CONTRATO DE PROCESSAMENTO DE DADOS

Este Contrato de Processamento de Dados (o”DPA”) é um adendo ao Termos de uso (”Contrato”) entre Pluspoint Inc., uma empresa constituída e registrada no estado de Delaware e com endereço no estado de Delaware, 2810 North Church St, Suíte nº 66052, Wilmington, Delaware 19802-4447 EUA (doravante denominada”Ponto positivo”) e o Usuário.

Este DPA inclui e incorpora, por referência, os anexos e adendos referenciados na parte inferior deste documento. Todos os termos em maiúsculas não definidos neste DPA terão os significados estabelecidos no Contrato. O Usuário entra neste DPA em nome de si mesmo e, na medida exigida pelas Leis de Proteção de Dados, em nome e em nome de suas Afiliadas Autorizadas (definidas abaixo).

As partes concordam com o seguinte:

1. DEFINIÇÕES

”Cliente Dados pessoais” significa Dados Pessoais de Clientes Usuários (i) que o Usuário envia para a Pluspoint, que podem incluir seu nome, número de telefone de contato e/ou outras informações que podem estar disponíveis em seus perfis públicos aos quais eles concedem acesso à Plustpoint; (ii) para os quais o Usuário é, de outra forma, um Controlador de Dados.

“Controlador de dados” significa Usuário.

“Processador de dados” significa Pluspoint.

“Requisitos de proteção de dados” significa o Regulamento Geral de Proteção de Dados, as Leis Locais de Proteção de Dados, qualquer legislação e regulamentação subordinada que implemente o Regulamento Geral de Proteção de Dados e todas as Leis de Privacidade.

“Dados pessoais da UE” significa Dados Pessoais cujo compartilhamento de acordo com este Contrato é regulado pelo Regulamento Geral de Proteção de Dados e pelas Leis Locais de Proteção de Dados.

“Regulamento Geral de Proteção de Dados” significa o Regulamento da União Europeia sobre a proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados.

“Leis locais de proteção de dados” significa qualquer legislação e regulamento subordinado que implemente o Regulamento Geral de Proteção de Dados que possa ser aplicado ao Contrato.

“Violação de dados pessoais” significa qualquer destruição, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente acidental ou ilegal.

“Leis de privacidade” significa todas as leis, regulamentos e outros requisitos legais aplicáveis relacionados a (a) privacidade, segurança de dados, proteção ao consumidor, marketing, promoção e mensagens de texto, e-mail e outras comunicações; e (b) o uso, coleta, retenção, armazenamento, segurança, divulgação, transferência, descarte e outros processamentos de quaisquer Dados Pessoais do Cliente.

“Processo” e seus cognatos significam qualquer operação ou conjunto de operações que é realizado nos Dados Pessoais do Cliente ou em conjuntos de Dados Pessoais do Cliente, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.

“Subprocessador” significa qualquer entidade que forneça serviços de processamento à Pluspoint em prol do processamento da Pluspoint em nome do Usuário.

“Autoridade Supervisora” significa uma autoridade pública independente estabelecida por um estado membro da União Europeia de acordo com o artigo 51 do Regulamento Geral de Proteção de Dados.

2. NATUREZA DO PROCESSAMENTO DE DADOS

Cada parte concorda em processar os Dados Pessoais recebidos de acordo com o Contrato somente para os fins estabelecidos no Contrato.

3. CONFORMIDADE COM AS LEIS

Cada uma das partes deve cumprir suas respectivas obrigações de acordo com todos os requisitos de proteção de dados aplicáveis.

4. OBRIGAÇÕES DO USUÁRIO

O usuário concorda em:

4.1 Fornecer instruções à Pluspoint e determinar os propósitos e os meios gerais do processamento dos Dados Pessoais do Cliente pela Pluspoint de acordo com o Contrato; e

4.2 Cumpra suas obrigações de proteção, segurança e outras com relação aos Dados Pessoais do Cliente prescritas pelos Requisitos de Proteção de Dados para controladores de dados, (a) estabelecendo e mantendo um procedimento para o exercício dos direitos dos indivíduos cujos Dados Pessoais do Cliente são processados em nome do Usuário; e (b) garantindo a conformidade com as disposições deste Contrato por seu pessoal ou por qualquer terceiro acessando ou usando os Dados Pessoais do Cliente em seu nome.

