Acordo de Processamento de Dados

Acordo de processamento de dados Forward Email

Termos Principais

Termo Valor
Acordo Este DPA complementa os Termos de Serviço
Subprocessadores Aprovados Cloudflare (EUA; provedor de DNS, rede e segurança), DataPacket (EUA/Reino Unido; provedor de hospedagem), Digital Ocean (EUA; provedor de hospedagem), GitHub (EUA; hospedagem de código-fonte, CI/CD e gerenciamento de projetos), Vultr (EUA; provedor de hospedagem), Stripe (EUA; processador de pagamentos), PayPal (EUA; processador de pagamentos)
Contato de Segurança do Provedor security@forwardemail.net
Política de Segurança Veja nossa Política de Segurança no GitHub
Estado Regente O Estado de Delaware, Estados Unidos

Alterações no Contrato

Este documento é um derivado dos Termos Padrão do DPA do Common Paper (Versão 1.0) e as seguintes alterações foram feitas:

  1. Lei Aplicável e Tribunais Escolhidos foi incluída como uma seção abaixo com o Estado Governante identificado acima.
  2. Relação com o Provedor de Serviço foi incluída como uma seção abaixo.

1. Relações entre Processador e Subprocessador

1. Provedor como Processador

Em situações onde o Cliente é um Controlador dos Dados Pessoais do Cliente, o Provedor será considerado um Processador que está Processando Dados Pessoais em nome do Cliente.

2. Provedor como Subprocessador

Em situações onde o Cliente é um Processador dos Dados Pessoais do Cliente, o Provedor será considerado um Subprocessador dos Dados Pessoais do Cliente.

2. Processamento

1. Detalhes do Processamento

O Anexo I(B) na Página de Capa descreve o objeto, natureza, finalidade e duração deste Processamento, bem como as Categorias de Dados Pessoais coletados e as Categorias de Titulares dos Dados.

2. Instruções de Processamento

O Cliente instrui o Provedor a Processar os Dados Pessoais do Cliente: (a) para fornecer e manter o Serviço; (b) conforme possa ser especificado adicionalmente pelo uso do Serviço pelo Cliente; (c) conforme documentado no Contrato; e (d) conforme documentado em quaisquer outras instruções escritas dadas pelo Cliente e reconhecidas pelo Provedor sobre o Processamento dos Dados Pessoais do Cliente sob este DPA. O Provedor cumprirá essas instruções, a menos que seja proibido por Leis Aplicáveis. O Provedor informará imediatamente o Cliente se não puder seguir as instruções de Processamento. O Cliente deu e dará apenas instruções que estejam em conformidade com as Leis Aplicáveis.

3. Processamento pelo Provedor

O Provedor processará os Dados Pessoais do Cliente somente de acordo com este DPA, incluindo os detalhes na Página de Capa. Se o Provedor atualizar o Serviço para atualizar produtos, recursos ou funcionalidades existentes ou incluir novos, o Provedor poderá alterar as Categorias de Titulares dos Dados, Categorias de Dados Pessoais, Dados de Categoria Especial, Restrições ou Salvaguardas para Dados de Categoria Especial, Frequência de Transferência, Natureza e Finalidade do Processamento e Duração do Processamento conforme necessário para refletir as atualizações, notificando o Cliente sobre as atualizações e mudanças.

4. Processamento pelo Cliente

Quando o Cliente for um Processador e o Provedor for um Subprocessador, o Cliente cumprirá todas as Leis Aplicáveis que se aplicam ao Processamento dos Dados Pessoais do Cliente pelo Cliente. O acordo do Cliente com seu Controlador exigirá igualmente que o Cliente cumpra todas as Leis Aplicáveis que se aplicam ao Cliente como Processador. Além disso, o Cliente cumprirá os requisitos para Subprocessadores no acordo do Cliente com seu Controlador.

O Cliente cumpriu e continuará a cumprir todas as Leis de Proteção de Dados Aplicáveis relativas ao fornecimento dos Dados Pessoais do Cliente ao Provedor e/ou ao Serviço, incluindo fazer todas as divulgações, obter todos os consentimentos, fornecer escolha adequada e implementar salvaguardas relevantes exigidas pelas Leis de Proteção de Dados Aplicáveis.

