OBVESTILO O ARBITRAŽI: ZAVEZUJE VAS DOLOČBA O ARBITRAŽI, NAVEDENA V POGOJIH POSLOVNIH STORITEV. ČE SKLEPATE POGODBO Z DRUŽBO SNAP INC., POTEM SE VI IN DRUŽBA SNAP INC. ODPOVEDUJETA KAKRŠNIKOLI PRAVICI DO SODELOVANJA V SKUPINSKI TOŽBI ALI SKUPINSKI ARBITRAŽI.

Ta pogodba o obdelavi podatkov (»pogodba«) predstavlja pravno zavezujočo pogodbo med vami in družbo Snap, velja, ko Snap v vašem imenu obdeluje osebne podatke strank, ko ste upravljavec podatkov, in je vključena v Pogoje poslovnih storitev. Nekateri izrazi, uporabljeni v tej pogodbi, so opredeljeni v Pogojih poslovnih storitev.

»Osebni podatki strank« pomenijo osebne podatke posameznikov, na katere se nanašajo osebni podatki, v EGP, Švici, Združenem kraljestvu in Braziliji, ki vam jih družbi Snap posredujete vi ali se posredujejo v vašem imenu, ko ste upravljavec podatkov.

»Upravljavec podatkov« pomeni upravljavca, kot ga opredeljuje GDPR, GDPR v Združenem kraljestvu ali LGPD, kot je ustrezno, ki sam ali skupaj z drugimi določa namene in načine obdelave osebnih podatkov strank.

»Zakonodaja o varstvu podatkov« pomeni zakone o varstvu podatkov v EGP, Švici, Združenem kraljestvu in Braziliji, ki veljajo za obdelavo osebnih podatkov strank na podlagi te pogodbe, vključno z GDPR, zakoni o varstvu podatkov v Združenem kraljestvu in LGPD.

»EGP« pomeni Evropski gospodarski prostor.

»GDPR« pomeni Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu fizičnih oseb pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES.

»LGPD« pomeni brazilski splošni zakon o varstvu podatkov (Lei Geral de Proteção de Dados Pessoais).

»Kršitev varstva osebnih podatkov« pomeni nenamerno ali nezakonito uničenje, izgubo, spreminjanje ali razkritje osebnih podatkov strank oziroma dostop do njih v sistemih, ki jih upravlja ali nadzira Snap.

»Podobdelovalci podatkov« pomeni tretje osebe, ki so v skladu s to pogodbo pooblaščene za dostop do osebnih podatkov strank in njihovo obdelavo za zagotavljanje delov poslovnih storitev.

»ZK« pomeni Združeno kraljestvo.

»Zakoni o varstvu podatkov v Združenem kraljestvu« pomeni GDPR, ki je del zakonodaje Anglije in Walesa, Škotske in Severne Irske na podlagi 3. člena zakona o izstopu iz Evropske unije iz leta 2018 v Združenem kraljestvu (»GDPR V Združenem kraljestvu«), ter zakon Združenega kraljestva o varstvu podatkov iz leta 2018.

Izrazi »osebni podatki«, »posameznik, na katerega se nanašajo osebni podatki«, »obdelava«, »upravljavec«, »obdelovalec«, »zastopnik« in »nadzorni organ«, kot so uporabljeni v tej pogodbi, imajo pomene, ki so jim določeni v GDPR, GDPR v Združenem kraljestvu ali LGPD, kot je v vsakem primeru ustrezno, ne glede na to, ali velja zakonodaja o varstvu podatkov.

a. Vloge pogodbenih strank. Družba Snap obdeluje osebne podatke strank v imenu in po navodilih upravljavca podatkov, in sicer v skladu s členom 28(1) GDPR, GDPR v Združenem kraljestvu in LGPD, kot je primerno.

b. Imenovanje. Upravljavec podatkov imenuje družbo Snap za obdelavo osebnih podatkov strank v imenu upravljavca podatkov, samo ko je potrebno za zagotavljanje poslovnih storitev in ko se lahko pozneje pisno dogovori s strani pogodbenih strank.

