Acordo de Processamento de Dados (DPA)
Acordo de Processamento de Dados (DPA)
ESTE ADENDO DE PROCESSAMENTO DE DADOS (“DPA”) é celebrado e faz parte do Acordo de Cliente (o “Acordo”) entre o cliente identificado no documento de pedido aplicável (“Cliente”) e a EasyHub, Inc., uma corporação de Delaware (“Fornecedor”), juntos chamados de “Partes” e cada um uma “Parte”.
DEFINIÇÕES
Neste DPA, os termos abaixo terão os significados estabelecidos nesta Seção 1, a menos que expressamente declarado de outra forma. Os termos em maiúsculas usados, mas não definidos, neste DPA terão o significado atribuído a eles no Acordo. Referências a “incluindo” significam “incluindo, sem limitação”.
“Afiliada” significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão, em que “controle” refere-se ao poder de dirigir ou causar a direção da entidade, seja através da posse de valores mobiliários com direito a voto, por contrato ou de outra forma.
“Leis de Proteção de Dados Aplicáveis” significa as leis e regulamentos de privacidade, proteção de dados e segurança de dados de qualquer jurisdição aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Acordo, incluindo GDPR e CCPA (conforme aplicável).
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme emendada pela Lei dos Direitos de Privacidade da Califórnia de 2020 (a “CPRA”), e quaisquer regulamentos promulgados sob essa lei.
“Controlador” significa a pessoa natural ou jurídica, autoridade pública, agência ou outro corpo que, sozinha ou em conjunto com outros, determina as finalidades e os meios do Processamento de Dados Pessoais.
“Dados Pessoais do Cliente” significa quaisquer Dados Pessoais relacionados aos usuários dos sites ou outros serviços online do Cliente que o Cliente disponibiliza ao Fornecedor para Processamento a fim de realizar os Serviços.
“Leis de Proteção de Dados” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Acordo, incluindo, conforme aplicável: (i) a Lei de Privacidade do Consumidor da Califórnia, emendada pela Lei dos Direitos de Privacidade da Califórnia, e quaisquer regulamentos vinculativos promulgados sob essa lei (“CCPA”), (ii) o CCPA, (iii) o GDPR conforme definido neste documento, e (iv) a Lei de Proteção de Dados do Reino Unido de 2018; em cada caso, conforme atualizado, emendado ou substituído de tempos em tempos.
“Titular de Dados” significa a pessoa natural identificada ou identificável a quem os Dados Pessoais do Cliente se referem.
“Solicitação de Titular de Dados” significa o pedido de um Titular de Dados para exercer direitos sob as Leis de Proteção de Dados Aplicáveis em relação aos Dados Pessoais do Cliente em posse, custódia ou controle do Fornecedor.
“EEE” significa a Área Econômica Europeia.
“GDPR” significa, conforme aplicável ao Processamento em questão (i) o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) (“UE GDPR”) e/ou (ii) o UE GDPR na medida em que faz parte da legislação do Reino Unido em virtude da seção 3 da Lei de Retirada da União Europeia de 2018 (conforme emendada, incluindo pela Lei de Proteção de Dados, Privacidade e Comunicações Eletrônicas (Emenda etc.) (Saída da UE) de 2019) (“UK GDPR”), incluindo, em cada caso (i) e (ii), qualquer legislação nacional de implementação ou suplementar aplicável (por exemplo, a Lei de Proteção de Dados do Reino Unido de 2018) e qualquer sucessor, emenda ou reedição de ou a que foi mencionada. Referências a “Artigos” e “Capítulos” do GDPR e outros termos definidos relevantes no GDPR devem ser interpretadas de acordo.
“Dados Pessoais” significa “dados pessoais”, “informações pessoais”, “informações pessoalmente identificáveis” ou termos similares definidos nas Leis de Proteção de Dados Aplicáveis.
“Violação de Dados Pessoais” significa uma violação da segurança do Fornecedor levando à destruição, perda, alteração, divulgação não autorizada ou acesso acidental a, Dados Pessoais do Cliente em posse, custódia ou controle do Fornecedor.
“Processar” e suas inflexões referem-se a qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, independentemente de serem ou não por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou tornando disponível de outra forma, alinhamento ou combinação, restrição, exclusão e destruição.
“Processador” significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro corpo que Processa Dados Pessoais em nome do Controlador.
“Transferência Restrita” significa qualquer transferência de Dados Pessoais do Cliente para qualquer pessoa localizada em (i) no contexto do EEE, qualquer país ou território fora do EEE que não beneficia de uma decisão de adequação da Comissão Europeia descrita no Capítulo 45 do GDPR (uma “Transferência Restrita da UE”) e (ii) no contexto do Reino Unido, qualquer país ou território fora do Reino Unido, que não beneficie de uma decisão de adequação do Governo do Reino Unido (uma “Transferência Restrita do Reino Unido”), em cada caso, que seria proibida sem uma base legal sob o Capítulo V do GDPR.
“SCCs” significa (i) as cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não asseguram um nível adequado de proteção conforme estabelecido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 4 de junho de 2021, conforme disponível aqui, conforme atualizado, emendado, substituído ou superado de tempos em tempos pela Comissão Europeia; ou (ii) quando necessário de tempos em tempos por uma autoridade supervisora para uso com respeito a qualquer transferência restrita específica, quaisquer outros conjuntos de cláusulas contratuais ou outro mecanismo similar aprovado por tal Autoridade Supervisora ou pelas Leis Aplicáveis para uso em relação a tal Transferência Restrita, conforme atualizado, emendado, substituído ou superado de tempos em tempos por tal Autoridade Reguladora ou Leis e Regulamentos de Proteção de Dados.
“Serviços” significa os serviços prestados ao Cliente pelo Fornecedor de acordo com o Acordo.
“Subprocessador” significa qualquer terceiro engajado direta ou indiretamente pelo ou em nome do Fornecedor para Processar Dados Pessoais do Cliente sob os cuidados, custódia ou controle do Fornecedor.
“Autoridade Supervisora” significa (i) no contexto do EEE e do UE GDPR, “autoridade supervisora” conforme definido no UE GDPR; e (ii) no contexto do Reino Unido e do UK GDPR, significa o Escritório do Comissário de Informação do Reino Unido.
“Adendo de Transferência do Reino Unido” significa o modelo de Adendo B.1.0 emitido pelo ICO e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, na forma em que é revisado sob a Seção 18 das Cláusulas Obrigatórias incluídas na Parte 2 desse documento (as “Cláusulas Obrigatórias do Reino Unido”).
ESTE ADENDO DE PROCESSAMENTO DE DADOS (“DPA”) é celebrado e faz parte do Acordo de Cliente (o “Acordo”) entre o cliente identificado no documento de pedido aplicável (“Cliente”) e a EasyHub, Inc., uma corporação de Delaware (“Fornecedor”), juntos chamados de “Partes” e cada um uma “Parte”.
DEFINIÇÕES
Neste DPA, os termos abaixo terão os significados estabelecidos nesta Seção 1, a menos que expressamente declarado de outra forma. Os termos em maiúsculas usados, mas não definidos, neste DPA terão o significado atribuído a eles no Acordo. Referências a “incluindo” significam “incluindo, sem limitação”.
“Afiliada” significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão, em que “controle” refere-se ao poder de dirigir ou causar a direção da entidade, seja através da posse de valores mobiliários com direito a voto, por contrato ou de outra forma.
“Leis de Proteção de Dados Aplicáveis” significa as leis e regulamentos de privacidade, proteção de dados e segurança de dados de qualquer jurisdição aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Acordo, incluindo GDPR e CCPA (conforme aplicável).
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme emendada pela Lei dos Direitos de Privacidade da Califórnia de 2020 (a “CPRA”), e quaisquer regulamentos promulgados sob essa lei.
“Controlador” significa a pessoa natural ou jurídica, autoridade pública, agência ou outro corpo que, sozinha ou em conjunto com outros, determina as finalidades e os meios do Processamento de Dados Pessoais.
“Dados Pessoais do Cliente” significa quaisquer Dados Pessoais relacionados aos usuários dos sites ou outros serviços online do Cliente que o Cliente disponibiliza ao Fornecedor para Processamento a fim de realizar os Serviços.
“Leis de Proteção de Dados” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais do Cliente sob o Acordo, incluindo, conforme aplicável: (i) a Lei de Privacidade do Consumidor da Califórnia, emendada pela Lei dos Direitos de Privacidade da Califórnia, e quaisquer regulamentos vinculativos promulgados sob essa lei (“CCPA”), (ii) o CCPA, (iii) o GDPR conforme definido neste documento, e (iv) a Lei de Proteção de Dados do Reino Unido de 2018; em cada caso, conforme atualizado, emendado ou substituído de tempos em tempos.
“Titular de Dados” significa a pessoa natural identificada ou identificável a quem os Dados Pessoais do Cliente se referem.
“Solicitação de Titular de Dados” significa o pedido de um Titular de Dados para exercer direitos sob as Leis de Proteção de Dados Aplicáveis em relação aos Dados Pessoais do Cliente em posse, custódia ou controle do Fornecedor.
“EEE” significa a Área Econômica Europeia.
“GDPR” significa, conforme aplicável ao Processamento em questão (i) o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679) (“UE GDPR”) e/ou (ii) o UE GDPR na medida em que faz parte da legislação do Reino Unido em virtude da seção 3 da Lei de Retirada da União Europeia de 2018 (conforme emendada, incluindo pela Lei de Proteção de Dados, Privacidade e Comunicações Eletrônicas (Emenda etc.) (Saída da UE) de 2019) (“UK GDPR”), incluindo, em cada caso (i) e (ii), qualquer legislação nacional de implementação ou suplementar aplicável (por exemplo, a Lei de Proteção de Dados do Reino Unido de 2018) e qualquer sucessor, emenda ou reedição de ou a que foi mencionada. Referências a “Artigos” e “Capítulos” do GDPR e outros termos definidos relevantes no GDPR devem ser interpretadas de acordo.
“Dados Pessoais” significa “dados pessoais”, “informações pessoais”, “informações pessoalmente identificáveis” ou termos similares definidos nas Leis de Proteção de Dados Aplicáveis.
“Violação de Dados Pessoais” significa uma violação da segurança do Fornecedor levando à destruição, perda, alteração, divulgação não autorizada ou acesso acidental a, Dados Pessoais do Cliente em posse, custódia ou controle do Fornecedor.
“Processar” e suas inflexões referem-se a qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, independentemente de serem ou não por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou tornando disponível de outra forma, alinhamento ou combinação, restrição, exclusão e destruição.
