MEDDELELSE OM VOLDGIFT: DU ER BUNDET AF VOLDGIFTSBESTEMMELSEN I VILKÅRENE FOR FORRETNINGSTJENESTER. HVIS DER KONTRAHERES MED SNAP INC, GÆLDER DET FOR KONTRAHENTEN OG SNAP INC., AT DE AT I GIVER AFKALD PÅ ENHVER RET TIL AT DELTAGE I ET KOLLEKTIVT SØGSMÅL ELLER EN KOLLEKTIV VOLDGIFT.

Denne databehandlingsaftale ("aftale") udgør en juridisk bindende kontrakt mellem dig og Snap, gælder i det omfang, Snap behandler kundens personlige data på dine vegne, når du er den dataansvarlige, og er inkorporeret i vilkårene for forretningstjenester. Nogle af de udtryk, der anvendes i denne aftale, er defineret i vilkårene for forretningstjenester.

"Kundepersondata" betyder persondata for registrerede i EØS, Schweiz, Storbritannien og Brasilien, som Snap har fået af dig eller på dine vegne, når du er den dataansvarlige.

"Dataansvarlig" betyder en dataansvarlig som defineret i GDPR, UK GDPR eller LGPD, alt efter hvad der er relevant, som alene eller sammen med andre bestemmer formålene med og midlerne til behandlingen af kundens personlige data.

"Databeskyttelseslov" betyder de databeskyttelseslove i EØS, Schweiz, Storbritannien og Brasilien, der gælder for behandlingen af kundens personlige data i henhold til denne aftale, herunder GDPR, de britiske databeskyttelseslove og LGPD.

“EEA” betyder European Economic Area.

"GDPR" betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.

“LGPD” betyder Brazilian General Data Protection Law (den brasilianske generelle databeskyttelseslov.).

“Brud på persondatasikkerheden” betyder utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret offentliggørelse af eller adgang til kundens persondata på systemer, der administreres eller kontrolleres af Snap.

"Underbehandlere" betyder tredjeparter, der i henhold til denne aftale er autoriseret til at få adgang til og behandle kundens personlige data for at levere dele af forretningstjenesterne.

“UK” betyder Storbritannien.

"UK Data Protection Laws" betyder GDPR, som den udgør en del af lovgivningen i England og Wales, Skotland og Nordirland i kraft af afsnit 3 i European Union (Withdrawal) Act 2018 i Storbritannien ("UK GDPR") og Data Protection Act 2018.

Udtrykkene "personoplysninger", "registreret", "behandling", "dataansvarlig", "databehandler", "repræsentant" og "tilsynsmyndighed" har, hver gang de anvendes i denne aftale, den betydning, der er angivet i GDPR, UK GDPR eller LGPD, alt efter hvad der er relevant, i hvert tilfælde uanset om databeskyttelsesloven finder anvendelse.

a. Parternes roller. Snap behandler kundens personlige data på vegne af og som instrueret af den dataansvarlige i overensstemmelse med artikel 28 (1) i GDPR, UK GDPR og LGPD, alt efter hvad der er relevant.

b. Udnævnelse. Den dataansvarlige udpeger Snap til kun at behandle kundens personlige data på den dataansvarliges vegne, som det er nødvendigt for at levere forretningstjenesterne, og som parterne efterfølgende kan blive enige om skriftligt.

c. Behandlingens legitimitet. Den dataansvarlige er ansvarlig for at sikre et gyldigt juridisk grundlag for behandling af kundens personlige data.

d. Detaljer om behandling. Emnet for og detaljerne i behandlingen er beskrevet i bilag 1 til denne aftale.

e. Overholdelse af loven. Hver part indvilliger i at overholde sine forpligtelser i henhold til databeskyttelsesloven vedrørende enhver kundes personlige data, der behandles i henhold til eller i forbindelse med denne aftale. Uden at det berører ovenstående, vil Snap ikke behandle kundens persondata på en måde, der vil eller sandsynligvis vil resultere i, at den dataansvarlige overtræder sine forpligtelser i henhold til databeskyttelsesloven. Snap vil straks informere den dataansvarlige, hvis Snap er af den opfattelse, at den dataansvarliges instruktion overtræder databeskyttelsesloven.