c. Utemeljenost obdelave. Upravljavec podatkov je odgovoren za zagotavljanje veljavne pravne podlage za obdelavo osebnih podatkov strank.

d. Podrobnosti obdelave. Predmet in podrobnosti obdelave so opisani v popisu 1 te pogodbe.

e. Skladnost z zakonodajo. Vsaka pogodbena stranka se strinja, da bo izpolnila svoje obveznosti v skladu z zakonodajo o varstvu podatkov, ki se nanaša na morebitne osebne podatke strank, ki jih obdeluje v skladu s to pogodbo ali v povezavi z njo. Brez poseganja v zgoraj navedeno družba Snap ne bo obdelovala osebnih podatkov strank na način, ki bo ali je verjetno, da bo povzročil, da upravljavec podatkov krši svoje obveznosti na podlagi zakonodaje o varstvu podatkov. Družba Snap bo upravljavca podatkov takoj obvestila, če meni, da njegova navodila kršijo zakonodajo o varstvu podatkov.

a. Obdelava osebnih podatkov strank. Snap bo osebne podatke strank obdelal samo v skladu s Pogoji poslovnih storitev in to pogodbo in jih ne bo uporabljal ali obdeloval za kakršenkoli namen razen kot obdelovalec, ki ga imenuje upravljavec podatkov.

b. Varnost podatkov. V skladu z 32. členom GDPR, GDPR v Združenem kraljestvu in LGPD, kot je ustrezno in kot je opisano v popisu 2 te pogodbe, bo družba Snap izvedla in vzdrževala vse ustrezne tehnične, administrativne in organizacijske ukrepe, ki so potrebni za: (i) zagotavljanje ravni zaupnosti in varnosti, ki je primerna za tveganja, ki jih predstavlja obdelava in narava osebnih podatkov strank; in (ii) preprečevanje nepooblaščene ali nezakonite obdelave osebnih podatkov strank, nenamerne izgube, razkritje ali uničenja oziroma poškodovanja osebnih podatkov strank.

c. Nerazkritje. Družba Snap osebnih podatkov strank ne bo objavila, razkrila ali posredovala drugim (in bo zagotovila, da tega ne storijo njeni zaposleni), razen če je upravljavec v to predhodno pisno privolil.

d. Zaupnost. Družba Snap bo zagotovila, da bodo dostop do osebnih podatkov strank imeli samo zaposleni, od katerih bo morda zahtevano, da pomagajo pri njenem izpolnjevanju obveznosti iz Pogojev za poslovne storitve ali te pogodbe, da bodo te zaposlene zavezovale ustrezne obveznosti glede zaupnosti ter, da bo izvedla vse razumne ukrepe v skladu z najboljšimi praksami v panogi, da zagotovi zaupnost osebnih podatkov strank.

e. Sodelovanje. Družba Snap bo upravljavcu podatkov zagotovila vse razumno sodelovanje in pomoč, ki jo ta lahko razumno zahteva, da bi lahko izpolnjeval svoje obveznosti iz členov 32 do 36 GDPR, GDPR v Združenem kraljestvu in LGPD, kot je ustrezno, med drugim tudi v zvezi z varnostjo podatkov, obveščanjem o kršitvi varstva podatkov, ocenami vpliva na varstvo podatkov, predhodnem posvetovanju z nadzornimi organi, izpolnjevanjem pravic posameznikov, na katere se nanašajo osebni podatki, in morebitnimi poizvedbami, obvestili ali preiskavami nadzornih organov, kot je podrobneje opisano v tej pogodbi.

f. Zahteve posameznikov, na katere se nanašajo osebni podatki, in nadzorne zahteve. Družba Snap bo upravljavca podatkov nemudoma oziroma v vsakem primeru najpozneje v dveh delovnih dneh obvestila o morebitni poizvedbi ali pritožbi, ki jo v povezavi z osebnimi podatki strank prejme od posameznika, na katerega se nanašajo osebni podatki, ali nadzornega organa. Družba Snap bo upravljavcu podatkov v meri, ki je komercialno razumna, pomagala izpolniti obveznost upravljavca podatkov, da odgovori na zahteve posameznikov, na katere se nanašajo osebni podatki, in nadzornih organov, kot to zahteva zakonodaja o varstvu podatkov.

