logo

Споразумение за обработка на данни

Ефективен: 21 септември 2022 г.

УВЕДОМЛЕНИЕ ЗА АРБИТРАЖ: ВИЕ СТЕ ОБВЪРЗАНИ С РАЗПОРЕДБИТЕ ЗА АРБИТРАЖ, ИЗЛОЖЕНИ В НАСТОЯЩИТЕ УСЛОВИЯ ЗА БИЗНЕС УСЛУГИ. АКО СКЛЮЧВАТЕ ДОГОВОР СЪС SNAP INC., ТОГАВА ВИЕ И SNAP INC. СЕ ОТКАЗВАТЕ ОТ ПРАВОТО ДА УЧАСТВАТЕ В ДЕЛА ЗА ГРУПОВ ИСК ИЛИ АРБИТРАЖ ЗА ГРУПОВ ИСК.

Въведение

Настоящото Споразумение за обработка на данни („Споразумението“) представлява правно обвързващ договор между Вас и Snap, който е приложим до степента, в която Snap обработва лични данни на Клиента от Ваше име, когато Вие сте администраторът на данни и е включен в Условията за бизнес услуги. Някои условия, използвани в настоящото Споразумение, са определени в Условията за бизнес услуги.

1. Определения

„Лични данни на Клиента“ означава личните данни на субектите на данни от ЕИП, Швейцария, Великобритания и Бразилия, предоставени на Snap от Вас или от Ваше име, когато сте в качеството на администратор на данни.

„Администратор на данни“ означава администратор, в съответствие с дефиницията в ОРЗД, ОРЗД на Великобритания или ОЗЗД, според приложимото, който самостоятелно или съвместно с други, определя целите и средствата за обработка на лични данни на клиента.

„Закон за защита на данните“ означава законите за защита на данните на ЕИП, Швейцария, Великобритания и Бразилия, приложими по отношение на обработването на лични данни на Клиента съгласно настоящото Споразумение, включително ОРЗД, законите за защита на данните във Великобритания и ОЗЗД.

„ЕИП“ означава Европейското икономическо пространство.

„ОРЗД“ означава Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица по отношение на обработването на лични данни и относно свободното движение на такива данни и отменящ Директива 95/46/ЕО.

„ОЗЗД“ означава Общият закон за защита на данните (Lei Geral de Proteção de Dados Pessoais) в Бразилия.

„Нарушение на личните данни“ означава случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни на Клиента по системи, управлявани или контролирани от Snap.

„Подизпълнители“ означава трети лица, упълномощени съгласно настоящото Споразумение, да имат достъп и да обработват лични данни на Клиента, за да предоставят части от Бизнес Услугите.

"Великобритания" означава Обединеното кралство.

„Закон за защита на данните във Великобритания" означава ОРЗД така, както формира част от закона на Англия и Уелс, Шотландия и Северна Ирландия по силата на раздел 3 от Закона за (оттегляне от) Европейския Съюз от 2018 г. във Великобритания („ОРЗД на Великобритания) и Закона за защита на данните от 2018 г.

Термините „лични данни“, „субект на данни“, „обработване“, „администратор“, „обработващ лични данни“, „представител и „надзорен орган“, всеки от които се използва в настоящото Споразумение, имат значенията, дадени им в ОРЗД, ОРЗД на Великобритания или ЗЗЛД, според приложимото, във всеки случай, независимо от това дали е приложим Закон за защита на данните.

2. Обработване на лични данни на Клиента

а. Роли на страните. Snap обработва лични данни на Клиента от името на и както е инструктиран от администратора на данни, в съответствие с член 28, параграф 1 от ОРЗД, ОРЗД на Великобритания и ОЗЗД, както е приложимо.

б. Назначаване. Администраторът на данни възлага на Snap обработката на лични данни на Клиента от името на администратора на данни, единствено до колкото е необходимо за предоставяне на бизнес услугите и както може впоследствие да бъде договорено от страните в писмена форма.

в. Законност на обработването. Администраторът на данни носи отговорност за осигуряването на валидно правно основание за обработка на личните данни на Клиента.

