Acordo de Processamento de Dados

Termos-chave

Prazo Valor
Acordo Este DPA complementa o Terms of Service
Subprocessadores Aprovados Cloudflare (EUA; provedor de DNS, rede e segurança), DataPacket (EUA/Reino Unido; provedor de hospedagem), Digital Ocean (EUA; provedor de hospedagem), Vultr (EUA; provedor de hospedagem), Stripe (EUA; processador de pagamento), PayPal (EUA; processador de pagamento)
Contato de segurança do provedor security@forwardemail.net
Política de Segurança Ver our Security Policy on GitHub
Estado Governante O estado de Delaware, Estados Unidos

Alterações no Contrato

Este documento é um derivado do Termos Padrão do Common Paper DPA (Versão 1.0) e as seguintes alterações foram feitas:

  1. Lei aplicável e tribunais escolhidos foi incluído como uma seção abaixo, com Governing State identificado acima.
  2. Relacionamento com o Provedor de Serviços foi incluído como uma seção abaixo.

1. Relacionamentos entre Processador e Subprocessador

1. Provedor como Processador

Em situações em que o Cliente é um Controlador dos Dados Pessoais do Cliente, o Provedor será considerado um Processador que está Processando Dados Pessoais em nome do Cliente.

2. Provedor como Subprocessador

Em situações em que o Cliente for um Processador dos Dados Pessoais do Cliente, o Provedor será considerado um Subprocessador dos Dados Pessoais do Cliente.

2. Processando

1. Detalhes de processamento

O Anexo I(B) na Página de Capa descreve o assunto, a natureza, a finalidade e a duração deste Processamento, bem como as Categorias de Dados Pessoais coletados e as Categorias de Titulares de Dados.

2. Instruções de processamento

O Cliente instrui o Provedor a Processar Dados Pessoais do Cliente: (a) para fornecer e manter o Serviço; (b) conforme especificado posteriormente por meio do uso do Serviço pelo Cliente; (c) conforme documentado no Contrato; e (d) conforme documentado em quaisquer outras instruções escritas fornecidas pelo Cliente e reconhecidas pelo Provedor sobre o Processamento de Dados Pessoais do Cliente sob este DPA. O Provedor cumprirá essas instruções, a menos que seja proibido de fazê-lo pelas Leis Aplicáveis. O Provedor informará imediatamente o Cliente caso não consiga seguir as instruções de Processamento. O Cliente deu e dará apenas instruções que estejam em conformidade com as Leis Aplicáveis.

3. Processamento pelo Provedor

O Provedor processará os Dados Pessoais do Cliente somente de acordo com este DPA, incluindo os detalhes na Página de Rosto. Se o Provedor atualizar o Serviço para atualizar produtos, recursos ou funcionalidades existentes ou incluir novos, o Provedor poderá alterar as Categorias de Titulares dos Dados, Categorias de Dados Pessoais, Dados de Categoria Especial, Restrições ou Salvaguardas de Dados de Categoria Especial, Frequência de Transferência, Natureza e Finalidade do Processamento e Duração do Processamento conforme necessário para refletir as atualizações, notificando o Cliente sobre as atualizações e alterações.

4. Processamento do cliente

Quando o Cliente for um Processador e o Provedor for um Subprocessador, o Cliente cumprirá todas as Leis Aplicáveis que se aplicam ao Processamento de Dados Pessoais do Cliente pelo Cliente. O contrato do Cliente com seu Controlador exigirá, da mesma forma, que o Cliente cumpra todas as Leis Aplicáveis que se aplicam ao Cliente como Processador. Além disso, o Cliente cumprirá os requisitos do Subprocessador previstos no contrato do Cliente com seu Controlador.

O Cliente cumpriu e continuará a cumprir todas as Leis de Proteção de Dados Aplicáveis relativas ao fornecimento de Dados Pessoais do Cliente ao Provedor e/ou ao Serviço, incluindo fazer todas as divulgações, obter todos os consentimentos, fornecer escolha adequada e implementar salvaguardas relevantes exigidas pelas Leis de Proteção de Dados Aplicáveis.

