Termos e Condições da Ordem de Compra da Microsoft (“Termos da OC”)

Termos e Condições da Ordem de Compra da Microsoft (“Termos da OC”)

1. Aceitação e Efeito. Estes Termos da OC são celebrados entre a entidade da Microsoft (“Microsoft”) e o fornecedor identificado na declaração de trabalho (Statement of Work, “SOW”) aplicável (“Fornecedor”) e abrangem:

a. “Serviços de Nuvem”: os serviços, sites (inclusive hospedagem), soluções, plataformas, e produtos que o Fornecedor disponibiliza de acordo ou em relação a estes Termos da OC, inclusive software, aplicativos móveis, equipamentos, tecnologia e serviços necessários para que o Fornecedor possa fornecer o precedente.

b. “Entregas”: todo produto de trabalho desenvolvido pelo Fornecedor (ou por subcontratado aprovado

pelo Fornecedor) para a Microsoft, como parte da entrega de Mercadorias, Serviços ou Serviços de Nuvem,

inclusive propriedade intelectual (“PI”) em conexão com estes Termos da OC. Todas as Entregas são “trabalho feito sob encomenda” para a Microsoft, conforme esse termo possa ser definido pelas leis de direitos autorais aplicáveis.

c. “Mercadorias”: software e/ou bens tangíveis licenciados ou comprados pela Microsoft de acordo com estes

Termos da OC.

d. “Serviços”: serviços profissionais, de publicidade, consultoria e de suporte e manutenção comprados

pela Microsoft de acordo com estes Termos da OC.

e. “(SOW)” refere-se a qualquer um dos seguintes: (1) ordens de compra da Microsoft; (2) declarações de trabalho ou outros formulários de pedido assinados por representantes autorizados de ambas as partes; ou (3) contratos por escrito assinados por representantes autorizados de ambas as partes referenciando e sujeitos a estes Termos da OC.

Estes Termos da OC entram em vigor no data de início do desempenho do Fornecedor ou na data da assinatura do Fornecedor na SOW aplicável, o que ocorrer antes. Salvo conforme estabelecido na Seção 2, abaixo, a aceitação destes Termos da OC por parte do Fornecedor é expressamente limitada a estes termos e condições, sem contraproposta.

2. Relação com Outros Contratos. Os termos e condições destes Termos da OC constituem o acordo completo e vinculativo entre a Microsoft e o Fornecedor, salvo:

a. Se as partes assinarem mutuamente um contrato, como um Contrato de Serviço do Fornecedor da Microsoft, vigente na data destes Termos da OC e aplicável às Mercadorias, Serviços ou Serviços de Nuvem pedidos por meio destes Termos da OC, e caso este contrato se aplique ao relacionamento das partes regido por estes Termos da OC, as cláusulas do referido contrato serão, então, incorporadas. Diante de um conflito entre estes Termos da OC e o referido contrato, na extensão desse conflito, os termos do referido contrato prevalecerão. Para os fins destes Termos da OC, termos ou contratos online que a Microsoft aceitar para efetuar logon ou acessar Mercadorias, Serviços ou Serviços de Nuvem, como, por exemplo, aplicativos instalados, software incorporado, software como serviço ou uma plataforma, não constituem um contrato “mutuamente celebrado” e não substituirão, suplementarão ou emendarão os termos destes Termos da OC de qualquer maneira.

b. Se vários contratos com disposições semelhantes ou contraditórias aplicarem-se a estes Termos da OC, as partes concordam com a prevalência dos termos mais favoráveis à Microsoft, salvo se o resultado for claramente injustificado, inconcebível ou proibido por lei.

c. Salvo o disposto anteriormente nesta Seção 2 e outras disposições que não sejam sobre as alterações descritas na Seção 9, bem como as disposições sobre Rescisão da Seção 14, termos adicionais ou outros termos (por exemplo, termos ou contratos online) não substituirão estes Termos da OC, salvo se as partes assinarem mutuamente um documento por escrito.

3. Embalagem, Remessa e Devolução de Mercadorias ou Entregas. Salvo se especificamente disposto nestes Termos da OC:

a. Embalagem.

(1) O preço com base no peso incluirá somente o peso líquido.

(2) O Fornecedor não cobrará a Microsoft pelo empacotamento nem pelos custos anteriores ao envio, como encaixotamento, danos de manuseio, frete ou armazenamento.

b. Envio.

(1) O Fornecedor marcará todos os contêineres com as informações de manuseio e envio necessárias, números das OCs, data da remessa e os nomes do destinatário e do expedidor.

(2) Uma fatura detalhada e uma lista das mercadorias e outra documentação necessária ao trânsito doméstico ou internacional, à aprovação pelas autoridades reguladoras ou à identificação das Mercadorias ou Entregas acompanharão cada remessa.

(3) A Microsoft pagará somente pela quantidade recebida, que não deverá exceder a quantidade máxima pedida.

(4) A Microsoft ou seu representante reterão as remessas em excesso por um período razoável, por conta e risco do Fornecedor,

à espera das instruções de envio do Fornecedor.

(5) A Microsoft não será cobrada por custos de envio ou entrega.

(6) Salvo se acordado de outra forma, as Mercadorias e Entregas serão entregues no 10.º dia após a data da Ordem de Compra:

(1) FOB até o local de entrega designado pela Microsoft, se as Mercadorias e Entregas ser originarem da mesma jurisdição que o local de entrega designado pela Microsoft; ou

(2) DDP (Incoterms 2010) até o local de entrega designado pela Microsoft, para envios internacionais de Mercadorias e Entregas para o local designado pela Microsoft.

(7) O Fornecedor assumirá todos os riscos de perda, danos ou destruição das Mercadorias ou Entregas, no todo ou em parte, que ocorrerem antes da aceitação final pela Microsoft no local de entrega designado. A Microsoft é responsável por qualquer perda ocasionada por negligência grave dos seus respectivos funcionários antes da aceitação.

c. Devolução. O Fornecedor assumirá as despesas incorridas na devolução de quantidades enviadas em excesso ou itens recusados.

4. Faturas.

a. Salvo acordo em contrário, o Fornecedor faturará a Microsoft em atraso mensalmente e somente por Mercadorias, Serviços e Entregas aceitos.

b. O Fornecedor faturará a Microsoft usando o MS Invoice, de acordo com a  SupplierWeb (xxxxxxxxx.xxx). O processo de faturamento da Microsoft é realizado por envio de fatura eletrônica. O MS Invoice (xxxxx://xxxxxxxx.xxxxxxxxx.xxx) é um aplicativo baseado na Web, fornecido pela Microsoft a seus recebedores, que permite que os recebedores enviem faturas eletrônicas diretamente para a Microsoft. A ferramenta MS Xxxxxxx é compatível com envios de fatura eletrônica individualmente ou por meio do upload em massa, em caso de várias faturas. O recebedor deve entrar em contato com o suporte técnico de Contas a Pagar da Microsoft, xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxx/xxxxxxxxxxx-xxxxxxxxx.xxxx e fornecer uma justificação válida se não puder enviar faturas por meio deste processo. A Microsoft, excepcionalmente, disponibilizará um processo alternativo de envio de faturas. As Faturas precisam conter as seguintes informações: número da OC, número de item, descrição do item, as quantidades, preços unitários, valores totais estendidos, o número da guia de remessa, a cidade e o estado de envio e para entrega, tributos e todas as outras informações sensatamente exigidas pela Microsoft. O Fornecedor não cobrará a Microsoft pela análise, comunicação ou correção de erros relacionados às faturas do Fornecedor.

c. A Microsoft poderá contestar qualquer fatura fornecendo uma notificação por escrito ou fazendo um pagamento parcial. A Microsoft fará o comercialmente possível para notificar o Fornecedor, por escrito, sobre qualquer valor contestado, em até 60 dias a partir do recebimento da fatura aplicável. O não fornecimento da notificação nem o pagamento da fatura constitui renúncia a qualquer reivindicação ou direito.