“Processador” significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro corpo que Processa Dados Pessoais em nome do Controlador.
“Transferência Restrita” significa qualquer transferência de Dados Pessoais do Cliente para qualquer pessoa localizada em (i) no contexto do EEE, qualquer país ou território fora do EEE que não beneficia de uma decisão de adequação da Comissão Europeia descrita no Capítulo 45 do GDPR (uma “Transferência Restrita da UE”) e (ii) no contexto do Reino Unido, qualquer país ou território fora do Reino Unido, que não beneficie de uma decisão de adequação do Governo do Reino Unido (uma “Transferência Restrita do Reino Unido”), em cada caso, que seria proibida sem uma base legal sob o Capítulo V do GDPR.
“SCCs” significa (i) as cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não asseguram um nível adequado de proteção conforme estabelecido no Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 4 de junho de 2021, conforme disponível aqui, conforme atualizado, emendado, substituído ou superado de tempos em tempos pela Comissão Europeia; ou (ii) quando necessário de tempos em tempos por uma autoridade supervisora para uso com respeito a qualquer transferência restrita específica, quaisquer outros conjuntos de cláusulas contratuais ou outro mecanismo similar aprovado por tal Autoridade Supervisora ou pelas Leis Aplicáveis para uso em relação a tal Transferência Restrita, conforme atualizado, emendado, substituído ou superado de tempos em tempos por tal Autoridade Reguladora ou Leis e Regulamentos de Proteção de Dados.
“Serviços” significa os serviços prestados ao Cliente pelo Fornecedor de acordo com o Acordo.
“Subprocessador” significa qualquer terceiro engajado direta ou indiretamente pelo ou em nome do Fornecedor para Processar Dados Pessoais do Cliente sob os cuidados, custódia ou controle do Fornecedor.
“Autoridade Supervisora” significa (i) no contexto do EEE e do UE GDPR, “autoridade supervisora” conforme definido no UE GDPR; e (ii) no contexto do Reino Unido e do UK GDPR, significa o Escritório do Comissário de Informação do Reino Unido.
“Adendo de Transferência do Reino Unido” significa o modelo de Adendo B.1.0 emitido pelo ICO e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, na forma em que é revisado sob a Seção 18 das Cláusulas Obrigatórias incluídas na Parte 2 desse documento (as “Cláusulas Obrigatórias do Reino Unido”).
ESCOPO DESTE ADITIVO DE PROCESSAMENTO DE DADOS
As Partes reconhecem e concordam que os detalhes do Processamento de Dados Pessoais do Cliente pelo Provider (incluindo os respectivos papéis das Partes em relação a esse Processamento) estão descritos no Anexo 1 (Detalhes do Processamento de Dados) do DPA.
O Anexo 2 (Anexo Europeu) deste DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider que está sujeito ao GDPR.
O Anexo 3 (Anexo da Califórnia) deste DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider que está sujeito ao CCPA.
Este DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider apenas na medida exigida de acordo com quaisquer requisitos das Leis de Proteção de Dados Aplicáveis para contratos com Processadores, e nesses casos, apenas em relação ao Processamento sujeito a tais leis.
PROCESSAMENTO DE DADOS PESSOAIS DO CLIENTE
O Provider Processará os Dados Pessoais do Cliente como um Processador apenas: (i) de acordo com as Instruções do Cliente ou (ii) para cumprir as obrigações do Provider sob as leis aplicáveis, sujeito a quaisquer requisitos de notificação sob as Leis de Proteção de Dados.
“Instruções do Cliente” significam: (i) Processamento para fornecer o Serviço e cumprir as obrigações do Provider no Contrato (incluindo este DPA) e (ii) outras instruções documentadas razoáveis do Cliente que sejam consistentes com os termos do Contrato. Este DPA é uma expressão completa de tais instruções, e instruções adicionais do Cliente serão vinculativas para o Provider apenas em virtude de uma alteração a este DPA assinada por ambas as partes. O Cliente instrui o Provider a Processar os Dados Pessoais do Cliente para fornecer os Serviços e conforme autorizado pelo Contrato. Quando o Provider recebe uma instrução do Cliente que, em sua opinião razoável, infringe as Leis de Proteção de Dados Aplicáveis, o Provider deverá notificar o Cliente. Para evitar dúvidas, as instruções do Cliente devem cumprir as Leis de Proteção de Dados. O Cliente terá plena responsabilidade pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais. O Cliente reconhece e concorda especificamente que seu uso dos Serviços não violará os direitos de qualquer Titular de Dados, incluindo aqueles que optaram por não participar de vendas ou outras divulgações de Dados Pessoais, na medida em que for aplicável sob as Leis de Proteção de Dados.
As Partes reconhecem que o Processamento de Dados Pessoais do Cliente pelo Provider autorizado pelas instruções do Cliente declaradas neste DPA é parte integrante dos Serviços e da relação comercial entre as Partes. O acesso aos Dados Pessoais não faz parte da consideração trocada entre as Partes em relação ao Contrato ou a quaisquer outros negócios.
3.4 Mudanças nas Leis. As partes trabalharão juntas de boa fé para negociar uma emenda a este DPA conforme qualquer parte razoavelmente considere necessário para atender aos requisitos das Leis de Proteção de Dados de tempos em tempos.
PESSOAL DO FORNECEDOR
O Provider deverá garantir que todos os empregados ou outros funcionários do Provider que Processam Dados Pessoais do Cliente estejam sujeitos a obrigações contratuais ou estatutárias apropriadas de confidencialidade em relação a tais Dados Pessoais do Cliente.
SEGURANÇA
5.1 O Provider deverá implementar e manter medidas técnicas, organizacionais e físicas projetadas para proteger a confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente e prevenir Violações de Dados Pessoais (as “Medidas de Segurança”). O Provider pode atualizar as Medidas de Segurança de tempos em tempos, desde que as medidas atualizadas não reduzam a proteção geral dos Dados Pessoais.
5.2 Responsabilidades do Cliente. (a) O Cliente é responsável por revisar as informações fornecidas pelo Provider relacionadas à segurança dos dados e fazer uma determinação independente sobre se o Serviço atende aos requisitos e obrigações legais do Cliente sob as Leis de Proteção de Dados. (b) O Cliente é exclusivamente responsável por cumprir as leis de notificação de incidentes de segurança aplicáveis ao Cliente e por cumprir quaisquer obrigações de dar notificações a autoridades governamentais, indivíduos afetados ou outros relacionados a quaisquer incidentes de segurança.
REQUISTOS DE TITULARES DE DADOS
O Provider, levando em consideração a natureza do Processamento de Dados Pessoais do Cliente, deverá fornecer ao Cliente a assistência adequada por meio de medidas técnicas e organizacionais que o Cliente possa razoavelmente solicitar para ajudar o Cliente a cumprir suas obrigações de responder aos Requisitos de Titulares de Dados.
O Provider deverá notificar prontamente o Cliente se receber um Requisito de Titular de Dados e não responder a qualquer Requisito de Titular de Dados, exceto para aconselhar o Titular de Dados a enviar a solicitação ao Cliente, exceto conforme exigido por Leis de Proteção de Dados Aplicáveis.
VIOLAÇÕES DE DADOS PESSOAIS
O Provider deverá notificar o Cliente de uma Violação de Dados Pessoais sem demora indevida após tomar conhecimento da ocorrência da mesma. A notificação do Provider ou a resposta a uma Violação de Dados Pessoais não será interpretada como um reconhecimento de culpa ou responsabilidade do Provider em relação à Violação de Dados Pessoais.
Se o Cliente determinar que uma Violação de Dados Pessoais deve ser notificada a qualquer Autoridade Supervisora ou outra autoridade governamental, quaisquer Titulares de Dados, ao público ou outros sob as Leis de Proteção de Dados Aplicáveis de uma maneira que se refira direta ou indiretamente ou identifique o Provider, onde permitido pelas leis aplicáveis, o Cliente concorda em notificar o Provider com antecedência e consultar de boa fé o Provider, considerando quaisquer esclarecimentos ou correções que o Provider possa razoavelmente recomendar ou solicitar a qualquer notificação desse tipo.
SUBPROCESSAMENTO
O Cliente geralmente autoriza o Provider a nomear Subprocessadores para Processar Dados Pessoais do Cliente. O Cliente concorda ainda que o Provider pode engajar suas Afiliadas como Subprocessadores.
Ao contratar qualquer Subprocessador, o Provider celebrará um contrato escrito com tal Subprocessador contendo obrigações de proteção de dados não menos protetivas do que as contidas neste DPA em relação aos Dados Pessoais do Cliente, na medida em que sejam aplicáveis à natureza dos serviços prestados por tal Subprocessador. O Provider será responsável por todas as obrigações do Contrato subcontratadas ao Subprocessador ou suas ações e omissões relacionadas.
Lista de Subprocessadores. A lista atual de Subprocessadores do Provider está disponível no site do Provider em: [easyhub.ai/subprocessors]. O Cliente consente por meio deste a esses Subprocessadores, suas localizações e atividades de processamento à medida que se relacionam aos seus Dados Pessoais.
Quando o Provider contratar qualquer Subprocessador após a data efetiva do Contrato, o Provider notificará o Cliente do engajamento (incluindo o nome e local do Subprocessador relevante e as atividades que ele desempenhará) por meios escritos (e-mail é suficiente) com pelo menos 30 dias de antecedência antes que tal Subprocessador Processa os Dados Pessoais do Cliente. Se o Cliente se opuser a tal engajamento em uma notificação por escrito ao Provider dentro de 15 dias após ser notificado sobre o engajamento com fundamentos razoáveis relacionados à proteção de Dados Pessoais, o Cliente e o Provider trabalharão juntos de boa fé para considerar uma resolução mutuamente aceitável para tal objeção. Se o Provider não conseguir disponibilizar tal mudança dentro de um período razoável de tempo, que não deverá exceder sessenta (60) dias, o Cliente poderá rescindir os Formulários de Pedido aplicáveis apenas em relação a aqueles Serviços que não podem ser fornecidos pelo Provider sem o uso do Subprocessador novo objeção por meio de notificação por escrito ao Provider.
ESCOPO DESTE ADITIVO DE PROCESSAMENTO DE DADOS
As Partes reconhecem e concordam que os detalhes do Processamento de Dados Pessoais do Cliente pelo Provider (incluindo os respectivos papéis das Partes em relação a esse Processamento) estão descritos no Anexo 1 (Detalhes do Processamento de Dados) do DPA.
O Anexo 2 (Anexo Europeu) deste DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider que está sujeito ao GDPR.
O Anexo 3 (Anexo da Califórnia) deste DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider que está sujeito ao CCPA.
