PRANEŠIMAS APIE ARBITRAŽĄ: PRIVALOTE LAIKYTIS ARBITRAŽO NUOSTATOS, IŠDĖSTYTOS VERSLO PASLAUGŲ SĄLYGOSE. JEIGU SUDAROTE SUTARTĮ SU „SNAP INC.“, JŪS IR „SNAP INC.“ ATSISAKOTE BET KOKIŲ TEISIŲ DALYVAUTI KOLEKTYVINIO IEŠKINIO BYLOJE ARBA KOLEKTYVINIO ARBITRAŽO PROCEDŪROJE.

Šis Duomenų tvarkymo susitarimas (toliau – Susitarimas) yra teisiškai privaloma sutartis tarp tavęs ir „Snap“, jis taikomas tuo atveju, kai „Snap“ tvarko Kliento asmens duomenis jūsų vardu, kai esate Duomenų valdytojas, ir yra įtrauktas į Verslo duomenų sąlygas. Kai kurios šiame Susitarime vartojamos sąvokos apibrėžtos Verslo paslaugų sąlygose.

Kliento asmens duomenys – tai EEE, Šveicarijoje, JK ir Brazilijoje įsikūrusių duomenų subjektų asmens duomenys, kuriuos tu arba kitas asmuo tavo vardu pateikia „Snap“, kai jūs esate Duomenų valdytojas.

Duomenų valdytojas – tai Bendrajame duomenų apsaugos reglamente (GDPR), JK GDPR arba LGPD (Bendrajame duomenų apsaugos įstatyme), kai taikoma, apibrėžtas valdytojas, kuris savarankiškai arba kartu su kitais sprendžia dėl Kliento asmens duomenų tvarkymo tikslų bei priemonių.

Duomenų apsaugos įstatymas – tai EEE, Šveicarijos, JK ir Brazilijos duomenų apsaugos įstatymai, pagal šį Susitarimą taikomi tvarkant Kliento asmens duomenis, įskaitant GDPR, JK duomenų apsaugos įstatymus ir LGPD.

EEE – tai Europos ekonominė erdvė.

GDPR (arba "BDAR; Bendras Duomenų Apsaugos Reglamentas") – tai 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo bei kuriuo panaikinama Direktyva 95/46/EB.

LGPD – tai Brazilijos Bendrasis duomenų apsaugos įstatymas (Lei Geral de Proteção de Dados Pessoais).

Asmens duomenų saugumo pažeidimas – tai netyčinis arba neteisėtas Kliento asmens duomenų, esančių „Snap“ tvarkomose arba valdomose sistemose, sunaikinimas, praradimas, pakeitimas, atskleidimas arba prieiga prie jų be leidimo.

Apdorotojai – trečiosios šalys, kurioms pagal šį Susitarimą leidžiama pasiekti ir tvarkyti Kliento asmens duomenis, kad būtų galima teikti tam tikras Verslo paslaugų dalis.

JK – tai Jungtinė Karalystė.

JK duomenų apsaugos įstatymai – tai GDPR, nes šis reglamentas yra Anglijos, Velso, Škotijos ir Šiaurės Airijos teisės dalis, vadovaujantis JK 2018 m. (išstojimo iš) Europos Sąjungos akto (toliau – JK GDPR) 3 skyriumi ir 2018 m. Duomenų apsaugos aktu.