5. Termos de Pagamento/Descontos à Vista/Compensação/Despesas.

a. Depois que a Microsoft aceitar as Mercadorias, os Serviços ou Serviços de Nuvem, e receber uma fatura correta e não contestada. (a “Data de Criação”), a Microsoft liberará o pagamento líquido em 10 dias, com desconto de 2% sobre o valor faturado, ou em 60 dias, sem desconto após a Data de Criação

b. A Microsoft não será obrigada a pagar faturas recebidas do Fornecedor enviadas com mais de 120 dias após a aceitação das Mercadorias, Serviços ou Serviços de Nuvem por parte da Microsoft.

c. O pagamento de uma fatura não constituirá aceitação, de acordo com estes Termos da OC, e estará sujeito a ajustes relacionados a erros, reduções, defeitos ou outra falha do Fornecedor em atender aos requisitos destes Termos da OC.

d. A Microsoft poderá compensar os valores devidos à Microsoft com um valor que a Microsoft deve ao Fornecedor ou às suas respectivas empresas afiliadas. A Microsoft notificará o Fornecedor em um período razoável após a compensação.

e. Salvo se acordado de outra forma, o Fornecedor será o responsável por todas as despesas incorridas no fornecimento das Mercadorias, Serviços ou Serviços de Nuvem e pelo desempenho de acordo com estes Termos da OC.

6. Tributos.

a. Salvo disposição em contrário abaixo, os valores a serem pagos pela Microsoft ao Fornecedor não incluem impostos. A Microsoft não é responsável por impostos que o Fornecedor seja legalmente obrigado a pagar, inclusive impostos sobre receita líquida ou bruta, impostos de franquia e de propriedade. A Microsoft pagará ao Fornecedor todos os impostos sobre valor agregado, vendas ou uso devidos de acordo com estes Termos da OC e que a lei exija que o Fornecedor recolha da Microsoft.

b. A Microsoft não se envolverá na importação das Mercadorias, Serviços ou Serviços de Nuvem; ademais, a tributação sobre a importação será de responsabilidade do Fornecedor, salvo disposição em contrário em uma declaração de trabalho.

c. Se a Microsoft enviar ao Fornecedor um certificado de isenção fiscal válido, o Fornecedor não recolherá os impostos cobertos por esse certificado.

d. Se a lei exigir que a Microsoft retenha na fonte impostos sobre os pagamentos feitos ao Fornecedor, a Microsoft poderá reter na fonte esses impostos e pagá-los à devida autoridade tributária. A Microsoft entregará ao Fornecedor um recibo oficial desses impostos. A Microsoft fará o possível para minimizar todos os impostos retidos na fonte na extensão permitida por lei.

7. Inspeção e aceitação.

a. A Microsoft poderá cancelar estes Termos da OC ou a SOW aplicável se o Fornecedor não cumprir os padrões e as especificações destes Termos da OC.

b. Todas as Mercadorias e Serviços estarão sujeitos a inspeção e testes da Microsoft, a qualquer momento e local, inclusive no período de fabricação e antes da aceitação final. Se a inspeção ou os testes forem realizados pela Microsoft nas instalações do Fornecedor, este providenciará todos os recursos e assistência sensatos, sem custo adicional, para a segurança e conveniência dos inspetores da Microsoft. Nenhuma inspeção ou teste realizado, ou não, antes da inspeção e aceitação final liberará o Fornecedor da responsabilidade por defeitos ou outra falha em atender aos requisitos destes Termos da OC.

c. Se qualquer item fornecido de acordo com estes Termos da OC apresentar defeitos de material ou mão de obra ou se não estiver em conformidade com os requisitos, a Microsoft poderá rejeitá-lo sem correção, exigir a correção em um determinado período, aceitá-lo com um ajuste no preço ou devolvê-lo ao Fornecedor em troca do crédito total. Quando a Microsoft enviar uma notificação ao Fornecedor, o Fornecedor substituirá ou corrigirá imediatamente, às suas próprias custas, qualquer item rejeitado ou que exija correção. Se, após a solicitação da Microsoft, o Fornecedor não substituir ou corrigir imediatamente um item com defeito na agenda de entrega, a Microsoft poderá, a seu exclusivo critério: (1) substituir ou corrigir esse item e cobrar do Fornecedor o custo;

(2) sem notificação adicional, rescindir estes Termos da OC ou SOW aplicável por inadimplemento, devolver ao Fornecedor o item recusado, às custas do Fornecedor, sendo que, neste caso, o Fornecedor reembolsará imediatamente os valores pagos pela Microsoft pelo item devolvido; ou (3) exigir a devida redução do preço.

d. Não obstante qualquer inspeção anterior ou pagamentos feitos, todas as Mercadorias e Serviços estarão sujeitos à inspeção e à aceitação finais no local designado pela Microsoft em um período razoável após a entrega ou o desempenho. Os registros de todo o trabalho de inspeção serão concluídos e disponibilizados para a Microsoft durante o desempenho destes Termos da OC e pelo período adicional determinado pela Microsoft.

8. Requisitos adicionais dos Serviços de Nuvem.

a. Níveis de Serviço. O Fornecedor agendará qualquer upgrade ou manutenção dos Serviços de Nuvem durante a Janela de Manutenção definida na SOW aplicável. O Fornecedor disponibilizará os Serviços de Nuvem de acordo com os níveis de serviço e os termos especificados em xxxxx://xxx.xx/XX_XXX (ou qualquer link sucessor), considerados parte da documentação (p .ex., especificações) e incorporados e feitos parte integrante destes Termos da OC.

b. Continuidade dos negócios. O Fornecedor será responsável por estabelecer, implementar, testar e manter um programa de continuidade dos negócios eficaz em toda a empresa (inclusive procedimentos de recuperação de desastre e gestão de crises) para fornecer acesso contínuo e suporte aos Serviços de Nuvem para a Microsoft. No mínimo, o Fornecedor precisa, sempre: (1) fazer backup, arquivar e manter sistemas duplicados ou redundantes que: (i) estejam localizados em um local físico seguro (além da localização dos sistemas primários usados para fornecer os Serviços de Nuvem); (ii) sejam atualizados e testados, no mínimo, anualmente; e (iii) possam recuperar totalmente os Serviços de Nuvem e todos os Materiais da Microsoft diariamente; e (2) estabelecer e seguir procedimentos e intervalos de frequência para transmitir os sistemas e dados de backup para a localização de backup do Fornecedor. Mediante solicitação, o Fornecedor proporcionará à Microsoft uma visão geral do programa corporativo de continuidade dos negócios do Fornecedor e, imediatamente e de boa-fé, fornecerá respostas por escrito a consultas da Microsoft relacionadas ao referido programa para permitir que a Microsoft revise a adequação do programa.

c. Transição. Se a SOW aplicável for rescindida ou expirar, ou se a Microsoft solicitar, por escrito, o Fornecedor providenciará: (1) a mídia de backup à Microsoft (como sensatamente solicitado pela Microsoft), contendo todos os Materiais da Microsoft (salvo se os Serviços de Nuvem fornecerem isso como uma função de auto- atendimento à Microsoft); e (2) toda a assistência que a Microsoft sensatamente requerer (às custas da Microsoft) para fazer a transição dos Serviços de Nuvem de maneira oportuna e tranquila.

9. Alterações. A Microsoft, por notificação por escrito ao Fornecedor, inclusive email, e sem notificação aos fiadores, subcontratados ou cessionários do Fornecedor, poderá suspender o desempenho do Fornecedor, aumentar ou diminuir as quantidades pedidas ou fazer alterações de acordo com as necessidades sensatas da Microsoft (individualmente, “Ordem de Alteração”). Salvo acordo em contrário entre as partes, uma Ordem de Alteração não se aplica às Mercadorias e aos Serviços entregues integralmente e em tempo hábil antes da data da Ordem de Alteração. Se qualquer alteração causar aumento ou diminuição no custo ou no tempo necessário ao desempenho do Fornecedor, poderá ser feito um ajuste equitativo no preço ou na agenda de entrega ou em ambos, se a Microsoft concordar por escrito com esse ajuste.