6. Subprocessadores

a. O Provedor não fornecerá, transferirá ou entregará quaisquer Dados Pessoais do Cliente a um Subprocessador, a menos que o Cliente tenha aprovado o Subprocessador. A lista atual de Subprocessadores Aprovados inclui as identidades dos Subprocessadores, seus países de localização e suas tarefas de Processamento previstas. O Provedor informará o Cliente com pelo menos 10 dias úteis de antecedência e por escrito sobre quaisquer alterações pretendidas nos Subprocessadores Aprovados, seja por adição ou substituição de um Subprocessador, o que permite que o Cliente tenha tempo suficiente para se opor às alterações antes que o Provedor comece a usar o(s) novo(s) Subprocessador(es). O Provedor fornecerá ao Cliente as informações necessárias para permitir que o Cliente exerça seu direito de se opor à alteração dos Subprocessadores Aprovados. O Cliente tem 30 dias após a notificação de uma alteração nos Subprocessadores Aprovados para se opor; caso contrário, o Cliente será considerado como tendo aceitado as alterações. Caso o Cliente se oponha à alteração dentro de 30 dias da notificação, o Cliente e o Provedor cooperarão de boa-fé para resolver a objeção ou preocupação do Cliente.

b. Ao contratar um Subprocessador, o Provedor terá um acordo por escrito com o Subprocessador que garante que o Subprocessador somente acesse e use os Dados Pessoais do Cliente (i) na medida necessária para executar as obrigações subcontratadas a ele e (ii) de acordo com os termos do Contrato.

c. Se o RGPD se aplicar ao Processamento de Dados Pessoais do Cliente, (i) as obrigações de proteção de dados descritas neste DPA (conforme mencionado no Artigo 28(3) do RGPD, se aplicável) também serão impostas ao Subprocessador, e (ii) o contrato do Provedor com o Subprocessador incorporará essas obrigações, incluindo detalhes sobre como o Provedor e seu Subprocessador se coordenarão para responder a consultas ou solicitações sobre o Processamento de Dados Pessoais do Cliente. Além disso, o Provedor compartilhará, a pedido do Cliente, uma cópia de seus contratos (incluindo quaisquer alterações) com seus Subprocessadores. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o Provedor poderá redigir o texto de seu contrato com seu Subprocessador antes de compartilhar uma cópia.

d. O Provedor permanece totalmente responsável por todas as obrigações subcontratadas aos seus Subprocessadores, incluindo os atos e omissões de seus Subprocessadores no Processamento de Dados Pessoais do Cliente. O Provedor notificará o Cliente sobre qualquer falha de seus Subprocessadores em cumprir uma obrigação material sobre Dados Pessoais do Cliente sob o acordo entre o Provedor e o Subprocessador.

3. Transferências Restritas

1. Autorização

O Cliente concorda que o Provedor pode transferir Dados Pessoais do Cliente para fora do EEE, do Reino Unido ou de outro território geográfico relevante, conforme necessário para a prestação do Serviço. Se o Provedor transferir Dados Pessoais do Cliente para um território para o qual a Comissão Europeia ou outra autoridade supervisora relevante não tenha emitido uma decisão de adequação, o Provedor implementará salvaguardas apropriadas para a transferência de Dados Pessoais do Cliente para esse território, em conformidade com as Leis de Proteção de Dados Aplicáveis.