6. Subprocessadores

a. Provedor não fornecerá, transferirá ou entregará quaisquer Dados Pessoais do Cliente a um Subprocessador, a menos que o Cliente tenha aprovado o Subprocessador. A lista atual de Subprocessadores Aprovados inclui as identidades dos Subprocessadores, seu país de localização e suas tarefas de Processamento previstas. Provedor informará o Cliente com pelo menos 10 dias úteis de antecedência e por escrito sobre quaisquer alterações pretendidas nos Subprocessadores Aprovados, seja por adição ou substituição de um Subprocessador, o que permite ao Cliente ter tempo suficiente para se opor às alterações antes que o Provedor comece a usar o(s) novo(s) Subprocessador(es). Provedor fornecerá ao Cliente as informações necessárias para permitir que o Cliente exerça seu direito de se opor à alteração dos Subprocessadores Aprovados. O Cliente tem 30 dias após o aviso de uma alteração nos Subprocessadores Aprovados para se opor, caso contrário, o Cliente será considerado como tendo aceitado as alterações. Se o Cliente se opuser à alteração dentro de 30 dias após o aviso, o Cliente e o Provedor cooperarão de boa-fé para resolver a objeção ou preocupação do Cliente.

b. Ao contratar um Subprocessador, o Provedor terá um acordo escrito com o Subprocessador que assegure que o Subprocessador acesse e utilize os Dados Pessoais do Cliente (i) apenas na medida necessária para cumprir as obrigações subcontratadas a ele, e (ii) de forma consistente com os termos do Acordo.

c. Se o GDPR se aplicar ao Processamento dos Dados Pessoais do Cliente, (i) as obrigações de proteção de dados descritas neste DPA (conforme referido no Artigo 28(3) do GDPR, se aplicável) também serão impostas ao Subprocessador, e (ii) o acordo do Provedor com o Subprocessador incorporará essas obrigações, incluindo detalhes sobre como o Provedor e seu Subprocessador coordenarão para responder a consultas ou solicitações sobre o Processamento dos Dados Pessoais do Cliente. Além disso, o Provedor compartilhará, a pedido do Cliente, uma cópia de seus acordos (incluindo quaisquer emendas) com seus Subprocessadores. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o Provedor poderá redigir o texto de seu acordo com o Subprocessador antes de compartilhar uma cópia.

d. O Provedor permanece totalmente responsável por todas as obrigações subcontratadas a seus Subprocessadores, incluindo os atos e omissões de seus Subprocessadores no Processamento dos Dados Pessoais do Cliente. O Provedor notificará o Cliente sobre qualquer falha de seus Subprocessadores em cumprir uma obrigação material relativa aos Dados Pessoais do Cliente sob o acordo entre o Provedor e o Subprocessador.

3. Transferências Restritas

1. Autorização

O Cliente concorda que o Provedor pode transferir Dados Pessoais do Cliente para fora do EEE, do Reino Unido ou de outro território geográfico relevante, conforme necessário para fornecer o Serviço. Se o Provedor transferir Dados Pessoais do Cliente para um território para o qual a Comissão Europeia ou outra autoridade supervisora relevante não tenha emitido uma decisão de adequação, o Provedor implementará salvaguardas apropriadas para a transferência dos Dados Pessoais do Cliente para esse território, em conformidade com as Leis de Proteção de Dados Aplicáveis.

