AVISO DE ARBITRAGEM: O UTILIZADOR ESTÁ VINCULADO PELA DISPOSIÇÃO DE ARBITRAGEM ESTIPULADA NOS TERMOS DOS SERVIÇOS PARA EMPRESAS. SE ESTÁ A CELEBRAR UM CONTRATO COM A SNAP INC., O UTILIZADOR E A SNAP INC. RENUNCIAM A QUALQUER DIREITO DE PARTICIPAÇÃO EM AÇÕES JUDICIAIS COLETIVAS OU PROCESSOS DE ARBITRAGEM COLETIVOS.

O presente Acordo de Tratamento de Dados (“Acordo”) constitui um contrato legalmente vinculativo entre o utilizador e a Snap, aplica-se na medida em que a Snap processa os Dados Pessoais do Cliente em seu nome quando o utilizador é o Controlador de Dados e está incorporado nas Condições dos Serviços para Empresas. Algumas condições utilizadas no presente Acordo encontram-se definidas nas Condições dos Serviços para Empresas.

“Dados Pessoais do Cliente” significa os dados pessoais do EEE, da Suíça, do Reino Unido, e titulares de dados brasileiros fornecidos à Snap pelo utilizador, ou em seu nome no caso de ser o Controlador de Dados.

“Controlador de Dados” significa um controlador, conforme definido no RGPD, RGPD do Reino Unido ou LGPD, conforme aplicável, que, sozinho ou em conjunto com terceiros, determina as finalidades e os meios do processamento dos Dados Pessoais do Cliente.

“Lei da proteção de dados” significa lei da proteção de dados do EEE, da Suíça, do Reino Unido e do Brazil, aplicável ao tratamento dos dados pessoais dos clientes e ao abrigo deste Acordo, incluindo o RGPD, Leis da Proteção de Dados do Reino Unido e LGPD.

“EEE” significa a Espaço Económico Europeu.

“RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas singulares no que se refere ao tratamento de dados pessoais e à livre circulação de tais dados, revogando a Diretiva 95/46/46/CE.

“LGPD” significa a Lei Geral da Proteção de Dados do Brasil.

“Violação dos dados pessoais” significa a destruição, perda, alteração, divulgação não autorizada, acidental ou ilícita, ou o acesso aos dados pessoais do cliente nos sistemas geridos, ou controlados pela Snap.

“Subcontratantes” significa terceiros autorizados ao abrigo do presente Acordo a aceder e processar os Dados Pessoais do Cliente para fornecer partes dos Serviços para Empresas.

“RU” significa Reino Unido.

“Legislação da proteção de dados do Reino Unido” significa o RGPD, como parte integrante da Lei da Inglaterra e do País de Gales, da Escócia e da Irlanda do Norte, em virtude da secção 3 da Diretiva da União Europeia de 2018 (Saída) do Reino Unido (“RGPD do RU”) e da Diretiva da Proteção de dados (2018).

Os termos “dados pessoais”, “titulares dos dados”, “processamento”, “controlador”, “processador”, “representante” e “autoridade supervisora”, conforme empregues neste Acordo; assumem os significados atribuídos no RGPD, RGPD do Reino Unido ou LGPD, conforme aplicável, em cada caso independentemente da aplicação da legislação sobre proteção de dados.

a. Funções das partes. A Snap processa os Dados Pessoais do Cliente em nome e conforme instruído pelo Controlador de Dados, de acordo com o n.º 1 do Artigo 28.º do RGPD, RGPD do Reino Unido e LGPD, conforme aplicável.

b. Nomeação. O Controlador de Dados nomeia a Snap para processar os Dados Pessoais do Cliente em nome do Controlador de Dados apenas conforme necessário para fornecer os Serviços para Empresas e conforme possa ser posteriormente acordado pelas partes por escrito.

c. Legitimidade do processamento. O Controlador de Dados é responsável por garantir uma base legal válida para o processamento dos Dados Pessoais do Cliente.

d. Detalhes do processamento. O assunto e os detalhes do tratamento estão descritos no Anexo 1 deste acordo.