10. Ferramentas e equipamento. Todas as ferramentas, equipamentos ou materiais adquiridos pelo Fornecedor para uso no fornecimento das Mercadorias e dos Serviços, inclusive especificações, desenhos, ferramentas, matrizes, moldes, acessórios, padrões, placas, eletrodos, perfuradores, imagens, telas, fitas, modelos, equipamentos de teste especiais, medidores, conteúdo, dados e software, fornecidos, pagos ou cobrados da Microsoft, serão considerados propriedade da Microsoft, tratados como Informações Confidenciais da Microsoft e entregues em boas condições, com o desgaste normal e esperado, pelo Fornecedor, no local de entrega designado pela Microsoft de acordo com a Seção 3, imediatamente mediante sob demanda e sem custo para Microsoft. O Fornecedor garante que os itens e as informações não serão usados para nenhum trabalho ou produção de nenhum material ou peça que não seja para a Microsoft sem a prévia autorização, por escrito, da Microsoft. O Fornecedor informará à Microsoft todos os softwares ou PI de terceiros usados nos Serviços.

11. Relatórios. Mediante solicitação da Microsoft, o Fornecedor fornecerá imediatamente à Microsoft uma Lista de Materiais de Software (“SBOM”) para todos os softwares fornecidos nos Termos desta OC. Cada SBOM atenderá aos requisitos mínimos estabelecidos pelo Departamento de Comércio dos EUA ou, de outra forma, estabelecidos por lei.

12. Propriedade e Uso da Respectiva PI das Partes.

a. Cada parte adquirirá e reterá todos os direitos pertinentes a sua respectiva PI (propriedade intelectual) preexistente e a qualquer PI desenvolvida de forma independente sob as Mercadorias, Serviços e Serviços de Nuvem, de acordo com os Termos desta OC, inclusive quaisquer direitos de PI relacionados pertencentes à parte.

b. A Microsoft será a proprietária de todas as Entregas, inclusive todos os direitos de PI, em todas as mídias e em qualquer formato, hardware e outros materiais tangíveis criados pelo Fornecedor durante a entrega dos Serviços. Qualquer trabalho do Fornecedor que seja um relatório ou produto por escrito ou personalizado referente ou a ser usado em uma Entrega é considerado PI.

c. Se a Entrega não se qualificar como trabalho feito sob encomenda, o Fornecedor cederá todos os direitos, titularidade e interesses das Entregas à Microsoft, inclusive todos os direitos de PI. O Fornecedor renuncia a todos os direitos morais sobre as Entregas.

d. Se o Fornecedor usar qualquer PI do Fornecedor ou de terceiros em alguma Mercadoria ou Serviço, o Fornecedor continuará sendo o proprietário dos direitos de PI do Fornecedor. O Fornecedor concederá à Microsoft uma licença e o direito válidos no mundo todo, não exclusivos, perpétuos, irrevogáveis, isentos de royalties e totalmente pagos, no que diz respeito a todo direito de PI atual e futuro, para usar a PI do Fornecedor e a PI de terceiros, em conformidade com os interesses de propriedade da Microsoft nos termos desta Seção 12.

e. O Fornecedor concede à Microsoft e suas respectivas empresas afiliadas (inclusive seus respectivos funcionários, prestadores de serviços, consultores, trabalhadores terceirizados e estagiários contratados pela Microsoft ou qualquer uma das suas respectivas empresas afiliadas para prestar serviços) uma licença universal, irrevogável, não-exclusiva, perpétua, paga e isenta de royalties para qualquer Mercadoria que inclua software ou outra PI não sujeita a uma licença separada mutuamente celebrada (inclusive aplicativos instalados). A licença permite que a Microsoft use o referido software e PI com relação às Mercadorias. A Microsoft poderá transferir esta licença para uma empresa afiliada Microsoft ou para um proprietário sucessor por venda ou arrendamento.

f. O Fornecedor concede à Microsoft e suas respectivas empresas afiliadas (inclusive seus respectivos funcionários, prestadores de serviço, consultores, trabalhadores terceirizados e estagiários contratados pela Microsoft ou qualquer uma das suas respectivas empresas afiliadas para prestar serviços) e seus respectivos usuários finais (se houver), na extensão limitada necessária para o desempenho dos Serviços de Nuvem, o direito universal, não exclusivo, ilimitado, pago e isento de royalties para acessar e usar, durante a vigência, os Serviços de Nuvem, em cada caso para os fins comerciais da Microsoft. O acesso aos Serviços de Nuvem é ilimitado, salvo disposição em contrário em uma SOW.

g. Indenizações e garantias de transferência. O Fornecedor cede e transmite à Microsoft todas as indenizações e garantias concedidas por licenciantes e fabricantes terceiros relacionadas às Mercadorias.

h. A titularidade em relação às Mercadorias (que não seja o software licenciado) passará do Fornecedor para a Microsoft na aceitação final.

i. PI da Microsoft.

(1) O Fornecedor poderá usar os “Materiais da Microsoft”, os quais referem-se a qualquer material tangível ou intangível fornecido ao Fornecedor por ou em nome da Microsoft, qualquer uma das empresas afiliadas Microsoft ou seus respectivos usuários finais para prestar os Serviços ou Serviços de Nuvem, ou obtidos ou coletados pelo Fornecedor em conexão com as Mercadorias, os Serviços ou Serviços de Nuvem (p .ex., dados de uso) (inclusive hardware, software, código-fonte, documentação, metodologias, know how, processos, técnicas, ideias, conceitos, tecnologias, relatórios e dados). Os Materiais da Microsoft incluem modificações ou trabalhos derivados de materiais anteriores: (i) Dados Pessoais, (ii) marcas comerciais, (iii) informações, avisos e resultados gerados por um Modelo de IA (conforme definido abaixo) e qualquer dado inserido em qualquer banco de dados do Fornecedor como parte dos Serviços ou Serviços de Nuvem. Os Materiais da Microsoft não incluem os produtos da Microsoft obtidos pelo Fornecedor fora destes Termos da OC e sem relação com estes Termos da OC.

(2) A Microsoft concede ao Fornecedor uma licença não exclusiva, não sublicenciável (salvo para subcontratados aprovados pela Microsoft de acordo com estes Termos da OC) e revogável (i) nos termos dos direitos de PI da Microsoft sob os Materiais da Microsoft, para copiar, usar e distribuir os Materiais da Microsoft fornecidos ao Fornecedor, conforme necessário, para prestar os Serviços de acordo com estes Termos da OC, e (ii) para usar os Materiais da Microsoft, conforme necessário, para prestar os Serviços de Nuvem de acordo com estes Termos da OC. O Fornecedor não venderá, compartilhará, licenciará nem, de outra forma, comercializará os Materiais da Microsoft.

(3) A Microsoft retém todo o interesse nos Materiais da Microsoft e nos direitos de PI relacionados. O Fornecedor não tem nenhum direito de sublicenciar os Materiais da Microsoft, salvo para subcontratados aprovados e conforme necessário para realizar a entrega das Mercadorias, Serviços e Serviços de Nuvem. Se os Materiais da Microsoft vierem com uma licença separada, aplicam-se, então, os termos dessa licença específica e esses respectivos termos prevalecerão em caso de conflito com estes Termos da OC.

(4) O Fornecedor garantirá e tomará as devidas precauções para proteger e assegurar os Materiais da Microsoft contra perdas, danos, roubo ou desaparecimento.

(5) A Microsoft poderá revogar a licença aos Materiais da Microsoft a qualquer momento por qualquer motivo comercialmente sensato. A licença expirará automaticamente no término ou rescisão destes Termos da OC ou da SOW aplicável, o que ocorrer primeiro. O Fornecedor devolverá imediatamente qualquer Material da Microsoft mediante solicitação ou na rescisão da licença do Fornecedor.

(6) Quanto ao uso dos Materiais da Microsoft por parte do Fornecedor:

(i) o Fornecedor não modificará, fará engenharia reversa, descompilará ou desmontará os Materiais da Microsoft, salvo conforme permitido pela Microsoft;

(ii) o Fornecedor não deslocará, alterará nem obscurecerá as notificações de propriedade exclusiva e as licenças contidas nos Materiais da Microsoft;

(iii) a Microsoft não é obrigada a fornecer suporte técnico, manutenção nem atualizações referentes aos Materiais da Microsoft;

(iv) todos os Materiais da Microsoft são fornecidos “no estado em que se encontram”, sem

nenhuma garantia; e

(v) O Fornecedor assume o risco de perda, dano, acesso ou uso não autorizado, roubo ou desaparecimento dos Materiais da Microsoft aos cuidados, sob custódia ou sob controle do Fornecedor (ou de subcontratados).