2. Transferências Ex-EEE

O Cliente e o Provedor concordam que, se o GDPR proteger a transferência de Dados Pessoais do Cliente, a transferência será do Cliente dentro do EEE para o Provedor fora do EEE, e a transferência não for regida por uma decisão de adequação tomada pela Comissão Europeia, então, ao celebrar este DPA, o Cliente e o Provedor são considerados como tendo assinado as CSCs do EEE e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com as CSCs do EEE, que são preenchidas da seguinte forma:

a. O Módulo Dois (Controlador para Processador) das SCCs do EEE se aplica quando o Cliente é um Controlador e o Provedor está Processando Dados Pessoais do Cliente para o Cliente como um Processador.

b. O Módulo Três (Processador para Subprocessador) das SCCs do EEE se aplica quando o Cliente é um Processador e o Provedor está Processando Dados Pessoais do Cliente em nome do Cliente como um Subprocessador.

c. Para cada módulo, aplica-se o seguinte (quando aplicável):

  1. A cláusula de atracação opcional da Cláusula 7 não se aplica;

  2. Na Cláusula 9, aplica-se a Opção 2 (autorização geral por escrito), e o prazo mínimo para notificação prévia de alterações do Subprocessador é de 10 dias úteis;

  3. Na Cláusula 11, a linguagem opcional não se aplica;

  4. Todos os colchetes da Cláusula 13 são removidos;

  5. Na Cláusula 17 (Opção 1), as SCC do EEE serão regidas pelas leis do Estado-Membro Governante;

  6. Na Cláusula 18(b), as disputas serão resolvidas nos tribunais do Estado-Membro Governante; e

  7. A página de rosto deste DPA contém as informações exigidas no Anexo I, Anexo II e Anexo III das SCCs do EEE.

3. Transferências Ex-Reino Unido

O Cliente e o Provedor concordam que, se o GDPR do Reino Unido proteger a transferência de Dados Pessoais do Cliente, a transferência será do Cliente de dentro do Reino Unido para o Provedor fora do Reino Unido, e a transferência não será regida por uma decisão de adequação tomada pelo Secretário de Estado do Reino Unido. Ao celebrar este DPA, o Cliente e o Provedor são considerados como tendo assinado o Adendo do Reino Unido e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo será realizada de acordo com o Adendo do Reino Unido, que é preenchido da seguinte forma:

a. A Seção 3.2 deste DPA contém as informações exigidas na Tabela 2 do Adendo do Reino Unido.

b. A Tabela 4 do Adendo do Reino Unido é modificada da seguinte forma: Nenhuma das partes pode rescindir o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido; na medida em que a ICO emitir um Adendo Aprovado revisado de acordo com a Seção 18 do Adendo do Reino Unido, as partes trabalharão de boa-fé para revisar este DPA adequadamente.

c. A página de rosto contém as informações exigidas pelo Anexo 1A, Anexo 1B, Anexo II e Anexo III do Adendo do Reino Unido.

4. Outras Transferências Internacionais

Para transferências de Dados Pessoais em que a lei suíça (e não a lei de qualquer estado-membro do EEE ou do Reino Unido) se aplica à natureza internacional da transferência, as referências ao GDPR na Cláusula 4 das SCCs do EEE são, na medida legalmente exigidas, alteradas para se referir à Lei Federal Suíça de Proteção de Dados ou seu sucessor, e o conceito de autoridade supervisora incluirá o Comissário Federal Suíço de Proteção de Dados e Informações.

4. Resposta a incidentes de segurança

  1. Ao tomar conhecimento de qualquer Incidente de Segurança, o Provedor irá: (a) notificar o Cliente sem atrasos indevidos quando possível, mas no máximo 72 horas após tomar conhecimento do Incidente de Segurança; (b) fornecer informações oportunas sobre o Incidente de Segurança assim que forem conhecidas ou conforme razoavelmente solicitado pelo Cliente; e (c) tomar prontamente medidas razoáveis para conter e investigar o Incidente de Segurança. A notificação ou resposta do Provedor a um Incidente de Segurança conforme exigido por este DPA não será interpretada como um reconhecimento pelo Provedor de qualquer falha ou responsabilidade pelo Incidente de Segurança.

