VÄLIMIESMENETTELYÄ KOSKEVA HUOMAUTUS: YRITYSPALVELUEHDOISSA ILMOITETTUA VÄLIMIESMENETTELYSÄÄDÖSTÄ KOSKEVAT EHDOT SITOVAT SINUA. JOS SINULLA ON SOPIMUS SNAP INC.:n KANSSA, SINÄ JA SNAP INC. LUOVUTTE OIKEUDESTANNE OSALLISTUA RYHMÄKANTEESEEN TAI RYHMÄN LAAJUISEEN VÄLIMIESMENETTELYYN.

Tämä tietojenkäsittelysopimus ("sopimus") muodostaa oikeudellisesti sitovan sopimuksen sinun ja Snapin välillä, sitä sovelletaan siltä osin kuin Snap käsittelee asiakkaiden henkilötietoja puolestasi, kun sinä olet rekisterinpitäjä, ja se on sisällytetty liiketoimintapalveluehtoihin. Jotkin tässä sopimuksessa käytetyt termit on määritelty liiketoimintapalveluehdoissa.

"Asiakkaan henkilötiedot" tarkoittaa ETA:n, Sveitsin, Yhdistyneen kuningaskunnan ja Brasilian rekisteröityjen henkilötietoja, jotka sinä tai sinun puolestasi toimitat Snapille, kun olet rekisterinpitäjä.

"Rekisterinpitäjä" tarkoittaa GDPR:ssä, Yhdistyneen kuningaskunnan GDPR:ssä tai LGPD:ssä soveltuvin osin määriteltyä rekisterinpitäjää, joka yksin tai yhdessä muiden kanssa määrittää asiakkaan henkilötietojen käsittelyn tarkoitukset ja keinot.

"Tietosuojalaki" tarkoittaa ETA:n, Sveitsin, Yhdistyneen kuningaskunnan ja Brasilian tietosuojalakeja, joita sovelletaan Asiakkaan henkilötietojen käsittelyyn tämän sopimuksen mukaisesti, mukaan lukien GDPR, Yhdistyneen kuningaskunnan tietosuojalait ja LGPD.

"ETA" tarkoittaa Euroopan talousaluetta.

"GDPR" tarkoittaa 27. päivänä huhtikuuta 2016 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaata liikkuvuutta ja direktiivin 95/46/EY kumoamista.

"LGPD" tarkoittaa Brasilian yleistä tietosuojalakia (Lei Geral de Proteção de Dados Pessoais).

"Henkilötietojen loukkaus" tarkoittaa vahingossa tapahtuvaa tai laitonta tuhoamista, hukkaamista, muuttamista, luvatonta paljastamista tai pääsyä Snapin hallinnoimiin tai hallitsemiin asiakkaan henkilötietoihin.

"Alikäsittelijät" tarkoittaa kolmansia osapuolia, joilla on valtuutus tämän sopimuksen nojalla päästä ja käsitellä asiakkaan henkilötietoja osien Yrityspalveluiden tarjoamiseksi.

"UK" tarkoittaa Yhdistynyttä kuningaskuntaa.

"Yhdistyneen kuningaskunnan tietosuojasäädännöt" tarkoittaa GDPR:ää, koska se on osa Englannin ja Walesin, Skotlannin ja Pohjois-Irlannin lakia Yhdistyneessä kuningaskunnassa annetun Euroopan unionin (Withdrawal) Act 2018 -lain ("UK GDPR") 3 §:n ja Tietosuojalaki 2018.