(7) nenhum Material da Microsoft, IP ou Informação Confidencial da Microsoft poderá ser usado pelo Fornecedor ou por um Modelo de IA para personalizar, treinar ou melhorar, direta ou indiretamente, qualquer modelo ou produto de inteligência artificial (inclusive o próprio Modelo de IA) sem o consentimento prévio expresso por escrito da Microsoft. Qualquer falha em obter esse consentimento implica violação material, e a limitação de responsabilidade do Fornecedor na Seção 19 não se aplicará a reivindicações com base em uma violação desta seção. Se a Microsoft fornecer este consentimento, as partes primeiro celebrarão um contrato por escrito em separado que aborde os termos segundo os quais a personalização, treinamento ou outras melhorias ocorrerão, designando os direitos das partes e as responsabilidades decorrentes. “Modelo de IA”

significa qualquer modelo de inteligência artificial (incluindo um modelo de deep learning ou machine learning) usado em conexão com as Mercadorias, os Serviços ou Serviços de Nuvem, ou incorporado a eles. O Fornecedor cumprirá todas as Políticas e requisitos da Microsoft relacionados ao uso de Modelos de IA e ao uso responsável da IA.

13. Declarações e Garantias. O Fornecedor declara e garante que:

a. Detém plenos direitos e autoridade para celebrar, executar e conceder os direitos de acordo com estes Termos da OC, e que o seu desempenho não violará nenhum contrato ou obrigação entre o Fornecedor e qualquer terceiro;

b. Os Serviços serão desempenhados com qualidade profissional, no nível ou acima do padrão do setor;

c. As Mercadorias, Serviços, Serviços de Nuvem e Entregas precisam atender aos padrões e especificações destes Termos da OC e ser adequados para o uso pretendido;

d. Providenciará à Microsoft todas as Mercadorias, Serviços e Entregas sem: (1) falhas de design, mão de obra e materiais, (2) obrigação de royalties; e (3) garantia mecânica ou outra garantia legal, direito de garantia ou ônus;

e. As Mercadorias, Serviços, Serviços de Nuvem, Entregas e qualquer PI do Fornecedor ou de terceiros fornecidos à Microsoft de acordo com estes Termos da OC:

(1) não serão regidos, parcial ou integralmente, por uma Licença Excluída. “Licença excluída” refere- se a qualquer licença de software que requeira, como condição de uso, modificação e/ou distribuição, que o software ou outro software combinado e/ou distribuído com o referido software seja: (i) divulgado ou distribuído na forma de código-fonte; (ii) licenciado para fins de criação de trabalhos derivados; ou (iii) redistribuível sem custos; e

(2) não estarão sujeitos a termos de licença que exijam que qualquer (i) produto, serviço ou documentação da Microsoft, ou qualquer PI do Fornecedor ou de terceiros licenciados pela Microsoft, ou documentação incorporada ou derivada dessas Mercadorias, Serviços, Serviços de Nuvem, Entregas ou PI do Fornecedor ou de terceiros, ou (ii) Materiais da Microsoft ou PI da Microsoft, sejam licenciados ou compartilhados com terceiros;

f. As Mercadorias, Serviços, Serviços de Nuvem, Entregas e qualquer PI do Fornecedor ou de terceiros fornecidos à Microsoft, de acordo com estes Termos da OC:

(1) Salvo melhor juízo do Fornecedor, violará nenhuma patente, direito autoral, marca comercial ou segredo comercial de um terceiro ou outro direito proprietário de qualquer terceiro; ou

(2) Conterá vírus nem outro código nocivo que degradará ou infectará uma Mercadoria, Entrega, produto, serviço ou outro software, rede ou sistema da Microsoft;

g. O Fornecedor cumprirá todas as Leis, regras e regulamentos, inclusive a Lei de Proteção de Dados (conforme definida no Anexo A), as leis relacionadas à inteligência artificial e as leis anticorrupção (p. ex., todas as leis aplicáveis contra fraude, suborno, corrupção, livros e registros contábeis imprecisos, controles internos inadequados e/ou lavagem de dinheiro, inclusive a Lei de Práticas de Corrupção no Exterior dos EUA), independentemente de serem municipais, estaduais, federais ou estrangeiras. As Mercadorias, os Serviços e os Serviços, peças, componentes, dispositivos, softwares, tecnologias e outros materiais fornecidos nos termos desta OC (coletivamente, “Itens”) podem estar sujeitos às leis comerciais aplicáveis em um ou mais países. O Fornecedor cumprirá todas as leis e regulamentos relevantes aplicáveis à importação ou exportação dos Itens, inclusive, entre outros, leis comerciais e regulamentações, como as Regulamentações de Administração de Exportações dos EUA ou outras restrições que implicam o usuário final, o uso final e o destino pelos EUA e outros governos, bem como

regulamentos de sanções administrados pelo Departamento de Controle de Ativos Estrangeiros dos EUA (“Leis Comerciais”). A Microsoft poderá suspender ou rescindir os Termos desta OC imediatamente, na medida em que concluir, com razoabilidade, que o desempenho contínuo violaria as Leis Comerciais ou sujeitaria a empresa ao risco de sofrer sanções ou penalidades nos termos das Leis Comerciais. O Fornecedor é responsável por garantir a conformidade com a transferência ou retransferência de itens intangíveis, como a tecnologia. O Fornecedor concorda em fornecer à Microsoft informações e classificações de controle de importação/exportação, dentre as quais, documentação sobre as autorizações referentes à importação, exportação ou reexportação aplicáveis, e todas as informações necessárias sobre os Itens para os procedimentos e/ou licenças necessárias referentes à importação, exportação ou reexportação, sem implicar em custo adicional para a Microsoft. Para obter mais informações, consulte o site xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxx. “Lei” significa todas as leis aplicáveis, regras, estatutos, decretos, decisões, ordens, regulamentos, decisões judiciais, códigos, decretos, resoluções e requisitos de qualquer autoridade governamental (federal, estadual, local ou internacional) que tenha jurisdição;

h. O Fornecedor cumprirá todas as Leis Anticorrupção aplicáveis. Ao executar os Termos desta OC, o Fornecedor fornecerá treinamento aos seus funcionários sobre a conformidade com as Leis Anticorrupção e, mediante

solicitação da Microsoft, concluirá o treinamento online padrão da Microsoft visando ao cumprimento, pelo Fornecedor, das Leis Anticorrupção.

i. O Fornecedor, às próprias expensas: (1) implementará e manterá medidas técnicas e organizacionais adequadas para proteger os Materiais da Microsoft, inclusive Dados Pessoais, e qualquer outra Informação Confidencial da Microsoft contra destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado aos Materiais da Microsoft, inclusive Dados Pessoais ou qualquer outra Informação Confidencial da Microsoft transmitida, armazenada ou, de outra forma, processada; (2) assim que comercial e tecnologicamente viável, remediará quaisquer vulnerabilidades materiais que possam vir ao conhecimento do Fornecedor; e (3) cumprirá as obrigações de confidencialidade, inteligência artificial, privacidade e de proteção de dados do Fornecedor, de acordo com os Termos desta OC, inclusive Seções 15, 16 e o Anexo A.

14. Rescisão. A Microsoft poderá rescindir estes Termos da OC ou a SOW aplicável com ou sem justa causa.

A rescisão passa a vigorar no momento do envio da notificação por escrito. Se a Microsoft rescindir este Contrato sem justificativa, a obrigação da Microsoft se restringirá ao pagamento de:

a. Entregas ou Mercadorias aceitas pela Microsoft antes da data de início de vigência da rescisão; o

b. Serviços executados, dos quais a Microsoft mantenha o benefício após a data de início de vigência da rescisão; ou

c. Serviços de Nuvem entregues antes da data de início de vigência da rescisão (ou qualquer transição pós- rescisão solicitada pela Microsoft). O Fornecedor (sem prejuízo a qualquer outro recurso que a Microsoft possa ter) fornecerá um reembolso pro rata à Microsoft por qualquer taxa não utilizada pré-paga.

