för 27 april 2016 om skydd av fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

"LGPD" avser brasiliansk allmän dataskyddslag (Lei Geral de Proteção de Dados Pessoais).

"Personuppgiftsintrång" avser oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till kundpersonuppgifter på system som hanteras eller kontrolleras av en part.

"UK" avser Storbritannien.

"Storbritanniens dataskyddslagar" avser GDPR eftersom den utgör en del av lagen i England och Wales, Skottland och Nordirland i enlighet med avsnitt 3 i Europeiska unionens (Utträde) Act 2018 i Storbritannien ("UK GDPR") och Data Protection Act 2018.

Termerna "personuppgifter", "registrerad", "bearbetning", "ansvarig", "processor", "representant" och "tillsynsmyndighet", var och en som används i detta avtal, har den betydelse som ges i GDPR, Storbritanniens dataskyddslag eller LGPD, beroende på vad som är tillämpligt i varje enskilt fall, oavsett om dataskyddslagstiftningen gäller eller ej.

2. Roller och begränsningar

a. Parternas roller. Du och Snap är var och en oberoende personuppgiftsansvariga för kundpersonuppgifter som kommer, med förbehåll för eventuella begränsningar som anges i detta avtal och företagstjänster, inklusive eventuella kompletterande villkor och policyer, självständigt avgöra ändamålen och medlen för behandlingen av kundpersonuppgifter enligt dataskyddslagen.

b. Transparens och dataskyddsrättigheter. Du och Snap kommer individuellt informera den registrerade och låta den registrerade utöva sina rättigheter enligt dataskyddslagen.

c. Detaljer om databehandling. Ämnet och detaljerna för bearbetning beskrivs i Schema 1 i denna överenskommelse.

d. Efterlevnad av lagen. Varje part samtycker till att den kommer att uppfylla sina skyldigheter enligt dataskyddslagen som avser alla personuppgifter för kund som den bearbetar enligt eller i samband med denna överenskommelse.

e. Datasäkerhet. I enlighet med dataskyddslagen kommer varje part att implementera och upprätthålla alla lämpliga tekniska, administrativa och organisatoriska åtgärder som krävs för att: (i) säkerställa en nivå av sekretess och säkerhet som är lämplig för de risker som representeras av behandlingen och hur kundpersonuppgifter fungerar och (ii) förhindra obehörig eller olaglig behandling av kundpersonuppgifter, oavsiktlig förlust, avslöjande eller förstörelse av eller skada på kundpersonuppgifter.

f. Sekretess. Vardera part kommer att se till att endast personal som kan krävas för att hjälpa till att uppfylla skyldigheter enligt Villkor för verksamhetstjänster eller denna överenskommelse kommer att ha tillgång till personuppgifter för kund och att sådan personal är bunden av lämpliga skyldigheter för sekretess, och vidta alla rimliga åtgärder i enlighet med bästa branchpraxis för att säkerställa sekretessen för personuppgifter för kund.

3. Personuppgiftsintrång

a. Meddelande. Du kommer att meddela Snap utan onödigt dröjsmål och, om möjligt, inte mer än 72 timmar efter att ha blivit medveten om ett personuppgiftsbrott. Du kommer också förse Snap med en beskrivning av personuppgiftsbrottet, vilken typ av data som var föremål för personuppgiftsbrottet, (i den utsträckning det är känt) vilka kategorier av registrerade som påverkats och annan information som krävs enligt tillämplig dataskyddslag, så snart sådan information kan samlas in eller på annat sätt blir tillgänglig, och du kommer att samarbeta med varje rimlig begäran från Snap som rör personuppgiftsbrottet.

b. Utredning. Du samtycker till att omedelbart starta åtgärder för att undersöka personuppgiftsintrång för att identifiera, förebygga och mildra effekterna av sådana intrång, och med Snaps tidigare överenskommelse, att utföra all återhämtning eller annan åtgärd som krävs för att rätta till personuppgiftsintrång.

4. Dataöverföringar

a. Om det finns några överföringar av kundpersonuppgifter från en part till den andra utanför EES eller Storbritannien, ska dataöverföringsavtalet:

(i) gälla för sådana överföringar;

(ii) ha företräde framför alla andra villkor, inklusive villkoren i denna överenskommelse, gällande sådana överföringar;

(iii) bilda ett juridiskt bindande avtal mellan dig som dataexportör och Snap som eller på uppdrag av dataimportören; och

(iv) härmed vara införlivade i Villkoren för verksamhetstjänster.

b. Med avseende på personuppgifter för registrerade i EES, Schweiz och Storbritannien är du och Snap överens om att vardera part kan bearbeta personuppgifter för kund utanför EES, Schweiz och Storbritannien där Dataskyddslagens krav (inklusive, i tillämpliga fall, artiklarna 44 till 47 GDPR) är uppfyllda eller ett undantag (inklusive, i tillämpliga fall, de som anges i artikel 49 GDPR) gäller.

c. Med avseende till personuppgifter för registrerade i Brasilien samtycker du och Snap till att vardera part kan bearbeta personuppgifter för kunder utanför Brasilien och representerar och garanterar att sådan överföring av personuppgifter för kunder är i överensstämmelse med LGPD.