Este DPA se aplica ao Processamento de Dados Pessoais do Cliente pelo Provider apenas na medida exigida de acordo com quaisquer requisitos das Leis de Proteção de Dados Aplicáveis para contratos com Processadores, e nesses casos, apenas em relação ao Processamento sujeito a tais leis.
PROCESSAMENTO DE DADOS PESSOAIS DO CLIENTE
O Provider Processará os Dados Pessoais do Cliente como um Processador apenas: (i) de acordo com as Instruções do Cliente ou (ii) para cumprir as obrigações do Provider sob as leis aplicáveis, sujeito a quaisquer requisitos de notificação sob as Leis de Proteção de Dados.
“Instruções do Cliente” significam: (i) Processamento para fornecer o Serviço e cumprir as obrigações do Provider no Contrato (incluindo este DPA) e (ii) outras instruções documentadas razoáveis do Cliente que sejam consistentes com os termos do Contrato. Este DPA é uma expressão completa de tais instruções, e instruções adicionais do Cliente serão vinculativas para o Provider apenas em virtude de uma alteração a este DPA assinada por ambas as partes. O Cliente instrui o Provider a Processar os Dados Pessoais do Cliente para fornecer os Serviços e conforme autorizado pelo Contrato. Quando o Provider recebe uma instrução do Cliente que, em sua opinião razoável, infringe as Leis de Proteção de Dados Aplicáveis, o Provider deverá notificar o Cliente. Para evitar dúvidas, as instruções do Cliente devem cumprir as Leis de Proteção de Dados. O Cliente terá plena responsabilidade pela exatidão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais. O Cliente reconhece e concorda especificamente que seu uso dos Serviços não violará os direitos de qualquer Titular de Dados, incluindo aqueles que optaram por não participar de vendas ou outras divulgações de Dados Pessoais, na medida em que for aplicável sob as Leis de Proteção de Dados.
As Partes reconhecem que o Processamento de Dados Pessoais do Cliente pelo Provider autorizado pelas instruções do Cliente declaradas neste DPA é parte integrante dos Serviços e da relação comercial entre as Partes. O acesso aos Dados Pessoais não faz parte da consideração trocada entre as Partes em relação ao Contrato ou a quaisquer outros negócios.
3.4 Mudanças nas Leis. As partes trabalharão juntas de boa fé para negociar uma emenda a este DPA conforme qualquer parte razoavelmente considere necessário para atender aos requisitos das Leis de Proteção de Dados de tempos em tempos.
PESSOAL DO FORNECEDOR
O Provider deverá garantir que todos os empregados ou outros funcionários do Provider que Processam Dados Pessoais do Cliente estejam sujeitos a obrigações contratuais ou estatutárias apropriadas de confidencialidade em relação a tais Dados Pessoais do Cliente.
SEGURANÇA
5.1 O Provider deverá implementar e manter medidas técnicas, organizacionais e físicas projetadas para proteger a confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente e prevenir Violações de Dados Pessoais (as “Medidas de Segurança”). O Provider pode atualizar as Medidas de Segurança de tempos em tempos, desde que as medidas atualizadas não reduzam a proteção geral dos Dados Pessoais.
5.2 Responsabilidades do Cliente. (a) O Cliente é responsável por revisar as informações fornecidas pelo Provider relacionadas à segurança dos dados e fazer uma determinação independente sobre se o Serviço atende aos requisitos e obrigações legais do Cliente sob as Leis de Proteção de Dados. (b) O Cliente é exclusivamente responsável por cumprir as leis de notificação de incidentes de segurança aplicáveis ao Cliente e por cumprir quaisquer obrigações de dar notificações a autoridades governamentais, indivíduos afetados ou outros relacionados a quaisquer incidentes de segurança.
REQUISTOS DE TITULARES DE DADOS
O Provider, levando em consideração a natureza do Processamento de Dados Pessoais do Cliente, deverá fornecer ao Cliente a assistência adequada por meio de medidas técnicas e organizacionais que o Cliente possa razoavelmente solicitar para ajudar o Cliente a cumprir suas obrigações de responder aos Requisitos de Titulares de Dados.
O Provider deverá notificar prontamente o Cliente se receber um Requisito de Titular de Dados e não responder a qualquer Requisito de Titular de Dados, exceto para aconselhar o Titular de Dados a enviar a solicitação ao Cliente, exceto conforme exigido por Leis de Proteção de Dados Aplicáveis.
VIOLAÇÕES DE DADOS PESSOAIS
O Provider deverá notificar o Cliente de uma Violação de Dados Pessoais sem demora indevida após tomar conhecimento da ocorrência da mesma. A notificação do Provider ou a resposta a uma Violação de Dados Pessoais não será interpretada como um reconhecimento de culpa ou responsabilidade do Provider em relação à Violação de Dados Pessoais.
Se o Cliente determinar que uma Violação de Dados Pessoais deve ser notificada a qualquer Autoridade Supervisora ou outra autoridade governamental, quaisquer Titulares de Dados, ao público ou outros sob as Leis de Proteção de Dados Aplicáveis de uma maneira que se refira direta ou indiretamente ou identifique o Provider, onde permitido pelas leis aplicáveis, o Cliente concorda em notificar o Provider com antecedência e consultar de boa fé o Provider, considerando quaisquer esclarecimentos ou correções que o Provider possa razoavelmente recomendar ou solicitar a qualquer notificação desse tipo.
SUBPROCESSAMENTO
O Cliente geralmente autoriza o Provider a nomear Subprocessadores para Processar Dados Pessoais do Cliente. O Cliente concorda ainda que o Provider pode engajar suas Afiliadas como Subprocessadores.
Ao contratar qualquer Subprocessador, o Provider celebrará um contrato escrito com tal Subprocessador contendo obrigações de proteção de dados não menos protetivas do que as contidas neste DPA em relação aos Dados Pessoais do Cliente, na medida em que sejam aplicáveis à natureza dos serviços prestados por tal Subprocessador. O Provider será responsável por todas as obrigações do Contrato subcontratadas ao Subprocessador ou suas ações e omissões relacionadas.
Lista de Subprocessadores. A lista atual de Subprocessadores do Provider está disponível no site do Provider em: [easyhub.ai/subprocessors]. O Cliente consente por meio deste a esses Subprocessadores, suas localizações e atividades de processamento à medida que se relacionam aos seus Dados Pessoais.
Quando o Provider contratar qualquer Subprocessador após a data efetiva do Contrato, o Provider notificará o Cliente do engajamento (incluindo o nome e local do Subprocessador relevante e as atividades que ele desempenhará) por meios escritos (e-mail é suficiente) com pelo menos 30 dias de antecedência antes que tal Subprocessador Processa os Dados Pessoais do Cliente. Se o Cliente se opuser a tal engajamento em uma notificação por escrito ao Provider dentro de 15 dias após ser notificado sobre o engajamento com fundamentos razoáveis relacionados à proteção de Dados Pessoais, o Cliente e o Provider trabalharão juntos de boa fé para considerar uma resolução mutuamente aceitável para tal objeção. Se o Provider não conseguir disponibilizar tal mudança dentro de um período razoável de tempo, que não deverá exceder sessenta (60) dias, o Cliente poderá rescindir os Formulários de Pedido aplicáveis apenas em relação a aqueles Serviços que não podem ser fornecidos pelo Provider sem o uso do Subprocessador novo objeção por meio de notificação por escrito ao Provider.
ASSISTÊNCIA DE CONFORMIDADE; AUDITORIAS
O Provedor, levando em consideração a natureza do Processamento e as informações disponíveis para o Provedor, deverá fornecer as informações e assistência que o Cliente razoavelmente solicitar (na medida em que tais informações estejam disponíveis para o Provedor e o compartilhamento delas não comprometa a segurança, confidencialidade, integridade ou disponibilidade dos Dados Pessoais Processados pelo Provedor) para ajudar o Cliente a cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis, incluindo em relação à segurança dos Dados Pessoais do Cliente, a notificação e investigação de Violações de Dados Pessoais, a demonstração da conformidade do Cliente com tais obrigações e a realização de quaisquer avaliações de proteção de dados e consultas com Autoridades Supervisórias ou outras autoridades governamentais em relação a essas avaliações em relação ao Processamento de Dados Pessoais do Cliente pelo Provedor, incluindo aquelas exigidas pelos Artigos 35 e 36 do GDPR.
O Provedor deverá disponibilizar ao Cliente as informações que o Cliente razoavelmente solicitar para que o Provedor demonstre conformidade com as Leis de Proteção de Dados Aplicáveis e este DPA. Sem limitação do exposto, o Cliente poderá realizar (de acordo com a Seção 9.3), a seu exclusivo custo e despesa, e o Provedor cooperará razoavelmente com auditorias (incluindo inspeções, revisões manuais e varreduras automatizadas e outros testes técnicos e operacionais que o Cliente está autorizado a realizar sob as Leis de Proteção de Dados Aplicáveis), em cada caso, onde o Cliente ou um auditor designado pelo Cliente poderão avaliar tal conformidade.
O Cliente deverá dar ao Provedor um aviso razoável prévio de qualquer uma dessas auditorias. O Provedor não precisa cooperar com qualquer auditoria (a) realizada por qualquer auditor terceirizado que o Provedor não tenha aprovado antecipadamente (o que não deve ser negado de forma irrazoável); (b) a qualquer indivíduo ou entidade que não tenha celebrado um acordo de confidencialidade com o Provedor em termos aceitáveis para o Provedor em relação às informações obtidas em relação à auditoria; (c) fora do horário comercial normal; ou (d) em mais de uma ocasião em qualquer ano civil durante a vigência do Acordo, exceto por qualquer auditoria adicional que o Cliente seja obrigado a realizar sob as Leis de Proteção de Dados Aplicáveis. A auditoria deve ser conduzida de acordo com as políticas de segurança, proteção ou outras relevantes do Provedor, não deve impactar a segurança, confidencialidade, integridade ou disponibilidade de quaisquer dados Processados pelo Provedor e não deve interferir de maneira irrazoável nas atividades comerciais do Provedor. O Cliente não deverá realizar quaisquer varreduras ou testes técnicos ou operacionais das aplicações, sites, Serviços, redes ou sistemas do Provedor sem a aprovação prévia do Provedor (que não deve ser negada de forma irrazoável).