15. Segurança, Privacidade, Inteligência Artificial e Proteção de Dados. O Fornecedor cumprirá, às suas próprias custas e despesas, o seguinte.

a. Sem limitar os direitos de auditoria da Microsoft nestes Termos da OC, o Fornecedor (1) participará do programa de Garantia de Segurança e Privacidade do Fornecedor (Supplier Security and Privacy

Assurance, “SSPA”) da Microsoft, conforme requerido pela Microsoft, inclusive comprovando o status de conformidade do Fornecedor no que diz respeito às seções aplicáveis previstas na versão mais recente dos Requisitos de Proteção de Dados do Fornecedor (Data Protection Requirements, “DPR”) da Microsoft anualmente (ou mais frequentemente, se outras seções do DPR tornarem-se aplicáveis) e (2) cumprirá o DPR mais recente da Microsoft.. Consulte o site xxxxx://xxx.xxxxxxxxx.xxx/xx- us/procurement/supplier-contracting.aspx, Garantia de Segurança e Privacidade do Fornecedor (SSPA) (xxx.xx), para obter detalhes sobre o programa SSPA, inclusive os requisitos do programa e o DPR atual.

b. Os procedimentos de segurança do Fornecedor precisam incluir controles e avaliação de riscos para:

(1) acesso ao sistema; (2) desenvolvimento e manutenção de sistemas e aplicativos; (3) gerenciamento de alterações; (4) classificação e controle de ativos; (5) resposta a incidentes, segurança física e ambiental;

(6) recuperação de desastre/continuidade dos negócios; e (7) treinamento de funcionários. Essas medidas serão estabelecidas em uma política de segurança do Fornecedor. O Fornecedor, mediante solicitação da Microsoft, disponibilizará essa política à Microsoft, junto com as descrições dos controles de segurança vigentes para os Serviços e Serviços de Nuvem, e outras informações solicitadas de forma sensata pela Microsoft em relação às práticas e políticas de segurança do Fornecedor.

c. Ao prestar Serviços de Nuvem, o Fornecedor usará somente o provedor de infraestrutura de nuvem (Cloud Infrastructure Provider, “CIP”) identificado na SOW aplicável ao prestar Serviços de Nuvem e notificará a Microsoft, no mínimo, 90 dias antes de alterar, adicionar ou realizar qualquer plano de alteração do CIP e, no mínimo, 30 dias antes de qualquer alteração na localização dos Materiais da Microsoft. Se a Microsoft rejeitar as alterações, a Microsoft poderá rescindir a SOW aplicável imediatamente, sem nenhuma outra obrigação.

d. O Fornecedor cumprirá os requisitos de privacidade e proteção de dados constantes no Anexo A.

e. Sem limitar as obrigações do Fornecedor nos Termos desta OC, inclusive do DPR, caso venha a saber sobre qualquer Incidente de Segurança (definido abaixo), o Fornecedor irá:

(1) notificar a Microsoft sem atraso indevido sobre o Incidente de Segurança [em qualquer caso, no máximo, com o mesmo prazo com que notifica clientes do Fornecedor similarmente situados e, em todos os casos, antes de qualquer divulgação ao público em geral pelo Fornecedor (p. ex., comunicado à imprensa)];

(2) investigar imediatamente ou prestar a assistência necessária na investigação do Incidente de Segurança, e fornecerá à Microsoft informações detalhadas sobre o Incidente de Segurança, incluive uma descrição da natureza do Incidente de Segurança, o número aproximado dos

Titulares de Dados afetados, o impacto atual e previsível do Incidente de Segurança e as medidas que o Fornecedor está tomando para abordar o Incidente de Segurança e mitigar seus efeitos; e

(3) tomar todas as medidas comercialmente razoáveis prontamente, a fim de mitigar os efeitos do Incidente de Segurança ou auxiliar a Microsoft a fazê-lo.

“Incidente de Segurança” significa qualquer: (1) destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Informações Confidenciais, inclusive Dados Pessoais, transmitidos, armazenados ou, de outra forma, processados pelo Fornecedor ou seus subcontratados; ou (2) Vulnerabilidade de Segurança (i) relacionada ao manuseio de Informações Confidenciais pelo Fornecedor, inclusive Dados Pessoais, ou (ii) que gere impacto sobre os produtos, serviços, software, rede ou sistemas da Microsoft. “Vulnerabilidade de Segurança” significa uma fragilidade, falha ou erro encontrado em um sistema de segurança do Fornecedor ou de seus subcontratados cujo risco de ser explorado por um fator de ameaça de forma impactante é razoável. O Fornecedor cumprirá esta Seção 15(e) e às suas custas, salvo se o Incidente de Segurança for decorrente de atos deliberados ou negligência da Microsoft, ou da conformidade do Fornecedor com instruções expressas e por escrito da Microsoft.

O Fornecedor precisa obter aprovação da Microsoft por escrito antes de notificar qualquer entidade governamental, pessoa física, imprensa ou terceiros sobre o Incidente de Segurança que tenha afetado ou possa afetar a Microsoft, inclusive Informações Confidenciais que o Fornecedor tenha recebido da Microsoft ou processado em seu nome.

f. Inteligência xxxxxxxxxx.Xx as Mercadorias, os Serviços ou Serviços de Nuvem incluírem tecnologia de inteligência artificial, o Fornecedor irá, às suas expensas, implementar e manter medidas técnicas e organizacionais adequadas para garantir que essa tecnologia de inteligência artificial esteja em conformidade com todas as leis e padrões do setor; inclusive com as normas e políticas relacionadas ao uso ético ou responsável de inteligência artificia, a capacidade de explicar algoritmos e lógica na tomada de decisão e no resultado, o resultado provável de cada Modelo de IA com relação aos usuários finais, gestão de mudanças visando ao cumprimento das leis e padrões apropriados para o setor e ao treinamento de funcionários. O Fornecedor disponibilizará essa política à Microsoft, mediante requerimento da Microsoft, bem como outras informações solicitadas de forma razoável pela Microsoft em relação às práticas e políticas de do Fornecedor.

g. Notificação.

(1) O Fornecedor precisa obter aprovação da Microsoft por escrito antes de notificar qualquer entidade governamental, pessoa física, imprensa ou terceiros sobre um Incidente de Segurança ou em conexão com o uso da tecnologia de inteligência artificial pelo Fornecedor, inclusive um Modelo de IA (uma "Consulta de IA") que tenha afetado ou possa afetar a Microsoft, inclusive Informações Confidenciais que o Fornecedor tenha recebido da Microsoft ou processado em seu nome. Para qualquer divulgação de Incidentes de Segurança ou consulta de IA a terceiros, o Fornecedor, como parte da notificação à Microsoft, divulgará a identidade do terceiro e uma cópia da notificação (se a notificação ao terceiro não tiver sido enviada, o Fornecedor providenciará um rascunho à Microsoft). O Fornecedor permitirá que a Microsoft sugira edições ou atualizações à notificação. A divulgação de informações da Microsoft sobre um Modelo de IA em relação a uma Consulta de IA não constitui violação das obrigações de confidencialidade da Microsoft nos Termos desta OC.

(2) O Fornecedor poderá notificar o terceiro sobre o Incidente de Segurança que afete os Dados Pessoais se estiver sob obrigação legal, contanto que o Fornecedor faça o possível para notificar previamente a Microsoft, o mais rápido possível; não sendo possível enviar à Microsoft esta notificação prévia, notificar imediatamente a Microsoft, assim que seja possível transmitir a notificação.

16. Código de Conduta do Fornecedor. O Fornecedor cumprirá o Código de Conduta do Fornecedor mais atualizado, localizado em xxxxx://xxx.xx/xxxx e a Política Anticorrupção para Representantes da Microsoft mais atualizada, em xxxx://xxx.xx/xxxxxxxxxxxxxxx/xxxxxxxxxxxxxxx, e demais Políticas (p. ex., políticas de segurança física ou da informação, ou políticas de inteligência artificial) ou treinamento identificado pela Microsoft em uma Declaração de Trabalho, ou de outra forma, durante a Vigência, (e fornecerá esse treinamento).