a. Behandling af kundens personlige data. Snap vil kun behandle kundens personlige data i overensstemmelse med vilkårene for forretningstjenester og denne aftale, og vil ikke bruge eller behandle kundens personlige data til noget andet formål end i sin egenskab af databehandler udpeget af den dataansvarlige.

b. Datasikkerhed. I overensstemmelse med artikel 32 i GDPR, UK GDPR og LGPD, som relevant, og som beskrevet i Bilag 2 i denne aftale, vil Snap implementere og vedligeholde alle passende tekniske, administrative og organisatoriske foranstaltninger, der kræves for at: (i) sikre et fortroligheds- og sikkerhedsniveau, der er passende i forhold til de risici, som behandlingen og karakteren af kundens personlige data repræsenterer; og (ii) forhindre uautoriseret eller ulovlig behandling af kundens personlige data, utilsigtet tab, offentliggørelse eller ødelæggelse af eller skade på kundens personlige data.

c. Tavshedspligt. Snap vil ikke offentliggøre, afsløre eller videregive (og vil sikre, at dets personale ikke offentliggør, afslører eller videregiver) kundens persondata til en tredjepart, medmindre den dataansvarlige har givet sit forudgående skriftlige samtykke.

d. Fortrolighed. Snap vil sikre, at kun personale, der kan være påkrævet for at hjælpe med at opfylde sine forpligtelser i henhold til vilkårene for forretningstjenester eller denne aftale, har adgang til kundens personlige data, og at sådant personale er bundet af passende fortrolighedsforpligtelser og tager alle rimelige skridt i overensstemmelse med bedste branchepraksis for at sikre fortroligheden af kundens personlige data.

e. Samarbejde. Snap vil yde rimeligt samarbejde og assistance til den dataansvarlige, som den dataansvarlige med rimelighed kan kræve for at gøre det muligt for den dataansvarlige at overholde sine forpligtelser i henhold til artikel 32 til 36 i GDPR, UK GDPR og LGPD, alt efter hvad der er relevant, herunder i forhold til datasikkerhed, anmeldelse af databrud, konsekvensanalyser af databeskyttelse, forudgående konsultation med tilsynsmyndigheder, opfyldelse af registreredes rettigheder og enhver forespørgsel, meddelelse eller undersøgelse fra en tilsynsmyndighed, som nærmere beskrevet i denne aftale.

f. Anmodninger fra registrerede og tilsynsførende. Snap vil informere den dataansvarlige omgående, og under alle omstændigheder inden for to arbejdsdage, om enhver forespørgsel eller klage, som Snap modtager fra et datasubjekt eller en tilsynsmyndighed i forbindelse med kundens persondata. Snap vil hjælpe den dataansvarlige, i det omfang det er kommercielt rimeligt, med at opfylde den dataansvarliges forpligtelse til at svare på anmodninger fra registrerede og tilsynsmyndigheder som krævet i databeskyttelsesloven.

g. Konsekvensanalyse af databeskyttelse. Efter anmodning vil Snap give den dataansvarlige kommercielt rimelige oplysninger og assistance, under hensyntagen til behandlingsaktivitetens art og de oplysninger, der er tilgængelige for Snap, for at hjælpe den dataansvarlige med at udføre en konsekvensanalyse af databeskyttelse som krævet i databeskyttelsesloven.