Se os controles ou medidas a serem avaliados na auditoria solicitada forem avaliados em um relatório de auditoria SOC 2 Tipo 2, ISO, NIST ou semelhante realizado por um auditor terceirizado qualificado e independente de acordo com um padrão reconhecido de estrutura de auditoria dentro dos doze (12) meses anteriores à solicitação de auditoria do Cliente (“Relatório de Auditoria”) e o Provedor confirmou por escrito que não houve mudanças materiais conhecidas nos controles auditados e cobertos por tais Relatórios de Auditoria, o Cliente concorda em aceitar a disponibilização de tais Relatórios de Auditoria em vez de solicitar uma auditoria de tais controles ou medidas. O Provedor deverá fornecer cópias de quaisquer Relatórios de Auditoria a pedido do Cliente.
Esses Relatórios de Auditoria e quaisquer outras informações obtidas pelo Cliente em conexão com uma auditoria sob esta Seção 9 constituirão informações confidenciais do Provedor, que o Cliente deverá usar apenas para os fins de confirmar a conformidade com os requisitos deste DPA ou atender às obrigações do Cliente sob as Leis de Proteção de Dados Aplicáveis. Nada nesta Seção 9 deve ser interpretado como uma obrigação para o Provedor violar qualquer dever de confidencialidade.
RETORNO E EXCLUSÃO
Após o vencimento ou rescisão antecipada do Acordo, o Provedor deverá, mediante solicitação por escrito do Cliente, retornar uma cópia completa de todos os Dados Pessoais do Cliente sob os cuidados, custódia ou controle do Provedor, após o que o Provedor deverá excluir todas as outras cópias de tais Dados Pessoais do Cliente.
Não obstante o exposto, o Provedor pode reter Dados Pessoais do Cliente onde exigido por lei (ou no caso de Dados Pessoais do Cliente sujeitos ao GDPR, às leis do Reino Unido ou da União Europeia, conforme aplicável), desde que o Provedor (a) mantenha a confidencialidade de todos esses Dados Pessoais do Cliente e (b) processe os Dados Pessoais do Cliente apenas conforme necessário para o(s) propósito(s) e duração especificados na lei aplicável que exige tal retenção.
RESPONSABILIDADES DO CLIENTE
O Cliente concorda que, sem limitar as obrigações do Provedor sob a Seção 5, o Cliente é o único responsável por seu uso dos Serviços, incluindo (a) fazer uso apropriado dos Serviços para manter um nível de segurança apropriado ao risco em relação aos Dados Pessoais do Cliente; (b) proteger as credenciais de autenticação da conta, sistemas e dispositivos que o Cliente utiliza para acessar os Serviços; (c) proteger os sistemas e dispositivos do Cliente que o Provedor utiliza para fornecer os Serviços; e (d) fazer backup dos Dados Pessoais do Cliente.
O Cliente deverá garantir que exista uma base legal válida para o Processamento dos Dados Pessoais do Cliente pelo Provedor de acordo com o Acordo para os fins das Leis de Proteção de Dados Aplicáveis (inclusive o Artigo 6, Artigo 9(2) e/ou Artigo 10 do GDPR, quando aplicável). O Cliente deverá garantir (e é o único responsável por garantir) que todos os avisos necessários tenham sido dados e todas as permissões e consentimentos tenham sido obtidos de, os Titulares dos Dados e outros conforme exigido, incluindo sob as leis de Proteção de Dados Aplicáveis, para que o Provedor processe os Dados Pessoais do Cliente conforme contemplado pelo Acordo.
O Cliente concorda que o Serviço, as Medidas de Segurança e os compromissos do Provedor sob este DPA são adequados para atender às necessidades do Cliente, incluindo no que se refere a quaisquer obrigações de segurança do Cliente sob as Leis de Proteção de Dados Aplicáveis, e fornecem um nível de segurança apropriado ao risco em relação aos Dados Pessoais do Cliente.
O Cliente deverá garantir que os Dados Pessoais do Cliente disponibilizados ao Provedor para Processamento não contenham (a) números de segurança social ou outros números de identificação emitidos pelo governo; (b) informações biométricas; (c) senhas de quaisquer contas online; (d) credenciais de quaisquer contas financeiras; (e) dados de declarações de impostos; (f) quaisquer informações de cartão de pagamento sujeitas ao Padrão de Segurança de Dados da Indústria de Cartões de Pagamento; (g) Dados Pessoais de crianças menores de 16 anos; (h) dados relacionados a condenações criminais e infrações ou medidas de segurança relacionadas; ou (i) informações que constituam categorias especiais de dados pessoais (conforme definido no GDPR), informações pessoais sensíveis (conforme definido na CCPA) ou informações de caráter igualmente sensível regulamentadas pelas Leis de Proteção de Dados Aplicáveis.
Exceto na medida em que seja proibido por lei aplicável, o Cliente deverá compensar o Provedor pelas tarifas profissionais então vigentes do Provedor e reembolsar quaisquer custos razoavelmente incorridos pelo Provedor no curso da fornecimento de cooperação, informações ou assistência solicitadas pelo Cliente de acordo com as Seções 6, 9 e (somente em relação ao retorno dos Dados Pessoais do Cliente solicitados pelo Cliente) 10 deste DPA além da disponibilização pelo Provedor de quaisquer ferramentas de autoatendimento como parte dos Serviços que o Cliente pode usar para obter a cooperação, informações ou assistência solicitadas.
PRECEDÊNCIA
No caso de qualquer conflito ou inconsistência entre (a) este DPA e o Acordo, este DPA prevalecerá ou (b) quaisquer SCCs celebradas de acordo com o Anexo 2 (Anexo Europeu) e este DPA e/ou o Acordo, os SCCs prevalecerão em relação à Transferência Restrita a que se aplicam.
ASSISTÊNCIA DE CONFORMIDADE; AUDITORIAS
O Provedor, levando em consideração a natureza do Processamento e as informações disponíveis para o Provedor, deverá fornecer as informações e assistência que o Cliente razoavelmente solicitar (na medida em que tais informações estejam disponíveis para o Provedor e o compartilhamento delas não comprometa a segurança, confidencialidade, integridade ou disponibilidade dos Dados Pessoais Processados pelo Provedor) para ajudar o Cliente a cumprir suas obrigações sob as Leis de Proteção de Dados Aplicáveis, incluindo em relação à segurança dos Dados Pessoais do Cliente, a notificação e investigação de Violações de Dados Pessoais, a demonstração da conformidade do Cliente com tais obrigações e a realização de quaisquer avaliações de proteção de dados e consultas com Autoridades Supervisórias ou outras autoridades governamentais em relação a essas avaliações em relação ao Processamento de Dados Pessoais do Cliente pelo Provedor, incluindo aquelas exigidas pelos Artigos 35 e 36 do GDPR.
O Provedor deverá disponibilizar ao Cliente as informações que o Cliente razoavelmente solicitar para que o Provedor demonstre conformidade com as Leis de Proteção de Dados Aplicáveis e este DPA. Sem limitação do exposto, o Cliente poderá realizar (de acordo com a Seção 9.3), a seu exclusivo custo e despesa, e o Provedor cooperará razoavelmente com auditorias (incluindo inspeções, revisões manuais e varreduras automatizadas e outros testes técnicos e operacionais que o Cliente está autorizado a realizar sob as Leis de Proteção de Dados Aplicáveis), em cada caso, onde o Cliente ou um auditor designado pelo Cliente poderão avaliar tal conformidade.
O Cliente deverá dar ao Provedor um aviso razoável prévio de qualquer uma dessas auditorias. O Provedor não precisa cooperar com qualquer auditoria (a) realizada por qualquer auditor terceirizado que o Provedor não tenha aprovado antecipadamente (o que não deve ser negado de forma irrazoável); (b) a qualquer indivíduo ou entidade que não tenha celebrado um acordo de confidencialidade com o Provedor em termos aceitáveis para o Provedor em relação às informações obtidas em relação à auditoria; (c) fora do horário comercial normal; ou (d) em mais de uma ocasião em qualquer ano civil durante a vigência do Acordo, exceto por qualquer auditoria adicional que o Cliente seja obrigado a realizar sob as Leis de Proteção de Dados Aplicáveis. A auditoria deve ser conduzida de acordo com as políticas de segurança, proteção ou outras relevantes do Provedor, não deve impactar a segurança, confidencialidade, integridade ou disponibilidade de quaisquer dados Processados pelo Provedor e não deve interferir de maneira irrazoável nas atividades comerciais do Provedor. O Cliente não deverá realizar quaisquer varreduras ou testes técnicos ou operacionais das aplicações, sites, Serviços, redes ou sistemas do Provedor sem a aprovação prévia do Provedor (que não deve ser negada de forma irrazoável).
Se os controles ou medidas a serem avaliados na auditoria solicitada forem avaliados em um relatório de auditoria SOC 2 Tipo 2, ISO, NIST ou semelhante realizado por um auditor terceirizado qualificado e independente de acordo com um padrão reconhecido de estrutura de auditoria dentro dos doze (12) meses anteriores à solicitação de auditoria do Cliente (“Relatório de Auditoria”) e o Provedor confirmou por escrito que não houve mudanças materiais conhecidas nos controles auditados e cobertos por tais Relatórios de Auditoria, o Cliente concorda em aceitar a disponibilização de tais Relatórios de Auditoria em vez de solicitar uma auditoria de tais controles ou medidas. O Provedor deverá fornecer cópias de quaisquer Relatórios de Auditoria a pedido do Cliente.
Esses Relatórios de Auditoria e quaisquer outras informações obtidas pelo Cliente em conexão com uma auditoria sob esta Seção 9 constituirão informações confidenciais do Provedor, que o Cliente deverá usar apenas para os fins de confirmar a conformidade com os requisitos deste DPA ou atender às obrigações do Cliente sob as Leis de Proteção de Dados Aplicáveis. Nada nesta Seção 9 deve ser interpretado como uma obrigação para o Provedor violar qualquer dever de confidencialidade.
RETORNO E EXCLUSÃO
Após o vencimento ou rescisão antecipada do Acordo, o Provedor deverá, mediante solicitação por escrito do Cliente, retornar uma cópia completa de todos os Dados Pessoais do Cliente sob os cuidados, custódia ou controle do Provedor, após o que o Provedor deverá excluir todas as outras cópias de tais Dados Pessoais do Cliente.
Não obstante o exposto, o Provedor pode reter Dados Pessoais do Cliente onde exigido por lei (ou no caso de Dados Pessoais do Cliente sujeitos ao GDPR, às leis do Reino Unido ou da União Europeia, conforme aplicável), desde que o Provedor (a) mantenha a confidencialidade de todos esses Dados Pessoais do Cliente e (b) processe os Dados Pessoais do Cliente apenas conforme necessário para o(s) propósito(s) e duração especificados na lei aplicável que exige tal retenção.
