Contrato de Processamento de Dados

Este documento é um derivado do Termos padrão comuns do DPA em papel (versão 1.0) e as seguintes alterações foram feitas:

1. Lei Aplicável e Tribunais Escolhidos foi incluído como uma seção abaixo com Governing State identificados acima.
2. Relacionamento com provedor de serviços foi incluído como uma seção abaixo.

1. Provedor como Processador

Em situações onde Cliente é um Controlador dos Dados Pessoais do Cliente, Fornecedor será considerado um Processador que está Processando Dados Pessoais em nome de Cliente.

2. Provedor como Subprocessador

Em situações onde Cliente é um Processador dos Dados Pessoais do Cliente, Fornecedor será considerado um Subprocessador dos Dados Pessoais do Cliente.

1. Detalhes de processamento

O Anexo I(B) da Folha de Rosto descreve o objeto, a natureza, a finalidade e a duração deste Processamento, bem como o Categorias de dados pessoais coletados e Categorias de titulares de dados.

2. Instruções de Processamento

Cliente instrui Fornecedor processar Dados Pessoais do Cliente: (a) para fornecer e manter o Serviço; (b) conforme possa ser especificado através de Clientes uso do Serviço; (c) conforme documentado no Acordo; e (d) conforme documentado em quaisquer outras instruções escritas fornecidas pela Cliente e reconhecido por Fornecedor sobre o Processamento de Dados Pessoais do Cliente sob este DPA. Fornecedor cumprirá estas instruções, a menos que seja proibido de fazê-lo pelas leis aplicáveis. Fornecedor informará imediatamente Cliente se não conseguir seguir as instruções de processamento. Cliente deu e dará apenas instruções que cumpram as Leis Aplicáveis.

3. Processamento pelo Provedor

Fornecedor processará apenas os Dados Pessoais do Cliente de acordo com este DPA, incluindo os detalhes na Folha de Rosto. Se Fornecedor atualiza o Serviço para atualizar produtos, recursos ou funcionalidades existentes ou incluir novos produtos, Fornecedor pode alterar o Categorias de titulares de dados, Categorias de dados pessoais, Dados de categoria especial, Restrições ou salvaguardas de dados de categoria especial, Frequência de Transferência, Natureza e finalidade do processamento, e Duração do Processamento conforme necessário para refletir as atualizações, notificando Cliente das atualizações e mudanças.

4. Processamento do cliente

Onde Cliente é um processador e Fornecedor é um subprocessador, Cliente cumprirá todas as leis aplicáveis que se aplicam a Clientes Processamento de Dados Pessoais do Cliente. Clientes acordo com seu Controlador exigirá da mesma forma Cliente cumprir todas as leis aplicáveis que se aplicam a Cliente como processador. Além disso, Cliente cumprirá os requisitos do Subprocessador em Clientes acordo com seu Controlador.

5. Consentimento para Processamento

Cliente cumpriu e continuará a cumprir todas as Leis de Proteção de Dados Aplicáveis relativas ao fornecimento de Dados Pessoais do Cliente para Fornecedor e/ou o Serviço, incluindo fazer todas as divulgações, obter todos os consentimentos, fornecer escolha adequada e implementar salvaguardas relevantes exigidas pelas Leis de Proteção de Dados Aplicáveis.

6. Subprocessadores

a. Fornecedor não fornecerá, transferirá ou entregará quaisquer Dados Pessoais do Cliente a um Subprocessador, a menos que Cliente aprovou o Subprocessador. A lista atual de Subprocessadores aprovados inclui as identidades dos Subprocessadores, seu país de localização e suas tarefas de Processamento previstas. Fornecedor irá informar Cliente com pelo menos 10 dias úteis de antecedência e por escrito sobre quaisquer alterações pretendidas no Subprocessadores aprovados seja por adição ou substituição de um Subprocessador, o que permite Cliente ter tempo suficiente para se opor às mudanças antes do Fornecedor começa a usar o(s) novo(s) Subprocessador(es). Fornecedor darei Cliente as informações necessárias para permitir Cliente exercer o seu direito de oposição à alteração Subprocessadores aprovados. Cliente tem 30 dias após a notificação de uma alteração no Subprocessadores aprovados contestar, caso contrário Cliente será considerado como aceitando as alterações. Se Cliente contestar a alteração no prazo de 30 dias após o aviso, Cliente e Fornecedor cooperará de boa fé para resolver Clientes objeção ou preocupação.