e. Cumprimento da lei. Cada uma das partes concorda que cumprirá as suas obrigações do abrigo da Lei da Proteção de Dados relativamente a quaisquer Dados Pessoais do Cliente que venha a processar ou ao abrigo deste acordo. Sem prejuízo do acima exposto, a Snap não processará os Dados Pessoais do Cliente de uma forma que, ou seja provável que, resulte numa violação por parte do Controlador de Dados das suas obrigações ao abrigo da Lei da Proteção de Dados. A Snap informará imediatamente o Controlador de Dados se considerar que as instruções do Controlador de Dados infringem a Lei da Proteção de Dados.

a. Tratamento de Dados Pessoais do Cliente. A Snap processará apenas os Dados Pessoais do Cliente de acordo com as Condições dos Serviços para Empresas e o presente Acordo, e não usará ou tratará Dados Pessoais do Cliente para qualquer finalidade que não seja na qualidade de processador nomeado pelo Controlador de Dados.

b. Segurança de dados. De acordo com o Artigo 32 do RGPD, do RGPD do Reino Unido e da LGPD, conforme aplicável, e conforme descrito no Anexo 2 do presente Acordo, a Snap implementará e manterá todas as medidas técnicas, administrativas e organizacionais apropriadas necessárias para: (i) garantir um nível de confidencialidade e segurança adequado aos riscos representados pelo tratamento e a natureza dos Dados Pessoais do Cliente; e (ii) impedir o tratamento não autorizado ou ilegal de Dados Pessoais do Cliente, perda acidental, divulgação ou destruição ou dano aos Dados Pessoais do Cliente.

c. Não divulgação. A Snap não publicará, revelará ou divulgará (e garantirá que o seu pessoal não publicará, revelará ou divulgará) Dados Pessoais do Cliente a terceiros, a menos que o Controlador de Dados tenha dado o seu consentimento prévio por escrito.

d. Confidencialidade. A Snap garantirá que apenas o pessoal que possa ser solicitado para satisfazer as suas obrigações ao abrigo das Condições dos Serviços para Empresas ou do presente Acordo terá acesso aos Dados Pessoais do Cliente e que esse pessoal está sujeito às obrigações de confidencialidade apropriadas e tomará todas as medidas razoáveis de acordo com as melhores práticas do setor para garantir a confidencialidade dos Dados Pessoais do Cliente.

e. Cooperação. A Snap fornecerá cooperação e assistência razoáveis ao Controlador de Dados, uma vez que o Controlador de Dados pode razoavelmente exigir permitir que o Controlador de Dados obedeça às suas obrigações ao abrigo dos Artigos 32 a 36 do RGPD, do RGPD do Reino Unido e da LGPD, conforme aplicável, inclusive em relação à segurança de dados, notificação de violação de dados, avaliações de impacto na proteção de dados, consulta prévia com autoridades de supervisão, atendimento dos direitos dos titulares de dados e qualquer consulta, notificação ou investigação por uma autoridade de supervisão, conforme detalhado no presente Acordo.

f. Titular dos dados e pedidos de supervisão. A Snap informará o Controlador de Dados prontamente, e em qualquer caso, no prazo de dois dias úteis, de qualquer consulta ou reclamação que a Snap receber de um titular de dados ou autoridade de supervisão relacionada com Dados Pessoais do Cliente. A Snap ajudará o Controlador de Dados, na medida do comercialmente razoável, a cumprir a obrigação do Controlador de Dados de responder a solicitações de titulares de dados e autoridades supervisoras, conforme exigido pela Lei de Proteção de Dados.

g. Avaliação do impacto da proteção de dados. Mediante pedido, a Snap fornecerá ao Controlador de Dados informações e assistência comercialmente razoáveis, tendo em conta a natureza da atividade de processamento e as informações disponíveis para a Snap, para que o Controlador de Dados conduza uma avaliação de impacto na proteção de dados, conforme exigido pela Lei de Proteção de Dados.