2. Transferências fora do EEE

O Cliente e o Provedor concordam que, se o GDPR proteger a transferência dos Dados Pessoais do Cliente, a transferência for do Cliente dentro do EEE para o Provedor fora do EEE, e a transferência não for regida por uma decisão de adequação feita pela Comissão Europeia, então, ao celebrar este DPA, o Cliente e o Provedor são considerados como tendo assinado as SCCs do EEE e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita nos termos das SCCs do EEE, que são preenchidas da seguinte forma: a. O Módulo Dois (Controlador para Processador) dos SCCs do EEE aplica-se quando o Cliente é um Controlador e o Fornecedor está Processando Dados Pessoais do Cliente para o Cliente como Processador.

b. O Módulo Três (Processador para Subprocessador) dos SCCs do EEE aplica-se quando o Cliente é um Processador e o Fornecedor está Processando Dados Pessoais do Cliente em nome do Cliente como Subprocessador.

c. Para cada módulo, aplica-se o seguinte (quando aplicável):

  1. A cláusula opcional de acoplamento na Cláusula 7 não se aplica;

  2. Na Cláusula 9, a Opção 2 (autorização escrita geral) aplica-se, e o período mínimo para aviso prévio de alterações de Subprocessador é de 10 dias úteis;

  3. Na Cláusula 11, a linguagem opcional não se aplica;

  4. Todos os colchetes na Cláusula 13 são removidos;

  5. Na Cláusula 17 (Opção 1), os SCCs do EEE serão regidos pelas leis do Estado-Membro Governante;

  6. Na Cláusula 18(b), os litígios serão resolvidos nos tribunais do Estado-Membro Governante; e

  7. A Página de Capa deste DPA contém as informações exigidas no Anexo I, Anexo II e Anexo III dos SCCs do EEE.

3. Transferências ex-UK

Cliente e Fornecedor concordam que, se o UK GDPR protege a transferência de Dados Pessoais do Cliente, a transferência é do Cliente dentro do Reino Unido para o Fornecedor fora do Reino Unido, e a transferência não é regida por uma decisão de adequação feita pelo Secretário de Estado do Reino Unido, então, ao celebrar este DPA, o Cliente e o Fornecedor são considerados como tendo assinado o Adendo do Reino Unido e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita nos termos do Adendo do Reino Unido, que é completado da seguinte forma:

a. A Seção 3.2 deste DPA contém as informações exigidas na Tabela 2 do Adendo do Reino Unido.

b. A Tabela 4 do Adendo do Reino Unido é modificada da seguinte forma: Nenhuma das partes pode encerrar o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido; na medida em que o ICO emitir um Adendo Aprovado revisado sob a Seção ‎18 do Adendo do Reino Unido, as partes trabalharão de boa-fé para revisar este DPA em conformidade.

c. A Página de Capa contém as informações exigidas pelo Anexo 1A, Anexo 1B, Anexo II e Anexo III do Adendo do Reino Unido.

4. Outras Transferências Internacionais

Para transferências de Dados Pessoais onde a lei suíça (e não a lei de qualquer estado membro do EEE ou do Reino Unido) se aplica à natureza internacional da transferência, as referências ao GDPR na Cláusula 4 dos SCCs do EEE são, na medida legalmente exigida, alteradas para referir-se à Lei Federal Suíça de Proteção de Dados ou seu sucessor, e o conceito de autoridade supervisora incluirá o Comissário Federal Suíço para Proteção de Dados e Informação.

4. Resposta a Incidentes de Segurança

  1. Ao tomar conhecimento de qualquer Incidente de Segurança, o Fornecedor irá: (a) notificar o Cliente sem demora indevida quando possível, mas no máximo 72 horas após tomar conhecimento do Incidente de Segurança; (b) fornecer informações oportunas sobre o Incidente de Segurança conforme forem conhecidas ou conforme razoavelmente solicitado pelo Cliente; e (c) tomar prontamente medidas razoáveis para conter e investigar o Incidente de Segurança. A notificação ou resposta do Fornecedor a um Incidente de Segurança conforme exigido por este DPA não será interpretada como um reconhecimento pelo Fornecedor de qualquer culpa ou responsabilidade pelo Incidente de Segurança.