5. OBRIGAÇÕES DA PLUSPOINT

5.1 Requisitos de processamento. O Pluspoint irá:

A. Processar Dados Pessoais do Cliente (i) somente com a finalidade de fornecer, apoiar e melhorar os serviços da Pluspoint (inclusive para fornecer insights e outros relatórios), usando medidas de segurança técnicas e organizacionais apropriadas; e (ii) em conformidade com as instruções recebidas do Usuário. A Pluspoint não usará nem processará os Dados Pessoais do Cliente para qualquer outra finalidade.

B. Tomar medidas comercialmente razoáveis para garantir que as pessoas contratadas para atuar em nome da Pluspoint cumpram os termos do Contrato e sejam obrigadas a cumprir, reconhecer e respeitar a confidencialidade dos Dados Pessoais do Cliente;

C. Se pretende contratar subprocessadores para ajudá-la a cumprir suas obrigações de acordo com o Contrato ou delegar toda ou parte das atividades de processamento a esses subprocessadores, permaneça responsável perante o Usuário pelos atos e omissões dos subprocessadores em relação à proteção de dados, quando tais subprocessadores agem de acordo com as instruções da Pluspoint;

D. Mediante solicitação por escrito, forneça ao Usuário um resumo das políticas de privacidade e segurança da Pluspoint.

E. Se a Pluspoint estiver coletando Dados Pessoais do Cliente de indivíduos, a Pluspoint será uma Controladora de Dados e este Contrato não se aplicará a essa coleta de Dados Pessoais do Cliente.

5.2 Assistência ao usuário. A Pluspoint fornecerá assistência razoável ao Usuário em relação a:

A. Quaisquer solicitações dos titulares dos dados do Usuário em relação ao acesso ou à retificação, exclusão, restrição, portabilidade, bloqueio ou exclusão dos Dados Pessoais do Cliente que a Pluspoint processa para o Usuário. Se um titular de dados enviar tal solicitação diretamente à Pluspoint, a Pluspoint enviará imediatamente tal solicitação ao Usuário;

B. A investigação de violações de dados pessoais e a notificação à Autoridade Supervisora e aos titulares de dados do usuário sobre tais violações de dados pessoais; e

C. Quando apropriado, a preparação de avaliações de impacto sobre a proteção de dados e, quando necessário, a realização de consultas com qualquer autoridade supervisora.

5.3 Processamento exigido. Se a Pluspoint for obrigada pelos Requisitos de Proteção de Dados a processar quaisquer Dados Pessoais do Cliente por um motivo diferente de fornecer os serviços descritos no Contrato, a Pluspoint informará o Usuário sobre esse requisito antes de qualquer processamento, a menos que a Pluspoint esteja legalmente proibida de informar o Usuário sobre tal processamento (por exemplo, como resultado de requisitos de sigilo que possam existir sob as leis aplicáveis dos estados membros da UE).

6. SEGURANÇA

6.1 A Pluspoint implementou medidas razoáveis de segurança administrativa, técnica e física para proteger contra acesso, perda, alteração, divulgação ou destruição não autorizados ou acidentais dos Dados Pessoais do Cliente;

6.2 A Pluspoint é responsável pela suficiência das salvaguardas de segurança, privacidade e confidencialidade de todo o pessoal da Pluspoint em relação aos Dados Pessoais do Cliente e responsável por qualquer falha dessa equipe da Pluspoint em cumprir os termos deste DPA;

6.3 A Pluspoint tomou medidas razoáveis para confirmar que todo o pessoal da Pluspoint está protegendo a segurança, privacidade e confidencialidade dos Dados Pessoais do Cliente de acordo com os requisitos deste DPA; e

6.4 A segurança e a confidencialidade dos dados dos usuários são garantidas pelas seguintes medidas:

A. Criptografe dados em trânsito e em repouso.

B. Faça backup de dados automaticamente todos os dias.

C. Garanta a alta disponibilidade com o failover automatizado.

D. Mantenha uma configuração de firewall para proteger os dados.

E. Restrinja o acesso aos dados de acordo com as necessidades comerciais.

F. Atribua uma ID exclusiva a cada pessoa com acesso aos dados.

G. Não use padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança.

H. Apague os dados se eles não forem mais necessários para a finalidade para a qual foram coletados ou processados de outra forma.