h. Fornecer provas. Durante a vigência do presente Acordo; e pelo período de um ano a partir de então, a Snap disponibilizará ao Controlador de Dados, ou a uma empresa de auditoria reconhecida internacionalmente que atue em nome do Controlador de Dados, todas as informações razoavelmente necessárias para demonstrar a conformidade da Snap com este Acordo, e a Snap permitirá e contribuirá para auditorias conduzidas pelo Controlador de Dados ou pelos seus representantes vinculados pelas obrigações de confidencialidade apropriadas; se: (i) o Controlador de Dados fornecer uma notificação por escrito à Snap, com pelo menos dez dias úteis de antecedência; (ii) tal auditoria for conduzida durante o horário normal de funcionamento da Snap, e de forma que não interfira injustificadamente nas operações comerciais normais da Snap; (iii) tal auditoria não durar mais do que três dias úteis totais; (iv) em caso algum o Controlador de Dados (ou, para evitar dúvidas, qualquer auditor terceiro autorizado) está habilitado a aceder ou receber informações proprietárias ou confidenciais da Snap, exceto na medida do estritamente necessário para demonstrar a conformidade com este Acordo; e (v) o Controlador de Dados é obrigado a reembolsar a Snap pelas despesas razoáveis da Snap se tal auditoria determinar que a Snap está em conformidade com este Acordo. No caso de a auditoria determinar que a Snap não está em conformidade com este Acordo, a Snap será obrigada a arcar com todas as despesas razoáveis de tal auditoria.

i. Devolver ou destruir Dados Pessoais do Cliente. Após a conclusão das obrigações da Snap em relação ao tratamento de Dados Pessoais do Cliente ao abrigo do presente Acordo ou mediante pedido do Controlador de Dados a qualquer momento durante a vigência do presente Acordo (e, se o Controlador de Dados o solicitar, a intervalos regulares estabelecidos pelo Controlador de Dados), a Snap irá: (i) devolver a totalidade ou os subconjuntos dos Dados Pessoais do Cliente na posse da Snap ao Controlador de Dados; (ii) tornar a totalidade ou parte dos Dados Pessoais do Cliente anónimos de tal forma que os dados já não constituam dados pessoais; ou (iii) apagar permanentemente ou tornar a totalidade ou partes dos Dados Pessoais do Cliente ilegíveis. Mediante pedido do Controlador de Dados, a Snap deve fornecer uma confirmação por escrito ao Controlador de Dados da anonimização, devolução e eliminação de Dados Pessoais do Cliente.

j. Dados Pessoais do Cliente criptografados. Se a Snap receber Dados Pessoais do Cliente em formato hash ou de outra forma ofuscados, a Snap irá: (i) não tentar fazer engenharia reversa ou tentar reidentificar os Dados Pessoais do Controlador de Dados com hash ou de outra forma ofuscados, a menos que o Controlador de Dados instrua a Snap a fazê-lo; e (ii) partilhar apenas os Dados Pessoais do Cliente no formato que a Snap os recebeu do Controlador de Dados.

a. Notificação De acordo com o Artigo 33 do RGPD, RGPD do Reino Unido e LGPD, conforme aplicável, a Snap notificará o Controlador de Dados sem atrasos indevidos e, quando possível, no máximo 72 horas após ter tomado conhecimento de uma Violação de Dados Pessoais. A Snap fornecerá também ao Controlador dos Dados uma descrição da Violação dos Dados Pessoais, o tipo de dados objeto da Violação dos Dados Pessoais (na medida do conhecimento da Snap), as categorias dos titulares dos dados afetados e outras informações exigidas pela Lei da Proteção de Dados aplicável, assim que essas informações possam ser recolhidas ou de outra forma se tornarem disponíveis, e a Snap cooperará com qualquer pedido razoável feito pelo Controlador dos Dados relacionado com a Violação dos Dados Pessoais.

b. Investigação. A Snap concorda em tomar medidas para investigar a Violação dos Dados Pessoais, no imediato, a identificar, prevenir e mitigar os efeitos dessa Violação dos Dados Pessoais e, com o consentimento prévio do Controlador dos Dados, de realizar qualquer recuperação ou outra ação necessária para a resolução dessa Violação dos Dados Pessoais.

a. Subcontratantes autorizados. O Controlador de Dados autoriza especificamente a contratação das afiliadas da Snap a processar os Dados Pessoais do Cliente e o Controlador de Dados autoriza globalmente a contratação de quaisquer outros terceiros como Subcontratantes a processar os Dados Pessoais do Cliente.

b. Obrigações do Subcontratante. De acordo com o n.º 4 do Artigo 28.º do RGPD, RGPD do Reino Unido e LGPD, conforme aplicável, a Snap irá impor condições contratuais legalmente válidas a cada Subcontratante que sejam tão restritivas quanto às contidas no presente Acordo.