17. Acessibilidade. Qualquer dispositivo, produto, site, aplicativo baseado na web, serviço em nuvem, software, aplicativos móveis ou conteúdo desenvolvido ou fornecido por ou em nome do Fornecedor, ou Afiliada do Fornecedor, nos termos desta OC deve cumprir todos os requisitos jurídicos de acessibilidade. Compras com uma Interface do Usuário (User Interface, UI) incluem conformidade com os critérios de sucesso de nível A e AA da versão mais recente publicada das Diretrizes de Acessibilidade ao Conteúdo da Web (Web Content Accessibility Guidelines, “WCAG”), disponíveis em xxxxx://xxx.x0.xxx/xxxxxxxxx/xxxxx/xxxx#x0x_xxx, Seção 508 da Lei de Reabilitação, disponível em xxxxx://xxx.xxxxxxx000.xxx, e a norma europeia EN 301 549 disponível em xxxxx://xxx-

xxx.xxxxxx.xx/xxx/xxx/0000/0000/xx. A documentação sugerida inclui a conclusão da VPAT 2.4 INT, que incorpora todos os três padrões acima e está disponível em xxxxx://xxx.xxxx.xxx/xxxxxx/xxxxxxxxxxxxx/xxxx.

18. Inexistência de Renúncia.O atraso ou a falha por parte da Microsoft no exercício de qualquer direito ou recurso não resultará na renúncia deste ou de qualquer outro direito ou recurso.

19. Insolvência; Limitações de Responsabilidade.

a. A insolvência ou a decretação de falência, o pedido voluntário de falência ou a realização de cessão para o benefício de credores de qualquer uma das partes constituirá uma violação material aos Termos desta OC. Para estes Termos da OC, “insolvência” significa (1) que o passivo da parte excede seus ativos, cada um indicado de forma justa, ou (2) a falha da parte em pagar suas obrigações comerciais de forma oportuna no decorrer normal dos negócios.

b. Limitações de Responsabilidade. SALVO PARA AS OBRIGAÇÕES DE INDENIZAÇÃO DECLARADAS NA SEÇÃO 21, A VIOLAÇÃO DAS OBRIGAÇÕES DE CONFIDENCIALIDADE, PRIVACIDADE, SEGURANÇA, PROTEÇÃO DE DADOS, INTELIGÊNCIA ARTIFICIAL E PUBLICIDADE DE UMA DAS PARTES DE ACORDO COM ESTES TERMOS DA OC, INFRAÇÃO, USO INDEVIDO OU APROPRIAÇÃO INDEVIDA DOS DIREITOS DE PI EM CONEXÃO COM ESTES TERMOS DA OC OU FRAUDE, NENHUMA DAS PARTES SERÁ RESPONSÁVEL PERANTE A OUTRA POR QUALQUER DANO INDIRETO, CONSEQUENCIAL, ESPECIAL, EXEMPLAR OU PUNITIVO (INCLUSIVE DANOS CAUSADOS POR PERDA DE DADOS, RECEITAS E/OU LUCROS), SEJAM ELES PREVISÍVEIS OU IMPREVISÍVEIS, DECORRENTES FORA DESTES TERMOS DA OC, INDEPENDENTEMENTE DA RESPONSABILIDADE SER BASEADA EM VIOLAÇÃO DE CONTRATO, ATO ILÍCITO EXTRACONTRATUAL, RESPONSABILIDADE OBJETIVA, VIOLAÇÃO DAS GARANTIAS OU DE OUTRA FORMA, E MESMO QUE A PARTE TENHA SIDO AVISADA SOBRE A POSSIBILIDADE DESSES DANOS.

20. Subcontratação. O Fornecedor não subcontratará nenhum terceiro para o fornecimento de Mercadorias, Serviços ou Serviços de Nuvem sem a prévia autorização por escrito da Microsoft. Se o Fornecedor subcontratar qualquer Serviço ou Serviço de Nuvem a qualquer subcontratado, o Fornecedor será inteiramente responsável perante a Microsoft por qualquer ação ou omissão do subcontratado, permanecendo sujeito a todas as obrigações no âmbito destes Termos da OC e exigirá que o subcontratado concorde, por escrito, que a Microsoft é um terceiro beneficiário pretendido do contrato com o Fornecedor, bem como exigirá que o subcontratado concorde, por escrito, com termos que ofereçam proteção não inferior à oferecida pela Microsoft de acordo com estes Termos da OC, aplicáveis ao trabalho executado pelo subcontratado, inclusive os termos de privacidade e proteção de dados da Seção 15 dos Termos desta OC e Anexo A.

21. Indenização e Outros Recursos.

a. O Fornecedor isentará, defenderá e indenizará a Microsoft e as empresas afiliadas Microsoft de todos os requerimentos judiciais ou extrajudiciais, demandas, perdas, custos, danos e ações por (1) violações reais ou supostas a qualquer PI ou direitos de PI de terceiros, PI da Microsoft ou Direitos de PI decorrentes das Mercadorias, Serviços ou Serviços de Nuvem fornecidos de acordo com estes Termos da OC; (2) qualquer requerimento judicial ou extrajudicial que, se verdadeiro, constitua uma violação da Seção 15, Anexo A, ou de qualquer garantia do Fornecedor aqui contida; (3) qualquer ato, omissão ou inobservância das obrigações fiscais ou da Lei pelo Fornecedor ou seus respectivos representantes, funcionários ou subcontratados; (4) qualquer violação, por parte do Fornecedor ou de seus subcontratados, das obrigações de confidencialidade, segurança ou privacidade, proteção de dados, inteligência artificial ou publicidade previstas nos Termos desta OC; (5) atos ou omissões negligentes ou intencionais do Fornecedor ou dos seus respectivos subcontratados, que resultem em lesões corporais, inclusive lesão mental, ou morte de qualquer pessoa, ou perda, desaparecimento ou danos a propriedades tangíveis ou intangíveis; e (6) qualquer requerimento judicial ou extrajudicial dos funcionários, empresas afiliadas ou subcontratados do Fornecedor, independentemente da base, inclusive, entre outros, o pagamento de acordos, decisões judiciais e honorários advocatícios razoáveis.

b. Além de todos os outros recursos disponíveis para a Microsoft, se o uso das Mercadorias, Serviços ou Serviços de Nuvem de acordo com estes Termos da OC forem proibidos, sofrerem ameaça de embargo ou possam violar a lei aplicável, o Fornecedor, às suas próprias custas, notificará a Microsoft e imediatamente substituirá ou modificará as Mercadorias, Serviços ou Serviços de Nuvem para que não infrinjam a lei aplicável e atendam às exigências da Microsoft. Se o Fornecedor não cumprir esta Seção 21(b), além de qualquer valor reembolsado nos termos desta Seção 21 (Indenização e Outros Recursos), o Fornecedor reembolsará todos os valores pagos pela Microsoft por Mercadorias, Serviços ou Serviços de Nuvem infratores ou não conformes e pagará os custos razoáveis pelos Serviços de transição para um novo fornecedor.

22. Seguro. O Fornecedor manterá uma cobertura de seguro suficiente para cumprir as obrigações exigidas por estes Termos da OC e pela Lei. O seguro do Fornecedor precisa incluir a seguinte cobertura (ou o equivalente em moeda local) à medida que estes Termos da OC ou a SOW aplicável crie riscos geralmente cobertos por essas apólices de seguro:

Tabela A1 – Cobertura de seguro exigida

Cobertura	Formulário	Limite1
Responsabilidade comercial geral, inclusive responsabilidade contratual e por produto 2	Ocorrência	$ 1,000,000 USD
Responsabilidade civil automobilística	Ocorrência	$ 1,000,000 USD
Responsabilidade por privacidade e segurança cibernética, conforme comercialmente viável e disponível (inclusive custos decorrentes da destruição de dados, hacking ou violações intencionais, atividades de gerenciamento de crises relacionadas a violação de dados e requerimentos judiciais por violação de segurança, violações de privacidade e custos de notificação)	Por sinistro	USD 2.000.000
Remuneração dos trabalhadores	Estatutário	Estatutário
Responsabilidade do empregador	Ocorrência	$ 500.000 USD
Responsabilidade civil profissional/Erros e omissões, com cobertura em caso de violação de direitos de propriedade de terceiros (p. ex., direitos autorais e marcas comerciais), se a cobertura for comercialmente viável e disponível	Por sinistro3	USD 2.000.000

OBSERVAÇÕES:

1 Todos os limites por sinistro ou ocorrência, salvo se previsto de outra forma por exigências estatutárias, poderão ser convertidos em moeda local.