Sąvokos „asmens duomenys“, „duomenų subjektas“, „tvarkymas“, „valdytojas“, „tvarkytojas“, „atstovas“ ir „priežiūros institucija“ šiame Susitariame vartojamos GDPR, JK GDPR ir LGPD, jei taikoma, nustatyta reikšme, kiekvienu atveju neatsižvelgiant į tai, ar taikomas Duomenų apsaugos įstatymas.

a. Šalių vaidmenys. „Snap“ Kliento asmens duomenis tvarko Duomenų valdytojo vardu ir nurodymu, vadovaudamasi, kai taikoma, GDPR 28 straipsnio 1 dalimi, JK GDPR ir LGPD.

b. Paskyrimas. Duomenų valdytojas paskiria „Snap“ tvarkyti Kliento asmens duomenis Duomenų valdytojo vardu tik tiek, kiek būtina siekiant teikti Verslo paslaugas ir kaip vėliau šalys susitaria raštu.

c. Duomenų tvarkymo teisėtumas. Duomenų valdytojas privalo užtikrinti tinkamą Kliento asmens duomenų tvarkymo teisinį pagrindą.

d. Informacija apie duomenų tvarkymą. Duomenų tvarkymo dalykas ir informacija aprašyta šio Susitarimo 1 priede.

e. Įstatymų laikymasis. Kiekviena šalis sutinka laikytis savo įsipareigojimų, nustatytų Duomenų apsaugos įstatyme ir susijusių su bet kokiais Kliento asmens duomenimis, kuriuos tvarko pagal šį Susitarimą arba jo atžvilgiu. Nepažeidžiant pirmiau išdėstytų nuostatų, „Snap“ netvarkys Kliento asmens duomenų tokiu būdu, dėl kurio Duomenų valdytojas neįvykdytų arba tikėtina, kad neįvykdys savo įsipareigojimų, nustatytų Duomenų apsaugos įstatyme. „Snap“ nedelsdama informuos Duomenų valdytoją, jei manys, kad Duomenų valdytojo nurodymas pažeidžia Duomenų apsaugos įstatymą.

a. Kliento asmens duomenų tvarkymas. „Snap“ tvarkys Kliento asmens duomenis tik vadovaudamasi Verslo paslaugų sąlygomis bei šiuo Susitarimu ir nenaudos arba netvarkys Kliento asmens duomenų jokiais kitais tikslais, išskyrus tikslus, reikalingus atliekant duomenų tvarkytojo, paskirto Duomenų valdytojo, vaidmenį.

b. Duomenų saugumas. Pagal GDPR 32 straipsnį, JK GDPR ir LGPD, kai taikoma ir kaip aprašyta šio Susitarimo 2 priede, „Snap“ įdiegs ir taikys visas tinkamas technines, administracines ir organizacines priemones, kurios būtinos siekiant: i) užtikrinti tokį konfidencialumo ir saugumo lygį, kuris atitiktų riziką, kylančią tvarkant Kliento asmens duomenis ir jų pobūdį, ir ii) apsisaugoti nuo neleistino arba neteisėto Kliento asmens duomenų tvarkymo, netyčinio praradimo, atskleidimo, sunaikinimo arba žalos šiems duomenims.

c. Informacijos neatskleidimas. „Snap“ neskelbs, neatskleis ir neišduos (ir užtikrins, kad jos darbuotojai neskelbtų, neatskleistų ir neišduotų) Kliento asmens duomenų trečiajai šaliai, išskyrus atvejus, kai Duomenų valdytojas suteikia išankstinį raštišką sutikimą.

d. Konfidencialumas. „Snap“ užtikrins, kad prieigą prie Kliento asmens duomenų turėtų tik tie darbuotojai, kurių gali būti praprašyta padėti vykdyti įmonės įsipareigojimus pagal Verslo paslaugų sąlygas arba šį Susitarimą, ir kad tokie darbuotojai privalės laikytis atitinkamų konfidencialumo įsipareigojimų, taip pat imsis visų pagrįstų veiksmų, atitinkančių geriausią sektoriaus praktiką, siekdami užtikrinti Kliento asmens duomenų konfidencialumą.