g. Ocena vpliva na varstvo podatkov. Družba Snap bo upravljavcu podatkov na zahtevo zagotovila komercialno razumne podatke in pomoč ob upoštevanju narave dejavnosti obdelave in podatkov, ki so ji na voljo, za pomoč upravljavcu podatkov pri izvedbi ocene vpliva na varstvo podatkov, kot to zahteva zakonodaja o varstvu podatkov.

h. Zagotavljanje dokazov. Med obdobjem veljavnosti pogodbe in za obdobje enega leta bo družba Snap upravljavcu podatkov ali mednarodno priznani revizijski družbi, ki deluje v imenu upravljavca podatkov, dala na voljo vse podatke, ki so razumno potrebni za dokazovanje, da je družba Snap ravnala v skladu s to pogodbo, ter bo dovolila revizije, ki jih izvedejo upravljavec podatkov ali njegovi zastopniki, ki jih zavezujejo ustrezne obveznosti za zaupnost, in prispevala k tem revizijam; če: (i) upravljavec podatkov družbi Snap zagotovi predhodno pisno obvestilo vsaj deset delovnih dni vnaprej; (ii) se taka revizija izvaja med običajnim delovnim časom družbe Snap in na način, ki ne posega nerazumno v običajno poslovanje družbe Snap; (iii) taka revizija skupaj ne traja več kot tri delovne dni; (iv) upravljavec podatkov (ali v izogib dvomu morebitni pooblaščeni zunanji revizor) ni v nobenem primeru upravičen do dostopa do lastniških ali zaupnih podatkov družbe Snap ali prejema takih podatkov, razen kot je to strogo potrebno za dokazovanje skladnosti s to pogodbo; in (v) upravljavec podatkov je dolžan družbi Snap povrniti dokumentirane razumne stroške, če se s to revizijo ugotovi, da je družba Snap ravnala v skladu s to pogodbo. Če se z revizijo ugotovi, da družba Snap ni ravnala v skladu s to pogodbo, je dolžna kriti vse razumne stroške take revizije.

i. Vračilo ali uničenje osebnih podatkov strank. Po zaključku obveznosti družbe Snap v zvezi z obdelavo osebnih podatkov strank na podlagi te pogodbe ali na zahtevo upravljavca podatkov kadarkoli med obdobjem veljavnosti te pogodbe (če upravljavec podatkov to zahteva, pa tudi v rednih intervalih, ki jih določi upravljavec podatkov) bo družba Snap: (i) upravljavcu podatkov vrnila vse ali podnabor osebnih podatkov strank, ki jih ima v posesti; (ii) osebne podatke strank v celoti ali delno pretvorila v anonimno obliko na način, da podatki ne bodo več predstavljali osebnih podatkov; ali (iii) v celoti ali delno trajno izbrisala vse osebne podatke strank oziroma jih pretvorila v neberljivo obliko. Družba Snap mora na zahtevo upravljavca podatkov temu zagotoviti pisno potrditev, da so osebni podatki strank anonimizirani, vrnjeni ali izbrisani.

j. Osebni podatki strank v razpršeni obliki. Če družba Snap prejme osebne podatke strank v razpršeni ali drugače prikriti obliki zapisa, (i) ne bo poskušala izvesti obratnega inženirstva teh podatkov ali jih drugače poskušala na novo prepoznati, razen če ji upravljavec podatkov da navodila, da to stori; in (ii) bo osebne podatke strank delila z drugimi samo v obliki zapisa, v kateri jih je prejela od upravljavca podatkov.