RESPONSABILIDADES DO CLIENTE
O Cliente concorda que, sem limitar as obrigações do Provedor sob a Seção 5, o Cliente é o único responsável por seu uso dos Serviços, incluindo (a) fazer uso apropriado dos Serviços para manter um nível de segurança apropriado ao risco em relação aos Dados Pessoais do Cliente; (b) proteger as credenciais de autenticação da conta, sistemas e dispositivos que o Cliente utiliza para acessar os Serviços; (c) proteger os sistemas e dispositivos do Cliente que o Provedor utiliza para fornecer os Serviços; e (d) fazer backup dos Dados Pessoais do Cliente.
O Cliente deverá garantir que exista uma base legal válida para o Processamento dos Dados Pessoais do Cliente pelo Provedor de acordo com o Acordo para os fins das Leis de Proteção de Dados Aplicáveis (inclusive o Artigo 6, Artigo 9(2) e/ou Artigo 10 do GDPR, quando aplicável). O Cliente deverá garantir (e é o único responsável por garantir) que todos os avisos necessários tenham sido dados e todas as permissões e consentimentos tenham sido obtidos de, os Titulares dos Dados e outros conforme exigido, incluindo sob as leis de Proteção de Dados Aplicáveis, para que o Provedor processe os Dados Pessoais do Cliente conforme contemplado pelo Acordo.
O Cliente concorda que o Serviço, as Medidas de Segurança e os compromissos do Provedor sob este DPA são adequados para atender às necessidades do Cliente, incluindo no que se refere a quaisquer obrigações de segurança do Cliente sob as Leis de Proteção de Dados Aplicáveis, e fornecem um nível de segurança apropriado ao risco em relação aos Dados Pessoais do Cliente.
O Cliente deverá garantir que os Dados Pessoais do Cliente disponibilizados ao Provedor para Processamento não contenham (a) números de segurança social ou outros números de identificação emitidos pelo governo; (b) informações biométricas; (c) senhas de quaisquer contas online; (d) credenciais de quaisquer contas financeiras; (e) dados de declarações de impostos; (f) quaisquer informações de cartão de pagamento sujeitas ao Padrão de Segurança de Dados da Indústria de Cartões de Pagamento; (g) Dados Pessoais de crianças menores de 16 anos; (h) dados relacionados a condenações criminais e infrações ou medidas de segurança relacionadas; ou (i) informações que constituam categorias especiais de dados pessoais (conforme definido no GDPR), informações pessoais sensíveis (conforme definido na CCPA) ou informações de caráter igualmente sensível regulamentadas pelas Leis de Proteção de Dados Aplicáveis.
Exceto na medida em que seja proibido por lei aplicável, o Cliente deverá compensar o Provedor pelas tarifas profissionais então vigentes do Provedor e reembolsar quaisquer custos razoavelmente incorridos pelo Provedor no curso da fornecimento de cooperação, informações ou assistência solicitadas pelo Cliente de acordo com as Seções 6, 9 e (somente em relação ao retorno dos Dados Pessoais do Cliente solicitados pelo Cliente) 10 deste DPA além da disponibilização pelo Provedor de quaisquer ferramentas de autoatendimento como parte dos Serviços que o Cliente pode usar para obter a cooperação, informações ou assistência solicitadas.
PRECEDÊNCIA
No caso de qualquer conflito ou inconsistência entre (a) este DPA e o Acordo, este DPA prevalecerá ou (b) quaisquer SCCs celebradas de acordo com o Anexo 2 (Anexo Europeu) e este DPA e/ou o Acordo, os SCCs prevalecerão em relação à Transferência Restrita a que se aplicam.
Anexo 1 – Detalhes do Processamento de Dados
Objeto. O Provedor processará Dados Pessoais conforme necessário para realizar os Serviços de acordo com o Contrato, conforme mais instruções fornecidas pelo Cliente em seu uso dos Serviços.
Natureza e Propósito do Processamento
Executando o Contrato, este DPA e/ou outros contratos firmados pelas Partes, incluindo, fornecer o(s) Serviço(s) ao Cliente e fornecer suporte e manutenção técnica, se acordado no Contrato.
Para que o Provedor cumpra as instruções razoáveis documentadas fornecidas pelo Cliente, onde tais instruções são consistentes com os termos do Contrato.
Duração do Processamento. Sujeito a qualquer disposição deste DPA e/ou do Contrato que trate da duração do Processamento e das consequências da expiração ou rescisão do mesmo, o Provedor processará Dados Pessoais pela duração do Contrato, salvo acordo em contrário por escrito.
Tipo de Dados Pessoais. O Cliente pode enviar Dados Pessoais para os Serviços, cujo alcance é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não estão limitados às seguintes categorias de Dados Pessoais:
Nome completo
Nome de usuário
Endereço de email
Título / cargo
Detalhes do cliente (na medida em que incluam Dados Pessoais)
Quaisquer outros Dados Pessoais ou informações que o Cliente forneça ou instrua o Provedor a Processar no contexto dos Serviços.
Para evitar dúvidas, os detalhes de login na plataforma do Provedor estão sujeitos à política de privacidade do Provedor disponível aqui: https://www.easyhub.ai/privacy-policy e não a este DPA.
Não obstante qualquer disposição em contrário, o Cliente reconhece que as mesmas informações pessoais ou Dados Pessoais fornecidos pelo Cliente ou processados em nome do Cliente podem já ter sido (ou serão) fornecidos por outros clientes ao Provedor, ou podem já ter sido (ou serão) coletados pelo Provedor de forma independente ou de outros clientes, ou podem estar disponíveis em fontes públicas. Para evitar dúvidas, esses dados e informações podem ser coletados, usados e processados pelo Provedor e/ou divulgados pelo Provedor a terceiros e outros clientes sem que isso seja considerado uma violação deste DPA e/ou do Contrato.
Categorias de Titulares de Dados. O Cliente e seus Usuários Finais podem enviar Dados Pessoais para os Serviços, cujo alcance é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não estão limitados a Dados Pessoais referentes às seguintes categorias de Titulares de Dados:
Clientes do Cliente e Usuários Finais.
Empregados e contratados do Cliente para usar os Serviços.
Funcionários, agentes, consultores, freelancers do Cliente (que são pessoas naturais).
Funcionários ou contatos dos prospects, clientes, parceiros comerciais e fornecedores do Cliente.
A frequência da transferência. Base contínua
O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período – Conforme descrito neste DPA e/ou no Contrato
Para transferências para (sub-) processadores, também especifique o objeto, a natureza e a duração do processamento. Como detalhado na lista de Subprocessadores.
Anexo 1 – Detalhes do Processamento de Dados
Objeto. O Provedor processará Dados Pessoais conforme necessário para realizar os Serviços de acordo com o Contrato, conforme mais instruções fornecidas pelo Cliente em seu uso dos Serviços.
Natureza e Propósito do Processamento
Executando o Contrato, este DPA e/ou outros contratos firmados pelas Partes, incluindo, fornecer o(s) Serviço(s) ao Cliente e fornecer suporte e manutenção técnica, se acordado no Contrato.
Para que o Provedor cumpra as instruções razoáveis documentadas fornecidas pelo Cliente, onde tais instruções são consistentes com os termos do Contrato.
Duração do Processamento. Sujeito a qualquer disposição deste DPA e/ou do Contrato que trate da duração do Processamento e das consequências da expiração ou rescisão do mesmo, o Provedor processará Dados Pessoais pela duração do Contrato, salvo acordo em contrário por escrito.
Tipo de Dados Pessoais. O Cliente pode enviar Dados Pessoais para os Serviços, cujo alcance é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não estão limitados às seguintes categorias de Dados Pessoais:
Nome completo
Nome de usuário
Endereço de email
Título / cargo
Detalhes do cliente (na medida em que incluam Dados Pessoais)
Quaisquer outros Dados Pessoais ou informações que o Cliente forneça ou instrua o Provedor a Processar no contexto dos Serviços.
Para evitar dúvidas, os detalhes de login na plataforma do Provedor estão sujeitos à política de privacidade do Provedor disponível aqui: https://www.easyhub.ai/privacy-policy e não a este DPA.
Não obstante qualquer disposição em contrário, o Cliente reconhece que as mesmas informações pessoais ou Dados Pessoais fornecidos pelo Cliente ou processados em nome do Cliente podem já ter sido (ou serão) fornecidos por outros clientes ao Provedor, ou podem já ter sido (ou serão) coletados pelo Provedor de forma independente ou de outros clientes, ou podem estar disponíveis em fontes públicas. Para evitar dúvidas, esses dados e informações podem ser coletados, usados e processados pelo Provedor e/ou divulgados pelo Provedor a terceiros e outros clientes sem que isso seja considerado uma violação deste DPA e/ou do Contrato.
Categorias de Titulares de Dados. O Cliente e seus Usuários Finais podem enviar Dados Pessoais para os Serviços, cujo alcance é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não estão limitados a Dados Pessoais referentes às seguintes categorias de Titulares de Dados:
Clientes do Cliente e Usuários Finais.
Empregados e contratados do Cliente para usar os Serviços.
Funcionários, agentes, consultores, freelancers do Cliente (que são pessoas naturais).
Funcionários ou contatos dos prospects, clientes, parceiros comerciais e fornecedores do Cliente.
A frequência da transferência. Base contínua
O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período – Conforme descrito neste DPA e/ou no Contrato
Para transferências para (sub-) processadores, também especifique o objeto, a natureza e a duração do processamento. Como detalhado na lista de Subprocessadores.
Anexo 2 – Anexo Europeu
TRANSFERÊNCIAS RESTRITAS
Geral. As Partes reconhecem que a transmissão de Dados Pessoais do Cliente ao Fornecedor nos termos deste documento pode envolver uma Transferência Restrita. As SCCs descritas no Parágrafo 1.2 e/ou 1.3 se aplicarão e terão efeito apenas se e na medida em que forem permitidas e exigidas sob o GDPR da UE e/ou o GDPR do Reino Unido (se aplicável) para estabelecer uma base válida nos termos do Capítulo V do GDPR da UE e/ou do GDPR do Reino Unido em relação à transferência dos Dados Pessoais do Cliente ao Fornecedor.
Transferências Restritas da UE. Na medida em que qualquer Processamento de Dados Pessoais do Cliente sob este DPA envolver uma Transferência Restrita da UE do Cliente para o Fornecedor, as Partes deverão cumprir com suas respectivas obrigações estabelecidas nas SCCs, que são consideradas (a) preenchidas de acordo com a Parte 1 do Anexo 1 ao Anexo 2 (Anexo Europeu); e (b) celebradas pelas Partes e incorporadas por referência a este DPA.