г. Подробна информация за обработването. Въпросът и подробностите свързани с обработката на данни са описани в Приложение 1 към настоящото Споразумение.

д. Спазване на закона. Всяка страна се съгласява, че ще изпълни задълженията си съгласно Закона за защита на данните, свързани с каквито и да е лични данни на Клиента, които обработва под или във връзка с настоящото Споразумение. Без да се засяга гореизложеното, Snap няма да обработва лични данни на Клиента по начин, който ще причини или вероятно ще доведе до нарушаване на задълженията на администратора на данни съгласно Закона за защита на данните. Snap незабавно ще уведоми администратора на данни, ако Snap е на мнение, че инструкции на администратора на данни нарушават Закона за защита на данните.

3. Задължения на Snap

а. Обработка на лични данни на клиента. Snap ще обработва лични данни на Клиента единствено в съответствие с Общите условия на бизнес услуги и настоящото Споразумение и няма да използва или обработва лични данни на Клиента за каквато и да е цел, различна от качеството му на обработващ лични данни, посочен от администратора на данни.

б. Сигурност на данните. В съответствие с член 32 от ОРЗД, ОРЗД на Великобритания и ОЗЗД, според приложимото, и както е описано в Приложение 2 на настоящото Споразумение, Snap ще прилага и поддържа всички подходящи технически, административни и организационни мерки, необходими за да: (i) гарантира ниво на поверителност и сигурност, подходящи за рисковете, при обработката и естеството на личните данни на клиента; и (ii) за да се предотврати неразрешено или неправомерно обработване на лични данни на клиента, случайна загуба, разкриване или унищожаване или повреда на лични данни на клиента.

в. Неразкриване. Snap няма да публикува, разкрива или разгласява (и ще гарантира, че неговият персонал няма да публикува, разкрива или разгласява) лични данни на клиента на трета страна, освен ако администраторът на данни не е дал предварително писмено съгласие.

г. Поверителност. Snap ще гарантира, че само персонал, от който може да се изисква да съдейства за изпълнение на задълженията му съгласно Общите условия на бизнес услуги или настоящото Споразумение, ще има достъп до лични данни на Клиента, и че този персонал е обвързан с подходящи задължения за конфиденциалност и ще предприеме всички разумни мерки в съответствие с най-добрите практики в индустрията, за да се гарантира поверителността на личните данни на Клиента.

д. Сътрудничество. Snap ще предостави разумно сътрудничество и помощ на администратора на данни, тъй като администраторът на данни може разумно да изиска да се позволи на администратора на данни да спази задълженията си съгласно членове 32 до 36 от ОРЗД, ОРЗД на Великобритания и ОЗЗД, според приложимото, включително по отношение на сигурността на данните, уведомленията за нарушение на данните, оценките на въздействието върху защитата на данните, предварителна консултация с надзорните органи, изпълнението на правата на субектите на данни и всяко запитване, уведомление или разследване от надзорен орган, както е посочено по-подробно в настоящото Споразумение.

е. Субект на данни и искания от надзорни органи. Snap ще информира администратора на данни своевременно и при всеки случай, в рамките на два работни дни за всяко запитване или жалба, които Snap получи от субект на данни или надзорен орган, свързани с лични данни на клиента. Snap ще подпомага администратора на данни, доколкото е търговски разумно, да изпълни задължението на администратора на данни да отговаря на искания от субекти на данни и надзорни органи, според изискваното от Закона за защита на данните.

ж. Оценка на въздействието върху защитата на данните. При поискване, Snap ще предостави на администратора на данни търговски разумна информация и помощ, вземайки предвид естеството на дейността по обработка и информацията, на разположение на Snap, за да помогне на администратора на данни да извърши оценка на въздействието върху защитата на данните, в съответствие с изискванията на Закона за защита на данните.