b. Ao contratar um Subprocessador, Fornecedor terá um acordo por escrito com o Subprocessador que garante que o Subprocessador apenas acesse e use os Dados Pessoais do Cliente (i) na medida necessária para cumprir as obrigações subcontratadas a ele, e (ii) consistente com os termos de Acordo.

c. Se o GDPR se aplicar ao Processamento de Dados Pessoais do Cliente, (i) as obrigações de proteção de dados descritas neste DPA (conforme referido no Artigo 28(3) do GDPR, se aplicável) também serão impostas ao Subprocessador, e (ii ) Do provedor acordo com o Subprocessador incorporará essas obrigações, incluindo detalhes sobre como Fornecedor e seu Subprocessador coordenarão a resposta a dúvidas ou solicitações sobre o Processamento de Dados Pessoais do Cliente. Além disso, Fornecedor compartilhará, em Clientes solicitar, uma cópia de seus contratos (incluindo quaisquer alterações) com seus Subprocessadores. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, Fornecedor poderá redigir o texto do seu acordo com seu Subprocessador antes de compartilhar uma cópia.

d. Fornecedor permanece totalmente responsável por todas as obrigações subcontratadas aos seus Subprocessadores, incluindo os atos e omissões dos seus Subprocessadores no Processamento de Dados Pessoais do Cliente. Fornecedor notificará o Cliente sobre qualquer falha por parte de seus Subprocessadores no cumprimento de uma obrigação material sobre os Dados Pessoais do Cliente nos termos do contrato entre Fornecedor e o Subprocessador.

1. Autorização

Cliente concorda que Fornecedor pode transferir Dados Pessoais do Cliente para fora do EEE, do Reino Unido ou de outro território geográfico relevante, conforme necessário para fornecer o Serviço. Se Fornecedor transfere Dados Pessoais do Cliente para um território para o qual a Comissão Europeia ou outra autoridade de supervisão relevante não tenha emitido uma decisão de adequação, Fornecedor implementará salvaguardas apropriadas para a transferência de Dados Pessoais do Cliente para esse território, consistentes com as Leis de Proteção de Dados Aplicáveis.

2. Transferências ex-EEE

Cliente e Fornecedor concorda que se o GDPR proteger a transferência de Dados Pessoais do Cliente, a transferência será de Cliente de dentro do EEE para Fornecedor fora do EEE, e a transferência não é regida por uma decisão de adequação tomada pela Comissão Europeia, então, ao celebrar este DPA, Cliente e Fornecedor são considerados como tendo assinado as CEC do EEE e seus anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com as SCCs do EEE, que são concluídas da seguinte forma:

a. O Módulo Dois (Controlador para Processador) das SCCs do EEE se aplica quando Cliente é um controlador e Fornecedor está processando dados pessoais do cliente para Cliente como processador.

b. O Módulo Três (Processador para Subprocessador) das SCCs do EEE se aplica quando Cliente é um processador e Fornecedor está processando dados pessoais do cliente em nome de Cliente como Subprocessador.

c. Para cada módulo, aplica-se o seguinte (quando aplicável):

1. A cláusula de encaixe opcional da Cláusula 7 não se aplica;

2. Na Cláusula 9, aplica-se a Opção 2 (autorização geral por escrito), e o prazo mínimo para notificação prévia de alterações do Subprocessador é de 10 dias úteis;

3. Na Cláusula 11ª não se aplica a linguagem facultativa;

4. Todos os colchetes na Cláusula 13 foram removidos;

5. Na Cláusula 17 (Opção 1), as SCCs do EEE serão regidas pelas leis de Estado-Membro Governante;

6. Na Cláusula 18(b), as disputas serão resolvidas nos tribunais do Estado-Membro Governante; e

7. A página de rosto deste DPA contém as informações exigidas no Anexo I, Anexo II e Anexo III das SCC do EEE.

3. Transferências ex-Reino Unido

Cliente e Fornecedor concorda que se o GDPR do Reino Unido proteger a transferência de Dados Pessoais do Cliente, a transferência será de Cliente de dentro do Reino Unido para Fornecedor fora do Reino Unido, e a transferência não é regida por uma decisão de adequação tomada pelo Secretário de Estado do Reino Unido, então ao celebrar este DPA, Cliente e Fornecedor são considerados como tendo assinado o Adendo do Reino Unido e seus anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com o Adendo do Reino Unido, que é preenchido da seguinte forma:

a. A Seção 3.2 deste DPA contém as informações exigidas na Tabela 2 do Adendo do Reino Unido.