7. AUDITORIA

7.1 Se uma Autoridade Supervisora exigir uma auditoria das instalações de processamento de dados a partir das quais a Pluspoint processa os Dados Pessoais do Cliente para verificar ou monitorar a conformidade do Usuário com os Requisitos de Proteção de Dados, a Pluspoint cooperará com essa auditoria. O usuário é responsável por todos os custos e taxas relacionados a tal auditoria, incluindo todos os custos e taxas razoáveis de todo e qualquer tempo que a Pluspoint gasta em tal auditoria, além das taxas dos serviços realizados pela Pluspoint.

8. TRANSFERÊNCIAS DE DADOS

Para transferências de dados pessoais da UE para a Pluspoint para processamento pela Pluspoint em uma jurisdição diferente de uma jurisdição na UE, no EEE ou nos países aprovados pela Comissão Europeia que fornecem proteção de dados “adequada”, a Pluspoint concorda que fornecerá pelo menos o mesmo nível de proteção de privacidade para dados pessoais da UE, conforme exigido pelo Regulamento Geral de Proteção de Dados. As Partes concordaram que a assinatura da UE

As cláusulas contratuais padrão, juntamente com as medidas suplementares necessárias para elevar o nível de proteção dos dados transferidos ao padrão de equivalência essencial da UE, são uma forma consistente de fornecer proteção de dados adequada. A Pluspoint concordou em aderir às Cláusulas Contratuais Padrão, que estão estabelecidas no Anexo B abaixo.

9. DEVOLUÇÃO E EXCLUSÃO DE DADOS

As partes concordam que, no encerramento dos serviços de processamento de dados ou mediante solicitação razoável por escrito do Usuário em: privacy@pluspoint.io, a Pluspoint notificará a solicitação do Usuário a quaisquer Subprocessadores que, à escolha do Usuário, devolvam todos os Dados Pessoais do Cliente e cópias desses dados ao Usuário ou os destruam com segurança e demonstrem, para satisfação do Usuário, que tomou tais medidas, a menos que os Requisitos de Proteção de Dados impeçam a Pluspoint de devolver ou destruir todos ou parte dos Dados Pessoais do Cliente divulgado. Nesse caso, a Pluspoint concorda em preservar a confidencialidade dos Dados Pessoais do Cliente retidos por ela e que só processará ativamente esses Dados Pessoais do Cliente após essa data para cumprir as leis aplicáveis.

10. PROCESSADORES DE DADOS DE TERCEIROS

10.1 O usuário reconhece que, na prestação de alguns serviços, a Pluspoint pode transferir Dados Pessoais do Cliente e interagir com processadores de dados e subprocessadores de terceiros.

10.2 A lista de subprocessadores é fornecida no Anexo A deste DPA.

11. LEI APLICÁVEL, JURISDIÇÃO E FORO

A lei que rege este Contrato de Processamento de Dados será a lei substantiva da Inglaterra. Qualquer disputa decorrente ou relacionada a este Contrato, incluindo qualquer questão sobre sua existência, validade ou rescisão, será encaminhada e finalmente resolvida pelo Tribunal de Arbitragem Internacional de Londres de acordo com as Regras deste Tribunal, cujas Regras são consideradas incorporadas por referência a esta cláusula.

12. TERMO

Este DPA entrará em vigor a partir da Data de Vigência e permanecerá em vigor enquanto o PROCESSADOR retiver quaisquer Dados Pessoais relacionados a este DPA em sua posse ou controle.

EM TESTEMUNHO DO QUE, as partes fizeram com que esse DPA fosse executado por seu representante autorizado:

AGENDE UM

Lista de subprocessadores

A Pluspoint pode contratar os seguintes subprocessadores para realizar as atividades de processamento abaixo:

‍

CRONOGRAMA B

Cláusulas contratuais padrão

Para efeitos do artigo 26, n.o 2, da Diretiva 95/46/CE, relativo à transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados.

O CONTROLADOR, de acordo com o Pluspoint DPA, aceitando essas cláusulas (os “dados”) exportador”) e

O PROCESSADOR, de acordo com o Pluspoint DPA, aceitando essas cláusulas (doravante denominadas “dados”). importador”),

Cada parte é referida separadamente como”Festa”, e conjuntamente como”Festas”,

CONCORDARAM sobre as seguintes cláusulas contratuais (a”Cláusulas”) a fim de introduzir salvaguardas adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para os fins das Cláusulas:

A. 'dados pessoais', 'categorias especiais de dados', 'processo/processamento', 'controlador', 'processador', 'sujeito de dados' e “autoridade supervisora” terá o mesmo significado que na Diretiva 95/46/CE da Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados 1;