з. Предоставяне на доказателства. По време на срока на настоящото Споразумение и за период от една година след това, Snap ще предоставя на администратора на данни или на международно призната одиторска фирма, действаща от името на администратора на данни, цялата информация, разумно необходима, за да се докаже спазването на настоящото Споразумение от страна на Snap и Snap ще позволява и ще допринася за одити, провеждани от администратора на данни или неговите представители които са обвързани с подходящи задължения за поверителност; ако: (i) Администраторът на данни предостави поне десет дневно предварително писмено уведомление до Snap; (ii) подобен одит се извършва по време на обичайното работно време на Snap и по начин, който не пречи неразумно на обичайните търговски операции на Snap; (iii) подобен одит продължи не повече от общо три работни дни; (iv) в никакъв случай администраторът на данни (или за избягване на съмнения, който и да е оторизиран одитор трета страна) няма право на достъп или да получава защитена или поверителна информация на Snap, освен доколкото е строго необходимо да се докаже спазването на настоящото Споразумение; и (v) Администраторът на данни е длъжен да възстанови документираните разумни разходи на Snap, ако одитът установи, че Snap спазва настоящото Споразумение. В случай че одитът установи, че Snap не е спазил настоящото Споразумение, тогава Snap ще носи отговорност за всички разумни разходи по одита.

i. Връщане или унищожаване на лични данни на клиента. След приключване на задълженията на Snap по отношение на обработването на лични данни на Клиента съгласно настоящото Споразумение или по искане на администратора на данни по всяко време докато е в сила настоящото Споразумение (и, ако администраторът на данни поиска, на редовни интервали, определени от администратора на данни), Snap ще направи едно от следните: (i) ще върне всички или подгрупи от личните данни на Клиента, които Snap притежава; (ii) ще направи всички или част от личните данни на Клиента, анонимни по начин, по който данните вече не представляват лични данни; или (iii) ще изтрие трайно или ще направи всички или част от личните данни на Клиента нечетливи. По искане на администратора на данни Snap трябва да му предостави писмено потвърждение за анонимизиране, връщане и изтриване на личните данни на Клиента.

й. Сегментиране на лични данни на клиента. Ако Snap получи лични данни на Клиента в сегментиран или неразбираем формат, Snap: (i) няма да се опитва да обърне или по друг начин да се опита да идентифицира повторно сегментираните или неразбираеми лични данни на администратора на данни, освен ако администраторът на данни не инструктира Snap да го направи; и (ii) ще споделя личните данни на Клиента единствено във формата, в който Snap ги е получил от администратора на данни.

4. Нарушение на личните данни

а. Уведомяване. В съответствие с член 33 от ОРЗД, ОРЗД на Великобритания и ОЗЗД, както е приложимо, Snap ще уведоми администратора на данни без ненужно забавяне и когато е възможно, не повече от 72 часа след като установи нарушението на личните данни. Snap също така ще предостави на администратора на данни описание на нарушението на личните данни, вида на данните, които са били предмет на нарушението на личните данни (до степента, известна на Snap) категориите засегнати субекти на данни и друга информация, изисквана от приложимия Закон за защита на данните, веднага щом тази информация може да бъде събрана или стане известна по друг начин, а Snap ще сътрудничи за всяко разумно искане, направено от администратора на данни във връзка с нарушаването на личните данни.

б. Разследване. Snap се съгласява незабавно да предприеме действия за разследване на нарушението на личните данни, за да идентифицира, предотврати и смекчи последиците от каквито и да е подобни нарушения на лични данни и с предварителното съгласие на администратора на данни, да извърши възстановяване или други действия, необходими за отстраняване на нарушението на личните данни.

5. Подизпълнители

а. Оторизирани подизпълнители. Администраторът на данни изрично упълномощава възлагането на обработка на лични данни на клиента на свързаните компании на Snap и като цяло разрешава ангажирането на други трети страни в качеството им на подизпълнители за обработката на лични данни на Клиента.

б. Задължения на подизпълнителя. В съответствие с член 28, параграф 4 от ОРЗД на Великобритания и ОЗЗД, според приложимото, Snap ще налага правно обвързващи договорни условия за всеки подизпълнител, които са ограничаващи до такава степен, колкото и тези, съдържащи се в настоящото Споразумение.

в. Ограничен достъп. Snap ще осигури на всеки подизпълнител достъп и използване на лични данни на Клиента единствено до степента, необходима за изпълнение на задълженията, които са му възложени и в съответствие с настоящото Споразумение.