5. Auditoria e Relatórios

1. Direitos de auditoria

O Provedor fornecerá ao Cliente todas as informações razoavelmente necessárias para demonstrar sua conformidade com este DPA e permitirá e contribuirá para auditorias, incluindo inspeções pelo Cliente, para avaliar a conformidade do Provedor com este DPA. No entanto, o Provedor poderá restringir o acesso a dados ou informações se o acesso do Cliente às informações impactar negativamente seus direitos de propriedade intelectual, obrigações de confidencialidade ou outras obrigações sob as Leis Aplicáveis. O Cliente reconhece e concorda que somente exercerá seus direitos de auditoria sob este DPA e quaisquer direitos de auditoria concedidos pelas Leis Aplicáveis de Proteção de Dados instruindo o Provedor a cumprir os requisitos de relatórios e due diligence abaixo. O Provedor manterá registros de sua conformidade com este DPA por 3 anos após o término do DPA.

2. Relatórios de segurança

O Cliente reconhece que o Provedor é regularmente auditado em relação aos padrões definidos na Política de Segurança por auditores terceirizados independentes. Mediante solicitação por escrito, o Provedor fornecerá ao Cliente, em caráter confidencial, uma cópia resumida de seu Relatório vigente para que o Cliente possa verificar a conformidade do Provedor com os padrões definidos na Política de Segurança.

3. Devida diligência de segurança

Além do Relatório, o Provedor responderá a solicitações razoáveis de informações feitas pelo Cliente para confirmar a conformidade do Provedor com este DPA, incluindo respostas a questionários de segurança da informação, due diligence e auditoria, ou fornecendo informações adicionais sobre seu programa de segurança da informação. Todas essas solicitações devem ser feitas por escrito e enviadas ao Contato de Segurança do Provedor e podem ser feitas apenas uma vez por ano.

6. Coordenação e Cooperação

1. Resposta a perguntas

Caso o Provedor receba qualquer consulta ou solicitação de qualquer outra pessoa sobre o Processamento de Dados Pessoais do Cliente, o Provedor notificará o Cliente sobre a solicitação e não responderá à solicitação sem o consentimento prévio do Cliente. Exemplos desses tipos de consultas e solicitações incluem uma ordem judicial, administrativa ou de agência reguladora sobre Dados Pessoais do Cliente, quando a notificação ao Cliente não for proibida pela Legislação Aplicável, ou uma solicitação de um titular dos dados. Se permitido pela Legislação Aplicável, o Provedor seguirá as instruções razoáveis do Cliente sobre essas solicitações, incluindo o fornecimento de atualizações de status e outras informações razoavelmente solicitadas pelo Cliente. Se um titular de dados fizer uma solicitação válida sob as Leis de Proteção de Dados Aplicáveis para excluir ou optar por não permitir que o Cliente forneça Dados Pessoais do Cliente ao Provedor, o Provedor auxiliará o Cliente a atender à solicitação de acordo com a Lei de Proteção de Dados Aplicável. O Provedor cooperará e fornecerá assistência razoável ao Cliente, às custas do Cliente, em qualquer resposta legal ou outra ação processual tomada pelo Cliente em resposta a uma solicitação de terceiros sobre o Processamento de Dados Pessoais do Cliente pelo Provedor sob este DPA.

2. DPIAs e DTIAs

Se exigido pelas Leis de Proteção de Dados Aplicáveis, o Provedor auxiliará razoavelmente o Cliente na condução de quaisquer avaliações de impacto de proteção de dados obrigatórias ou avaliações de impacto de transferência de dados e consultas com autoridades de proteção de dados relevantes, levando em consideração a natureza do Processamento e dos Dados Pessoais do Cliente.

7. Exclusão de Dados Pessoais do Cliente

1. Exclusão pelo cliente

O Provedor permitirá que o Cliente exclua os Dados Pessoais do Cliente de maneira consistente com a funcionalidade dos Serviços. O Provedor cumprirá esta instrução o mais rápido possível, exceto quando o armazenamento adicional dos Dados Pessoais do Cliente for exigido pela Lei Aplicável.