b. A Tabela 4 do Adendo do Reino Unido é modificada da seguinte forma: Nenhuma das partes poderá rescindir o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido; na medida em que a ICO emita um Adendo Aprovado revisado de acordo com a Seção 18 do Adendo do Reino Unido, as partes trabalharão de boa fé para revisar este DPA adequadamente.

c. A página de rosto contém as informações exigidas pelo Anexo 1A, Anexo 1B, Anexo II e Anexo III do Adendo do Reino Unido.

4. Outras transferências internacionais

Para transferências de dados pessoais em que a lei suíça (e não a lei de qualquer estado membro do EEE ou do Reino Unido) se aplica à natureza internacional da transferência, as referências ao GDPR na Cláusula 4 das SCCs do EEE são, na medida em que legalmente exigido, alterado para se referir à Lei Federal Suíça de Proteção de Dados ou sua sucessora, e o conceito de autoridade supervisora incluirá o Comissário Federal Suíço de Proteção de Dados e Informação.

1. Ao tomar conhecimento de qualquer Incidente de Segurança, Fornecedor irá: (a) notificar Cliente sem demora injustificada, quando viável, mas o mais tardar 72 horas após tomar conhecimento do Incidente de Segurança; (b) fornecer informações oportunas sobre o Incidente de Segurança à medida que ele se tornar conhecido ou conforme for razoavelmente solicitado pelo Cliente; e (c) tomar imediatamente medidas razoáveis para conter e investigar o Incidente de Segurança. Do provedor notificação ou resposta a um Incidente de Segurança conforme exigido por este DPA não será interpretada como um reconhecimento por parte Fornecedor de qualquer culpa ou responsabilidade pelo Incidente de Segurança.

1. Direitos de auditoria

Fornecedor darei Cliente todas as informações razoavelmente necessárias para demonstrar sua conformidade com este DPA e Fornecedor permitirá e contribuirá para auditorias, incluindo inspeções por Cliente, para avaliar Do provedor conformidade com este DPA. No entanto, Fornecedor pode restringir o acesso a dados ou informações se Clientes o acesso à informação impactaria negativamente Do provedor direitos de propriedade intelectual, obrigações de confidencialidade ou outras obrigações sob as Leis Aplicáveis. Cliente reconhece e concorda que só exercerá seus direitos de auditoria sob este DPA e quaisquer direitos de auditoria concedidos pelas Leis de Proteção de Dados Aplicáveis, instruindo Fornecedor para cumprir os requisitos de relatórios e due diligence abaixo. Fornecedor manterá registros de sua conformidade com este DPA por 3 anos após o término do DPA.

2. Relatórios de segurança

Cliente reconhece que Fornecedor é auditado regularmente de acordo com os padrões definidos no Política de segurança por auditores terceirizados independentes. Mediante solicitação por escrito, Fornecedor darei Cliente, de forma confidencial, uma cópia resumida do seu Relatório então atual, para que Cliente pode verificar Do provedor conformidade com os padrões definidos no Política de segurança.

3. Devida diligência de segurança

Além do Relatório, Fornecedor responderá a solicitações razoáveis de informações feitas por Cliente confirmar Do provedor conformidade com este DPA, incluindo respostas a questionários de segurança da informação, due diligence e auditoria, ou fornecendo informações adicionais sobre seu programa de segurança da informação. Todas essas solicitações deverão ser feitas por escrito e dirigidas ao Contato de segurança do provedor e só pode ser feito uma vez por ano.

1. Resposta a perguntas

Se Fornecedor recebe qualquer consulta ou solicitação de qualquer outra pessoa sobre o Processamento de Dados Pessoais do Cliente, Fornecedor irá notificar Cliente sobre o pedido e Fornecedor não responderá ao pedido sem Clientes consentimento prévio. Exemplos desses tipos de consultas e solicitações incluem uma ordem judicial, administrativa ou de agência reguladora sobre os Dados Pessoais do Cliente, onde a notificação Cliente não é proibido pela legislação aplicável ou por solicitação de um titular de dados. Se permitido pela Lei Aplicável, Fornecedor seguirá Clientes instruções razoáveis sobre essas solicitações, incluindo o fornecimento de atualizações de status e outras informações razoavelmente solicitadas por Cliente. Se um titular de dados fizer uma solicitação válida, de acordo com as Leis de Proteção de Dados Aplicáveis, para excluir ou cancelar Clientes fornecimento de Dados Pessoais do Cliente para Fornecedor, Fornecedor irá ajudar Cliente no atendimento da solicitação de acordo com a Lei de Proteção de Dados Aplicável. Fornecedor cooperará e fornecerá assistência razoável a Cliente, no Clientes despesa, em qualquer resposta legal ou outra ação processual tomada por Cliente em resposta a uma solicitação de terceiros sobre Do provedor Processamento de Dados Pessoais do Cliente sob este DPA.