B. 'o exportador de dados” significa o controlador que transfere os dados pessoais;

C. 'o importador de dados' significa o processador que concorda em receber do exportador de dados dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das Cláusulas, e que não está sujeito ao sistema de um país terceiro que garanta proteção adequada na aceção do artigo 25 (1) da Diretiva 95/46/CE;

D. 'o subprocessador' significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador do importador dados pessoais destinados exclusivamente às atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito;

E. 'a lei de proteção de dados aplicável' significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, seu direito à privacidade com relação ao processamento de dados pessoais aplicável a um controlador de dados no Estado-Membro em que o exportador de dados está estabelecido;

F. “medidas técnicas e organizacionais de segurança” significa aquelas medidas que visam proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolve a transmissão de dados por uma rede e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1, que faz parte integrante das Cláusulas.

Cláusula 3

Cláusula de beneficiário terceirizado

1. O titular dos dados pode aplicar contra o exportador de dados esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) e (g) a (j), Cláusula 6 (1) e (2), Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 como terceiro beneficiário.

2. O titular dos dados pode aplicar contra o importador de dados esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou tenha deixado de existir na lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, como resultado do qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode aplicá-los contra essa entidade.

3. O titular dos dados pode aplicar contra o subprocessador esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham desaparecido de fato ou tenham deixado de existir legalmente ou se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais de o exportador de dados por contrato ou por força da lei, como resultado do qual assume os direitos e obrigações do exportador de dados; nesse caso, o titular dos dados pode aplicá-los contra essa entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

4. As partes não se opõem a que um titular de dados seja representado por uma associação ou outro órgão se o titular dos dados assim o desejar expressamente e se permitido pela legislação nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

A. que o processamento, incluindo a transferência em si, dos dados pessoais foi e continuará sendo realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;

B. que instruiu e, durante toda a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

C. que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste contrato;

D. que, após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolve a transmissão de dados por uma rede e contra todas as outras formas ilegais de processamento, e que essas medidas garantam um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos tendo em conta o estado de a arte e o custo de sua implementação;

E. que garantirá o cumprimento das medidas de segurança;

F. que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais rápido possível após a transferência de que seus dados poderiam ser transmitidos para um país terceiro que não ofereça proteção adequada na aceção da Diretiva 95/46/CE;

G. encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5 (b) e a Cláusula 8 (3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou suspender a suspensão;

H. disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deva ser feito de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover essas informações comerciais;

I. que, no caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que o importador de dados de acordo com as Cláusulas; e

J. que garantirá a conformidade com a Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do importador de dados |2|

O importador de dados concorda e garante:

A. processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder fornecer tal conformidade por qualquer motivo, concorda em informar imediatamente o exportador de dados sobre sua incapacidade de cumprir; nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

B. que não tem motivos para acreditar que a legislação aplicável a impede de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações fornecidas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento; nesse caso, o exportador de dados tem direito a encerrar a transferência de dados e/ou rescindir o contrato;

C. que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

D. que notificará imediatamente o exportador de dados sobre:

(i) quaisquer solicitações juridicamente vinculativas de divulgação de dados pessoais por uma autoridade policial, a menos que proibida de outra forma, como a proibição da lei criminal de preservar a confidencialidade de uma investigação policial,

(ii) qualquer acesso acidental ou não autorizado, e

(iii) qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizada de outra forma a fazê-lo;

E. lidar rápida e adequadamente com todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e cumprir o conselho da autoridade supervisora com relação ao processamento dos dados transferidos;

F. a pedido do exportador de dados, submeta suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas, que devem ser realizadas pelo exportador de dados ou por um órgão de inspeção composto por membros independentes e de posse das qualificações profissionais exigidas vinculadas por um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;

G. disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas ou de qualquer contrato existente de subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais; nesse caso, poderá remover essas informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia do exportador de dados;

H. que, em caso de subprocessamento, informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

I. que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;

J. enviar imediatamente uma cópia de qualquer contrato de subprocessador concluído de acordo com as Cláusulas ao exportador de dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem direito a receber compensação do exportador de dados pelos danos sofridos.

2. Se um titular de dados não puder apresentar um pedido de compensação de acordo com o parágrafo 1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir na lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados possa emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais dos dados exportador por contrato, por força da lei, caso em que o titular dos dados pode fazer valer seus direitos contra tal entidade.

3. O importador de dados não pode confiar na violação de suas obrigações por um subprocessador para evitar suas próprias responsabilidades.