Termeillä "henkilötiedot", "rekisteröinnin kohteena oleva", "käsittely", "rekisterinpitäjä", "käsittelijä", "edustaja" ja "valvontaviranomainen", kullakin tässä sopimuksessa käytettynä, on GDPR:ssä, Yhdistyneen kuningaskunnan GDPR:ssä tai LGPD:ssä, tapauksen mukaan, jokaisessa tapauksessa riippumatta siitä, sovelletaanko tietosuojasäädäntöä.

a. Osapuolten tehtävät. Snap käsittelee soveltuvin osin asiakkaiden henkilötietoja rekisterinpitäjän puolesta ja sen antamien ohjeiden mukaisesti, kuten GDPR:n artikla 28 (1), Yhdistyneen kuningaskunnan GDPR ja LGPD edellyttävät.

b. Nimittäminen. Rekisterinpitäjä nimittää Snapin käsittelemään asiakkaiden henkilötietoja rekisterinpitäjän puolesta vain siltä osin kuin on tarpeen liiketoimintapalvelujen tarjoamiseksi ja siten kuin osapuolet saattavat myöhemmmin sopia kirjallisesti.

c. Käsittelyn oikeellisuus. Rekisterinpitäjä vastaa pätevän juridisen perustan varmistamisesta asiakkaiden henkilötietojen käsittelyä varten.

d. Käsittelyn yksityiskohdat. Käsittelyn aihe ja yksityiskohdat on kuvattu tämän sopimuksen luettelossa 1.

e. Lainmukaisuus. Kukin osapuoli suostuu noudattamaan tietosuojalainsäädännön mukaisia velvoitteitaan liittyen kaikkiin asiakkaiden henkilötietoihin, joita osapuolet käsittelevät tämän sopimuksen mukaisesti tai siihen liittyen. Vaikuttamatta edellä mainittuun todetaan, että Snap ei käsittele asiakkaiden henkilötietoja tavalla, joka johtaa tai todennäköisesti johtaa siihen, että rekisterinpitäjä toimii vastoin tietosuojalain mukaisia velvoitteitaan. Snap ilmoittaa viipymättä rekisterinpitäjälle, jos Snap katsoo, että rekisterinpitäjän ohje rikkoo tietosuojalakia.

a. Asiakkaiden henkilötietojen käsittely. Snap käsittelee asiakkaiden henkilötietoja vain liiketoiminnan palveluehtojen ja tämän sopimuksen mukaisesti, eikä Snap käytä tai käsittele asiakkaiden henkilötietoja millään muulla tavalla kuin toimiessaan rekisterinpitäjän nimittämänä tietojen käsittelijänä.

b. Tietojen suojaus. Kuten tämän sopimuksen luettelossa 2 kuvataan, Snap toteuttaa ja ylläpitää artiklan 32 GDPR, UK GDPR:n ja LGPD:n mukaisesti sovellettavilta osin kaikkia asianmukaisia teknisiä, hallinnollisia ja organisaatiotason toimenpiteitä, joita edellytetään: (i) luottamuksellisuuden ja turvallisuuden tason varmistamiseksi, joka on asianmukainen ottaen huomioon riskit, joita aiheutuu asiakkaiden henkilötietojen käsittelystä ja luonteesta johtuen; ja (ii) jotta estetään asiakkaiden henkilötietojen luvaton tai laiton käsittely, tahaton menetys, leviäminen sekä tuhoaminen tai vahingoittaminen.

c. Salassapito. Snap ei julkaise tai paljasta (ja varmistaa, että yrityksen henkilöstö ei julkaise tai paljasta) asiakkaiden henkilötietoja kolmannelle osapuolelle, ellei rekisterinpitäjä ole antanut etukäteen kirjallista suostumusta.

d. Luottamuksellisuus. Snap varmistaa, että vain työntekijöillä, joiden voi olla tarpeen avustaa yrityksen velvollisuuksien täyttämiseksi liiketoiminnan ehtojen tai tämän sopimuksen mukaisesti, on pääsy asiakkaiden henkilötietoihin; että näitä työntekijöitä sitovat asianmukaiset velvoitteet luottamuksellisuudesta; ja että he ryhtyvät kaikkiin asianmukaisiin toimiin toimialan parhaiden käytäntöjen mukaisesti, jotta asiakkaiden henkilötiedot pysyvät luottamuksellisina.