e. Bendradarbiavimas. „Snap“ pagrįstai bendradarbiaus su Duomenų valdytoju ir teiks pagrįstą pagalbą, kurios Duomenų valdytojas gali pagrįstai paprašyti, kad Duomenų valdytojui būtų sudarytos sąlygos laikytis GDPR 32–36 straipsniuose, JK GDPR ir LGPD (kai taikoma) nustatytų įsipareigojimų, įskaitant įsipareigojimus, susijusius su duomenų saugumu, pranešimu apie duomenų saugumo pažeidimus, duomenų apsaugos poveikio vertinimu, išankstinėmis konsultacijomis su priežiūros institucijomis, duomenų subjektų teisių įgyvendinimu ir bet kokiomis priežiūros institucijų užklausomis, įspėjimais ar tyrimais, kaip toliau nurodyta šiame Susitarime.

g. Duomenų subjektų ir priežiūros institucijų prašymai. „Snap“ nedelsdama ir bet kuriuo atveju per dvi darbo dienas informuos Duomenų valdytoją apie bet kokias su Kliento asmens duomenimis susijusias užklausas ar skundus, kuriuos gaus iš duomenų subjektų arba priežiūros institucijų. Jei tai komerciškai pagrįsta, „Snap“ padės Duomenų valdytojui vykdyti jo įsipareigojimus atsakydama į duomenų subjektų ir priežiūros institucijų prašymus, kaip reikalaujama Duomenų apsaugos įstatyme.

g. Duomenų apsaugos poveikio vertinimas. Gavusi prašymą, „Snap“ pateiks Duomenų valdytojui komerciškai pagrįstą informaciją ir suteiks komerciškai pagrįstą pagalbą, atsižvelgdama į duomenų tvarkymo veiklos pobūdį bei „Snap“ prieinamą informaciją, kad padėtų Duomenų valdytojui atlikti duomenų apsaugos poveikio vertinimą, kaip reikalaujama Duomenų apsaugos įstatyme.

h. Įrodymų pateikimas. Šio Susitarimo galiojimo laikotarpiu ir vienus metus po to, „Snap“ teiks Duomenų valdytojui arba tarptautiniu mastu pripažįstamai audito įmonei, veikiančiai Duomenų valdytojo vardu, visą informaciją, kuri pagrįstai būtina siekiant įrodyti, kad „Snap“ laikosi šio Susitarimo, ir „Snap“ sudarys sąlygas atlikti auditą, vykdomą Duomenų valdytojo ar jo atstovų, kurie privalo laikytis atitinkamų konfidencialumo įsipareigojimų, bei prisidės prie jo atlikimo; jei: i) Duomenų valdytojas iš anksto – ne vėliau kaip likus dešimčiai darbo dienų – raštu informuos apie tai „Snap“; ii) toks auditas bus vykdomas įprastomis „Snap“ darbo valandomis ir tokiu būdu, kuris nepagrįstai netrukdytų „Snap“ vykdyti įprastos verslo veiklos; iii) toks auditas truks ne ilgiau nei tris ištisas darbo dienas; iv) Duomenų valdytojui (arba siekiant išvengti abejonių, bet kokiam trečiosios šalies auditoriui) jokiais atvejais nesuteikiama teisė pasiekti arba gauti privačios arba konfidencialios „Snap“ informacijos, išskyrus atvejus, kai tai tikrai būtina siekiant laikytis šio Susitarimo; v) Duomenų valdytojas įpareigojamas „Snap“ kompensuoti dokumentais pagrįstas „Snap“ išlaidas, jei atlikus auditą nustatomą, kad „Snap“ laikosi šio Susitarimo. Jei atlikus auditą nustatoma, kad „Snap“ nesilaiko šio Susitarimo, „Snap“ įpareigojama padengti visas pagrįstas tokio audito išlaidas.