2. DPIA e DTIA

Se exigido pelas leis de proteção de dados aplicáveis, Fornecedor irá razoavelmente ajudar Cliente na realização de quaisquer avaliações de impacto obrigatórias na proteção de dados ou avaliações de impacto na transferência de dados e consultas com autoridades de proteção de dados relevantes, levando em consideração a natureza do Processamento e dos Dados Pessoais do Cliente.

1. Exclusão pelo Cliente

Fornecedor permitirá Cliente excluir os Dados Pessoais do Cliente de maneira consistente com a funcionalidade dos Serviços. Fornecedor cumprirá esta instrução assim que for razoavelmente praticável, exceto quando o armazenamento adicional de Dados Pessoais do Cliente for exigido pela Lei Aplicável.

2. Exclusão na expiração do DPA

a. Depois que o DPA expirar, Fornecedor devolverá ou excluirá os Dados Pessoais do Cliente em Clientes instrução, a menos que o armazenamento adicional de Dados Pessoais do Cliente seja exigido ou autorizado pela Lei Aplicável. Se a devolução ou destruição for impraticável ou proibida pelas Leis Aplicáveis, Fornecedor fará esforços razoáveis para evitar Processamento adicional de Dados Pessoais do Cliente e continuará a proteger os Dados Pessoais do Cliente que permanecerem em sua posse, custódia ou controle. Por exemplo, as Leis Aplicáveis podem exigir Fornecedor continuar hospedando ou processando dados pessoais do cliente.

b. Se Cliente e Fornecedor entraram nas SCCs do EEE ou no Adendo do Reino Unido como parte deste DPA, Fornecedor só vai dar Cliente a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 das SCCs do EEE, se Cliente pede um.

1. Limites de responsabilidade e isenção de danos

Na extensão máxima permitida pelas Leis de Proteção de Dados Aplicáveis, a responsabilidade cumulativa total de cada parte para com a outra parte decorrente ou relacionada a este DPA estará sujeita às renúncias, exclusões e limitações de responsabilidade declaradas no Acordo.

2. Reivindicações de Partes Relacionadas

Quaisquer reclamações feitas contra Fornecedor ou suas Afiliadas decorrentes ou relacionadas a este DPA só poderão ser trazidas pelo Cliente entidade que é parte no Acordo.

3. Exceções

1. Este DPA não limita qualquer responsabilidade a um indivíduo sobre os direitos de proteção de dados do indivíduo sob as Leis de Proteção de Dados Aplicáveis. Além disso, este DPA não limita qualquer responsabilidade entre as partes por violações das SCCs do EEE ou do Adendo do Reino Unido.

1. Este DPA faz parte e complementa o Contrato. Se houver alguma inconsistência entre este DPA, o Acordo, ou qualquer uma de suas partes, a parte listada anteriormente controlará a parte listada posteriormente para essa inconsistência: (1) as SCCs do EEE ou o Adendo do Reino Unido, (2) este DPA e, em seguida, (3) o Acordo.

Este DPA começará quando Fornecedor e Cliente concordar com uma página de rosto para o DPA e assinar ou aceitar eletronicamente o Acordo e continuará até o Acordo expira ou é rescindido. No entanto, Fornecedor e Cliente cada um permanecerá sujeito às obrigações deste DPA e às leis de proteção de dados aplicáveis até Cliente deixa de transferir Dados Pessoais do Cliente para Fornecedor e Fornecedor interrompe o processamento de dados pessoais do cliente.

Não obstante a lei aplicável ou cláusulas semelhantes do Acordo, todas as interpretações e disputas sobre este DPA serão regidas pelas leis do Estado Governante independentemente de seu conflito de disposições legais. Além disso, e não obstante a seleção do foro, jurisdição ou cláusulas semelhantes do Acordo, as partes concordam em iniciar qualquer processo, ação ou processo legal sobre este DPA, e cada parte submete-se irrevogavelmente à jurisdição exclusiva dos tribunais do Estado Governante.

