Política de privacidade

Contrato de Processamento de Dados Este Contrato de Processamento de Dados (“Contrato “) faz parte do Contrato de Serviços (“Contrato Principal “) entre

(a “Empresa”) e

(o “Processador de dados”)

(juntos como as “Partes”)

AO PASSO QUE

(A) A Empresa atua como Controladora de Dados.

(B) A Empresa deseja subcontratar determinados Serviços, que implicam o processamento de dados pessoais, ao Processador de Dados.

(C) As Partes buscam implementar um acordo de processamento de dados que cumpra os requisitos do atual quadro jurídico em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

(D) As Partes desejam estabelecer seus direitos e obrigações.

É ACORDADO DA SEGUINTE FORMA:

1. Definições e interpretação

1.1 A menos que definido de outra forma neste documento, os termos e expressões em maiúsculas usados neste Contrato terão o seguinte significado:

1.1.1 “Contrato” significa este Contrato de Processamento de Dados e todos os Cronogramas;

1.1.2 “Dados Pessoais da Empresa” significa quaisquer Dados Pessoais Processados por um Processador Contratado em nome da Empresa, de acordo com ou em conexão com o Contrato Principal;

1.1.3 “Processador contratado” significa um subprocessador

; 1.1.4 “Leis de Proteção de Dados” significa as Leis de Proteção de Dados da UE e, na medida do aplicável, as leis de proteção de dados ou privacidade de qualquer outro país;

1.1.5 “EEE” significa o Espaço Econômico Europeu;

1.1.6 “Leis de Proteção de Dados da UE” significa a Diretiva 95/46/EC da UE, conforme transposta para a legislação nacional de cada Estado-Membro e alterada, substituída ou substituída de tempos em tempos, inclusive pelo GDPR e pelas leis que implementam ou complementam o GDPR;

1.1.7 “GDPR” significa o Regulamento Geral de Proteção de Dados da UE 2016/679; 1.1.8 “Transferência de dados” significa:

1.1.8.1 uma transferência de dados pessoais da empresa para um processador contratado; ou

1.1.8.2 uma transferência posterior de Dados Pessoais da Empresa de um Processador Contratado para um Processador Subcontratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis de Proteção de Dados (ou pelos termos dos acordos de transferência de dados estabelecidos para tratar das restrições de transferência de dados das Leis de Proteção de Dados);

1.1.9 “Serviços” significa os serviços que a Empresa fornece.

1.1.10 “Subprocessador” significa qualquer pessoa indicada por ou em nome do Processador para processar Dados Pessoais em nome da Empresa em conexão com o Contrato.

1.2 Os termos “Comissão”, “Controlador”, “Titular dos Dados”, “Estado Membro”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Processamento” e “Autoridade Supervisora” terão o mesmo significado que no GDPR, e seus termos cognatos devem ser interpretados de acordo.

2. Processamento de dados pessoais da empresa2.1 O processador deve:

2.1.1 cumprir todas as leis de proteção de dados aplicáveis no processamento de dados pessoais da empresa; e

2.1.2 não processar dados pessoais da empresa, exceto nas instruções documentadas relevantes da empresa

.2.2 A Empresa instrui o Processador a processar os Dados Pessoais da Empresa.3. Pessoal do Processador O Processador tomará medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, garantindo, em cada caso, que o acesso seja estritamente limitado às pessoas que precisam conhecer/acessar os Dados Pessoais da Empresa relevantes, conforme estritamente necessário para os fins do Contrato Principal, e para cumprir as leis aplicáveis no contexto das obrigações desse indivíduo para com o Processador Contratado, garantindo que todos esses indivíduos estão sujeitos a compromissos de confidencialidade ou obrigações profissionais ou legais de confidencialidade.

4. Segurança

4.1 Considerando o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do Processamento, bem como o risco de variação da probabilidade e gravidade dos direitos e liberdades das pessoas físicas, o Processador deve, em relação aos Dados Pessoais da Empresa, implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas referidas no Artigo 32 (1) do GDPR.

4.2 Ao avaliar o nível apropriado de segurança, o Processador deve levar em conta, em particular, os riscos apresentados pelo Processamento, em particular a partir de uma Violação de Dados Pessoais.

5. Subprocessamento

5.1 O Processador não deve nomear (ou divulgar quaisquer Dados Pessoais da Empresa a) nenhum Subprocessador, a menos que seja exigido ou autorizado pela Empresa.