i. Kliento asmens duomenų grąžinimas arba sunaikinimas. Įvykdžiusi savo įsipareigojimus, susijusius su Kliento asmens duomenų tvarkymu pagal šį Susitarimą, arba bet kuriuo šio Susitarimo galiojimo laikotarpio metu gavusi Duomenų valdytojo prašymą (ir jei Duomenų valdytojas to prašo – periodiškai, Duomenų valdytojo nustatymu dažnumu), „Snap“ atliks vieną iš šių veiksmų: i) grąžins visus savo turimus Kliento asmens duomenis arba jų rinkinio dalis Duomenų valdytojui; ii) nuasmenins visus Kliento asmens duomenis arba jų dalį tokiu būdu, kad duomenys nebebūtų asmens duomenys; iii) visam laikui ištrins visus Kliento asmens duomenis ar jų dalį arba pasirūpins, kad jie būtų neperskaitomi. Gavusi Duomenų valdytojo prašymą, „Snap“ privalo pateikti Duomenų valdytojui raštišką patvirtinimą dėl Kliento asmens duomenų nuasmeninimo, grąžinimo arba ištrynimo.

j. Kliento asmens duomenys, kuriems pritaikyta maiša. Jei „Snap“ gaus Kliento asmens duomenis, kuriems pritaikyta maiša, arba kitu užmaskuotu formatu, „Snap“: i) nebandys taikyti apgrąžos inžinerijos arba kitaip mėginti pakartotinai identifikuoti Duomenų valdytojo asmens duomenų, kuriems pritaikyta maiša, nei užmaskuotų duomenų, išskyrus atvejus, kai Duomenų valdytojas nurodo „Snap“ tai padaryti; ii) Kliento asmens duomenis bendrins tik tokiu formatu, kokiu „Snap“ juos gavo iš Duomenų valdytojo.

a. Pranešimas. Pagal GDPR 33 straipsnį, JK GDPR ir LGPD, kai taikoma, „Snap“ be nepagrįsto delsimo ir jei įmanoma, praneš Duomenų valdytojui apie Asmens duomenų saugumo pažeidimą, praėjus ne daugiau kaip 72 val. nuo to, kai sužinojo apie jį. „Snap“ taip pat pateiks Duomenų valdytojui Asmens duomenų saugumo pažeidimo aprašymą, nurodys duomenų, kurie buvo Asmens duomenų saugumo pažeidimo dalykas, tipą, nukentėjusių duomenų subjektų kategorijas (tiek, kiek žinoma „Snap“) ir kitą informaciją, kuri būtina pagal taikomą Duomenų apsaugos įstatymą, iš karto, kai tik tokią informaciją bus galima surinkti arba ji taps kitais būdais prieinama, ir „Snap“ bendradarbiaus bet kokio pagrįsto Duomenų valdytojo prašymo, susijusio su Asmens duomenų saugumo pažeidimu, klausimu.

b. Tyrimas. „Snap“ sutinka nedelsdama imtis veiksmų ir ištirti Asmens duomenų saugumo pažeidimą, kad nustatytų tokio Asmens duomenų saugumo pažeidimo poveikį, užkirstų jam kelią ir sušvelnintų jo poveikį, taip pat, gavusi išankstinį Duomenų valdytojo sutikimą, imtųsi atkūrimo ar kitokių veiksmų, būtinų, siekiant pašalinti Asmens duomenų saugumo pažeidimą.

a. Įgaliotieji Apdorotojai. Duomenų valdytojas suteikia konkrečius įgaliojimus „Snap“ filialams įsitraukti į Kliento asmens duomenų tvarkymą; taip pat Duomenų valdytojas suteikia bendrus įgaliojimus bet kokioms trečiosioms šalims, atliekančioms Apdorotojų vaidmenį, tvarkyti Kliento asmens duomenis.

b. Apdorotojo įsipareigojimai. Pagal GDPR 28 straipsnio 4 dalį, JK GDPR ir LGPD, kai taikoma, „Snap“ kiekvienam Apdorotojui taiko teisiškai privalomas sutarties sąlygas, kurios yra tiek pat ribojančios, kiek šiame Susitarime nustatytos sąlygos.

c. Apribota prieiga. „Snap“ užtikrins, kad kiekvienas Apdorotojas pasiektų Kliento asmens duomenis ir jais naudotųsi tik tiek, kiek būtina siekiant vykdyti įsipareigojimus, nustatytus subrangos sutartimi ir vadovaujantis šiuo Susitarimu.