5. Uppsägande

Denna överenskommelse kommer att upphöra automatiskt efter uppsägning av Villkor för verksamhetstjänster.

6. Konflikter

Om detta avtal eller dataöverföringsavtalet strider mot villkoren för företagstjänster, eventuella kompletterande villkor och policyer eller Snap:s tjänstevillkor, kommer de styrande dokumenten i fallande ordning vara: Dataöverföringsavtalet (men endast i den utsträckning det gäller enligt avsnitt 4.a ovan), detta avtal, de kompletterande villkoren och policyerna, villkoren för företagstjänster och Snap:s tjänstevillkor.

Schema 1: Detaljer om datadelning

A. Lista över parter

Dataexportör(er)

Du är dataexportören med det namn, den adress och de kontaktuppgifter som tillhandahålls Snap via företagstjänsterna. De aktiviteter som är relevanta för data som överförs enligt dessa klausuler inkluderar användning av relevanta verksamhetstjänster i enlighet med Villkoren för verksamhetstjänster och tillämpliga kompletterande villkor och principer. Dataexportören ska ha rollen som kontrollör.

Dataimportör(er)

Dataimportören ska vara Snap Inc., med adressen 3000 31st Street, Santa Monica, California 90405, om dataexportören överför personuppgifter till Snap Inc. enligt detta avtal. De aktiviteter som är relevanta för data som överförs enligt dessa klausuler inkluderar tillhandahållande av relevanta verksamhetstjänster i enlighet med Villkoren för verksamhetstjänster och tillämpliga kompletterande villkor och principer. Dataimportören ska ha rollen som kontrollör.

B. Beskrivning av överföring

Datadelningsaktiviteter som utförs av Snap enligt detta avtal är följande:

Ämne

Snap:s tillhandahållande av företagstjänsterna till dig.

Natur och syfte

Datadelningen sker i syfte att Snap ska tillhandahålla företagstjänsterna till dig i enlighet med och som beskrivs i villkoren för företagstjänster och i detta avtal.

Datakategorier

Kundpersonuppgifter som rör individer som tillhandahålls av den avslöjande parten till den mottagande parten via företagstjänsterna, vilket kan omfatta:

e-postadress
telefonnummer
ID för mobilannons (IDFA/AAID)
IP-adress
cookie-ID
användaragent för webbläsare
demografisk data
anslutningar mellan användare
sessions-, transaktions- och användar-ID
kön, längd, vikt, ålder och andra personliga kännetecken
produktdata som productID, sökväg för produktkategori, produktbeskrivning, storleksinformation och data, EAN, produktfärg och produktpassningsinformation
transaktionsdata som köp- och returinformation
åtgärder och händelser som vidtagits på webbplatser och i appar, inklusive visade sidor, köp, sökningar, utcheckningshändelser, önskelistor, installationer och metoder för användarregistrering
foton

Känslig data som överförs

Inte tillämplig

Frekvens för överföringen

Kontinuerlig

Data

Registrerade inkluderar EES-, schweiziska, brittiska och brasilianska individer om vilka personuppgifter tillhandahålls av den avslöjande parten till den mottagande parten via företagstjänsterna.

C. Behörig tillsynsmyndighet

Behörig tillsynsmyndighet kommer att vara den Nederländska dataskyddsmyndigheten (Autoriteit Persoonsgegevens, AP).

Schema 2: Säkerhetsåtgärder från Snap

1. Implementering av och efterlevnad av ett skriftligt informationssäkerhetsprogram som överensstämmer med etablerade branschstandarder och inkluderar administrativa, tekniska och fysiska skyddsåtgärder som är lämpliga för typen av personuppgifter för kund och utformade för att skydda sådan information från: obehörig åtkomst, förstörelse, användning, ändring eller avslöjande; obehörig åtkomst till eller användning som kan resultera i betydande skada eller besvär för personuppgiftsansvarig, personuppgiftsansvarigs kunder eller personuppgiftsansvarigs anställda; och eventuella förväntade hot eller risker för säkerheten eller integriteten för sådan information.