c. Acesso restrito. A Snap irá garantir que cada Subcontratante aceda e utilize apenas os Dados Pessoais do Cliente na medida do necessário para realizar as suas obrigações subcontratadas e de acordo com o presente Acordo.

d. Atualizações dos Subcontratantes. De acordo com o n.º 2 do Artigo 28.º do RGPD e RGPD do Reino Unido (conforme aplicável), apresenta-se aqui uma lista atualizada de: (i) todos os Subcontratantes envolvidos no processamento dos Dados Pessoais do Cliente; (ii) as finalidades para as quais os Subcontratantes processam os Dados Pessoais do Cliente; e (iii) a localização de cada Subcontratante. A Snap irá notificar o Controlador de Dados com pelo menos 30 dias de antecedência ao acréscimo de um novo Subcontratante.

e. Direito de oposição. O Controlador de Dados tem o direito de se opor ao acréscimo de um novo Subcontratante, conforme descrito nesta Secção. No caso de o Controlador de Dados se opor ao processamento dos Dados Pessoais do Cliente por qualquer Subcontratante recém-nomeado, este deve informar imediatamente a Snap, após o que a Snap irá: (i) instruir o Subcontratante a cessar qualquer tratamento adicional dos Dados Pessoais do Cliente, caso em que o presente Acordo não será afetado; ou (ii) permitir que o Controlador de Dados rescinda o presente Acordo imediatamente.

a. Se o Controlador de Dados estiver estabelecido no EEE, na Suíça ou no Reino Unido e transferir os dados pessoais para a Snap Inc., o Acordo de Transferência de Dados deve:

(i) aplicar-se a essas transferências;

(ii) prevalecer sobre todas as outras Condições, incluindo as condições deste Acordo, relativamente a essas transferências;

(iii) constituir um acordo juridicamente vinculativo entre o utilizador, enquanto exportador dos dados, e a Snap, enquanto, ou em representação, do importador de dados; e

(iv) ser pelo presente incorporado nas Condições dos Serviços para Empresas.

b. No que se refere aos dados pessoais de titulares do EEE, da Suíça e do Reino Unido, o Controlador de Dados e a Snap Inc. concordam que a Snap pode tratar os Dados Pessoais do Cliente fora do EEE, da Suíça e do Reino Unido, onde os requisitos da Lei da Proteção de Dados (incluindo, se aplicável, dispostos nos Artigos 44 a 47 do RGPD) são cumpridos, ou aplica-se uma exceção (incluindo, se aplicável, os dispostos no Artigo 49 do RGPD).

c. Relativamente aos dados pessoais dos titulares dos dados brasileiros, o Controlador de Dados concorda que a Snap pode processar os Dados Pessoais do Cliente fora do Brasil, bem como representa e garante que essa transferência dos Dados Pessoais do Cliente está em conformidade com a LGPD.

a. Indemnização. A Snap concorda em indemnizar o Controlador de Dados contra todas as queixas, encargos, reclamações, danos, perdas, custos, responsabilidades e despesas de terceiros devido a, resultantes de, ou relacionados, de qualquer forma, com a violação do presente Acordo por parte da Snap.

b. Processo de indemnização. O Controlador de Dados notificará a Snap, imediatamente e por escrito, de qualquer pedido de indemnização. Não obstante, uma falha de notificação da Snap não isenta a Snap de qualquer responsabilidade ou obrigação de indemnização que possa recair sobre si, exceto na medida em que a Snap seja materialmente prejudicada por essa mesma falha. O Controlador de Dados irá cooperar, de forma razoável, com a Snap e a expensas da Snap, no âmbito da defesa, compromisso ou resolução de qualquer pedido de indemnização. A Snap não irá comprometer ou resolver um pedido de qualquer forma, nem fará qualquer admissão de responsabilidade, sem o consentimento prévio por escrito da parte do Controlador de Dados, que pode ser fornecido a critério exclusivo do Controlador de Dados. O Controlador de Dados pode participar, a expensas suas, na defesa, compromisso e resolução do pedido com advogados da sua escolha.