e. Yhteistyö. Snap tarjoaa asianmukaista yhteistyötä ja apua rekisterinpitäjälle, sillä rekisterinpitäjä voi asianmukaisesti vaatia, että rekisterinpitäjälle sallitaan velvoitteiden täyttäminen artikloiden 32-36 GDPR, UK GDPR:n ja LGPD:n mukaisesti sovellettavin osin, mukaan lukien liittyen tietojen suojaukseen, tietorikosilmoitukseen, tietojen suojauksen vaikutusarviointeihin, valvontaviranomaisten etukäteiskonsultaatioon, tietoihin liittyvien henkilöiden oikeuksien toteuttamiseen sekä mihin tahansa valvontaviranomaisen tiedusteluun, määräykseen tai tutkintaan, kuten tässä sopimuksessa myöhemmin tarkemmin kuvataan.

f. Tietoihin liittyvä henkilö ja valvontatarkoituksessa tehdyt pyynnöt. Snap ilmoittaa rekisterinpitäjälle viipymättä, ja joka tapauksessa kahden arkipäivän kuluessa, kaikista tiedusteluista ja valituksista, joita Snap saa tietoihin liittyvältä henkilöltä tai valvontaviranomaiselta liittyen asiakkaiden henkilötietoihin. Snap avustaa kaupallisesti kohtuullisin tavoin rekisterinpitäjää täyttämään velvoitteensa vastata pyyntöihin, jotka tulevat tietoihin liittyviltä henkilöiltä ja valvontaviranomaisilta, tietosuojalain mukaisesti.

g. Tietojen suojauksen vaikutusarviointi. Snap antaa pyydettäessä rekisterinpitäjälle kaupallisesti kohtuullista tietoa ja apua, ottaen huomioon tietojenkäsittelytoiminnan luonteen ja Snapilla käytettävissä olevat tiedot, auttaakseen rekisterinpitäjää suorittamaan tietojen suojauksen vaikutusarvioinnin tietosuojalain mukaisesti.

h. Todisteiden antaminen. Tämän sopimuksen keston ja sen jälkeen yhden vuoden ajan Snap antaa rekisterinpitäjälle tai sen puolesta toimivalle kansainvälisesti tunnustetulle tarkastusyritykselle pääsyn kaikkiin tietoihin, jotka ovat kohtuullisen tarpeen sen osoittamiseksi, että Snap on noudattanut tätä sopimusta, ja Snap sallii ja tukee tarkastuksia, joiden suorittajina toimivat rekisterinpitäjä tai sen edustajat, joita sitovat asianmukaiset luottamuksellisuusvelvoitteet; jos: (i) rekisterinpitäjä toimittaa kirjallisen ilmoituksen Snapille vähintään kymmenen arkipäivää aiemmin; (ii) tarkastus suoritetaan Snapin normaalin työajan puitteissa ja tavalla, joka ei häiritse kohtuuttomasti Snapin tavanomaista liiketoimintaa; (iii) tarkastus kestää enintään kolme kokonaista arkipäivää; (iv) missään tapauksessa rekisterinpitäjällä (tai epäilyksen välttämiseksi millään kolmannen osapuolen valtuutetulla tarkastajalla) ei ole oikeutta käyttää tai vastaanottaa Snapin omistamaa tai luottamuksellista tietoa, paitsi siltä osin kuin on ehdottoman välttämätöntä sen osoittamiseksi, että tätä sopimusta on noudatettu; ja (v) rekisterinpitäjä velvoitetaan korvaamaan Snapille Snapin dokumentoidut kohtuulliset kustannukset, jos tarkastuksessa todetaan, että Snap on noudattanut tätä sopimusta. Jos tarkastuksessa todetaan, että Snap ei ole noudattanut tätä sopimusta, Snap on velvollinen maksamaan kaikki kohtuulliset kustannukset tarkastuksesta.