г. Актуализации на подизпълнителите. В съответствие с член 28, параграф 2 от ОРЗД и ОРЗД на Великобритания (според случая), тук има актуален списък на: (i) всички подизпълнители, участващи в обработката на лични данни на Клиента; (ii) целите, за които подизпълнителите обработват лични данни на Клиента; и (iii) местоположението на всеки подизпълнител. Snap ще уведоми администратора на данни най-малко 30 дни преди добавяне на нов подизпълнител. 

д. Право на възражение. Администраторът на данни има право да възрази срещу добавянето на нов подизпълнител, както е описано в настоящия раздел. В случай, че администраторът на данни възрази срещу обработката на лични данни на Клиента от даден новоназначен подизпълнител, той незабавно ще информира Snap, след което Snap ще направи едно от двете: (i) ще инструктира подизпълнителя да преустанови всяко по-нататъшно обработване на лични данни на Клиента, в случай че настоящото Споразумение продължи да бъде в сила; или (ii) ще позволи на администратора на данни незабавно да прекрати настоящото Споразумение.

6. Прехвърляния на данни

а. Ако администраторът на данни е установен в ЕИП, Швейцария или Великобритания и прехвърляя лични данни към Snap Inc., тогава Споразумението за прехвърляне на данни следва да:

(i) е приложимо за всички прехвърляния; 

(ii) има предимство пред всички други условия, включително условията на настоящото Споразумение, по отношение на съответните прехвърляния;

(iii) представлява правно обвързващ договор между Вас като износител на данни и Snap като или от името на вносителя на данни; и 

(iv) бъде включено в Условията за бизнес услуги

б. По отношение на личните данни на субектите на данни от ЕИП, Швейцария и Великобритания, администраторът на данни и Snap се съгласяват, че Snap може да обработва лични данни на Клиента извън ЕИП, Швейцария и Великобритания, когато изискванията на Закона за защита на данните (включително, когато е приложимо, Членове 44 до 47 от ОРЗД) са изпълнени, или е приложимо изключение (включително, когато е приложимо, изключенията, изброени в Член 49 от ОРЗД).

в. По отношение на личните данни на субекти на данни от Бразилия, администраторът на данни се съгласява, че Snap може да обработва лични данни на Клиента извън Бразилия и заявява и декларира, че подобни прехвърляния на лични данни на Клиента са в съответствие с ОЗЗД.

7. Обезщетяване; Отговорност на подизпълнителя

а. Обезщетяване. Snap се съгласява да обезщети администратора на данни срещу всички жалби на трети страни, такси, искове, щети, загуби, разходи, задължения и разноски в резултат от или свързани по какъвто и да е начин с нарушение на настоящото Споразумение от страна на Snap.

б. Процес на обезщетяване. Администраторът на данни незабавно ще уведоми Snap писмено за всеки иск за обезщетение, но невъзможността да уведоми Snap няма да освободи Snap от отговорност за предпазване или задължение, което може да има, освен до степента в която Snap е материално ощетен от подобна невъзможност. Администрсторът на данни разумно ще сътрудничи на Snap, за сметка на Snap, във връзка със защитата, компромиса, или уреждането на който и да е иск за обезщетение Snap няма участва в компромис или уреждане на иск по какъвто и да е начин, нито ще прави каквото и да е допускане на отговорност, без предварителното писмено съгласие на администратора на данни, което администраторът на данни може да предостави по своя преценка. Администраторът на данни може да участва (за своя сметка) в защитата, компромиса, и уреждането на иска с адвокат по собствено усмотрение.

в. Отговорност на подизпълнителя. Snap признава и се съгласява, че ще остане отговорен пред администратора на данни за нарушение на условията на настоящото Споразумение от подизпълнителя и всички последващи подизпълнители трети страни, назначени от него.

8. Прекратяване

а. Прекратяване. Настоящото Споразумение ще бъде прекратено автоматично при прекратяване на Условията за бизнес услуги.

б. Оставане в сила след прекратяване. Задълженията на Snap, свързани с връщане или изтриване на лични данни на Клиента, ще останат в сила след прекратяване на Условията за бизнес услуги и настоящото Споразумение докато Snap не върне или изтрие личните данни на Клиента в съответствие с настоящото Споразумение.