c. Responsabilidade do Subcontratante. A Snap reconhece e concorda que continuará a ser responsável perante o Controlador de Dados por uma violação das condições do presente Acordo por um Subcontratante e quaisquer outros subcontratantes terceiros subsequentes nomeados pelo mesmo.

a. Rescisão. O Acordo será automaticamente rescindido aquando da rescisão das Condições dos Serviços para Empresas.

b. Sobrevivência. As obrigações da Snap relacionadas com a devolução ou eliminação dos Dados Pessoais do Cliente sobrevivem à cessação das Condições dos Serviços para Empresas e do presente Acordo até que a Snap tenha devolvido ou eliminado os Dados Pessoais do Cliente de acordo com o presente Acordo.

O exportador dos dados deve ser o Controlador de Dados, conforme definido no presente Acordo, com o nome, morada e dados de contacto conforme fornecidos à Snap através dos Serviços para Empresas. As atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas incluem a utilização dos Serviços para Empresas relevantes de acordo com as Condições dos Serviços para Empresas e as Condições e Políticas Suplementares aplicáveis. O exportador dos dados deve desempenhar a função de controlador. 

O importador dos dados deve ser:

A Snap Inc., com a morada em 3000 31st Street, Santa Monica, Califórnia 90405

As atividades relevantes para os dados transferidos ao abrigo das presentes Cláusulas incluem a utilização dos Serviços para Empresas relevantes de acordo com as Condições dos Serviços para Empresas e as Condições Suplementares e Políticas aplicáveis. O importador dos dados deve desempenhar a função de processador.

As atividades de tratamento de dados realizadas pela Snap ao abrigo do presente Acordo são as seguintes:

A prestação dos Serviços para Empresas pela Snap ao Controlador de Dados.

Para a vigência do presente Acordo, mais o período desde a expiração do prazo do presente Acordo até à anonimização, devolução ou eliminação dos dados de acordo com o presente Acordo.

A Snap irá processar os Dados Pessoais do Cliente para efeitos da prestação dos Serviços para Empresas ao Controlador de Dados de acordo com e conforme descrito nas Condições dos Serviços para Empresas e no presente Acordo.

Dados Pessoais do Cliente relacionados com indivíduos indicados à Snap através dos Serviços para Empresas, pelo (ou por orientação do) Controlador de Dados, entre os quais:

• endereço de e-mail

• número de telefone

• ID do anúncio para dispositivos móveis (IDFA/AAID)

• endereço IP

• ID da cookie

• agente do utilizador no navegador

• ações e eventos realizados em websites e aplicações, incluindo páginas visualizadas, compras, pesquisas, eventos de check-out, listas de desejos, instalações e métodos de registo do utilizador

Não aplicável

Contínua

Os titulares dos dados incluem o EEE, a Suíça, o Reino Unido e indivíduos brasileiros sobre os quais os dados pessoais são fornecidos à Snap através dos Serviços para Empresas pelo (ou por orientação do) Controlador de Dados.

A autoridade de supervisão competente será a Autoridade de Proteção de Dados dos Países Baixos (Autoriteit Persoonsgegevens, AP).

1. A implementação e a conformidade com um programa de segurança de informações por escrito consistente com as normas do setor estabelecidas e incluindo salvaguardas administrativas, técnicas e físicas adequadas à natureza dos Dados Pessoais do Cliente e concebido para proteger tais informações de: acesso, destruição, utilização, modificação ou divulgação não autorizados; acesso ou utilização não autorizada que possa resultar em danos ou inconvenientes substanciais para o Controlador de Dados, os clientes do Controlador de Dados ou os funcionários do Controlador de Dados; e quaisquer ameaças ou perigos previstos para a segurança ou integridade de tais informações.

2. Adotar e implementar políticas e normas razoáveis relacionadas com a segurança.

3. Atribuir responsabilidade pela gestão da segurança da informação.

4. Dedicar pessoal adequado à segurança da informação.

5. Realizar verificações de funcionários permanentes que terão acesso aos Dados Pessoais do Cliente.

6. Realizar verificações de antecedentes adequadas e exigir que funcionários, fornecedores e outros com acesso aos Dados Pessoais do Cliente celebrem acordos de confidencialidade por escrito.