Na medida em que a Lei de Privacidade do Consumidor da Califórnia, Cal. Civil. Código § 1798.100 e seguintes ("CCPA") se aplica, as partes reconhecem e concordam que Fornecedor é um prestador de serviços e está recebendo Dados Pessoais de Cliente para fornecer o Serviço conforme acordado no Acordo, o que constitui um propósito comercial. Fornecedor não venderá quaisquer Dados Pessoais fornecidos por Cliente debaixo de Acordo. Além disso, Fornecedor não reterá, usará ou divulgará quaisquer Dados Pessoais fornecidos por Cliente debaixo de Acordo exceto quando necessário para fornecer o Serviço para Cliente, como consta no Acordo, ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis. Fornecedor certifica que compreende as restrições deste parágrafo.

1. "Leis aplicáveis" significa as leis, regras, regulamentos, ordens judiciais e outros requisitos vinculativos de uma autoridade governamental relevante que se aplicam ou regem uma parte.

2. "Leis de Proteção de Dados Aplicáveis" significa as Leis Aplicáveis que regem como o Serviço pode processar ou usar as informações pessoais de um indivíduo, dados pessoais, informações de identificação pessoal ou outro termo semelhante.

3. "Controlador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis à empresa que determina a finalidade e a extensão do Processamento de Dados Pessoais.

4. "Capa" significa um documento assinado ou aceito eletronicamente pelas partes que incorpora estes Termos Padrão da DPA e identifica Fornecedor, Cliente, e o assunto e detalhes do processamento de dados.

5. "Dados Pessoais do Cliente" significa Dados Pessoais que Cliente carrega ou fornece para Fornecedor como parte do Serviço e que é regido por este DPA.

6. "DPA" significa estes Termos Padrão da DPA, a Página de Rosto entre Fornecedor e Cliente, e as políticas e documentos mencionados ou anexados à Folha de Rosto.

7. "SCC do EEE" significa as cláusulas contratuais padrão anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho Europeu. .

8. "Área Econômica Européia" ou "EEA" significa os estados membros da União Europeia, Noruega, Islândia e Liechtenstein.

9. "GDPR" significa o Regulamento da União Europeia 2016/679 conforme implementado pela lei local no país membro do EEE relevante.

10. "Dados pessoais" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para informações pessoais, dados pessoais ou outro termo semelhante.

11. "Em processamento" ou "Processo" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para qualquer uso ou desempenho de uma operação de computador em Dados Pessoais, inclusive por métodos automáticos.

12. "Processador" terá o(s) significado(s) atribuído(s) nas Leis de Proteção de Dados Aplicáveis à empresa que Processa Dados Pessoais em nome do Controlador.

13. "Relatório" significa relatórios de auditoria preparados por outra empresa de acordo com os padrões definidos na Política de Segurança em nome do Provedor.

14. "Transferência Restrita" significa (a) quando o GDPR se aplica, uma transferência de dados pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia; e (b) quando o GDPR do Reino Unido for aplicável, uma transferência de dados pessoais do Reino Unido para qualquer outro país que não esteja sujeito aos regulamentos de adequação adotados de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.

15. "Incidente de Segurança" significa uma violação de dados pessoais, conforme definido no Artigo 4 do GDPR.

16. "Serviço" significa o produto e/ou serviços descritos no Acordo.

17. "Dados de categoria especial" terá o significado atribuído no Artigo 9 do RGPD.

18. "Subprocessador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para uma empresa que, com a aprovação e aceitação do Controlador, auxilia o Processador no Processamento de Dados Pessoais em nome do Controlador.

19. "UK GDPR" significa o Regulamento da União Europeia 2016/679 conforme implementado pela seção 3 da Lei de (Retirada) da União Europeia do Reino Unido de 2018 no Reino Unido.

20. "Adendo do Reino Unido" significa o adendo de transferência internacional de dados às SCCs do EEE emitido pelo Comissário de Informação para Partes que fazem Transferências Restritas sob a Lei de Proteção de Dados S119A(1) de 2018.

Este documento é um derivado do Termos padrão comuns do DPA em papel (versão 1.0) e está licenciado sob CC BY 4.0.