i. Asiakkaiden henkilötietojen palauttaminen tai tuhoaminen. Kun Snapin velvoitteet on suoritettu liittyen asiakkaiden henkilötietojen käsittelyyn tämän sopimuksen mukaisesti tai rekisterinpitäjän pyynnöstä milloin tahansa tämän sopimuksen ollessa voimassa, (ja jos rekisterinpitäjä pyytää, säännöllisin väliajoin rekisterinpitäjän päätöksen mukaisesti), Snap joko: (i) palauttaa rekisterinpitäjälle kokonaisuudessaan tai osittain asiakkaiden henkilötiedot, jotka Snapilla on hallussaan; (ii) tekee asiakkaiden henkilötiedot kokonaisuudessaan tai osittain anonyymeiksi siten, että tiedot eivät enää ole henkilötietoja; tai (iii) poistaa pysyvästi henkilötiedot tai tekee niistä kokonaisuudessaan tai osittain lukukelvottomia. Rekisterinpitäjän pyynnöstä Snapin on annettava kirjallinen vahvistus rekisterinpitäjälle asiakkaiden henkilötietojen anonymisoinnista, palauttamisesta ja poistamisesta.

j. Muunnetut asiakkaiden henkilötiedot. Jos Snap vastaanottaa asiakkaiden henkilötietoja muunnettuina tai muutoin peitellyssä muodossa, Snap ei: (i) yritä takaisinmallintaa tai muutoin tunnistaa muunnettua tai peiteltyä henkilötietoa, ellei rekisterinpitäjä kehota Snapia tekemään niin; ja (ii) jakaa asiakkaiden henkilötietoja vain siinä muodossa, jossa Snap sai ne rekisterinpitäjältä.

a. Ilmoitus. Snap ilmoittaa sovellettavin osin artiklan 33 GDPR, UK GDPR ja LGPD mukaisesti rekisterinpitäjälle ilman tarpeetonta viivettä, ja mikäli mahdollista, 72 tunnin kuluessa siitä, kun henkilötietorikos tulee Snapin tietoon. Snap antaa myös rekisterinpitäjälle kuvauksen henkilötietorikoksesta, rikoksen kohteena olevan tiedon tyypin, (siinä määrin kuin on Snapin tiedossa) kohteena olevien henkilöiden luokat sekä muut tiedot, joita sovellettava tietosuojalainsäädäntö edellyttää, heti kun nämä tiedot voidaan hankkia tai ne tulevat muutoin saataville. Snap tekee yhteistyötä mitä tahansa rekisterinpitäjän kohtuullista pyyntöä koskien, joka liittyy käsiteltävään henkilötietorikokseen.

b. Tutkimus. Snap sitoutuu ryhtymään välittömästi toimiin tutkiakseen henkilötietorikosta sekä tunnistaakseen, ehkäistäkseen ja lieventääkseen tällaisten henkilötietorikosten vaikutuksia, ja rekisterinpitäjän aiemman hyväksynnän mukaisesti suorittamaan kaikki korjaavat tai muut toimet, jotka ovat tarpeen oikeussuojakeinoina henkilötietorikoksen tapahduttua.

a. Valtuutetut alikäsittelijät. Rekisterinpitäjä valtuuttaa erityisesti Snapin tytäryhtiöt käsittelemään asiakkaiden henkilötietoja, ja rekisterinpitäjä valtuuttaa yleisesti ottaen kaikki muut kolmannet osapuolet alikäsittelijöiksi käsittelemään asiakkaiden henkilötietoja.

b. Alikäsittelijän oikeudet. Soveltuvin osin yleisen tietosuoja-asetuksen 28 artiklan 4 kohdan, Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen ja LGPD:n mukaisesti Snap asettaa kullekin alikäsittelijälle oikeudellisesti sitovat sopimusehdot, jotka ovat yhtä rajoittavia kuin tässä sopimuksessa olevat ehdot.