2. Anta och genomföra rimliga policyer och standarder relaterade till säkerhet.

3. Tilldela ansvar för hantering av informationssäkerhet.

4. Att tilldela tillräckliga personalresurser till informationssäkerhet.

5. Utföra verifieringskontroller för permanent personal som kommer att ha tillgång till personuppgifter för kund.

6. Att utföra bakgrundskontroller och kräva att anställda, leverantörer och andra med tillgång till personuppgifter för kund ska ingå skriftliga sekretessavtal.

7. Utföra utbildning för att göra anställda och andra med tillgång till personuppgifter för kund medvetna om risker för informationssäkerhet och för att förbättra efterlevnaden av Snap:s policyer och standarder relaterade till dataskydd.

8. Att förhindra obehörig åtkomst till personuppgifter för kund genom användning, i tillämpliga fall, av fysiska och logiska (lösenord) inträdeskontroller, säkra områden för databearbetning, förfaranden för att övervaka användningen av databearbetningsanläggningar, inbyggda systemrevisioner, användning av säkra lösenord, intrångsdetekteringsteknik för nätverk, krypterings- och autentiseringsteknik, säkra inloggningsförfaranden och virusskydd, övervaka efterlevnaden av Snap:s policyer och standarder relaterade till datasäkerhet på löpande basis. Framför allt har Snap implementerat och efterlever, i tillämpliga fall och utan begränsning:

Fysisk åtkomstkontroll för att förhindra obehörig åtkomst till databearbetningssystem (id-kort för åtkomst, kortläsare, receptionspersonal, alarmsystem, rörelsedetektorer, inbrottslarm, videoövervakning och yttre säkerhet);
kontrollmetoder för nekad användning för att förhindra obehörig användning av dataskyddssystem (t.ex. automatiskt tvingad lösenordskomplexitet och ändringskrav och brandväggar.) ;
Kravdrivna auktoriseringssystem och åtkomsträttigheter samt övervakning och loggning av systemåtkomst för att säkerställa att personer som har rätt att använda databearbetningssystem endast har tillgång till den data som de har rätt att tillgå och att personuppgifter för kund inte kan läsas, kopieras, ändras eller tas bort utan tillstånd;
Kontrollåtgärder för dataöverföring för att säkerställa att personuppgifter för kund inte kan läsas, kopieras, ändras eller tas bort utan tillstånd vid elektronisk överföring, transport eller lagring på datamedia samt överföring och mottagande av register. I synnerhet kommer Snap:s informationssäkerhetsprogram att utformas:
- För att kryptera i lagring alla datamängder i Snap:s innehav, inklusive känsliga personuppgifter, med lämpliga krypteringsnivåer baserade på branschledande krypteringsstandarder, inklusive AES -256 och lagring av användaridentiteter på systemet med hjälp av nyckelvärdespar som ghost_id för att förhindra lagring av faktiska användar-ID:n; och
- För att säkerställa att eventuella känsliga personuppgifter som överförs elektroniskt (andra än av faksimile) till en person utanför Snap:s IT-system eller överförs via ett offentligt nätverk krypteras med hjälp av de senaste versionerna av TLS 1.2-protokollet för att skydda säkerheten för överföringen;
Kontrollåtgärder för datainmatning för att försäkra att Snap kan kontrollera och fastställa om och av vem personuppgifter för kund har inmatats i databearbetningssystemet, ändrats eller raderats;
Kontinuerliga säkerhetstester för att säkerställa att rutiner för informationssäkerhet förblir relevanta, effektiva, och aktuella, inklusive årliga penetrationstester, buggjaktprogram, användning av systemgenomsökningsverktyg, övning, tester för återställning av säkerhetskopia, förproducerad felöverlämning samt utförande av eftersökning på alla eventuella faktiska incidenter för att uppdatera relevanta återställningsplaner;
Övervakningsåtgärder för subprocessorer för att säkerställa att om Snap tillåts använda subprocessorer bearbetas personuppgifter för kund strikt i enlighet med personuppgiftsansvarigs instruktioner, inklusive, i tillämpliga fall:
- Åtgärder för att säkerställa att personuppgifter för kund skyddas från oavsiktlig förstörelse eller förlust inklusive, i tillämpliga fall och utan begränsning, säkerhetskopia, lagrings- och säker förstörelsepolicyer; säker icke-lokal datalagring som är tillräcklig för katastrofåterställning; oavbruten strömförsörjning och program för katastrofåterställning; och
- Åtgärder för att försäkra att data som samlats in för olika ändamål kan bearbetas separat inklusive, i tillämpliga fall, fysisk eller adekvat logisk separation av personuppgifter för kund.

9. Att vidta sådana andra åtgärder som kan vara lämpliga under omständigheterna.