Приложение 1: Подробности за обработването на данни
А. Списък на страните
Износител(и) на данни

Износителят на данни е администраторът на данни, съгласно определението в настоящото Споразумение, с името, адреса и данните за контакт, които са предоставени на Snap посредством Бизнес услугите. Дейностите, свързани с данните, прехвърляни съгласно настоящите клаузи, включват използването на съответните Бизнес услуги в съответствие с Общите бизнес условия и приложимите допълнителни условия и политики. Износителят на данни е в ролята на администратор. 

Вносител(и) на данни

Вносителят на данни е:

Snap Inc., с адрес 3000 31-ва улица, Санта Моника, Калифорния 90405

Дейностите, свързани с данните, прехвърляни съгласно настоящите клаузи, включват предоставянето на съответните Бизнес услуги в съответствие с Общите бизнес условия и приложимите допълнителни условия и политики. Вносителят на данни е в ролята на обработващия лични данни.

Б. Описание на прехвърлянето

Дейностите по обработка на данни, извършвани от Snap съгласно настоящото Споразумение, са както следва:

Предмет

Предоставяне на Бизнес услуги от Snap към администратора на данни.

Продължителност на обработването и задържането

За срока на настоящото Споразумение плюс срока от изтичането на срока на настоящото Споразумение до анонимизирането, връщането или изтриването на данни в съответствие с настоящото Споразумение.

Характер и цел

Snap ще обработва лични данни на Клиента за целите на предоставяне на Бизнес услуги на администратора на данни в съответствие с и както е описано в Общите условия за бизнес услуги и настоящото Споразумение.

Категории данни

Лични данни на Клиента, свързани с физически лица, предоставени на Snap посредством Бизнес услугите, чрез (или насочени от) администратора на данни, което може да включва:

  • имейл адрес

  • телефонен номер

  • идентификационен номер на мобилна реклама (IDFA/AAID)

  • IP адрес

  • идентификационен номер на бисквитките

  • Агент на браузъра на потребителя

  • действия и събития, предприети на уебсайтове и приложения, включително разглеждани страници, покупки, търсения, отбелязване на събития, списъци с желания, инсталирания, както и методи за регистрация на потребители

Прехвърлени чувствителни данни

Неприложимо

Честота на прехвърлянето 

Постоянна

Субекти на данни

Субектите на данни включват лица от ЕИП, Швейцария, Великобритания и Бразилия, чиито лични данни са предоставени на Snap посредством Бизнес услугите от (или към) администратора на данни.

В. Компетентен надзорен орган

Компетентният надзорен орган ще бъде нидерландският орган за защита на данните (Autoriteit Persoonsgegevens, AP).

Приложение 2 - Мерки за сигурност на Snap

1. Прилагане на и спазване на писмена програма за сигурност на информацията, която отговаря на установените в индустрията стандарти и включва административни, технически и физически мерки за сигурност, удачни за естеството на личните данни на Клиента и предназначени да защитят подобна информация от: неоторизиран достъп, унищожаване, използване, изменение или разкриване; неоторизиран достъп до или използване, което може да доведе до значителни вреди или неудобства за администратора на данни, клиентите на администратора на данни, или служителите на администратора на данни; както и всякакви очаквани заплахи или рискове за сигурността или целостта на такъв тип информацция.

2. Приемане и прилагане на разумни политики и стандарти, свързани със сигурността.

3. Възлагане на отговорност за управлението на информационната сигурност.

4. Отделяне на удачни ресури от персонала за информационна сигурност.

5. Извършване на удостоверяващи проверки на постоянният персонал, който има достъп до личните данни на Клиента.

6. Провежда не подходящи предварителни проверки и изискване от служителите, доставчиците и други лица, които имат достъп до лични данни на Клиента да сключат писмени споразумения за поверителност.

7. Повеждане на обучение, за да могат служителите и други лица с достъп до лични данни на Клиента да са наясно с рисковете за информационна сигурност и да се повиши спазването на политиките и стандартите на Snap, свързани със защитата на данни.