c. Rajoitettu pääsy. Snap varmistaa, että kukin alikäsittelijä pääsee käsiksi asiakkaiden henkilötietoihin ja käyttää niitä vain siinä määrin kuin se on tarpeen sille alihankintana annettujen velvoitteiden suorittamiseksi ja tämän sopimuksen mukaisesti.

d. Alikäsittelijöiden päivitykset. GDPR:n 28 artiklan 2 kohdan ja Yhdistyneen kuningaskunnan GDPR:n (soveltuvin osin) mukaisesti tässä on ajantasainen luettelo: (i) kaikki alikäsittelijät, jotka osallistuvat asiakkaiden henkilötietojen käsittelyyn; (ii) tarkoitukset, joita varten alikäsittelijät käsittelevät asiakkaiden henkilötietoja; ja (iii) kunkin alikäsittelijän sijainti. Snap ilmoittaa tiedot rekisterinpitäjälle vähintään 30 päivää ennen uuden alikäsittelijän lisäämistä. 

e. Oikeus vastustaa. Rekisterinpitäjällä on oikeus vastustaa uuden alikäsittelijän lisäämistä tässä jaksossa kuvatulla tavalla. Jos rekisterinpitäjä vastustaa sitä, että vastikään nimetty alikäsittelijä käsittelee asiakkaiden henkilötietoja, se ilmoittaa asiasta välittömästi Snapille, minkä jälkeen Snap joko (i) kehottaa alikäsittelijää lopettamaan asiakkaiden henkilötietojen käsittelyn, jolloin tämä sopimus säilyy ennallaan, tai (ii) antaa rekisterinpitäjälle mahdollisuuden irtisanoa tämä sopimus välittömästi.

a. Jos rekisterinpitäjä toimii ETA:ssa, Sveitsissä tai Yhdistyneessä kuningaskunnassa ja siirtää henkilötietoja Snap Inc. -yhtiölle, tiedonsiirtosopimus:

(i) on voimassa tällaisia siirtoja koskien;

(ii) ohittaa kaikki muut ehdot, mukaan lukien tämän sopimuksen ehdot, tällaisten siirtojen osalta;

(iii) muodostaa juridisesti sitovan sopimuksen sinun (tiedon viejänä) sekä Snapin (tiedon tuojana tai tämän puolesta toimivana) välille; ja

(iv) sisällytetään täten yrityksen palveluehtoihin.

b. ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan kansalaisten henkilötietoja koskien rekisterinpitäjä ja Snap sopivat, että Snap voi käsitellä asiakkaiden henkilötietoja ETA:n, Sveitsin ja Yhdistyneen kuningaskunnan ulkopuolella, jos tietosuojalain vaatimukset (mukaan lukien soveltuvin osin GDPR:n artiklat 44-47) täyttyvät, tai jos kyseessä on poikkeus (mukaan lukien soveltuvin osin GDPR:n artiklassa 49 luetellut).

c. Brasilian kansalaisten henkilötietoja koskien rekisterinpitäjä on samaa mieltä, että Snap voi käsitellä asiakkaiden henkilötietoja Brasilian ulkopuolella, ja toteaa ja takaa sen, että tällainen asiakkaiden henkilötietojen siirto on LGPD:n mukainen.

a. Vahingonkorvaus. Snap sitoutuu vapauttamaan rekisterinpitäjän kaikista kolmansien osapuolten valituksista, maksuista, vaatimuksista, vahingoista, menetyksistä, kustannuksista, vastuista ja kuluista, jotka johtuvat siitä tai liittyvät siihen, että Snap on rikkonut tätä sopimusta.