2 O Fornecedor indicará a Microsoft e as subsidiárias Microsoft, e seus respectivos diretores, executivos e funcionários, como segurados adicionais na apólice de responsabilidade comercial geral, na medida da responsabilidade contratual assumida pelo Fornecedor na Seção 21.

3 Com uma data de cobertura retroativa, no máximo, à data de início de vigência destes Termos da OC, da Declaração de Trabalho (SOW) ou Ordem aplicável. O Fornecedor manterá a cobertura da apólice ativa ou um período de descoberto estendido, fornecendo uma cobertura para os sinistros apresentados e relatados à seguradora em até 12 (doze) meses após o término ou rescisão destes Termos da OC ou quando da conclusão da SOW ou Ordem aplicável.

O Fornecedor precisa obter a prévia aprovação por escrito da Microsoft para qualquer franquia ou retenção que exceda

$100.000,00 USD por ocorrência ou acidente. O Fornecedor entregará à Microsoft o comprovante da cobertura de seguro exigida nestes Termos da OC, mediante solicitação. O Fornecedor comprará prontamente uma cobertura adicional e notificará a Microsoft por escrito, se a Microsoft determinar, de maneira sensata, que a cobertura do Fornecedor é inferior à exigida para cumprir suas respectivas obrigações.

23. Não Divulgação de Assuntos Confidenciais. Se as partes tiverem celebrado um acordo de confidencialidade padrão da Microsoft, os termos desse contrato se aplicam e incorporam a estes Termos da OC, e a existência de todos os termos e condições destes Termos da OC, bem como os Materiais da Microsoft, serão considerados Informações Confidenciais da Microsoft. Se as partes não tiverem celebrado um acordo de confidencialidade padrão da Microsoft, o Fornecedor concordará que, durante a vigência destes Termos da OC e, a partir de então, por cinco anos, manterá no mais rigoroso sigilo e não usará nem divulgará a terceiros (salvo para Afiliadas Microsoft) nenhuma Informação Confidencial da

Microsoft. O termo “Informações Confidenciais da Microsoft” refere-se a todas as informações não públicas que a Microsoft ou suas respectivas empresas afiliadas designa por escrito ou verbalmente como confidenciais ou que, nas circunstâncias da divulgação, indicariam a uma pessoa sensata o dever de tratá-las como confidenciais. Não obstante qualquer disposição em contrário nestes Termos da OC, todos os Dados Pessoais compartilhados com o Fornecedor ou com a afiliada do Fornecedor em conexão com estes Termos da OC são considerados Informações Confidenciais da Microsoft. Em caso de dúvidas do Fornecedor sobre o que constitui Informações Confidenciais da Microsoft, o Fornecedor concorda em consultar a Microsoft. As Informações confidenciais da Microsoft não incluirão informações de conhecimento do Fornecedor antes da divulgação da Microsoft ao Fornecedor ou informações publicamente disponíveis sem que isso envolva falha do Fornecedor.

Quando da expiração ou rescisão dos Termos da OC ou da SOW aplicável, ou mediante solicitação pela Microsoft ou Afiliada Microsoft, o Fornecedor providenciará, sem demora injustificada (i) a devolução de todas as Informações Confidenciais da Microsoft (inclusive as respectivas cópias) à Microsoft ou à Afiliada Microsoft aplicável, ou (ii) mediante solicitação da Microsoft ou da sua respectiva Afiliada, a destruição das Informações Confidenciais da Microsoft (inclusive as respectivas cópias) e a comprovação da destruiçao, em ambos os casos, salvo mediante exigência legal expressa em

contrário ou mediante acordo expresso, por escrito, entre as partes. Para qualquer Informação Confidencial da Microsoft retida pelo Fornecedor após a expiração ou rescisão dos Termos da OC ou da SOW aplicável (por exemplo, por estar o Fornecedor legalmente obrigado a reter as informações), o Fornecedor continuará a cumprir todas as disposições dos Termos desta OC aplicáveis à Informação Confidencial, inclusive todas as obrigações de confidencialidade, e esses termos aplicáveis sobreviverão à expiração ou rescisão.

24. Desenvolvedor Independente. Nada nestes Termos da OC restringe a capacidade da Microsoft de, direta ou indiretamente, adquirir, licenciar, desenvolver, fabricar ou distribuir tecnologia ou serviços iguais ou semelhantes às Mercadorias, Serviços ou Serviços de Nuvem contemplados por estes Termos da OC. A Microsoft poderá usar, comercializar e distribuir essas tecnologias ou serviços semelhantes além ou em vez da tecnologia ou dos serviços contemplados por estes Termos da OC, inclusive qualquer software ou serviço de nuvem (no todo ou em parte).

25. Auditoria. Durante a vigência destes Termos da OC mais 4 anos, o Fornecedor manterá registros e livros contábeis usuais e adequados e relatórios de qualidade e desempenho relacionados às Mercadorias, Serviços ou Serviços de Nuvem, ao Processamento de Dados Pessoais e, de outra forma, conforme exigido para conformidade (“Registros do Fornecedor”). Durante este período, a Microsoft poderá auditar e/ou inspecionar os registros aplicáveis e as instalações para verificar a conformidade do Fornecedor com estes Termos da OC, inclusive no tocante à privacidade, segurança, conformidade com as leis de exportação, acessibilidade e tributos. A Microsoft, um consultor designado independente ou contador público certificado (“Auditor”) realizará auditorias e inspeções. A Microsoft fornecerá notificação sensata (com 15 dias de antecedência, salvo em caso de emergência) ao Fornecedor antes do início da auditoria ou inspeção e instruirá o Auditor a evitar a interrupção das operações do Fornecedor, inclusive auditorias de consolidação, se for viável. O Fornecedor concorda em fornecer à equipe de auditoria ou inspeção designada da Microsoft acesso sensato aos seus respectivos

registros e instalações. Se os auditores determinarem que o Fornecedor recebeu pagamento superfaturado da Microsoft, o Fornecedor reembolsará à Microsoft esse pagamento superfaturado. Se o Fornecedor superfaturar a Microsoft em 5% ou mais durante o período auditado, o Fornecedor reembolsará imediatamente a Microsoft por todos os pagamentos em excesso, acrescidos de juros de pagamento de 0,5% por mês sobre esse superfaturamento. A Microsoft arcará com a despesa dos seus respectivos auditores ou equipe de inspeção. No entanto, se a auditoria mostrar que o Fornecedor cobrou a mais da Microsoft em 5% ou mais durante o período auditado, o Fornecedor reembolsará a Microsoft por estas despesas. Nada nesta Seção limita o direito da Microsoft de auditar o Fornecedor nos termos de qualquer outra Seção dos Termos desta OC, inclusive do Anexo A.

26. Cessões. Nenhum direito ou obrigação no âmbito destes Termos da OC (inclusive o direito de receber valores devidos) será cedido sem a prévia autorização por escrito da Microsoft. Qualquer cessão sem este consentimento será nula. A Microsoft poderá ceder seus respectivos direitos previstos nestes Termos da OC.

27. Notificação de Disputas Trabalhistas. Sempre que uma disputa trabalhista real ou potencial atrasar ou ameaçar atrasar o desempenho oportuno destes Termos da OC, o Fornecedor notificará imediatamente a Microsoft, por escrito, sobre essa disputa e fornecerá todos os detalhes relevantes. O Fornecedor incluirá uma cláusula idêntica à disposição acima em cada subcontrato e, imediatamente, mediante o recebimento desta notificação, fornecerá uma notificação por escrito à Microsoft.