5. Auditoria & Relatórios

1. Direitos de Auditoria

O Fornecedor fornecerá ao Cliente todas as informações razoavelmente necessárias para demonstrar sua conformidade com este DPA e permitirá e contribuirá para auditorias, incluindo inspeções pelo Cliente, para avaliar a conformidade do Fornecedor com este DPA. No entanto, o Fornecedor pode restringir o acesso a dados ou informações se o acesso do Cliente a essas informações impactar negativamente os direitos de propriedade intelectual do Fornecedor, obrigações de confidencialidade ou outras obrigações sob as Leis Aplicáveis. O Cliente reconhece e concorda que exercerá seus direitos de auditoria sob este DPA e quaisquer direitos de auditoria concedidos pelas Leis de Proteção de Dados Aplicáveis apenas instruindo o Fornecedor a cumprir os requisitos de relatório e diligência devida abaixo. O Fornecedor manterá registros de sua conformidade com este DPA por 3 anos após o término do DPA.

2. Relatórios de Segurança

Cliente reconhece que o Fornecedor é regularmente auditado conforme os padrões definidos na Política de Segurança por auditores independentes terceirizados. Mediante solicitação por escrito, o Fornecedor fornecerá ao Cliente, de forma confidencial, uma cópia resumida de seu Relatório vigente para que o Cliente possa verificar a conformidade do Fornecedor com os padrões definidos na Política de Segurança.

3. Diligência de Segurança

Além do Relatório, o Fornecedor responderá a solicitações razoáveis de informações feitas pelo Cliente para confirmar a conformidade do Fornecedor com este DPA, incluindo respostas a questionários de segurança da informação, diligência e auditoria, ou fornecendo informações adicionais sobre seu programa de segurança da informação. Todas essas solicitações devem ser feitas por escrito e direcionadas ao Contato de Segurança do Fornecedor e poderão ser feitas apenas uma vez por ano.

6. Coordenação e Cooperação

1. Resposta a Consultas

Se o Fornecedor receber qualquer consulta ou solicitação de qualquer outra pessoa sobre o Processamento de Dados Pessoais do Cliente, o Fornecedor notificará o Cliente sobre a solicitação e não responderá à solicitação sem o consentimento prévio do Cliente. Exemplos dessas consultas e solicitações incluem uma ordem judicial, administrativa ou de agência reguladora sobre Dados Pessoais do Cliente onde a notificação ao Cliente não seja proibida pela Lei Aplicável, ou uma solicitação de um titular de dados. Se permitido pela Lei Aplicável, o Fornecedor seguirá as instruções razoáveis do Cliente sobre essas solicitações, incluindo fornecer atualizações de status e outras informações razoavelmente solicitadas pelo Cliente. Se um titular de dados fizer uma solicitação válida sob as Leis de Proteção de Dados Aplicáveis para excluir ou optar por não fornecer os Dados Pessoais do Cliente ao Fornecedor, o Fornecedor auxiliará o Cliente no cumprimento da solicitação conforme a Lei de Proteção de Dados Aplicável. O Fornecedor cooperará e fornecerá assistência razoável ao Cliente, às custas do Cliente, em qualquer resposta legal ou outra ação processual tomada pelo Cliente em resposta a uma solicitação de terceiros sobre o Processamento dos Dados Pessoais do Cliente pelo Fornecedor sob este DPA.

2. DPIAs e DTIAs

Se exigido pelas Leis de Proteção de Dados Aplicáveis, o Fornecedor auxiliará razoavelmente o Cliente na realização de quaisquer avaliações de impacto de proteção de dados ou avaliações de impacto de transferência de dados mandatadas e consultas com as autoridades de proteção de dados relevantes, levando em consideração a natureza do Processamento e dos Dados Pessoais do Cliente.

7. Exclusão dos Dados Pessoais do Cliente

1. Exclusão pelo Cliente

O Fornecedor permitirá que o Cliente exclua os Dados Pessoais do Cliente de maneira consistente com a funcionalidade dos Serviços. O Fornecedor cumprirá essa instrução assim que razoavelmente possível, exceto quando o armazenamento adicional dos Dados Pessoais do Cliente for exigido pela Lei Aplicável.