h. Bevisførelse. I denne aftales løbetid og i en periode på et år derefter vil Snap gøre det tilgængeligt for den dataansvarlige eller et internationalt anerkendt revisionsfirma, der handler på vegne af den dataansvarlige, alle oplysninger, der med rimelighed er nødvendige for at påvise Snaps overholdelse af denne aftale, og Snap vil tillade og bidrage til revisioner udført af den dataansvarlige eller dennes repræsentanter, der er bundet af passende fortrolighedsforpligtelser; hvis: (i) den dataansvarlige giver mindst ti arbejdsdages forudgående skriftlig varsel til Snap; (ii) en sådan revision udføres i Snaps normale åbningstider og på en måde, der ikke forstyrrer Snaps normale forretningsdrift urimeligt; (iii) en sådan revision varer ikke længere end tre samlede arbejdsdage; (iv) den dataansvarlige (eller, for at undgå tvivl, enhver autoriseret tredjepartsrevisor) har under ingen omstændigheder ret til at få adgang til eller modtage Snaps ejendomsretligt beskyttede eller fortrolige oplysninger, undtagen i det omfang, det er strengt nødvendigt for at påvise overholdelse af denne aftale; og (v) den dataansvarlige er forpligtet til at godtgøre Snap for Snap's dokumenterede rimelige omkostninger, hvis revisionen fastslår, at Snap overholder denne aftale. I tilfælde af, at revisionen fastslår, at Snap ikke overholder denne aftale, vil Snap være forpligtet til at betale alle rimelige omkostninger ved en sådan revision.

i. Returnere eller destruere kundens personlige data. Når Snap har opfyldt sine forpligtelser i forhold til behandling af kundens personlige data i henhold til denne aftale eller på den dataansvarliges anmodning på et hvilket som helst tidspunkt i denne aftales løbetid (og, hvis den dataansvarlige anmoder om det, med regelmæssige intervaller, der fastsættes af den dataansvarlige), Snap vil enten: (i) returnere alle eller delmængder af kundens persondata i Snaps besiddelse til den dataansvarlige; (ii) anonymisere alle eller dele af kundens persondata på en sådan måde, at dataene ikke længere udgør persondata; eller (iii) permanent slette eller gøre alle eller dele af kundens persondata ulæselige. På den dataansvarliges anmodning skal Snap give en skriftlig bekræftelse til den dataansvarlige på anonymisering, returnering og sletning af kundens persondata.

j. Hashed kundepersondata. Hvis Snap modtager kundens persondata i hashed eller på anden måde obfuskeret format, vil Snap: (i) ikke forsøge at reverse engineere eller på anden måde forsøge at genidentificere de hashede eller obfuskerede persondata fra den dataansvarlige, medmindre den dataansvarlige instruerer Snap om at gøre det; og (ii) kun dele kundens persondata i det format, Snap modtog dem fra den dataansvarlige.

a. Underretning. I overensstemmelse med artikel 33 i GDPR, UK GDPR og LGPD, hvor det er relevant, vil Snap underrette den dataansvarlige uden unødig forsinkelse og, hvor det er muligt, ikke mere end 72 timer efter at være blevet opmærksom på et brud på persondatasikkerheden. Snap vil også give den dataansvarlige en beskrivelse af bruddet på persondatasikkerheden, typen af data, der var genstand for bruddet på persondatasikkerheden, (i det omfang Snap kender til det) kategorierne af berørte registrerede og andre oplysninger, der kræves i henhold til gældende databeskyttelseslovgivning, så snart sådanne oplysninger kan indsamles eller på anden måde bliver tilgængelige, og Snap vil samarbejde med enhver rimelig anmodning fra den dataansvarlige vedrørende bruddet på persondatasikkerheden.

b. Undersøgelse. Snap accepterer straks at tage skridt til at undersøge bruddet på persondatasikkerheden, at identificere, forhindre og afbøde virkningerne af et sådant brud på persondatasikkerheden og med den dataansvarliges forudgående samtykke at udføre enhver gendannelse eller anden handling, der er nødvendig for at afhjælpe bruddet på persondatasikkerheden.

a. Autoriserede underdatabehandlere. Den dataansvarlige giver specifikt tilladelse til, at Snaps datterselskaber behandler kundens persondata, og den dataansvarlige giver generelt tilladelse til, at andre tredjeparter som underbehandlere behandler kundens persondata.

b. Underdatabehandlerens forpligtelser. I overensstemmelse med artikel 28 (4) i GDPR, UK GDPR og LGPD, hvor det er relevant, vil Snap pålægge hver underbehandler juridisk bindende kontraktvilkår, der er lige så restriktive som dem, der er indeholdt i denne aftale.