d. Apdorotojų atnaujinimai. Vadovaujantis GDPR 28 straipsnio 2 dalimi ir JK GDPR (kada pritaikoma), čia pateikiamas atnaujintas šių dalykų sąrašas: i) visų Apdorotojų, tvarkančių Kliento asmens duomenis; ii) tikslų, kuriais Apdorotojai tvarko Kliento asmens duomenis, ir iii) visų Apdorotojų vietovių. „Snap“, prieš įtraukdama naują Apdorotoją, informuos Duomenų valdytoją likus ne mažiau kaip 30 dienų. 

e. Teisė nesutikti. Duomenų valdytojas turi teisę nesutikti su naujo Apdorotojo įtraukimu, kaip aprašyta šiame skyriuje. Jei Duomenų valdytojas nesutinka, kad Kliento asmens duomenis tvarkytų naujai paskirtas Apdorotojas, jis nedelsdamas informuoja „Snap“, o „Snap“ atitinkamai: i) nurodo Apdorotojui nutraukti tolesnį Kliento asmens duomenų tvarkymą ir tokiu atveju tai nepaveiks tolimesnio šio Susitarimo galiojimo, arba ii) leidžia Duomenų valdytojui nedelsiant nutraukti šį Susitarimą.

a. Jei Duomenų valdytojas yra įsikūręs EEE, Šveicarijoje arba JK ir perduoda asmens duomenis „Snap Inc.“, Duomenų perdavimo susitarimas:

i) taikomas tokiam duomenų perdavimui; 

ii) viršesnis už visas kitas sąlygas, įskaitant šio Susitarimo sąlygas, susijusias su tokiu duomenų perdavimu;

iii) yra teisiškai privaloma sutartis tarp tavęs, veikiančio kaip duomenų eksportuotojo, ir „Snap“, veikiančios kaip duomenų importuotojas arba jo vardu; 

iv) yra įtraukiama į Verslo paslaugų sąlygas. 

b. EEE, Šveicarijoje ir JK įsikūrusių duomenų subjektų asmens duomenų atžvilgiu Duomenų valdytojas ir „Snap“ susitaria, kad „Snap“ gali tvarkyti Kliento asmens duomenis už EEE, Šveicarijos ir JK ribų tais atvejais, kai laikomasi Duomenų apsaugos įstatymo (įskaitant, kai taikoma, GDPR 44–47 straipsnius) reikalavimų arba taikoma išimtis (įskaitant, kai taikoma, išimtis, nurodytas GDPR 49 straipsnyje).

c. Brazilijoje įsikūrusių duomenų subjektų asmens duomenų atžvilgiu Duomenų valdytojas sutinka, kad „Snap“ tvarkytų Kliento asmens duomenis už Brazilijos ribų, ir pareiškia bei garantuoja, kad toks Kliento asmens duomenų perdavimas atitinka LGPD.

a. Žalos atlyginimas. „Snap“ sutinka Duomenų valdytojui atlyginti žalą esant bet kokiems trečiųjų šalių skundams, kaltinimams, reikalavimams, žalai, nuostoliams, sąnaudoms, įsipareigojimams ir išlaidoms, atsirandančių dėl bet kokio „Snap“ padaryto šio Susitarimo pažeidimo arba susijusių su tokiu pažeidimu.