b. Vahingonkorvausprosessi. Rekisterinpitäjä ilmoittaa Snapille viipymättä kirjallisesti kaikista korvausvaatimuksista, mutta ilmoituksen tekemättä jättäminen ei vapauta Snapia mistään korvausvastuusta tai -velvoitteesta, paitsi siltä osin kuin Snapille aiheutuu tästä laiminlyönnistä merkittävää haittaa. Rekisterinpitäjä tekee Snapin kustannuksella kohtuullisesti yhteistyötä Snapin kanssa kaikkien korvausvaatimusten puolustamisessa, sovitteluissa tai sovinnoissa. Snap ei tee kompromissia tai sovi mistään vaateista millään tavalla eikä myönnä vastuuta ilman rekisterinpitäjän etukäteen antamaa kirjallista suostumusta, jonka rekisterinpitäjä voi antaa oman harkintansa mukaan. Rekisterinpitäjä voi osallistua (omalla kustannuksellaan) vaateen puolustamiseen, sovitteluun ja sovintoon rekisterinpitäjän valitseman oikeusavustajan kanssa.

c. Alikäsittelijän vastuuvapaus. Snap tunnustaa ja hyväksyy, että se on edelleen vastuussa rekisterinpitäjälle siitä, että alikäsittelijänä toimiva henkilötietojen käsittelijä ja muut sen nimeämät myöhemmät ulkopuoliset henkilötietojen käsittelijät rikkovat tämän sopimuksen ehtoja.

a. Irtisanominen. Sopimus päättyy automaattisesti liiketoimintaehtojen päättyessä.

b. Voimassaolon kesto. Snapin velvoitteet, jotka liittyvät asiakkaiden henkilötietojen palauttamiseen tai poistamiseen, säilyvät liiketoimintapalveluehtojen ja tämän sopimuksen irtisanomisen jälkeen, kunnes Snap on palauttanut tai poistanut asiakkaiden henkilötiedot tämän sopimuksen mukaisesti.

Tietojen viejä on tässä sopimuksessa määritelty rekisterinpitäjä, jonka nimi, osoite ja yhteystiedot toimitetaan Snapille yrityspalvelujen kautta. Näiden lausekkeiden mukaisesti siirrettävien tietojen kannalta merkityksellisiin toimintoihin kuuluu asianomaisten liiketoimintapalvelujen käyttö liiketoimintapalveluehtojen ja sovellettavien lisäehtojen ja -käytäntöjen mukaisesti. Tietojen viejän on oltava rekisterinpitäjän roolissa. 

Tietojen tuoja on :

Snap Inc. jonka osoite on 3000 31st Street, Santa Monica, California 90405

Näiden lausekkeiden mukaisesti siirrettävien tietojen kannalta merkityksellisiin toimintoihin kuuluu asianomaisten liiketoimintapalvelujen tarjoaminen liiketoimintapalveluehtojen ja sovellettavien lisäehtojen ja -käytäntöjen ehtojen mukaisesti. Tietojen tuojan on oltava käsittelijän roolissa.

Snapin tämän sopimuksen nojalla suorittamat tietojenkäsittelytoimet ovat seuraavat:

Snapin tarjoamat liiketoimintapalvelut rekisterinpitäjälle.

Tämän sopimuksen voimassaoloajan sekä tämän sopimuksen voimassaoloajan päättymisestä siihen asti, kunnes tiedot anonymisoidaan, palautetaan tai poistetaan tämän sopimuksen mukaisesti.

Snap käsittelee asiakkaan henkilötietoja liiketoimintapalveluiden tarjoamiseksi rekisterinpitäjälle liiketoimintapalveluehtojen ja tämän sopimuksen mukaisesti ja niissä kuvatulla tavalla.