c. Begrænset adgang. Snap vil sikre, at hver underbehandler kun får adgang til og bruger kundens personlige data i det omfang, det er nødvendigt for at udføre de forpligtelser, der er givet i underentreprise, og i overensstemmelse med denne aftale.

d. Opdateringer af underbehandlere. I overensstemmelse med artikel 28 (2) i GDPR og UK GDPR (som relevant) er her en opdateret liste over: (i) alle underdatabehandlere, der er involveret i behandlingen af kundens personoplysninger; (ii) de formål, som underdatabehandlerne behandler kundens personoplysninger til; og (iii) placeringen af hver underdatabehandler. Snap underretter den dataansvarlige mindst 30 dage før tilføjelse af en ny underdatabehandler. 

e. Ret til indsigelse. Den dataansvarlige har ret til at gøre indsigelse mod tilføjelsen af en ny underdatabehandler, som beskrevet i dette afsnit. I tilfælde af at den dataansvarlige gør indsigelse mod behandlingen af kundens personlige data af en nyudnævnt underdatabehandler, vil den straks informere Snap, hvorefter Snap enten: (i) instruerer underdatabehandleren om at ophøre med yderligere behandling af kundens personlige data, i hvilket tilfælde denne aftale fortsætter upåvirket; eller (ii) tillader den dataansvarlige at opsige denne aftale med det samme.

a. Hvis den dataansvarlige er etableret i EØS, Schweiz eller Storbritannien og overfører persondata til Snap Inc. skal dataoverførselsaftalen:

(i) gælder for sådanne overførsler; 

(ii) have forrang frem for alle andre vilkår, herunder vilkårene i denne aftale, i forbindelse med sådanne overførsler;

(iii) udgøre en juridisk bindende kontrakt mellem dig som dataeksportør og Snap som eller på vegne af dataimportøren; og 

(iv) indarbejdes hermed i vilkårene for forretningsservice. 

b. Med hensyn til personoplysninger for registrerede i EØS, Schweiz og Storbritannien accepterer den dataansvarlige og Snap, at Snap kan behandle kundens personoplysninger uden for EØS, Schweiz og Storbritannien, hvor kravene i databeskyttelsesloven (herunder, hvor det er relevant, artikel 44 til 47 i GDPR) er opfyldt, eller en undtagelse (herunder, hvor det er relevant, dem, der er anført i artikel 49 i GDPR) gælder.

c. Med hensyn til personoplysninger for brasilianske registrerede accepterer den dataansvarlige, at Snap kan behandle kundens personoplysninger uden for Brasilien, og erklærer og garanterer, at en sådan overførsel af kundens personoplysninger er i overensstemmelse med LGPD.

a. Skadesløsholdelse. Snap accepterer at holde den dataansvarlige skadesløs for alle tredjepartsklager, anklager, krav, skader, tab, omkostninger, forpligtelser og udgifter, der skyldes, opstår som følge af eller på nogen måde er relateret til Snaps brud på denne aftale.

b. Skadesløsholdelsesproces. Den dataansvarlige vil straks underrette Snap skriftligt om ethvert krav om skadesløsholdelse, men enhver undladelse af at underrette Snap vil ikke fritage Snap fra noget skadesløsholdelsesansvar eller nogen forpligtelse, det måtte have, undtagen i det omfang Snap er væsentligt skadet af denne undladelse. Den dataansvarlige vil i rimeligt omfang samarbejde med Snap, på Snaps regning, i forbindelse med forsvar, kompromis eller afvikling af ethvert erstatningskrav. Snap vil ikke kompromittere eller afvikle noget krav på nogen måde eller indrømme noget ansvar uden den dataansvarliges forudgående skriftlige samtykke, som den dataansvarlige kan give efter eget skøn. Den dataansvarlige kan deltage (for egen regning) i forsvaret, forliget og afviklingen af kravet med en advokat efter den dataansvarliges valg.

c. Ansvar for underdatabehandlere. Snap anerkender og accepterer, at de fortsat vil være ansvarlige over for den dataansvarlige for en underdatabehandlers og eventuelle andre efterfølgende tredjepartsdatabehandleres overtrædelse af betingelserne i denne aftale.

a. Opsigelse. Denne aftale ophører automatisk ved opsigelse af vilkårene for forretningstjenester.

b. Forældelsesfrist. Snaps forpligtelser i forbindelse med returnering eller sletning af kundens persondata vil overleve opsigelsen af vilkårene for forretningstjenester og denne aftale, indtil Snap har returneret eller slettet kundens persondata i overensstemmelse med denne aftale.