2. Exclusão na Expiração do DPA

a. Após a expiração do DPA, o Fornecedor devolverá ou excluirá os Dados Pessoais do Cliente conforme instrução do Cliente, salvo se o armazenamento adicional dos Dados Pessoais do Cliente for exigido ou autorizado pela Lei Aplicável. Se a devolução ou destruição for impraticável ou proibida pelas Leis Aplicáveis, o Fornecedor fará esforços razoáveis para impedir o Processamento adicional dos Dados Pessoais do Cliente e continuará a proteger os Dados Pessoais do Cliente que permanecerem em sua posse, custódia ou controle. Por exemplo, as Leis Aplicáveis podem exigir que o Fornecedor continue hospedando ou processando os Dados Pessoais do Cliente. b. Se Cliente e Fornecedor tiverem incluído as SCCs do EEE ou o Adendo do Reino Unido como parte deste DPA, o Fornecedor só fornecerá ao Cliente a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 das SCCs do EEE se o Cliente solicitar uma.

8. Limitação de Responsabilidade

1. Limites de Responsabilidade e Renúncia de Danos

Na máxima extensão permitida pelas Leis de Proteção de Dados Aplicáveis, a responsabilidade total cumulativa de cada parte para com a outra decorrente ou relacionada a este DPA estará sujeita às renúncias, exclusões e limitações de responsabilidade estabelecidas no Acordo.

Quaisquer reclamações feitas contra o Fornecedor ou suas Afiliadas decorrentes ou relacionadas a este DPA só podem ser apresentadas pela entidade Cliente que seja parte do Acordo.

3. Exceções

  1. Este DPA não limita qualquer responsabilidade para com um indivíduo em relação aos direitos de proteção de dados desse indivíduo sob as Leis de Proteção de Dados Aplicáveis. Além disso, este DPA não limita qualquer responsabilidade entre as partes por violações das SCCs do EEE ou do Adendo do Reino Unido.

9. Conflitos Entre Documentos

  1. Este DPA faz parte e complementa o Acordo. Se houver qualquer inconsistência entre este DPA, o Acordo ou qualquer de suas partes, a parte listada anteriormente prevalecerá sobre a parte listada posteriormente para essa inconsistência: (1) as SCCs do EEE ou o Adendo do Reino Unido, (2) este DPA, e então (3) o Acordo.

10. Prazo do Acordo

Este DPA começará quando o Fornecedor e o Cliente concordarem com uma Página de Capa para o DPA e assinarem ou aceitarem eletronicamente o Acordo e continuará até que o Acordo expire ou seja rescindido. No entanto, o Fornecedor e o Cliente permanecerão sujeitos às obrigações deste DPA e às Leis de Proteção de Dados Aplicáveis até que o Cliente pare de transferir Dados Pessoais do Cliente para o Fornecedor e o Fornecedor pare de Processar Dados Pessoais do Cliente.

11. Lei Aplicável e Tribunais Escolhidos

Não obstante as cláusulas de lei aplicável ou similares do Acordo, todas as interpretações e disputas sobre este DPA serão regidas pelas leis do Estado Governante sem consideração às suas disposições sobre conflito de leis. Além disso, e não obstante a seleção de foro, jurisdição ou cláusulas similares do Acordo, as partes concordam em levar qualquer ação judicial, processo ou procedimento sobre este DPA aos tribunais do Estado Governante, e cada parte se submete irrevogavelmente à jurisdição exclusiva desses tribunais.

12. Relação de Prestador de Serviços

Na medida em que a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code § 1798.100 et seq ("CCPA") se aplique, as partes reconhecem e concordam que o Fornecedor é um prestador de serviços e está recebendo Dados Pessoais do Cliente para fornecer o Serviço conforme acordado no Acordo, o que constitui uma finalidade comercial. O Fornecedor não venderá quaisquer Dados Pessoais fornecidos pelo Cliente sob o Acordo. Além disso, o Fornecedor não reterá, usará ou divulgará quaisquer Dados Pessoais fornecidos pelo Cliente sob o Acordo exceto conforme necessário para fornecer o Serviço para o Cliente, conforme declarado no Acordo, ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis. O Fornecedor certifica que entende as restrições deste parágrafo.