Asiakkaan henkilötiedot, jotka rekisterinpitäjä on toimittanut Snapille liiketoimintapalvelujen kautta (tai rekisterinpitäjän johdolla) ja jotka voivat sisältää:

• sähköpostiosoite

• puhelinnumero

• mobiilimainos-ID (IDFA/AAD)

• IP-osoitteita

• eväste-ID

• selaimen käyttäjäagentti

• verkkosivustoilla ja sovelluksissa tehdyt toimet ja tapahtumat, mukaan lukien katsotut sivut, ostot, haut, uloskirjautumistapahtumat, toivelistat, asennukset ja käyttäjien rekisteröintimenetelmät

Ei sovelleta

Jatkuva

Rekisteröidyt ovat ETA-alueen, Sveitsin, Ison-Britannian ja Brasilian kansalaisia, joiden henkilötietoja rekisterinpitäjä on toimittanut Snapille liiketoimintapalvelujen kautta (tai rekisterinpitäjän johdolla).

Toimivaltainen valvontaviranomainen on Alankomaiden tietosuojaviranomainen (Autoriteit Persoonsgegevens, AP).

1. Toimialan vakiintuneiden standardien mukaisen, kirjallisen tietoturvaohjelman käyttöönotto ja noudattaminen. Ohjelma sisältää hallinnolliset, tekniset ja fyysiset suojatoimet, jotka ovat asianmukaisia asiakkaiden henkilötietojen luonteen kannalta ja joiden tarkoituksena on suojella näitä tietoja seuraavilta: luvaton pääsy, tuhoaminen, käyttö, muokkaus tai jakaminen; luvaton pääsy tai käyttö, joka voi aiheuttaa huomattavaa vahinkoa tai haittaa rekisterinpitäjälle, rekisterinpitäjän asiakkaille tai rekisterinpitäjän työntekijöille; mahdolliset ennakoidut uhat tai vaarat näiden tietojen suojaukselle tai koskemattomuudelle.

2. Turvallisuutta koskevien asianmukaisten käytäntöjen ja standardien omaksuminen ja toteuttaminen.

3. Tietoturvahallinnon vastuiden määrittely.

4. Riittävien henkilöstöresurssien kohdistaminen tietoturvatoimiin.

5. Tarkastusten suorittaminen pysyvään henkilökuntaan kuuluvilla, joilla tulee olemaan pääsy asiakkaiden henkilötietoihin.

6. Asianmukaisten taustatarkastusten suorittaminen sekä luottamuksellisuutta koskevien kirjallisten sopimusten edellyttäminen työntekijöiltä, myyjiltä ja muilta, joilla on pääsy asiakkaiden henkilötietoihin.

7. Koulutuksen toteuttaminen, jotta työntekijät ja muut, joilla on pääsy asiakkaiden henkilötietoihin, tulevat tietoisiksi tietoturvaa koskevista riskeistä ja jotta voidaan edistää Snapin tietoturvaa koskevien käytäntöjen ja standardien noudattamista.

8. Estetään luvaton pääsy asiakkaiden henkilötietoihin käyttämällä soveltuvin osin fyysisiä ja loogisia (salasanat) pääsyrajoitteita, suojattuja alueita tiedonkäsittelyssä, tiedonkäsittelytilojen käytön valvonnan menettelyitä, sisäänrakennettuja järjestelmätarkastuksen menettelyitä, suojattuja salasanoja, verkkoon tunkeutumisen havaitsemisteknologiaa, salaus- ja todennusteknologiaa, suojattuja kirjautumismenettelyitä ja virustorjuntaa sekä Snapin tietoturvaan liittyvien käytäntöjen ja standardien noudattamisen jatkuvaa valvontaa. Tarkemmin ottaen Snap on toteuttanut ja noudattaa soveltuvin osin ja rajoituksetta seuraavia:

• Fyysiset pääsynvalvonnan toimenpiteet, joilla estetään luvaton pääsy tietojenkäsittelyjärjestelmiin (esim. tunnistekortit, kortinlukijat, turvallisuusvirkailijat, hälytysjärjestelmät, liiketunnistimet, murtohälyttimet, videovalvonta ja ulkotilojen turvallisuus);