a. Obvestilo Družba Snap bo v skladu s 33. členom GDPR, GDPR v Združenem kraljestvu in LGPD, kot je primerno, brez nepotrebnega odlašanja obvestila upravljavca podatkov, in sicer, kjer je mogoče, najpozneje 72 ur po tem, ko je obveščena o kršitvi varstva osebnih podatkov. Družba Snap bo upravljavcu podatkov zagotovila tudi opis kršitve varstva osebnih podatkov, vrste podatkov, pri katerih je prišlo do kršitve varstva osebnih podatkov (če Snap to ve), kategorije prizadetih posameznikov, na katere se nanašajo osebni podatki, in druge informacije, ki jih zahteva veljavna zakonodaja o varstvu podatkov, in sicer takoj, ko je te podatke mogoče zbrati ali je drugače na voljo, prav tako pa bo sodelovala z vsako razumno zahtevo upravljavca podatkov, povezano s kršitvijo varstva osebnih podatkov.

b. Preiskava. Družba Snap se strinja, da bo takoj ukrepala, da preišče kršitev varstva osebnih podatkov, da se ugotovi, prepreči in odpravi učinke morebitne kršitve varstva osebnih podatkov, ter s prejšnjim soglasjem upravljavca podatkov izvedla vse obnovitvene ali druge ukrepe, potrebne za odpravo kršitve varstva osebnih podatkov.

a. Pooblaščeni podobdelovalci podatkov Upravljavec podatkov izrecno dovoli uporabo podružnic družbe Snap za obdelavo osebnih podatkov strank in upravljavec podatkov na splošno dovoli uporabo morebitnih drugih tretjih oseb kot podobdelovalcev podatkov za obdelavo osebnih podatkov strank.

b. Obveznosti obdelovalca podatkov Družba Snap bo v skladu s členom 28(4) GDPR, GDPR v Združenem kraljestvu in LGPD, kot je ustrezno, za vsakega podobdelovalca določila pravno zavezujoče pogodbene določbe, ki so enako omejevalne kot tiste v tej pogodbi.

c. Omejen dostop Družba Snap bo zagotovila, da vsak podobdelovalec dostopa do osebnih podatkov strank in jih uporablja samo v obsegu, potrebnem za izvajanje obveznosti, za katere je pogodbeno določena, in v skladu s to pogodbo.

d. Posodobitve podobdelovalcev V skladu s členom 28(2) GDPR in GDPR v Združenem kraljestvu (kot je ustrezno) je tukaj najnovejši seznam (i) podobdelovalcev, ki sodelujejo pri obdelavi osebnih podatkov strank; (ii) namenov, za katere podobdelovalci obdelujejo osebne podatke strank; in (iii) lokacij posameznih podobdelovalcev. Družba Snap bo upravljavca podatkov obvestila vsaj 30 dni, preden doda novega podobdelovalca. 

e. Pravica do ugovora Upravljavec podatkov ima pravico ugovarjati dodajanju novega podobdelovalca, kot je opisano v tem razdelku. Če upravljavec podatkov ugovarja obdelavi osebnih podatkov strank s strani novoimenovanega podobdelovalca, bo nemudoma obvestil družbo Snap, ki bo storila nekaj od tega: (i) podobdelovalcu dala navodila, naj preneha vso nadaljnjo obdelavo osebnih podatkov strank, in v tem primeru se izvajanje pogodbe nadaljuje brez sprememeb; ali (ii) upravljavcu podatkov bo dovolila takojšnjo prekinitev te pogodbe.

a. Če ima upravljavec podatkov sedež v EGP, Švici ali Združenem kraljestvu in prenese osebne podatke družbi Snap Inc., potem pogodba o prenosu podatkov:

(i) velja za take prenose; 

(ii) ima glede takih prenosov prednost pred vsemi drugimi pogoji, vključno s pogoji te pogodbe;

(iii) predstavlja pravno zavezujočo pogodbo med vami kot izvoznikom podatkov in družbo Snap kot uvoznik podatkov ali v njegovem imenu; in 

(iv) se s tem vključuje v Pogoje poslovnih storitev. 