13. Definições

  1. "Leis Aplicáveis" significa as leis, regras, regulamentos, ordens judiciais e outros requisitos vinculativos de uma autoridade governamental relevante que se aplicam ou regem uma parte.

  2. "Leis Aplicáveis de Proteção de Dados" significa as Leis Aplicáveis que regem como o Serviço pode processar ou usar as informações pessoais, dados pessoais, informações pessoalmente identificáveis ou outro termo similar de um indivíduo.

  3. "Controlador" terá o(s) significado(s) dado(s) nas Leis Aplicáveis de Proteção de Dados para a empresa que determina a finalidade e a extensão do Processamento de Dados Pessoais.

  4. "Página de Rosto" significa um documento que é assinado ou aceito eletronicamente pelas partes que incorpora estes Termos Padrão do DPA e identifica Fornecedor, Cliente e o assunto e detalhes do processamento de dados.

  5. "Dados Pessoais do Cliente" significa Dados Pessoais que o Cliente carrega ou fornece ao Fornecedor como parte do Serviço e que são regidos por este DPA.

  6. "DPA" significa estes Termos Padrão do DPA, a Página de Rosto entre Fornecedor e Cliente, e as políticas e documentos referenciados ou anexados à Página de Rosto.

  7. "Cláusulas Contratuais Padrão da EEE" significa as cláusulas contratuais padrão anexadas à Decisão de Execução 2021/914 da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho Europeu.

  8. "Espaço Econômico Europeu" ou "EEE" significa os estados membros da União Europeia, Noruega, Islândia e Liechtenstein.

  9. "GDPR" significa o Regulamento da União Europeia 2016/679 conforme implementado pela legislação local na nação membro relevante do EEE.

  10. "Dados Pessoais" terá o(s) significado(s) dado(s) nas Leis Aplicáveis de Proteção de Dados para informações pessoais, dados pessoais ou outro termo similar.

  11. "Processamento" ou "Processar" terá o(s) significado(s) dado(s) nas Leis Aplicáveis de Proteção de Dados para qualquer uso de, ou execução de uma operação computacional sobre, Dados Pessoais, incluindo por métodos automáticos.

  12. "Processador" terá o(s) significado(s) dado(s) nas Leis Aplicáveis de Proteção de Dados para a empresa que Processa Dados Pessoais em nome do Controlador.

  13. "Relatório" significa relatórios de auditoria preparados por outra empresa de acordo com os padrões definidos na Política de Segurança em nome do Fornecedor.

  14. "Transferência Restrita" significa (a) onde o GDPR se aplica, uma transferência de dados pessoais do EEE para um país fora do EEE que não está sujeito a uma decisão de adequação pela Comissão Europeia; e (b) onde o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para qualquer outro país que não esteja sujeito a regulamentos de adequação adotados nos termos da Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.

  15. "Incidente de Segurança" significa uma Violação de Dados Pessoais conforme definido no Artigo 4 do GDPR.

  16. "Serviço" significa o produto e/ou serviços descritos no Acordo.

  17. "Dados de Categoria Especial" terá o significado dado no Artigo 9 do GDPR.

  18. "Subprocessador" terá o(s) significado(s) dado(s) nas Leis Aplicáveis de Proteção de Dados para uma empresa que, com a aprovação e aceitação do Controlador, auxilia o Processador no Processamento de Dados Pessoais em nome do Controlador.

  19. "GDPR do Reino Unido" significa o Regulamento da União Europeia 2016/679 conforme implementado pela seção 3 da Lei de Retirada da União Europeia (Withdrawal) do Reino Unido de 2018 no Reino Unido.

  20. "Adendo do Reino Unido" significa o adendo de transferência internacional de dados às Cláusulas Contratuais Padrão da EEE emitido pelo Comissário de Informação para as Partes que realizam Transferências Restritas nos termos do S119A(1) da Lei de Proteção de Dados de 2018.

Créditos

Este documento é um derivado dos Termos Padrão do DPA do Common Paper (Versão 1.0) e está licenciado sob CC BY 4.0.