b. Žalos atlyginimo procesas. Duomenų valdytojas nedelsdamas raštu informuoja „Snap“ apie bet kokį reikalavimą atlyginti žalą, tačiau, jei apie tokį reikalavimą nepranešama, „Snap“ neatleidžiama nuo atsakomybės ar įsipareigojimo atlyginti žalą, išskyrus tuos atvejus, kai dėl nepranešimo „Snap“ padaroma turtinė žala. Duomenų valdytojas pagrįstai bendradarbiauja su „Snap“ pačios „Snap“ lėšomis dėl bet kokios gynybos, kompromiso ar susitarimo bei bet kokio reikalavimo atlyginti žalą atveju. Be išankstinio raštiško Duomenų valdytojo sutikimo, kurį Duomenų valdytojas gali duoti savo nuožiūra, „Snap“ jokiu būdu nedarys nuolaidų ar susitarimų dėl jokių reikalavimų ir nepripažins atsakomybės. Duomenų valdytojas gali dalyvauti (savo lėšomis) ieškinio gynybos, kompromiso paieškos arba reikalavimų tenkinimo procese, pasitelkdamas savo pasirinktą advokatą.

c. Apdorotojų atsakomybė. „Snap“ pripažįsta ir sutinka, kad liks atsakinga Duomenų valdytojui už šio Susitarimo sąlygų pažeidimus, kuriuos padarys Apdorotojas ir bet kokie kiti šio tvarkytojo paskirti paskesni trečiųjų šalių tvarkytojai.

a. Galiojimo pabaiga. Šis Susitarimas nustos galioti automatiškai, kai baigsis Verslo paslaugų sąlygų galiojimas.

b. Tolesnis sąlygų galiojimas. „Snap“ įsipareigojimai, susiję su Kliento asmens duomenų grąžinimu ar ištrynimu, liks galioti ir pasibaigus Verslo paslaugų sąlygų bei šio Susitarimo galiojimui, kol „Snap“ grąžins arba ištrins Kliento asmens duomenis pagal šį Susitarimą.

Duomenų eksportuotojas yra Duomenų valdytojas, kaip apibrėžta šioje Sutartyje, jo vardą ir pavardę (pavadinimą), adresą ir kontaktinę informaciją naudojantis Verslo paslaugomis nurodo „Snap“. Veikla, susijusi su duomenų perdavimu pagal šias Sąlygas, apima naudojimąsi atitinkamomis Verslo paslaugomis vadovaujantis Verslo paslaugų sąlygomis bei taikomomis Papildomomis sąlygomis ir politikos nuostatomis. Duomenų eksportuotojas atliks duomenų valdytojo vaidmenį. 

Duomenų importuotojas yra:

„Snap Inc.“, kurios adresas yra 3000 31 g., Santa Monica, Kalifornija 90405

Veikla, susijusi su duomenų perdavimu pagal šias Sąlygas, apima atitinkamų Verslo paslaugų teikimą vadovaujantis Verslo paslaugų sąlygomis bei taikomomis Papildomomis sąlygomis ir politikos nuostatomis. Duomenų importuotojas atlieka duomenų tvarkytojo vaidmenį.

Duomenų tvarkymo veikla, kurią „Snap“ vykdo pagal šį Susitarimą, apima toliau nurodytus dalykus:

„Snap“ vykdomas Verslo paslaugų teikimas Duomenų valdytojui.

Šio Susitarimo galiojimo laikotarpis ir laikotarpis nuo šio Susitarimo galiojimo pabaigos iki duomenų nuasmeninimo, grąžinimo arba ištrynimo vadovaujantis šiuo Susitarimu.

„Snap“ tvarkys Kliento asmens duomenis siekdama teikti Verslo paslaugas Duomenų valdytojui ir vadovaudamasi Verslo paslaugų sąlygomis, šiuo Susitarimu ir šiuose dokumentuose aprašytu būdu.

Su tam tikrais asmenimis susiję Kliento asmens duomenys, kuriuos Duomenų valdytojas pateikia (arba kurie Duomenų valdytojo nurodymu pateikiami) „Snap“ naudojantis Verslo paslaugomis ir kurie gali apimti šią informaciją:

• el. pašto adresą;

• telefono numerį;

• mobiliojo skelbimo ID (IDFA / AAID);

• IP adresą;

• slapuko ID;

• naršyklės naudotojo programą;

• veiksmus bei įvykius svetainėse ir programėlėse, įskaitant puslapių peržiūras, įsigijimus, paieškas, atsiskaitymus, sudarytų pageidavimų sąrašus, diegimus ir naudotojų registracijos būdus.