• Käytön estävät toimenpiteet, joilla torjutaan tietosuojajärjestelmien luvaton käyttö (esim. automaattisesti parannettu salasanavahvuus, pakollinen vaihtaminen ja palomuurit) ;

• vaatimuspohjainen valtuutusjärjestelmä ja käyttöoikeudet sekä järjestelmän käytön valvonta ja kirjaaminen, jotta henkilöillä, joilla on oikeus käyttää tietojenkäsittelyjärjestelmää, on pääsy vain tietoihin, joiden käyttöoikeus heillä on, ja jotta asiakkaiden henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta;

• tiedonsiirron valvontatoimenpiteet, joilla varmistetaan, että asiakkaiden henkilötietoja ei voida lukea, kopioida, muokata tai poistaa ilman valtuutusta sähköisen siirron, kuljetuksen tai fyysisellä välineellä säilytyksen aikana eikä asiakirjojen siirron tai vastaanottamisen aikana. Tarkemmin ottaen Snapin tietoturvaohjelma suunnitellaan siten, että se:

  • salaa säilytysvaiheessa kaikki Snapin omistamat tietojoukot, mukaan lukien arkaluonteiset henkilötiedot, käyttäen asianmukaisia salaustasoja perustuen toimialan johtaviin salausstandardeihin, mukaan lukien AES -256, ja säilyttämällä käyttäjätunnisteita järjestelmässä avainarvoparien avulla, kuten ghost_id, jotta voidaan välttää varsinaisen käyttäjätunnuksen säilytys; ja

  • varmistaa, että kaikki arkaluonteiset henkilötiedot, jotka siirretään sähköisesti (muutoin kuin faksin välityksellä) Snapin IT-järjestelmän ulkopuoliselle henkilölle tai jotka siirretään julkisessa verkossa, salataan käyttäen uusimpia tuettuja TLS 1.2 -protokollan versioita siirron suojauksen varmistamiseksi;

• tietojen lisäämisen valvontatoimenpiteet, jotta Snap voi tarkistaa ja selvittää, onko ja kenen toimesta asiakkaiden henkilötietoja syötetty tietojenkäsittelyjärjestelmiin, muokattu tai poistettu;

• jatkuvat turvallisuuden testaustoimet, jotta tietoturvakäytännöt pysyvät relevantteina, tehokkaina ja ajantasaisina, mukaan lukien vuosittaiset tunkeutumistestit, Bug bounty -ohjelma, järjestelmäskannauksen työkalujen käyttö, valmiuskeskustelut, varmuuskopiointitestit, tuotantovaihetta edeltävät failover-testit sekä kaikkien tapahtuneiden haittatilanteiden selvitys, jotta asianmukaisia varautumissuunnitelmia voidaan päivittää;

• alihankkijoiden suorittaman käsittelyn valvonta, jotta varmistetaan, että mikäli Snapin sallitaan käyttää alihankkijoita käsittelyssä, asiakkaiden henkilötiedot käsitellään täysin rekisterinpitäjän ohjeiden mukaisesti, mukaan lukien soveltuvin osin:

  • toimenpiteet, joilla asiakkaiden henkilötiedot suojataan tahattomalta tuhoutumiselta tai menetykseltä, mukaan lukien soveltuvin osin ja rajoituksetta varmuuskopiointi, palauttaminen ja suojatut tuhoamiskäytännöt; suojattu tietojen säilytys toimipisteen ulkopuolella, joka riittää katastrofeista palautumiseen; keskeytymätön virran saanti ja katastrofeista palautumisen ohjelmat; ja

  • toimenpiteet, joilla varmistetaan, että eri tarkoituksiin hankitut tiedot voidaan käsitellä erikseen, mukaan lukien soveltuvin osin fyysinen tai asianmukainen looginen asiakkaiden henkilötietojen erottelu.

9. Muihin tällaisiin toimenpiteisiin ryhtyminen silloin, kun se voi olla asianmukaista olosuhteiden kannalta.