Transferências Restritas do Reino Unido. Na medida em que qualquer Processamento de Dados Pessoais do Cliente sob este DPA envolver uma Transferência Restrita do Reino Unido do Cliente para o Fornecedor, as Partes deverão cumprir com suas respectivas obrigações estabelecidas nas SCCs, que são consideradas (a) alteradas para atender aos requisitos do GDPR do Reino Unido de acordo com o Adendo de Transferência do Reino Unido e preenchidas de acordo com a Parte 2 do Anexo 1 ao Anexo 2 (Anexo Europeu); e (b) celebradas pelas Partes e incorporadas por referência a este DPA.
Fornecimento de SCCs em sua forma completa. Em relação a qualquer Transferência Restrita específica, a pedido por escrito do Cliente, o Fornecedor deverá fornecer ao Cliente uma versão executada do(s) conjunto(s) relevante(s) de SCCs (alteradas e preenchidas de acordo com o Anexo 1 ao Anexo 2 (Anexo Europeu)) em relação à Transferência Restrita relevante.
ESCLARECIMENTOS OPERACIONAIS
Ao cumprir com suas obrigações de transparência sob a Cláusula 8.3 das SCCs, o Cliente concorda que não deverá fornecer ou de outra forma disponibilizar, e deverá tomar todas as medidas apropriadas para proteger, os segredos comerciais, segredos de negócios, informações confidenciais e/ou outras informações comercialmente sensíveis do Fornecedor e seus licenciadores.
Quando aplicável, para os fins da Cláusula 10(a) do Módulo Três das SCCs, o Cliente reconhece e concorda que não existem circunstâncias em que seria apropriado que o Fornecedor notificasse qualquer controlador de terceiros sobre qualquer Solicitação de Titular de Dados e que qualquer notificação desse tipo será de exclusiva responsabilidade do Cliente.
Para os fins da Cláusula 15.1(a) das SCCs, exceto na medida em que seja proibido por lei aplicável e/ou pela autoridade pública relevante, entre as Partes, o Cliente concorda que será o único responsável pela realização de quaisquer notificações aos respectivos Titulares de Dados, se e conforme necessário.
Os termos e condições da Seção 8 se aplicam em relação à nomeação e uso de Subprocessadores pelo Fornecedor sob as SCCs.
Qualquer aprovação pelo Cliente da nomeação de um Subprocessador pelo Fornecedor que seja dada expressamente ou considerada dada nos termos da Seção 8 constitui as instruções documentadas do Cliente para efetuar divulgações e transferências subsequentes para quaisquer Subprocessadores relevantes, se e conforme necessário sob a Cláusula 8.8 das SCCs.
As auditorias descritas nas Cláusulas 8.9(c) e 8.9(d) das SCCs estarão sujeitas a quaisquer termos e condições relevantes detalhados na Seção 9.
A certificação de exclusão de Dados Pessoais do Cliente, conforme descrito nas Cláusulas 8.5 e 16(d) das SCCs, será fornecida apenas mediante solicitação por escrito do Cliente.
RESPONSABILIDADE PERANTE OS TITULARES DE DADOS
Não obstante qualquer disposição do Acordo em contrário, nada no Acordo limitará a responsabilidade de qualquer das partes perante os Titulares de Dados sob as disposições de beneficiário de terceiros das SCCs.
PARA O ANEXO EUROPEU
PREENCHIMENTO DAS SCCs
No contexto de qualquer Transferência Restrita da UE, as SCCs preenchidas de acordo com a Parte 1 deste Anexo 1 são incorporadas por referência e formam uma parte efetiva do DPA (se e onde aplicável de acordo com os Parágrafos 1.1 e 1.2 do Anexo 2 (Anexo Europeu) ao DPA).
No contexto de qualquer Transferência Restrita do Reino Unido, as SCCs conforme alteradas pelo Adendo de Transferência do Reino Unido e preenchidas de acordo com a Parte 2 deste Anexo 1 são incorporadas por referência e formam uma parte efetiva do DPA (se e onde aplicável de acordo com os Parágrafos 1.1 e 1.3 do Anexo 2 (Anexo Europeu) ao DPA).
Anexo 2 – Anexo Europeu
TRANSFERÊNCIAS RESTRITAS
Geral. As Partes reconhecem que a transmissão de Dados Pessoais do Cliente ao Fornecedor nos termos deste documento pode envolver uma Transferência Restrita. As SCCs descritas no Parágrafo 1.2 e/ou 1.3 se aplicarão e terão efeito apenas se e na medida em que forem permitidas e exigidas sob o GDPR da UE e/ou o GDPR do Reino Unido (se aplicável) para estabelecer uma base válida nos termos do Capítulo V do GDPR da UE e/ou do GDPR do Reino Unido em relação à transferência dos Dados Pessoais do Cliente ao Fornecedor.
Transferências Restritas da UE. Na medida em que qualquer Processamento de Dados Pessoais do Cliente sob este DPA envolver uma Transferência Restrita da UE do Cliente para o Fornecedor, as Partes deverão cumprir com suas respectivas obrigações estabelecidas nas SCCs, que são consideradas (a) preenchidas de acordo com a Parte 1 do Anexo 1 ao Anexo 2 (Anexo Europeu); e (b) celebradas pelas Partes e incorporadas por referência a este DPA.
Transferências Restritas do Reino Unido. Na medida em que qualquer Processamento de Dados Pessoais do Cliente sob este DPA envolver uma Transferência Restrita do Reino Unido do Cliente para o Fornecedor, as Partes deverão cumprir com suas respectivas obrigações estabelecidas nas SCCs, que são consideradas (a) alteradas para atender aos requisitos do GDPR do Reino Unido de acordo com o Adendo de Transferência do Reino Unido e preenchidas de acordo com a Parte 2 do Anexo 1 ao Anexo 2 (Anexo Europeu); e (b) celebradas pelas Partes e incorporadas por referência a este DPA.
Fornecimento de SCCs em sua forma completa. Em relação a qualquer Transferência Restrita específica, a pedido por escrito do Cliente, o Fornecedor deverá fornecer ao Cliente uma versão executada do(s) conjunto(s) relevante(s) de SCCs (alteradas e preenchidas de acordo com o Anexo 1 ao Anexo 2 (Anexo Europeu)) em relação à Transferência Restrita relevante.
ESCLARECIMENTOS OPERACIONAIS
Ao cumprir com suas obrigações de transparência sob a Cláusula 8.3 das SCCs, o Cliente concorda que não deverá fornecer ou de outra forma disponibilizar, e deverá tomar todas as medidas apropriadas para proteger, os segredos comerciais, segredos de negócios, informações confidenciais e/ou outras informações comercialmente sensíveis do Fornecedor e seus licenciadores.
Quando aplicável, para os fins da Cláusula 10(a) do Módulo Três das SCCs, o Cliente reconhece e concorda que não existem circunstâncias em que seria apropriado que o Fornecedor notificasse qualquer controlador de terceiros sobre qualquer Solicitação de Titular de Dados e que qualquer notificação desse tipo será de exclusiva responsabilidade do Cliente.
Para os fins da Cláusula 15.1(a) das SCCs, exceto na medida em que seja proibido por lei aplicável e/ou pela autoridade pública relevante, entre as Partes, o Cliente concorda que será o único responsável pela realização de quaisquer notificações aos respectivos Titulares de Dados, se e conforme necessário.
Os termos e condições da Seção 8 se aplicam em relação à nomeação e uso de Subprocessadores pelo Fornecedor sob as SCCs.
Qualquer aprovação pelo Cliente da nomeação de um Subprocessador pelo Fornecedor que seja dada expressamente ou considerada dada nos termos da Seção 8 constitui as instruções documentadas do Cliente para efetuar divulgações e transferências subsequentes para quaisquer Subprocessadores relevantes, se e conforme necessário sob a Cláusula 8.8 das SCCs.
As auditorias descritas nas Cláusulas 8.9(c) e 8.9(d) das SCCs estarão sujeitas a quaisquer termos e condições relevantes detalhados na Seção 9.
A certificação de exclusão de Dados Pessoais do Cliente, conforme descrito nas Cláusulas 8.5 e 16(d) das SCCs, será fornecida apenas mediante solicitação por escrito do Cliente.
RESPONSABILIDADE PERANTE OS TITULARES DE DADOS
Não obstante qualquer disposição do Acordo em contrário, nada no Acordo limitará a responsabilidade de qualquer das partes perante os Titulares de Dados sob as disposições de beneficiário de terceiros das SCCs.
PARA O ANEXO EUROPEU
PREENCHIMENTO DAS SCCs
No contexto de qualquer Transferência Restrita da UE, as SCCs preenchidas de acordo com a Parte 1 deste Anexo 1 são incorporadas por referência e formam uma parte efetiva do DPA (se e onde aplicável de acordo com os Parágrafos 1.1 e 1.2 do Anexo 2 (Anexo Europeu) ao DPA).
No contexto de qualquer Transferência Restrita do Reino Unido, as SCCs conforme alteradas pelo Adendo de Transferência do Reino Unido e preenchidas de acordo com a Parte 2 deste Anexo 1 são incorporadas por referência e formam uma parte efetiva do DPA (se e onde aplicável de acordo com os Parágrafos 1.1 e 1.3 do Anexo 2 (Anexo Europeu) ao DPA).
PARTE 1: POPULAÇÃO DOS SCCs DA UE
ASSINATURA DOS SCCs; MÓDULOS
Quando aplicável de acordo com os Parágrafos 1.1 e 1.2 do Anexo 2 (Anexo Europeu) do DPA, (a) cada uma das Partes é considerada como tendo assinado os SCCs no bloco de assinatura relevante no Anexo I do Apêndice dos SCCs; e (b) esses SCCs são firmados entre as Partes com efeito a partir de (i) a data efetiva do Acordo; ou (ii) a data da primeira Transferência Restrita da UE à qual se aplicam de acordo com os Parágrafos 1.1 e 1.2 do 2 (Anexo Europeu) do DPA, o que ocorrer por último.
Os seguintes módulos dos SCCs se aplicam da maneira estabelecida abaixo (considerando o(s) papel(eis) do Cliente estabelecidos no Anexo 1 (Detalhes do Processamento de Dados) do DPA):
O Módulo Dois dos SCCs se aplica a qualquer Transferência Restrita da UE envolvendo o Tratamento de Dados Pessoais do Cliente em relação ao qual o Cliente é um Controlador por direito próprio.
POPULAÇÃO DO CORPO DOS SCCs
Para cada Módulo dos SCCs, o seguinte se aplica conforme e onde aplicável a esse Módulo e às Cláusulas dele:
A ‘Cláusula de Adoção’ opcional na Cláusula 7 não é utilizada e o corpo daquela Cláusula 7 fica intencionalmente em branco.