6. Direitos do titular dos dados

6.1 Levando em consideração a natureza do Processamento, o Processador ajudará a Empresa implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações da Empresa, conforme razoavelmente entendido pela Empresa, de responder às solicitações de exercício dos direitos do Titular dos Dados de acordo com as Leis de Proteção de Dados.

6.2 O processador deve:

6.2.1 notificar imediatamente a Empresa se ela receber uma solicitação de um Titular de Dados de acordo com qualquer Lei de Proteção de Dados em relação aos Dados Pessoais da Empresa; e

6.2.2 garanta que não responda a essa solicitação, exceto de acordo com as instruções documentadas da Empresa ou conforme exigido pelas Leis Aplicáveis às quais o Processador está sujeito. Nesse caso, o Processador deverá, na medida permitida pelas Leis Aplicáveis, informar a Empresa sobre essa exigência legal antes que o Processador Contratado responda à solicitação.

7. Violação de dados pessoais

7.1 O Processador notificará a Empresa sem demora injustificada após o Processador tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais da Empresa, fornecendo à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de denunciar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais de acordo com as Leis de Proteção de Dados.

7.2 O Processador deve cooperar com a Empresa e tomar as medidas comerciais razoáveis, conforme indicado pela Empresa, para auxiliar na investigação, mitigação e remediação de cada violação de dados pessoais.

8. O Processador de Avaliação de Impacto e Consulta Prévia da Proteção de Dados fornecerá assistência razoável à Empresa com quaisquer avaliações de impacto na proteção de dados e consultas prévias com Autoridades Supervisoras ou outras autoridades competentes de privacidade de dados, que a Empresa considere razoavelmente exigidas pelo artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso, apenas em relação ao processamento de dados pessoais da empresa e levando em consideração a natureza do processamento e das informações disponíveis para, Os processadores contratados.

9. Exclusão ou devolução de dados pessoais da empresa

9.1 Sujeito a esta seção 9, o Processador deverá, imediatamente e em qualquer caso, dentro de 10 dias úteis a partir da data de cessação de quaisquer Serviços que envolvam o Processamento de Dados Pessoais da Empresa (a “Data de Cessação”), excluir e obter a exclusão de todas as cópias desses Dados Pessoais da Empresa.

10. Direitos de auditoria

10.1 Sujeito a esta seção 10, o Processador disponibilizará à Empresa, mediante solicitação, todas as informações necessárias para demonstrar a conformidade com este Contrato e deverá permitir e contribuir para auditorias, incluindo inspeções, pela Empresa ou por um auditor mandatado pela Empresa em relação ao Processamento dos Dados Pessoais da Empresa pelos Processadores Contratados.

10.2 Os direitos de informação e auditoria da Empresa só surgem de acordo com a seção 10.1 na medida em que o Contrato não lhes dê informações e direitos de auditoria que atendam aos requisitos relevantes da Lei de Proteção de Dados.

11. Transferência de dados

11.1 O Processador não pode transferir ou autorizar a transferência de Dados para países fora da UE e/ou do Espaço Econômico Europeu (EEA) sem o consentimento prévio por escrito da Empresa. Se os dados pessoais processados sob este Contrato forem transferidos de um país dentro do Espaço Econômico Europeu para um país fora do Espaço Econômico Europeu, as Partes garantirão que os dados pessoais sejam protegidos adequadamente. Para conseguir isso, as Partes devem, salvo acordo em contrário, confiar nas cláusulas contratuais padrão aprovadas pela UE para a transferência de dados pessoais.

12. Termos gerais

12.1 Confidencialidade. Cada Parte deve manter este Contrato e as informações que recebe sobre a outra Parte e seus negócios em conexão com este Contrato (“Informações Confidenciais”) confidenciais e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que: (a) a divulgação seja exigida por lei; (b) as informações relevantes já estejam no domínio público.

12.2 Avisos. Todos os avisos e comunicações fornecidos sob este Contrato devem ser feitos por escrito e serão entregues pessoalmente, enviados por correio ou enviados por e-mail para o endereço ou endereço de e-mail estabelecido no título deste Contrato em outro endereço, conforme notificado periodicamente pelas Partes que alteram o endereço.

13. Lei aplicável e jurisdição

13.1 Este Contrato é regido pelas leis do Reino Unido.

13.2 Qualquer disputa decorrente deste Contrato, que as Partes não poderão resolver amigavelmente, será submetida à jurisdição exclusiva dos tribunais do Reino Unido