4. Se um titular de dados não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados referidos nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou na Cláusula 11 porque tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir por lei ou se tornaram insolventes, o subprocessador concorda que o titular dos dados pode emitir uma reclamação contra o subprocessador de dados em relação às suas próprias operações de processamento de acordo com as Cláusulas, como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou importador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

Cláusula 7

Mediação e jurisdição

1. O importador de dados concorda que, se o titular dos dados invocar contra si direitos de beneficiários de terceiros e/ou solicitar compensação por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

(a) submeter a disputa à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;

(b) submeter a disputa aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de supervisão

1. O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisora, se assim o solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria do importador de dados e de qualquer subprocessador, que tenha o mesmo escopo e esteja sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados de acordo com a lei de proteção de dados aplicável.

3. O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei vigente

As Cláusulas serão regidas pelas leis da Inglaterra.

Cláusula 10

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas a negócios quando necessário, desde que não contradigam a Cláusula.

Cláusula 11

Subprocessamento

1. O importador de dados não deve subcontratar nenhuma de suas operações de processamento realizadas em nome do exportador de dados de acordo com as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontrata suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, ele deve fazê-lo somente por meio de um acordo por escrito com o subprocessador que impõe ao subprocessador as mesmas obrigações impostas ao importador de dados de acordo com as Cláusulas |3|. Quando o subprocessador não cumprir suas obrigações de proteção de dados sob tal contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador nos termos desse contrato.

2. O contrato prévio por escrito entre o importador de dados e o subprocessador também deve prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa apresentar um pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes e nenhuma entidade sucessora assumiu a totalidade legal. obrigações do exportador ou importador de dados por contrato ou por força da lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

3. As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pelas leis da Inglaterra.

4. O exportador de dados deve manter uma lista dos contratos de subprocessamento concluídos de acordo com as Cláusulas e notificados pelo importador de dados de acordo com a Cláusula 5 (j), que devem ser atualizados pelo menos uma vez por ano. A lista deve estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o término dos serviços de processamento de dados pessoais

1. As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador devem, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão suas instalações de processamento de dados para uma auditoria das medidas referidas no parágrafo 1.

APÊNDICE 1 ÀS CLÁUSULAS CONTRATUAIS PADRÃO

Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Os Estados-Membros podem preencher ou especificar, de acordo com os seus procedimentos nacionais, todas as informações adicionais necessárias que devem constar do presente apêndice.

Exportador de dados

O exportador de dados é a entidade definida como exportadora de dados acima.

Importador de dados

O exportador de dados é a entidade definida como importadora de dados acima.

Titulares dos dados

Os titulares dos dados, se houver, estão sob o controle do exportador de dados e podem incluir indivíduos sobre os quais os dados são fornecidos ao importador de dados por ou sob a direção do exportador de dados, de acordo com os termos de serviço aplicáveis entre eles.

Categorias de dados

As categorias de dados pessoais, se houver, estão sob o controle do exportador de dados e podem incluir dados relacionados a indivíduos, na medida em que fornecidos ao importador de dados por ou sob orientação do exportador de dados, de acordo com os termos de serviço aplicáveis entre eles, incluindo, mas não se limitando a (i) nomes e números de telefone dos clientes e (ii) perfis públicos e avaliações de sites da Internet, etc., e (iii) nome e endereço de clínicas e/ou indivíduos.

Operações de processamento

As operações de processamento são os Serviços (conforme definido no Contrato de Processamento de Dados entre as partes) que são usados pelo exportador de dados e descritos na respectiva documentação.

APÊNDICE 2 ÀS CLÁUSULAS CONTRATUAIS PADRÃO

Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4 (d) e 5 (c) (ou documento/legislação anexados):

Levando em conta o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas físicas, o Processador de Dados deve implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo, entre outras coisas, conforme apropriado:

● a pseudonimização e criptografia de dados;

● a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento;

● a capacidade de restaurar a disponibilidade e o acesso aos dados em tempo hábil no caso de um incidente físico ou técnico;

● um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.