7. Realizar formação para sensibilizar os funcionários e outras pessoas com acesso aos Dados Pessoais do Cliente para os riscos de segurança da informação e para melhorar a conformidade com as políticas e normas da Snap relacionadas com a proteção de dados.

8. Impedir o acesso não autorizado aos Dados Pessoais do Cliente através da utilização, conforme adequado, de controlos de entrada físicos e lógicos (palavras-chave), áreas seguras para tratamento de dados, procedimentos para monitorizar a utilização de instalações de tratamento de dados, pistas de auditoria do sistema integradas, utilização de palavras-chave seguras, tecnologia de deteção de intrusão de rede, tecnologia de encriptação e autenticação, procedimentos de início de sessão seguros e proteção contra vírus, monitorizar continuamente a conformidade com as políticas e normas da Snap relacionadas com a proteção de dados. Em especial, a Snap implementou e respeita, conforme adequado e sem limitação:

• Medidas de controlo de acesso físico para impedir o acesso não autorizado a sistemas de tratamento de dados (por exemplo, cartões de identificação de acesso, leitores de cartões, funcionários de escritório, sistemas de alarme, detetores de movimento, alarmes de roubo, vigilância por vídeo e segurança exterior);

• Medidas de controlo de negação de utilização para impedir a utilização não autorizada de sistemas de proteção de dados (por exemplo, complexidade de palavra-passe automaticamente aplicada e requisitos de alteração e firewalls). ;

• Esquema de autorização e direitos de acesso orientados por requisitos e monitorização e registo do acesso ao sistema para garantir que as pessoas encarregadas de usar um sistema de tratamento de dados têm acesso apenas aos dados aos quais têm direito de acesso e que os Dados Pessoais do Cliente não podem ser lidos, copiados, modificados ou removidos sem autorização;

• Medidas de controlo da transmissão de dados para garantir que os Dados Pessoais do Cliente não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transmissão, transporte ou armazenamento eletrónico em suporte de dados e transferência e receção de registos. Em especial, o programa de segurança da informação da Snap será concebido:

  • Para encriptar no armazenamento quaisquer conjuntos de dados na posse da Snap, incluindo dados pessoais confidenciais, usando níveis de encriptação adequados com base em normas de encriptação líderes do setor, incluindo a AES -256, e armazenar identificações do utilizador no sistema usando pares de valores chave como ghost_id para impedir o armazenamento de ID de utilizador real; e

  • Para garantir que quaisquer dados pessoais confidenciais transmitidos eletronicamente (exceto por fax) para uma pessoa fora do sistema de TI da Snap ou transmitidos por uma rede pública sejam criptografados usando as versões mais recentes suportadas do protocolo TLS 1.2 para proteger a segurança da transmissão;

• Medidas de controlo da introdução de dados para garantir que a Snap pode verificar e determinar se e por quem os Dados Pessoais do Cliente foram introduzidos em sistemas de tratamento de dados, modificados ou removidos;

• Medidas de testes de segurança contínuos para garantir que as práticas de segurança da informação continuam a ser relevantes, eficazes e atualizadas, incluindo testes anuais de penetração, programa de recompensas de erros, utilização de ferramentas de digitalização do sistema, exercícios de mesa, testes de restauração de cópias de segurança, falhas de pré-produção e realização de postmortems de quaisquer incidentes reais para atualizar os planos de reparação de catástrofes relevantes;

• Medidas de supervisão do subprocessador para garantir que, se a Snap tiver permissão para usar subprocessadores, os Dados Pessoais do Cliente sejam processados estritamente de acordo com as instruções do Controlador de Dados, incluindo, conforme adequado:

  • Medidas para garantir que os Dados Pessoais do Cliente estão protegidos contra destruição ou perda acidental, incluindo, conforme adequado e sem limitação, políticas de cópia de segurança, retenção e destruição segura de dados; armazenamento externo seguro de dados suficiente para a reparação de catástrofes; fornecimento de energia ininterrupta e programas de reparação de catástrofes; e

  • Medidas para garantir que os dados recolhidos para diferentes fins podem ser tratados separadamente, incluindo, conforme adequado, separação física ou lógica adequada de Dados Pessoais do Cliente. 

9. Tomar tais outras medidas que possam ser adequadas ao abrigo das circunstâncias.