Netaikoma

Nuolatinis

Duomenų subjektai yra EEE, Šveicarijoje, JK ir Brazilijoje įsikūrę asmenys, kurių asmens duomenis naudojantis Verslo paslaugomis Duomenų valdytojas perduoda (arba kurie Duomenų valdytojo vardu perduodami) „Snap“.

Kompetentinga Priežiūros institucija yra Nyderlandų duomenų apsaugos institucija (Autoriteit Persoonsgegevens, AP).

1. Rašytinės informacijos saugumo programos, atitinkančios pripažintus pramonės standartus ir apimančios administracines, technines bei fizines apsaugos priemones, pritaikytas pagal Kliento asmens duomenų pobūdį ir skirtas tokiai informacijai apsaugoti nuo toliau išvardytų veiksmų, įgyvendinimas ir laikymasis: neleistinos prieigos, sunaikinimo, naudojimo, pakeitimo ar atskleidimo; neleistinos prieigos arba naudojimo, dėl kurių gali būti smarkiai pakenkta arba sukelta nepatogumų Duomenų valdytojui, Duomenų valdytojo klientams ar darbuotojams; bet kokių numatomų grėsmių ar pavojų tokios informacijos saugumui arba vientisumui.

2. Pagrįstų politikos nuostatų ir standartų, susijusių su saugumu, priėmimas ir taikymas.

3. Už informacijos saugumo valdymą atsakingų asmenų paskyrimas.

4. Tinkamų personalo išteklių skyrimas informacijos saugumui užtikrinti.

5. Nuolatinių darbuotojų, turinčių prieigą prie Kliento asmens duomenų, patikrų atlikimas.

6. Tinkamų asmenų patikrinimų vykdymas ir reikalavimas darbuotojams, pardavėjams ir kitiems asmenims, turintiems prieigą prie Kliento asmens duomenų, pasirašyti rašytinį konfidencialumo susitarimą.

7. Mokymų organizavimas darbuotojams ir kitiems prieigą prie Kliento asmens duomenų turintiems asmenims siekiant informuoti juos apie informacijos saugumo riziką ir gerinti „Snap“ politikos bei standartų, susijusių su duomenų apsauga, laikymąsi.

8. Apsauga nuo neleistinos prieigos prie Kliento asmens duomenų, pasitelkiant atitinkamai fizinio ir loginio (slaptažodžių) patekimo kontrolės priemones, saugias duomenų tvarkymo vietas, duomenų tvarkymo infrastruktūros naudojimo stebėjimo procedūras, integruotas sistemų audito sekas, naudoti saugius slaptažodžius, įsilaužimo į tinklą aptikimo technologijas, šifravimo ir autentifikavimo technologijas, saugias prisijungimo procedūras ir apsaugą nuo virusų, nuolat stebint, kaip laikomasi „Snap“ politikos bei standartų, susijusių su duomenų apsauga. Visų pirma, „Snap“ įdiegė toliau nurodytas atitinkamas priemones ir jas taiko kaip pridera ir be apribojimų:

• fizinės prieigos kontrolės priemonės siekiant apsisaugoti nuo neleistinos prieigos prie duomenų tvarkymo sistemų (pvz., prieigos tapatybės kortelės, kortelių skaitytuvai, registratūros darbuotojai, signalizacijos sistemos, judesio jutikliai, įsilaužimo signalizacijos, vaizdo stebėjimo sistemos ir išorinės apsaugos sistemos);

• atsisakymo suteikti leidimą naudotis kontrolės priemonės, kurias naudojant apsisaugoma nuo neleistino duomenų apsaugos sistemų naudojimo (pvz., automatiškai taikomi reikalavimai nustatyti sudėtingą slaptažodį bei jį pasikeisti ir ugniasienės) ;