2. Exclusão na expiração do DPA

a. Após o término do DPA, o Provedor devolverá ou excluirá os Dados Pessoais do Cliente conforme as instruções do Cliente, a menos que o armazenamento adicional dos Dados Pessoais do Cliente seja exigido ou autorizado pela Legislação Aplicável. Se a devolução ou destruição for impraticável ou proibida pela Legislação Aplicável, o Provedor envidará esforços razoáveis para impedir o Processamento adicional dos Dados Pessoais do Cliente e continuará a proteger os Dados Pessoais do Cliente que permanecerem em sua posse, custódia ou controle. Por exemplo, a Legislação Aplicável pode exigir que o Provedor continue hospedando ou Processando os Dados Pessoais do Cliente.

b. Se o Cliente e o Provedor tiverem firmado as SCCs do EEE ou o Adendo do Reino Unido como parte deste DPA, o Provedor somente fornecerá ao Cliente a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 das SCCs do EEE se o Cliente solicitar uma.

8. Limitação de responsabilidade

1. Limites de responsabilidade e isenção de danos

Na extensão máxima permitida pelas Leis de Proteção de Dados Aplicáveis, a responsabilidade cumulativa total de cada parte para com a outra parte decorrente ou relacionada a este DPA estará sujeita às renúncias, exclusões e limitações de responsabilidade declaradas no Contrato.

Quaisquer reclamações feitas contra o Provedor ou suas Afiliadas decorrentes ou relacionadas a este DPA só podem ser apresentadas pela entidade Cliente que é parte do Contrato.

3. Exceções

  1. Este DPA não limita qualquer responsabilidade a um indivíduo sobre os seus direitos de proteção de dados sob as Leis de Proteção de Dados Aplicáveis. Além disso, este DPA não limita qualquer responsabilidade entre as partes por violações das SCCs do EEE ou do Adendo do Reino Unido.

9. Conflitos entre documentos

  1. Este DPA faz parte e complementa o Contrato. Em caso de inconsistência entre este DPA, o Contrato ou qualquer uma de suas partes, a parte listada anteriormente prevalecerá sobre a parte listada posteriormente para essa inconsistência: (1) as SCCs do EEE ou o Adendo do Reino Unido, (2) este DPA e, em seguida, (3) o Contrato.

10. Prazo do Contrato

Este DPA entrará em vigor quando o Provedor e o Cliente concordarem com uma Página de Rosto para o DPA e assinarem ou aceitarem eletronicamente o Contrato, e continuará em vigor até que o Contrato expire ou seja rescindido. No entanto, o Provedor e o Cliente permanecerão sujeitos às obrigações deste DPA e às Leis de Proteção de Dados Aplicáveis até que o Cliente interrompa a transferência de Dados Pessoais do Cliente para o Provedor e o Provedor interrompa o Processamento de Dados Pessoais do Cliente.

11. Lei aplicável e tribunais escolhidos

Não obstante a lei aplicável ou cláusulas semelhantes do Contrato, todas as interpretações e disputas sobre este DPA serão regidas pelas leis do Estado Regente, independentemente de suas disposições sobre conflito de leis. Além disso, e não obstante a seleção de foro, jurisdição ou cláusulas semelhantes do Contrato, as partes concordam em ajuizar qualquer ação, processo ou procedimento judicial relativo a este DPA, e cada parte se submete irrevogavelmente à jurisdição exclusiva dos tribunais do Estado Regente.