2. Na Cláusula 9:
a - A OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL se aplica, e o período mínimo de aviso prévio da adição ou substituição de Subprocessadores será o período de aviso prévio estabelecido na Seção 8 do DPA, e a lista de Subprocessadores já autorizados pelo exportador de dados será a lista do Site do Subprocessador na data efetiva do Acordo; e
b - A OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA não é utilizada e essa linguagem opcional é excluída; assim, portanto, o Anexo III do Apêndice dos SCCs.
3. Na Cláusula 11, a linguagem opcional não é utilizada e é excluída.
4. Na Cláusula 13, todos os colchetes são removidos e todo o texto contido é mantido.
5. Na Cláusula 17:
a - A OPÇÃO 1 se aplica, e as Partes concordam que os SCCs serão regidos pela lei da Irlanda em relação a qualquer Transferência Restrita da UE; e
b - A OPÇÃO 2 não é utilizada e essa linguagem opcional é excluída.
6. Para os fins da Cláusula 18, as Partes concordam que qualquer disputa decorrente dos SCCs em relação a qualquer Transferência Restrita da UE será resolvida pelos tribunais da Irlanda, e a Cláusula 18(b) é preenchida de acordo.
2. Neste Parágrafo, referências a “Cláusulas” são referências às Cláusulas dos SCCs.
POPULAÇÃO DOS ANEXOS DO APÊNDICE DOS SCCs
O Anexo I do Apêndice dos SCCs é preenchido com as informações correspondentes detalhadas no Anexo 1 (Detalhes do Processamento de Dados) do DPA, com o Cliente sendo ‘exportador de dados’ e o Provedor sendo ‘importador de dados’.
A Parte C do Anexo I do Apêndice dos SCCs da UE é preenchida da seguinte forma:
1. Quando o Cliente está estabelecido em um Estado Membro da UE, a autoridade supervisora competente será a autoridade supervisora daquele Estado Membro da UE em que o Cliente está estabelecido.
2. Quando o Cliente não está estabelecido em um Estado Membro da UE, o Artigo 3(2) do GDPR se aplica e o Cliente nomeou um representante da UE sob o Artigo 27 do GDPR: a autoridade supervisora competente será a autoridade supervisora do Estado Membro da UE em que se encontra o representante da UE do Cliente relevante para o processamento aqui descrito (de tempos em tempos).
3. Quando o Cliente não está estabelecido em um Estado Membro da UE, o Artigo 3(2) do GDPR se aplica, mas o Cliente não nomeou um representante da UE sob o Artigo 27 do GDPR: a autoridade supervisora competente será a autoridade supervisora do Estado Membro da UE notificada por escrito ao ponto de contato de proteção de dados do Provedor identificado no Anexo 1 (Detalhes do Processamento de Dados) do DPA, que deve ser um Estado Membro da UE onde os titulares de dados cujos dados pessoais são transferidos sob essas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados.
O Anexo II do Apêndice dos SCCs é preenchido conforme abaixo
1. Geral: Consulte a Seção 5 do DPA e as Medidas de Segurança descritas nela. No caso de o Cliente receber um Pedido de Titular de Dados sob o GDPR da UE e precisar de assistência do Provedor, o Cliente deve enviar um e-mail para o ponto de contato do Provedor para proteção de dados identificado no Anexo 1 (Detalhes do Processamento de Dados) do DPA.
2. Subprocessadores: Quando o Provedor contrata um Subprocessador sob essas Cláusulas, o Provedor deve entrar em um arranjo contratual vinculativo com tal Subprocessador que impõe a eles obrigações de proteção de dados que, em substância, atendem ou excedem os padrões relevantes exigidos sob essas Cláusulas e o DPA – incluindo em relação a (a) medidas de segurança da informação aplicáveis; (b) notificação de Violações de Dados Pessoais ao Provedor; (c) devolução ou exclusão de Dados Pessoais do Cliente conforme e onde necessário; e (d) contratação de outros Subprocessadores.
PARTE 2: TRANSFERÊNCIAS RESTRITAS DO REINO UNIDO
ADENDO DE TRANSFERÊNCIA DO REINO UNIDO
Quando relevante de acordo com os Parágrafos 1.1 e 1.3 do Anexo 2 (Anexo Europeu) do DPA, os SCCs também se aplicam no contexto das Transferências Restritas do Reino Unido conforme modificado pelo Adendo de Transferência do Reino Unido da maneira descrita abaixo –
1. Parte 1 do Adendo de Transferência do Reino Unido. Conforme permitido pela Seção 17 do Adendo de Transferência do Reino Unido, as Partes concordam:
1. As Tabelas 1, 2 e 3 do Adendo de Transferência do Reino Unido são consideradas preenchidas com os detalhes correspondentes estabelecidos no Anexo 1 (Detalhes do Processamento de Dados) do DPA e as disposições anteriores deste Apêndice 1 ao Anexo 2 (Anexo Europeu) (sujeito às variações efetivadas pelas Cláusulas Obrigatórias descritas em (b) abaixo); e
2. A Tabela 4 do Adendo de Transferência do Reino Unido é completada com a caixa rotulada ‘Importador de Dados’ sendo considerada marcada.
2. Parte 2 do Adendo de Transferência do Reino Unido. Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo de Adendo B.1.0 emitido pelo ICO.
(c) Anexo I.A: Com relação ao Módulo Dois: Exportador de Dados é o Cliente como controlador de dados e o Importador de Dados é o Provedor como processador de dados. Com relação ao Módulo Três: Exportador de Dados é o Cliente como processador de dados e o Importador de Dados é o Provedor como processador de dados (subprocessador). Detalhes de Contato do Exportador e Importador de Dados: Conforme detalhado no Acordo. Assinatura e Data: Ao entrar no Acordo e neste DPA, cada Parte é considerada como tendo assinado essas Cláusulas Contratuais Padrão do Reino Unido incorporadas aqui, incluindo seus Anexos, a partir da Data Efetiva do DPA.
(d) O Anexo I.B das Cláusulas Contratuais Padrão do Reino Unido será preenchido conforme descrito no Anexo 1 (Detalhes do Processamento) deste DPA.
(e) O Anexo I.C das Cláusulas Contratuais Padrão do Reino Unido será preenchido da seguinte forma: A autoridade supervisora competente é a autoridade supervisora do ICO.
(f) O Anexo II das Cláusulas Contratuais Padrão do Reino Unido será preenchido conforme descrito e acordado entre as partes no Acordo e/ou neste DPA.
(g) O Anexo III das Cláusulas Contratuais Padrão do Reino Unido será preenchido com os subprocessadores autorizados detalhados na Programação 2 (lista de subprocessadores) deste DPA.
Em relação a qualquer Transferência Restrita do Reino Unido à qual se aplicam, onde o contexto permitir e exigir, qualquer referência no DPA aos SCCs será entendida como uma referência a esses SCCs conforme modificados da maneira estabelecida no Parágrafo 4.1 desta Parte 2.
PARTE 1: POPULAÇÃO DOS SCCs DA UE
ASSINATURA DOS SCCs; MÓDULOS
Quando aplicável de acordo com os Parágrafos 1.1 e 1.2 do Anexo 2 (Anexo Europeu) do DPA, (a) cada uma das Partes é considerada como tendo assinado os SCCs no bloco de assinatura relevante no Anexo I do Apêndice dos SCCs; e (b) esses SCCs são firmados entre as Partes com efeito a partir de (i) a data efetiva do Acordo; ou (ii) a data da primeira Transferência Restrita da UE à qual se aplicam de acordo com os Parágrafos 1.1 e 1.2 do 2 (Anexo Europeu) do DPA, o que ocorrer por último.
Os seguintes módulos dos SCCs se aplicam da maneira estabelecida abaixo (considerando o(s) papel(eis) do Cliente estabelecidos no Anexo 1 (Detalhes do Processamento de Dados) do DPA):
O Módulo Dois dos SCCs se aplica a qualquer Transferência Restrita da UE envolvendo o Tratamento de Dados Pessoais do Cliente em relação ao qual o Cliente é um Controlador por direito próprio.
POPULAÇÃO DO CORPO DOS SCCs
Para cada Módulo dos SCCs, o seguinte se aplica conforme e onde aplicável a esse Módulo e às Cláusulas dele:
A ‘Cláusula de Adoção’ opcional na Cláusula 7 não é utilizada e o corpo daquela Cláusula 7 fica intencionalmente em branco.
2. Na Cláusula 9:
a - A OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL se aplica, e o período mínimo de aviso prévio da adição ou substituição de Subprocessadores será o período de aviso prévio estabelecido na Seção 8 do DPA, e a lista de Subprocessadores já autorizados pelo exportador de dados será a lista do Site do Subprocessador na data efetiva do Acordo; e
b - A OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA não é utilizada e essa linguagem opcional é excluída; assim, portanto, o Anexo III do Apêndice dos SCCs.
3. Na Cláusula 11, a linguagem opcional não é utilizada e é excluída.
4. Na Cláusula 13, todos os colchetes são removidos e todo o texto contido é mantido.
5. Na Cláusula 17:
a - A OPÇÃO 1 se aplica, e as Partes concordam que os SCCs serão regidos pela lei da Irlanda em relação a qualquer Transferência Restrita da UE; e
b - A OPÇÃO 2 não é utilizada e essa linguagem opcional é excluída.
6. Para os fins da Cláusula 18, as Partes concordam que qualquer disputa decorrente dos SCCs em relação a qualquer Transferência Restrita da UE será resolvida pelos tribunais da Irlanda, e a Cláusula 18(b) é preenchida de acordo.
2. Neste Parágrafo, referências a “Cláusulas” são referências às Cláusulas dos SCCs.
POPULAÇÃO DOS ANEXOS DO APÊNDICE DOS SCCs
O Anexo I do Apêndice dos SCCs é preenchido com as informações correspondentes detalhadas no Anexo 1 (Detalhes do Processamento de Dados) do DPA, com o Cliente sendo ‘exportador de dados’ e o Provedor sendo ‘importador de dados’.
A Parte C do Anexo I do Apêndice dos SCCs da UE é preenchida da seguinte forma:
1. Quando o Cliente está estabelecido em um Estado Membro da UE, a autoridade supervisora competente será a autoridade supervisora daquele Estado Membro da UE em que o Cliente está estabelecido.
2. Quando o Cliente não está estabelecido em um Estado Membro da UE, o Artigo 3(2) do GDPR se aplica e o Cliente nomeou um representante da UE sob o Artigo 27 do GDPR: a autoridade supervisora competente será a autoridade supervisora do Estado Membro da UE em que se encontra o representante da UE do Cliente relevante para o processamento aqui descrito (de tempos em tempos).