• pagal reikalavimus suteikiamų leidimų sistema ir prieigos teisės, prieigos prie sistemų stebėjimas ir registravimas siekiant užtikrinti, kad asmenys, kuriems suteikta teisė naudotis duomenų tvarkymo sistema, turėtų prieigą tik prie tų duomenų, su kuriais jie turi teisę susipažinti, ir Kliento asmens duomenų nebūtų galima skaityti, kopijuoti, keisti ar pašalinti be leidimo;

• duomenų perdavimo kontrolės priemonės, kuriomis užtikrinama, kad Kliento asmens duomenų nebūtų galima skaityti, kopijuoti keisti ar pašalinti be leidimo elektroniniu būdų perduodant, transportuojant arba saugant juos duomenų laikmenose ir perduodant bei gaunant įrašus. Visų pirma, „Snap“ informacijos saugumo programa sukurta taip, kad:

  • saugykloje būtų šifruojami visi „Snap“ turimi duomenų rinkiniai, įskaitant neskelbtinus asmens duomenis, naudojant tinkamus šifravimo lygius, pagrįstus geriausiais sektoriaus šifravimo standartais, įskaitant AES-256, ir saugant naudotojų tapatybes sistemoje, pasitelkiant raktinių verčių porą, pvz., „ghost_id“, kad nebūtų saugomas tikrasis naudotojo identifikatorius; taip pat

  • siekiant užtikrinti, kad bet kokie neskelbtini asmens duomenys, perduodami elektroniniu būdu (ne faksu) asmenims už „Snap“ IT sistemos ribų, arba perduodami viešu tinklu, būtų užšifruoti naudojant naujausias palaikomas TLS 1.2 protokolo versijas, kad būtų užtikrintas perdavimo saugumas;

• duomenų įvedimo kontrolės priemonės, kuriomis užtikrinama, kad „Snap“ galėtų tikrinti ir nustatyti, ar Kliento asmens duomenys buvo įvesti į duomenų tvarkymo sistemas, pakeisti arba pašalinti ir kas tai padarė;

• nuolatinės saugumo bandymų priemonės, kuriomis užtikrinama, kad informacijos saugumo praktika būtų aktuali, efektyvi ir atnaujinta, įskaitant kasmet atliekamus įsibrovimo bandymus, atlygio už surastus riktus programą, sistemos nuskaitymo įrankių naudojimą, teorinio modeliavimo pratybas, atsarginių kopijų atkūrimo bandymus, paruošiamąjį automatinį perjungimą ir bet kokių realių įvykusių incidentų analizę siekiant atnaujinti susijusius veiklos atkūrimo po ekstremaliųjų įvykių planus;

• Apdorotojų priežiūros priemonės, kuriomis užtikrinama, kad, jei „Snap“ leidžiama naudotis Apdorotojų paslaugomis, Klientų asmens duomenys būtų tvarkomi griežtai laikantis Duomenų valdytojo nurodymų, atitinkamai įskaitant:

  • priemones, kuriomis užtikrinama, kad Kliento asmens duomenys būtų apsaugoti nuo netyčinio sugadinimo ar sunaikinimo, be kita ko, įskaitant, jei reikia, duomenų atsarginio kopijavimo, saugojimo ir saugaus sunaikinimo politiką, saugų duomenų saugojimą išorės saugykloje, kad būtų įmanoma atkurti veiklą po ekstremaliųjų įvykių; nepertraukiamą energijos tiekimą ir veiklos atkūrimo po ekstremaliųjų įvykių programas; taip pat

  • priemones, skirtas užtikrinti, kad skirtingais tikslais renkamus duomenis būtų galima tvarkyti atskirai, įskaitant, kai reikia, fizinį arba tinkamą loginį Kliento asmens duomenų atskyrimą. 

9. Kiti veiksmai, kurie tikslingi susiklosčius konkrečioms aplinkybėms.