12. Relacionamento com o provedor de serviços

Na medida em que a Lei de Privacidade do Consumidor da Califórnia, Código Civil da Califórnia § 1798.100 et seq ("CCPA") se aplica, as partes reconhecem e concordam que o Provedor é um provedor de serviços e está recebendo Dados Pessoais do Cliente para fornecer o Serviço conforme acordado no Contrato, o que constitui uma finalidade comercial. O Provedor não venderá nenhum Dado Pessoal fornecido pelo Cliente sob o Contrato. Além disso, o Provedor não reterá, usará ou divulgará nenhum Dado Pessoal fornecido pelo Cliente sob o Contrato, exceto conforme necessário para fornecer o Serviço ao Cliente, conforme declarado no Contrato ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis. O Provedor certifica que entende as restrições deste parágrafo.

13. Definições

  1. "Leis Aplicáveis" significa as leis, regras, regulamentos, ordens judiciais e outros requisitos vinculativos de uma autoridade governamental relevante que se aplicam ou regem uma parte.

  2. "Leis de Proteção de Dados Aplicáveis" significa as Leis Aplicáveis que regem como o Serviço pode processar ou usar informações pessoais de um indivíduo, dados pessoais, informações de identificação pessoal ou outros termos semelhantes.

  3. "Controlador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que determina a finalidade e a extensão do Processamento de Dados Pessoais.

  4. "Página de Rosto" significa um documento assinado ou aceito eletronicamente pelas partes que incorpora estes Termos Padrão do DPA e identifica o Provedor, o Cliente e o assunto e os detalhes do processamento de dados.

  5. "Dados Pessoais do Cliente" significa Dados Pessoais que o Cliente carrega ou fornece ao Provedor como parte do Serviço e que são regidos por este DPA.

  6. "DPA" significa estes Termos Padrão do DPA, a Página de Rosto entre o Provedor e o Cliente, e as políticas e documentos referenciados ou anexados à Página de Rosto.

  7. "SCCs do EEE" significa as cláusulas contratuais padrão anexadas à Decisão de Implementação 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho Europeu.

  8. "Espaço Econômico Europeu" ou "EEE" significa os estados-membros da União Europeia, Noruega, Islândia e Liechtenstein.

  9. "GDPR" significa o Regulamento da União Europeia 2016/679, conforme implementado pela legislação local no país membro do EEE relevante.

  10. "Dados Pessoais" terão o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para informações pessoais, dados pessoais ou outro termo similar.

  11. "Processamento" ou "Processo" terão o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para qualquer uso ou execução de uma operação de computador em Dados Pessoais, inclusive por métodos automáticos.

  12. "Processador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que Processa Dados Pessoais em nome do Controlador.

  13. "Relatório" significa relatórios de auditoria preparados por outra empresa de acordo com os padrões definidos na Política de Segurança em nome do Provedor.

  14. "Transferência Restrita" significa (a) onde o GDPR se aplica, uma transferência de dados pessoais do EEE para um país fora do EEE que não está sujeito a uma determinação de adequação pela Comissão Europeia; e (b) onde o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para qualquer outro país que não esteja sujeito a regulamentações de adequação adotadas de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.

  15. "Incidente de Segurança" significa uma Violação de Dados Pessoais, conforme definido no Artigo 4 do GDPR.

  16. "Serviço" significa o produto e/ou serviços descritos no Contrato.

  17. "Dados de Categoria Especial" terão o significado dado no Artigo 9 do GDPR.

  18. "Subprocessador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para uma empresa que, com a aprovação e aceitação do Controlador, auxilia o Processador no Processamento de Dados Pessoais em nome do Controlador.

  19. "UK GDPR" significa o Regulamento da União Europeia 2016/679, conforme implementado pela seção 3 da Lei de Retirada da União Europeia de 2018 do Reino Unido no Reino Unido.

  20. "Adendo do Reino Unido" significa o adendo de transferência internacional de dados às SCCs do EEE emitido pelo Comissário de Informações para Partes que realizam Transferências Restritas sob S119A(1) da Lei de Proteção de Dados de 2018.

Créditos

Este documento é um derivado do Termos Padrão do Common Paper DPA (Versão 1.0) e é licenciado sob CC BY 4.0.