Dataeksportøren skal være den dataansvarlige, som defineret i denne aftale, med det navn, den adresse og de kontaktoplysninger, som Snap har fået via forretningstjenesterne. De aktiviteter, der er relevante for de data, der overføres i henhold til disse bestemmelser, omfatter brugen af de relevante forretningstjenester i overensstemmelse med vilkårene for forretningstjenester og gældende supplerende vilkår og politikker . Dataeksportøren skal være i rollen som dataansvarlig. 

Dataimportøren skal være :

Snap Inc. med adresse på 3000 31st Street, Santa Monica, Californien 90405.

De aktiviteter, der er relevante for de data, der overføres i henhold til disse bestemmelser, omfatter levering af de relevante forretningstjenester i overensstemmelse med vilkårene for forretningstjenester og gældende supplerende vilkår og politikker. Dataimportøren skal være i rollen som databehandler.

De databehandlingsaktiviteter, der udføres af Snap i henhold til denne aftale, er som følger:

Snaps levering af forretningstjenester til den dataansvarlige.

I denne aftales løbetid plus perioden fra udløbet af denne aftales løbetid til anonymisering, tilbagelevering eller sletning af data i overensstemmelse med denne aftale.

Snap behandler kundens persondata med det formål at levere forretningstjenester til den dataansvarlige i overensstemmelse med og som beskrevet i vilkårene for forretningstjenester og denne aftale.

Kundepersondata vedrørende enkeltpersoner, der leveres til Snap via forretningstjenesterne af (eller på foranledning af) den dataansvarlige, hvilket kan omfatte:

• e-mailadresse

• telefonnummer

• mobil annonce-ID (IDFA/AAID)

• IP-adresse

• cookie id

• browserens brugeragent

• handlinger og hændelser på hjemmesider og apps, herunder viste sider, køb, søgninger, check-out-hændelser, ønskelister, installationer og brugerregistreringsmetoder

Ikke relevant

Kontinuerlig

Registrerede personer omfatter personer fra EØS, Schweiz, Storbritannien og Brasilien, om hvem personoplysninger leveres til Snap via forretningstjenesterne af (eller på foranledning af) den dataansvarlige.

Den kompetente tilsynsmyndighed vil være den hollandske databeskyttelsesmyndighed (Autoriteit Persoonsgegevens, AP).

1. Implementering og overholdelse af et skriftligt informationssikkerhedsprogram i overensstemmelse med etablerede industristandarder og inklusive administrative, tekniske og fysiske sikkerhedsforanstaltninger, der passer til arten af kundens personlige data og er designet til at beskytte sådanne oplysninger mod: uautoriseret adgang, ødelæggelse, brug, ændring eller offentliggørelse; uautoriseret adgang til eller brug, der kan resultere i væsentlig skade eller ulempe for den dataansvarlige, den dataansvarliges kunder eller den dataansvarliges medarbejdere; og eventuelle forventede trusler eller farer for sikkerheden eller integriteten af sådanne oplysninger.

2. Vedtagelse og implementering af rimelige politikker og standarder i forbindelse med sikkerhed.

3. Tildeling af ansvar for styring af informationssikkerhed.

4. Afsætte tilstrækkelige personaleressourcer til informationssikkerhed.

5. Udførelse af verifikationskontrol af fastansatte medarbejdere, der har adgang til kundens personlige data.

6. Gennemføre passende baggrundstjek og kræve, at medarbejdere, leverandører og andre med adgang til kundens personlige data indgår skriftlige fortrolighedsaftaler.

7. Gennemførelse af uddannelse for at gøre medarbejdere og andre med adgang til kundens personlige data opmærksomme på informationssikkerhedsrisici og for at forbedre overholdelsen af Snaps politikker og standarder i forbindelse med databeskyttelse.