Não obstante o acima exposto, devem ser tomadas as seguintes medidas específicas:

1. Controle de acesso físico

Medidas para impedir que pessoas não autorizadas tenham acesso a sistemas de processamento de dados para processar ou usar dados:

a) Definição das pessoas às quais é concedido acesso físico;

b) Controle eletrônico de acesso;

c) Emissão de IDs de acesso;

d) Implementação de políticas para indivíduos externos;

e) Dispositivo de alarme ou serviço de segurança fora dos horários de atendimento;

f) Divisão das instalações em diferentes zonas de segurança;

g) Implementação da política de tratamento de chaves (cartões);

h) Portas de segurança (abridor eletrônico, leitor de identidade, CCTV);

i) Implementação de medidas para segurança local (por exemplo, alerta/notificação de intrusos).

2. Controle de acesso lógico

Medidas para evitar que pessoas não autorizadas usem equipamentos e procedimentos de processamento de dados:

a) Definição de pessoas que podem acessar equipamentos de processamento de dados;

b) Implementação de políticas para indivíduos externos;

c) Proteção por senha de computadores pessoais.

3. Controle de acesso a dados

Medidas que garantem que as pessoas autorizadas a usar um sistema de processamento de dados tenham acesso somente aos dados que têm direito a acessar de acordo com seus direitos de acesso:

a) Alocação de terminais/estações de trabalho separados e exclusivamente de parâmetros de identificação

para funções específicas;

b) Implementação de direitos de acesso parcial aos respectivos Dados e funções;

c) Requisito de identificação em relação ao sistema de processamento de dados (por exemplo, via ID e autenticação);

d) Implementação da política de acesso e funções do usuário;

e) Avaliação de protocolos em caso de incidentes prejudiciais.

4. Controle de transferência de dados

Medidas para garantir que os dados não possam ser lidos, copiados, modificados ou excluídos sem autorização durante a transmissão eletrônica, transporte ou armazenamento em mídia de armazenamento, e que as entidades alvo de qualquer transferência de dados por meio de instalações de transmissão de dados possam ser estabelecidas e verificadas.

Criptografia.

5. Controle de entrada

Medidas para garantir que seja possível verificar e verificar se os dados foram inseridos, alterados ou removidos dos sistemas de processamento de dados e, em caso afirmativo, por quem:

Registro da entrada de dados.

6. Controle de instruções

Medidas para garantir que os dados processados em nome de terceiros sejam processados estritamente em conformidade com as instruções do controlador de dados:

a) Documentação da distinção de competências e obrigações entre os Dados

Controlador e processador de dados;

b) Processo de atribuição formal;

c) Controle dos resultados do trabalho.

7. Controle de disponibilidade

Medidas para garantir que os dados sejam protegidos contra destruição ou perda acidental:

a) Realização de um cronograma regular de backup;

b) Controle da condição e respectiva rotulagem dos suportes de dados para fins de backup de dados.

8. Controle da separação de dados

Medidas para garantir que os dados coletados para finalidades diferentes possam ser processados separadamente.

Separação lógica dos dados de cada um dos clientes do Processador de Dados.

CLÁUSULA ILUSTRATIVA DE INDENIZAÇÃO

Responsabilidade

As partes concordam que, se uma parte for responsabilizada por uma violação das cláusulas cometidas pela outra parte, esta última, na medida em que for responsável, indenizará a primeira parte por qualquer custo, cobrança, dano, despesa ou perda incorrida.

A indenização depende de:

(a) o exportador de dados notificando imediatamente o importador de dados sobre uma reclamação; e

(b) o importador de dados ter a possibilidade de cooperar com o exportador de dados na defesa e resolução da reclamação.

|1| As partes podem reproduzir as definições e significados contidos na Diretiva 95/46/CE nesta cláusula se considerarem melhor que o contrato seja independente.

|2| Requisitos obrigatórios da legislação nacional aplicável ao importador de dados que não vão além do necessário em uma sociedade democrática com base em um dos interesses enumerados no artigo 13 (1) da Diretiva 95/46/CE, ou seja, se constituírem uma medida necessária para salvaguardar a segurança nacional, a defesa, a segurança pública, a prevenção, investigação, detecção e repressão de infrações penais ou de violações da ética para profissões regulamentadas, um importante interesse econômico ou financeiro do Estado ou a proteção do titular dos dados ou os direitos e liberdades de terceiros não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos desses requisitos obrigatórios que não vão além do que é necessário em uma sociedade democrática são, entre outras coisas, sanções reconhecidas internacionalmente, requisitos de declaração de impostos ou requisitos de notificação de combate à lavagem de dinheiro.

|3| Este requisito pode ser satisfeito pelo subprocessador que co-assina o contrato celebrado entre o exportador de dados e o importador de dados nos termos da presente decisão.