8. Предотвратяване на неоторизиран достъп до личните данни на клиента чрез използване, според удачното, на физически и логически (пароли) контроли за достъп, подсигуряване на зони за обработка на данни, процедури за мониторинг на употребата на съоръжения за обработка на данни, вградени системни одитни пътища, използване на сигурни пароли, технология за засичане на неоторизирано влизане в мрежата, технологии за криптиране и удостоверяване, сигурни процедури за вписване, защита от вируси, постоянен мониторинг на спазването на политиките и стандартите на Snap, свързани със защитата на данни. По-конкретно, Snap е внедрил и спазва, както е удачно и безз да се ограничават до:

  • Мерки за контрол на физическият достъп с цел предотвратяване на неоторизиран достъп до системите за обработка на данни (например идентификационни карти за достъп, четци за карти, длъжностни лица на място, алармени системи, детектори за засичане на движение, аларми против кражби, видео наблюдение и външна охрана);

  • Мерки за контрол с отказ за използване с цел предотвратяване на неоторизирана употреба на системите за защита на данните (напр. автоматично усложнена подсилена парола и изисквания за промяна и файъруол.) ;

  • Оторизационна схема водена от изисквания и права за достъп, както и мониторинг и регистриране на достъп до системата, за да се гарантира, че лицата, които имат право на достъп до системата за обработка на данни, имат достъп само до данните, до които имат дадени права за достъп, както и че личните данни на Клиента не могат да бъдат четени, копирани, изменяни или премахвани без разрешение;

  • Мерки за контрол на предаването на данни, за да се гарантира, че личните данни на Клиента не могат да бъдат четени, копирани, изменяни или премахвани без разрешение по време на електронно предаване, транспорт или съхранение на средства за съхранение на данни, както и при прехвърляне и получаване на записи. По-конкретно, програмата за информационна сигурност на Snap ще бъде проектирана, за да:

    • Криптира при съхранение всякакви набори данни, които са притежание на Snap, включително чувствителни лични данни, използвайки подходящи нива на криптиране въз основа на водещи в индустрията стандарти за криптиране, включително AES -256 и за съхраняване на потребителски самоличности в системата, като се използват ключови стойностни двойки като ghost_id, за да се предотврати съхранението на действителен потребителски идентификатор; и

    • Се гарантира, че всякакви чувствителни лични данни, предавани по електронен път (различен от факсимиле) на дадено лице извън ИТ системата на Snap или предавани посредством публична мрежа, биват криптирани с помощта на най-новите поддържани версии на Протокол TLS 1.2 за защита на сигурността на предаването;

  • Мерки за контрол на въвеждането на данни, за да се гарантира, че Snap може да провери и установи дали и от кого са били въведени лични данни на Клиента в системите за обработка на данни, от кого са били изменени или премахнати;

  • Непрекъснати мерки за тестване на сигурността, за да се гарантира, че практиките за информационна сигурност остават подходящи, ефективни и актуални, включително годишни тествания за проникване, програма за докладване на бъгове, използване на инструменти за сканиране на системата, симулационни учения, тестове за възстановяване на архиви, тестове за употреба преди производство и провеждане на последващо разследване на всички действителни инциденти, за да се актуализират съответните планове за възстановяване при бедствие;

  • Мерки за надзор на подизпълнителите, за да се гарантира, че ако на Snap бъде разрешено да използва подизпълнители, личните данни на Клиента ще бъдат обработвани стриктно в съответствие с инструкциите на администратора на данни, включително, както е уместно:

    • Мерки за гарантиране, че личните данни на Клиента са защитени от случайно унищожаване или загуба, включително, както е уместно, и без ограничение, политики за архивиране на данни, задържане и сигурно унищожаване; сигурно съхранение на данни извън обекта, достатъчно за възстановяване при бедствие; непрекъснато електрозахранване и програми за възстановяване при бедствие; и

    • Мерки за да се гарантира, че събраните за различни цели данни могат да бъдат обработвани отделно, включително, както е уместно, физическо или адекватно логично разделяне на лични данни на клиента. 

9. Предприемане на други стъпки, както може да са удачни според обстоятелствата.