3. Quando o Cliente não está estabelecido em um Estado Membro da UE, o Artigo 3(2) do GDPR se aplica, mas o Cliente não nomeou um representante da UE sob o Artigo 27 do GDPR: a autoridade supervisora competente será a autoridade supervisora do Estado Membro da UE notificada por escrito ao ponto de contato de proteção de dados do Provedor identificado no Anexo 1 (Detalhes do Processamento de Dados) do DPA, que deve ser um Estado Membro da UE onde os titulares de dados cujos dados pessoais são transferidos sob essas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados.
O Anexo II do Apêndice dos SCCs é preenchido conforme abaixo
1. Geral: Consulte a Seção 5 do DPA e as Medidas de Segurança descritas nela. No caso de o Cliente receber um Pedido de Titular de Dados sob o GDPR da UE e precisar de assistência do Provedor, o Cliente deve enviar um e-mail para o ponto de contato do Provedor para proteção de dados identificado no Anexo 1 (Detalhes do Processamento de Dados) do DPA.
2. Subprocessadores: Quando o Provedor contrata um Subprocessador sob essas Cláusulas, o Provedor deve entrar em um arranjo contratual vinculativo com tal Subprocessador que impõe a eles obrigações de proteção de dados que, em substância, atendem ou excedem os padrões relevantes exigidos sob essas Cláusulas e o DPA – incluindo em relação a (a) medidas de segurança da informação aplicáveis; (b) notificação de Violações de Dados Pessoais ao Provedor; (c) devolução ou exclusão de Dados Pessoais do Cliente conforme e onde necessário; e (d) contratação de outros Subprocessadores.
PARTE 2: TRANSFERÊNCIAS RESTRITAS DO REINO UNIDO
ADENDO DE TRANSFERÊNCIA DO REINO UNIDO
Quando relevante de acordo com os Parágrafos 1.1 e 1.3 do Anexo 2 (Anexo Europeu) do DPA, os SCCs também se aplicam no contexto das Transferências Restritas do Reino Unido conforme modificado pelo Adendo de Transferência do Reino Unido da maneira descrita abaixo –
1. Parte 1 do Adendo de Transferência do Reino Unido. Conforme permitido pela Seção 17 do Adendo de Transferência do Reino Unido, as Partes concordam:
1. As Tabelas 1, 2 e 3 do Adendo de Transferência do Reino Unido são consideradas preenchidas com os detalhes correspondentes estabelecidos no Anexo 1 (Detalhes do Processamento de Dados) do DPA e as disposições anteriores deste Apêndice 1 ao Anexo 2 (Anexo Europeu) (sujeito às variações efetivadas pelas Cláusulas Obrigatórias descritas em (b) abaixo); e
2. A Tabela 4 do Adendo de Transferência do Reino Unido é completada com a caixa rotulada ‘Importador de Dados’ sendo considerada marcada.
2. Parte 2 do Adendo de Transferência do Reino Unido. Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo de Adendo B.1.0 emitido pelo ICO.
(c) Anexo I.A: Com relação ao Módulo Dois: Exportador de Dados é o Cliente como controlador de dados e o Importador de Dados é o Provedor como processador de dados. Com relação ao Módulo Três: Exportador de Dados é o Cliente como processador de dados e o Importador de Dados é o Provedor como processador de dados (subprocessador). Detalhes de Contato do Exportador e Importador de Dados: Conforme detalhado no Acordo. Assinatura e Data: Ao entrar no Acordo e neste DPA, cada Parte é considerada como tendo assinado essas Cláusulas Contratuais Padrão do Reino Unido incorporadas aqui, incluindo seus Anexos, a partir da Data Efetiva do DPA.
(d) O Anexo I.B das Cláusulas Contratuais Padrão do Reino Unido será preenchido conforme descrito no Anexo 1 (Detalhes do Processamento) deste DPA.
(e) O Anexo I.C das Cláusulas Contratuais Padrão do Reino Unido será preenchido da seguinte forma: A autoridade supervisora competente é a autoridade supervisora do ICO.
(f) O Anexo II das Cláusulas Contratuais Padrão do Reino Unido será preenchido conforme descrito e acordado entre as partes no Acordo e/ou neste DPA.
(g) O Anexo III das Cláusulas Contratuais Padrão do Reino Unido será preenchido com os subprocessadores autorizados detalhados na Programação 2 (lista de subprocessadores) deste DPA.
Em relação a qualquer Transferência Restrita do Reino Unido à qual se aplicam, onde o contexto permitir e exigir, qualquer referência no DPA aos SCCs será entendida como uma referência a esses SCCs conforme modificados da maneira estabelecida no Parágrafo 4.1 desta Parte 2.
Anexo 3 – Anexo da Califórnia
Os termos com letra maiúscula usados neste Anexo da Califórnia, mas não definidos no Acordo, terão os significados dados na CCPA. Conforme usado neste Anexo da Califórnia, "Informações Pessoais" significa Dados Pessoais do Cliente que constituem "informações pessoais" sob a CCPA.
É a intenção das Partes que o Provedor seja um Provedor de Serviços no que diz respeito ao processamento dos Dados Pessoais do Cliente. O Provedor (a) reconhece que as Informações Pessoais são divulgadas pelo Cliente apenas para fins limitados e especificados descritos no Acordo; (b) deve cumprir as obrigações aplicáveis sob a CCPA e fornecer o mesmo nível de proteção de privacidade às Informações Pessoais conforme exigido pela CCPA; (c) concorda que o Cliente tem o direito de tomar medidas razoáveis e apropriadas sob a Seção 9 do DPA para ajudar a garantir que o uso das Informações Pessoais pelo Provedor seja consistente com as obrigações do Cliente sob a CCPA; (d) deve notificar o Cliente por escrito sobre qualquer determinação feita pelo Provedor de que ele não pode mais atender às suas obrigações sob a CCPA; e (e) concorda que o Cliente tem o direito, mediante notificação, incluindo de acordo com a cláusula anterior, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado das Informações Pessoais.
O Provedor não deve (a) Vender ou Compartilhar Informações Pessoais; (b) reter, usar ou divulgar quaisquer Informações Pessoais para qualquer propósito diferente dos Fins Comerciais especificados no Acordo, incluindo reter, usar ou divulgar Informações Pessoais para uma Finalidade Comercial diferente da Finalidade Comercial especificada no Acordo, ou conforme permitido pela CPPA; (c) reter, usar ou divulgar Informações Pessoais fora do relacionamento comercial direto entre o Provedor e o Cliente; ou (d) combinar Informações Pessoais recebidas de acordo com o Acordo com Informações Pessoais (i) recebidas de ou em nome de outra pessoa, ou (ii) ou coletadas da própria interação do Provedor com qualquer Consumidor a quem tais Informações Pessoais se referem. O Provedor certifica que entende as obrigações sob esta Seção e irá cumpri-las.
Dar ao Cliente notificação de engajamentos de Subprocessadores de acordo com a Seção 8 do DPA satisfará a obrigação do Provedor sob a CPRA de dar notificação de tais engajamentos. Os Subprocessadores usados pelo Provedor são Amazon Web Services e Google Cloud Platform.
As obrigações sob este Anexo da Califórnia que não são exigidas para serem impostas ao Provedor para que o Provedor se qualifique como um Provedor de Serviços sob a CCPA, nem para que as Partes cumpram suas obrigações sob a CCPA em relação aos termos obrigatórios dos contratos, em cada caso, antes que a CPRA entre em vigor em 1º de janeiro de 2023, aplicar-se-ão ao Provedor apenas a partir de 1º de janeiro de 2023.
Anexo 3 – Anexo da Califórnia
Os termos com letra maiúscula usados neste Anexo da Califórnia, mas não definidos no Acordo, terão os significados dados na CCPA. Conforme usado neste Anexo da Califórnia, "Informações Pessoais" significa Dados Pessoais do Cliente que constituem "informações pessoais" sob a CCPA.
É a intenção das Partes que o Provedor seja um Provedor de Serviços no que diz respeito ao processamento dos Dados Pessoais do Cliente. O Provedor (a) reconhece que as Informações Pessoais são divulgadas pelo Cliente apenas para fins limitados e especificados descritos no Acordo; (b) deve cumprir as obrigações aplicáveis sob a CCPA e fornecer o mesmo nível de proteção de privacidade às Informações Pessoais conforme exigido pela CCPA; (c) concorda que o Cliente tem o direito de tomar medidas razoáveis e apropriadas sob a Seção 9 do DPA para ajudar a garantir que o uso das Informações Pessoais pelo Provedor seja consistente com as obrigações do Cliente sob a CCPA; (d) deve notificar o Cliente por escrito sobre qualquer determinação feita pelo Provedor de que ele não pode mais atender às suas obrigações sob a CCPA; e (e) concorda que o Cliente tem o direito, mediante notificação, incluindo de acordo com a cláusula anterior, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado das Informações Pessoais.
O Provedor não deve (a) Vender ou Compartilhar Informações Pessoais; (b) reter, usar ou divulgar quaisquer Informações Pessoais para qualquer propósito diferente dos Fins Comerciais especificados no Acordo, incluindo reter, usar ou divulgar Informações Pessoais para uma Finalidade Comercial diferente da Finalidade Comercial especificada no Acordo, ou conforme permitido pela CPPA; (c) reter, usar ou divulgar Informações Pessoais fora do relacionamento comercial direto entre o Provedor e o Cliente; ou (d) combinar Informações Pessoais recebidas de acordo com o Acordo com Informações Pessoais (i) recebidas de ou em nome de outra pessoa, ou (ii) ou coletadas da própria interação do Provedor com qualquer Consumidor a quem tais Informações Pessoais se referem. O Provedor certifica que entende as obrigações sob esta Seção e irá cumpri-las.
Dar ao Cliente notificação de engajamentos de Subprocessadores de acordo com a Seção 8 do DPA satisfará a obrigação do Provedor sob a CPRA de dar notificação de tais engajamentos. Os Subprocessadores usados pelo Provedor são Amazon Web Services e Google Cloud Platform.
As obrigações sob este Anexo da Califórnia que não são exigidas para serem impostas ao Provedor para que o Provedor se qualifique como um Provedor de Serviços sob a CCPA, nem para que as Partes cumpram suas obrigações sob a CCPA em relação aos termos obrigatórios dos contratos, em cada caso, antes que a CPRA entre em vigor em 1º de janeiro de 2023, aplicar-se-ão ao Provedor apenas a partir de 1º de janeiro de 2023.