b. Upravljavec podatkov in družba Snap se glede osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, v EGP, Švici in Združenem kraljestvu strinjata, da lahko družba Snap obdeluje osebne podatke strank zunaj EGP, Švice in Združenega kraljestva, kjer so zahteve zakonodaje o varstvu podatkov (vključno s členi 44–47 GDPR, kjer je primerno) izpolnjene ali obstaja izjema (vključno s tistimi, ki so navedene v členu 49 GDPR, kjer je primerno).

c. V zvezi z osebnimi podatki brazilskih posameznikov, na katere se nanašajo osebni podatki, se upravljavec podatkov strinja, da lahko družba Snap obdeluje osebne podatke strank zunaj Brazilije, ter zagotavlja in jamči, da je tak prenos osebnih podatkov strank v skladu z LGPD.

a. Odškodnina Snap se strinja, da bo upravljavcu podatkov povrnil škodo za vse pritožbe tretjih oseb, bremenitve, zahtevke, škodo, izgube, stroške, obveznosti in izdatke zaradi kršitve te pogodbe s strani družbe Snap, ki izhaja iz ali je na kakršen koli način povezan s tem.

b. Postopek odškodnine Upravljavec podatkov bo družbo Snap nemudoma pisno obvestil o vsakršnem zahtevku za odškodnino, vendar dejstvo, da družba Snap ni bila obveščena, te ne odvezuje od kakršnekoli odgovornosti ali obveznosti za odškodovanje, ki jo morda ima, razen če ima družba Snap materialno škodo, ki ni bila obveščena. Upravljavec podatkov bo razumno in na njene stroške sodeloval z družbo Snap v povezavi z obrambo, dogovorom ali poravnavo, ki so povezani z morebitnim zahtevkom za odškodnino. Snap ne bo ogrozil ali poravnal nobenih zahtevkov na kakršenkoli način, niti ne bo priznal odgovornosti brez predhodnega pisnega soglasja upravljavca podatkov, ki ga lahko upravljavec poda po lastni presoji. Upravljavec podatkov lahko (na lastne stroške) sodeluje pri obrambi, dogovoru in poravnavi zahtevka s pravnim svetovalcem po izbiri upravljavca podatkov.

c. Odgovornost podprocesorja Snap potrjuje in se strinja, da bo še naprej odgovoren upravljavcu podatkov za kršitev pogojev te pogodbe s strani podprocesorja in vseh drugih poznejših obdelovalcev tretjih oseb, ki jih imenuje.

a. Prekinitev Ta pogodba samodejno preneha veljati po prekinitvi Pogojev poslovnih storitev.

b. Nadaljevanje veljavnosti. Obveznosti družbe Snap v zvezi z vračilom ali izbrisom osebnih podatkov strank bodo ostali v veljavi po prenehanju veljavnosti Pogojev poslovnih storitev in te pogodbe, dokler družba Snap ne vrne ali izbriše osebnih podatkov strank v skladu s to pogodbo.

Izvoznik podatkov je upravljavec podatkov, kot je opredeljen v tej pogodbi, z imenom, naslovom in kontaktnimi podatki, ki so družbi Snap posredovani prek poslovnih storitev. Dejavnosti, relevantne za podatke, prenesene na podlagi teh klavzul, vključujejo uporabo ustreznih poslovnih storitev v skladu s pogoji poslovnih storitev in veljavnimi dopolnilnimi pogoji in pravilniki. Izvoznik podatkov je v vlogi upravljavca. 

Uvoznik podatkov je:

Snap Inc., ki ima naslov: 3000 31st Street, Santa Monica, California 90405, ZDA

Dejavnosti, relevantne za podatke, prenesene na podlagi teh klavzul, vključujejo zagotavljanje ustreznih poslovnih storitev v skladu s Pogoji poslovnih storitev in veljavnimi določili dopolnilnih pogojev in pravilnikov. Uvoznik podatkov je v vlogi obdelovalca podatkov.