8. Forebyggelse af uautoriseret adgang til kundens personlige data gennem brug af fysiske og logiske (adgangskoder) adgangskontroller, sikre områder til databehandling, procedurer til overvågning af brugen af databehandlingsfaciliteter, indbyggede systemrevisionsspor, alt efter hvad der er relevant, brug af sikre adgangskoder, teknologi til detektering af netværksindtrængen, krypterings- og autentificeringsteknologi, sikre log-on-procedurer og virusbeskyttelse, løbende overvågning af overholdelse af Snaps politikker og standarder i forbindelse med databeskyttelse. Snap har i særdeleshed implementeret og overholder, hvor det er relevant og uden begrænsning:

• Fysiske adgangskontrolforanstaltninger for at forhindre uautoriseret adgang til databehandlingssystemer (f.eks. adgangs-ID-kort, kortlæsere, skrankevagter, alarmsystemer, bevægelsesdetektorer, tyverialarmer, videoovervågning og udvendig sikkerhed);

• Denial-of-use kontrolforanstaltninger for at forhindre uautoriseret brug af databeskyttelsessystemer (f.eks. automatisk håndhævet adgangskodekompleksitet og krav om ændring og firewalls). ;

• Kravdrevet autorisationsordning og adgangsrettigheder samt overvågning og logning af systemadgang for at sikre, at personer, der har ret til at bruge et databehandlingssystem, kun har adgang til de data, de har ret til at få adgang til, og at kundens personlige data ikke kan læses, kopieres, ændres eller fjernes uden tilladelse;

• Kontrolforanstaltninger til datatransmission for at sikre, at kundens personlige data ikke kan læses, kopieres, ændres eller fjernes uden tilladelse under elektronisk transmission, transport eller lagring på datamedier og overførsel og modtagelse af optegnelser. I særdeleshed vil Snaps informationssikkerhedsprogram blive designet:

  • At kryptere alle datasæt, som Snap er i besiddelse af, herunder følsomme personoplysninger, ved hjælp af passende krypteringsniveauer baseret på branchens førende krypteringsstandarder, herunder AES-256, og lagring af brugeridentiteter på systemet ved hjælp af nøgleværdipar såsom ghost_id for at forhindre lagring af det faktiske bruger-ID; og

  • At sikre, at alle følsomme persondata, der overføres elektronisk (undtagen via fax) til en person uden for Snaps IT-system eller overføres via et offentligt netværk, krypteres ved hjælp af de nyeste understøttede versioner af TLS 1.2-protokollen for at beskytte overførslens sikkerhed;

• Kontrolforanstaltninger for dataindtastning for at sikre, at Snap kan kontrollere og fastslå, om og af hvem kundens persondata er blevet indtastet i databehandlingssystemer, ændret eller fjernet;

• Kontinuerlig sikkerhedstest for at sikre, at informationssikkerhedspraksis forbliver relevant, effektiv og opdateret, herunder årlige penetrationstest, bug bounty-program, brug af systemscanningsværktøjer, tabletop-øvelser, backup-genoprettelsestest, pre-production failovers og gennemførelse af post-mortems på alle faktiske hændelser for at opdatere de relevante disaster recovery-planer;

• Overvågningsforanstaltninger for underbehandlere for at sikre, at hvis Snap har tilladelse til at bruge underbehandlere, behandles kundens persondata strengt i overensstemmelse med den dataansvarliges instruktioner, herunder, hvor det er relevant:

  • Foranstaltninger til at sikre, at kundens personlige data er beskyttet mod utilsigtet ødelæggelse eller tab, herunder, hvor det er relevant og uden begrænsning, politikker for sikkerhedskopiering, opbevaring og sikker destruktion af data; sikker ekstern lagring af data, der er tilstrækkelig til katastrofegendannelse; uafbrudt strømforsyning og katastrofeberedskabsprogrammer; og

  • Foranstaltninger til at sikre, at data indsamlet til forskellige formål kan behandles separat, herunder, hvis det er relevant, fysisk eller tilstrækkelig logisk adskillelse af kundens personlige data. 

9. At tage andre skridt, som måtte være passende under omstændighederne.