Dejavnosti obdelave podatkov, ki jih Snap izvaja na podlagi te pogodbe, so:

Zagotavljanje poslovnih storitev upravljavcu podatkov s strani družbe Snap.

Za obdobje te pogodbe plus obdobje od poteka obdobja veljavnosti te pogodbe do anonimizacije, vračila ali izbrisa podatkov v skladu s to pogodbo.

Snap bo osebne podatke strank obdeloval za namene zagotavljanja poslovnih storitev upravljavcu podatkov v skladu s Pogoji poslovnih storitev in to pogodbo ter, kakor je opisano v njih.

Osebni podatki strank v povezavi s posamezniki, ki jih upravljavec podatkov posreduje (ali so posredovani v njegovem imenu) družbi Snap prek poslovnih storitev in lahko vključujejo:

• e-poštni naslov

• telefonsko številko

• ID mobilnega oglasa (IDFA/AAID)

• naslov IP

• ID piškotka

• brskalnikov uporabniški posrednik

• dejanja in dogodke na spletnih mestih in v aplikacijah, vključno z obiskanimi stranmi, nakupi, iskanji, dogodki na blagajni, seznami želja, namestitvami in načini registracije uporabnikov

Brez

Stalno

Posamezniki, na katere se nanašajo osebni podatki, vključujejo posameznike v EGP, Švici, Združenem kraljestvu in Braziliji, katerih osebne podatke upravljavec podatkov prek poslovnih storitev posreduje (ali se posredujejo po njegovem naročilu) družbi Snap.

Pristojni nadzorni organ bo nizozemski organ za varstvo podatkov (Autoriteit Persoonsgegevens, AP).

1. Izvajanje in upoštevanje pisnega programa za informacijsko varnosti v skladu z uveljavljenimi standardi v panogi ter vključitev administrativnih, tehničnih in fizičnih zaščitnih ukrepov, primernih naravi osebnih podatkov strank in namenjenih zaščiti teh podatkov pred: nepooblaščenim dostopom, uničenjem, uporabo, spreminjanjem ali razkritjem; nepooblaščeno dostopom ali uporabo, ki bi lahko povzročila znatno škodo ali neprijetnosti upravljavcu podatkov, njegovim strankam ali zaposlenim, ter vsakršnimi pričakovanimi grožnjami ali nevarnostmi za varnost ali celovitost teh podatkov.

2. Uvajanje in izvedba razumnih pravilnikov in standardov, povezanih z varnostjo.

3. Dodeljevanje odgovornosti za upravljanje informacijske varnosti.

4. Namenjanje zadostnih človeških virov informacijski varnosti.

5. Izvajanje preverjanj redno zaposlenega osebja, ki bo imelo dostop do osebnih podatkov strank.

6. Izvajanje ustreznih preverjanj preteklosti in zahtevanje, da zaposleni, dobavitelji in drugi z dostopom do osebnih podatkov strank sklenejo pisne pogodbe o zaupnosti.

7. Izvajanje usposabljanja za ozaveščanje zaposlenih in drugih z dostopom do osebnih podatkov strank o tveganjih za informacijsko varnost in za izboljšanje skladnosti s pravilniki in standardi družbe Snap, povezanimi z varstvom podatkov.

8. Preprečevanje nepooblaščenega dostopa do osebnih podatkov strank s stalno uporabo, kjer je primerno, fizičnih in logičnih (gesel) ukrepov za nadzor dostopa, varnih območij za obdelavo podatkov, postopkov za spremljanje uporabe objektov za obdelavo podatkov, vgrajenih sistemskih revizijskih sledi, uporabo varnih gesel, tehnologijo za šifriranje in preverjanje pristnosti, varnih postopkov za prijavo in zaščite pred virusi, spremljanja skladnosti s pravilniki in standardi družbe Snap, ki so povezani z varstvom podatkov. Družba Snap je uvedla zlasti ukrepe, v skladu s katerimi ravna in med drugim vključujejo:

• ukrepe za nadzor fizičnega dostopa za preprečevanje nepooblaščenega dostopa do sistemov za obdelavo podatkov (npr. z ID-karticami za dostop, bralniki kartic, vratarji, alarmnimi sistemi, detektorji gibanja, alarmi za vdor, video nadzorom in zunanjo varnostjo);

• ukrepe za upravljanje zavrnitve uporabe za preprečevanje nepooblaščene uporabe sistemov za varstvo podatkov (npr. samodejno uveljavljanje zapletenosti gesel, zahteve glede spreminjanja gesel in požarni zidovi) ;

• avtorizacijski pristop, ki temelji na zahtevah, in pravice do dostopa ter spremljanje in beleženje dostopa do sistema, da se zagotovi, da imajo osebe, ki imajo pravico do uporabe sistema za obdelavo podatkov, dostop samo do podatkov, za katere imajo pravico do dostopa, in da osebnih podatkov strank ni mogoče brati, kopirati, spreminjati ali odstraniti brez dovoljenja;

• ukrepe za nadzor prenosa podatkov za zagotavljanje, da osebnih podatkov strank ni mogoče brez dovoljenja brati, kopirati, spreminjati ali odstraniti med elektronskim prenosom, prevozom ali shranjevanjem na podatkovnih nosilcih ter prenosom in prejemom zapisov. Program za informacijsko varnost družbe Snap bo zasnovan zlasti:

  • za šifriranje vseh naborov podatkov v posesti družbe Snap, vključno z občutljivimi osebnimi podatki, z uporabo ustreznih ravni šifriranja, ki temeljijo na vodilnih panožnih standardih za šifriranje, vključno z AES 256, in shranjevanje uporabniških identitet v sistemu, z uporabo parov ključnih vrednosti, kot je ghost_id, za preprečevanje shranjevanja dejanskega ID-ja uporabnika; in

  • za zagotavljanje, da so vsi občutljivi osebni podatki, ki se elektronsko prenašajo (razen po faksu) osebi zunaj IT-sistema družbe Snap ali prek javnega omrežja, šifrirani z uporabo najnovejših podprtih različic protokola TLS 1.2 za zaščito varnosti prenosa;

• ukrepe za nadzor vnosa podatkov za zagotavljanje, da lahko družba Snap preveri in ugotovi, ali so bili osebni podatki strank vneseni v sisteme za obdelavo podatkov, spremenjeni ali odstranjeni ter, kdo je to storil;

• ukrepe za stalno varnostno testiranje za zagotavljanje, da so postopki za informacijsko varnost še vedno ustrezni, učinkoviti in posodobljeni, vključno z letnim penetracijskim testiranjem, programi nagrad za odkrivanje napak, uporabo orodij za pregledovanje sistemov, namiznih vaj, preskusov obnovitve varnostnih kopij, preklopov na rezervne različice pred uvedbo v redno uporabo in izvajanjem post-mortemov v dejanskih primerih, da se posodobijo ustrezni načrti za obnovo po katastrofi;

• ukrepe za nadzor podobdelovalcev za zagotavljanje, da se v primeru, da je družbi Snap dovoljena uporaba podobdelovalec, osebni podatki strank obdelujejo strogo v skladu z navodili upravljavca podatkov, vključno z naslednjimi, kot je primerno:

  • ukrepi za zagotavljanje, da so osebni podatki strank zaščiteni pred naključnim uničenjem ali izgubo, med drugim tudi vključno z varnostnim kopiranjem, pravilniki o shrambi in varnem uničenju, varnim shranjevanjem podatkov na drugi lokaciji, kot je ustrezno za obnovo po katastrofi; neprekinjeno napajanje in programi za obnovo po katastrofi; in

  • ukrepi za zagotavljanje, da se podatki, zbrani za različne namene, mogoče obdelovati ločeno, med drugim tudi, kot je primerno, s fizičnim ali ustreznim logičnim ločevanjem osebnih podatkov strank. 

9. Izvajanje drugih korakov, kot je v danih okoliščinah primerno.