28. Licença de Patente. Não obstante outras condições aqui estabelecidas, se o Fornecedor falhar no desempenho de acordo com as disposições constantes dos Termos desta OC, o Fornecedor, como parte da consideração aos Termos desta OC

e sem custos adicionais à Microsoft, por meio deste, concede automaticamente à Microsoft uma licença e o direito irrevogáveis, não exclusivos e isentos de royalties de usar, vender, fabricar e solicitar a fabricação de todos e quaisquer produtos que incorporem toda e qualquer invenção e descoberta feita, concebida ou realmente colocada em prática pelo Fornecedor ou em seu nome em conexão com uma Entrega relacionada aos Termos desta OC.

29. Jurisdição e Lei Regente. Para Mercadorias, Entregas, Serviços e Serviços de Nuvem fornecidos à Microsoft nos Estados Unidos, estes Termos da OC são regidos pela Lei do Estado de Washington, EUA (desconsiderando conflitos de princípios legais), e as partes consentem com a jurisdição e foro exclusivos nos tribunais estaduais e federais de King County, Washington, EUA. Todos os Serviços de Nuvem são considerados fornecidos nos Estados Unidos se qualquer acesso ou uso dos Serviços de Nuvem pela Microsoft ocorrer nos Estados Unidos. Para todas as outras Mercadorias, Serviços e Serviços de Nuvem fornecidos à Microsoft, as Leis, jurisdição e local do país em que a Microsoft (ou seja, a entidade que não seja o Fornecedor, e que é o signatário dos Termos desta OC) é incorporada ou, de outra forma, constituída regerão estes Termos da OC. Nenhuma das partes alegará falta de jurisdição pessoal ou inadequação de fórum nesses tribunais. Em qualquer ação ou processo relacionado a estes Termos da OC, a parte prevalecente terá o direito de recuperar custas, inclusive honorários advocatícios razoáveis.

30. Publicidade; Uso de Marcas Comerciais. O Fornecedor não emitirá comunicados de imprensa ou outra publicidade relacionada ao relacionamento do Fornecedor com a Microsoft ou estes Termos da OC sem a prévia aprovação por escrito da Microsoft. Se a aprovação por escrito for concedida, o Fornecedor poderá usar somente as Marcas Comerciais para Serviços, Serviços de Nuvem e Entregas em conformidade com as diretrizes disponíveis em xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxx/xxxxxxxxxxxxxxxxxxxx/Xxxxxxxxxx/Xxxxx/Xxxxxxx.xxxx.

31. Autonomia das cláusulas, URLs. Se um tribunal de jurisdição competente determinar que qualquer disposição destes Termos da OC é ilegal, inválida ou inexequível, as demais disposições permanecerão em pleno vigor e efeito. Os URLs também se referem a sucessores, localizações e informações ou recursos vinculados a partir dos sites desses URLs. Nenhuma das partes celebrou estes Termos da OC com base em algo não contido ou incorporado nestes Termos da OC. Estes Termos da OC serão interpretados de acordo com seu significado simples, sem presumir que deve favorecer qualquer uma das partes.

32. Sobrevivência. As cláusulas destes Termos da OC que, por seus termos, requeiram execução após a rescisão ou término destes Termos da OC, ou sejam aplicáveis a eventos que possam ocorrer após a rescisão ou término destes Termos da OC ou da SOW aplicável, sobreviverão à rescisão ou término destes Termos da OC ou SOW aplicável. Todas as obrigações de indenização e procedimentos de indenização sobreviverão à rescisão ou término destes Termos da OC e da SOW aplicável.

[O restante desta página foi intencionalmente deixado em branco]

Anexo A – Proteção de Dados

SEÇÃO 1 Escopo, ordem de precedência e vigência

(a) Este Anexo modifica e complementa os termos e condições desta OC no que se refere ao Processamento de Dados Pessoais pelo Fornecedor e ao cumprimento da Lei de Proteção de Dados. A SOW (se houver) designa o status do Fornecedor como Controlador ou Processador. Não obstante qualquer disposição em contrário nos Termos desta OC, se houver um conflito entre este Anexo e os Termos da OC, este Anexo prevalecerá. Este Anexo será anexado e incorporado aos Termos da OC.

(b) Este Anexo aplica-se somente na medida em que o Fornecedor receber, armazenar ou processar Dados Pessoais ou Informações Confidenciais em conexão com as Mercadorias, Serviços ou Serviços de Nuvem.

SEÇÃO 2 Definições

(a) Todos os termos em letras maiúsculas não definidos neste Anexo terão os significados conforme estabelecidos ns Termos da OC.

(b) Os seguintes termos têm as definições atribuídas a eles na CCPA: “Negócios”, “Finalidade do Negócio”, “Venda”, “Participação”, “Provedor de Serviços”, “Prestador de Serviço” e “Terceiro”.

(c) “Controlador” significa a entidade que determina os fins e os meios do processamento de Dados Pessoais. “Controlador” inclui um Negócio, Controlador (conforme a definição do termo no GDPR) e termos equivalentes nas Leis de Proteção de Dados, conforme o contexto exigir.

(d) “Exportador de Dados” refere-se à parte que (1) tem presença corporativa ou outro acordo estável em uma jurisdição que exige um Mecanismo Internacional de Transferência de Dados e (2) transfere Dados Pessoais ou disponibiliza Dados Pessoais para o Importador de Dados.

(e) “Importador de Dados” refere-se à parte que está (1) localizada em uma jurisdição que não é a mesma que a jurisdição do Exportador de Dados e (2) recebe Dados Pessoais do Exportador de Dados ou é capaz de acessar Dados Pessoais

disponibilizados pelo Exportador de Dados.

(f) “Incidente que afeta Dados Pessoais” significa:

(1) destruição, alteração, uso, perda, divulgação ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma processados pelo Fornecedor ou seus subcontratados que não sejam autorizados por lei ou por estes Termos de PO ou qualquer outra violação da proteção de Dados Pessoais Dados; ou

(2) Vulnerabilidade de Segurança relacionada ao manuseio pelo Fornecedor das Dados Pessoais. “Vulnerabilidade de Segurança” significa uma fragilidade, falha ou erro encontrado em um sistema de segurança do Fornecedor ou de seus subcontratados cujo risco de ser explorado por um fator de ameaça de forma impactante é razoável.

(g) “Leis de Proteção de Dados” significa todas as leis aplicáveis relacionadas à segurança de dados, proteção de dados e/ou privacidade, incluindo o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre proteção de pessoas físicas, processamento de Dados Pessoais e a livre movimentação desses dados (“GDPR”), e o Código Civil da Califórnia, Inciso 1.81.5, § 1798.100 et seq. (Lei de Privacidade do Consumidor da Califórnia) (“CCPA”), e qualquer legislação, norma, regulamento e orientação regulatória de implementação, derivativa ou relacionada, conforme emenda, prorrogação, revogação e substituição, ou repromulgada.

(h) “Titular dos Dados” refere-se a uma pessoa física que pode ser identificada, direta ou indiretamente, em especial ao referenciar um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.

(i) “Dados desidentificados” significa informações que não podem ser razoavelmente vinculadas a um indivíduo identificado ou identificável.

(j) “EEE” significa o Espaço Econômico Europeu.

(k) “Dados pessoais” refere-se a quaisquer informações relacionadas a uma pessoa física identificada ou identificável (“Titular dos Dados”) e a dados ou informações que constituem dados pessoais ou informações pessoais nos termos de qualquer Lei de Proteção de Dados aplicável. Pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em especial ao se referenciar um identificador, como nome, número de identificação, dados de localização, um identificador on- line ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa

pessoa física.

(l) “Processo” ou “Processamento” significa qualquer operação ou conjunto de operações que uma parte executa sobre os Dados Pessoais, inclusive coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou, de outra forma, disponibilização, alinhamento ou combinação, bloqueio,

exclusão ou destruição.

(m) “Processador” refere-se a uma entidade que processa Dados Pessoais em nome de outra entidade. “Processador” abrange o Provedor de Serviços, o Prestador de Serviço, o Processador (conforme a definição do termo, segundo consta no GDPR) e os termos equivalentes nas Leis de Proteção de Dados, conforme o contexto exigir.

(n) “Informações de Saúde Protegidas” ou “PHI” significa Dados Pessoais da Microsoft que são protegidos pela Lei de Portabilidade e Responsabilidade de Informações de Saúde (HIPAA).

(o) “Dados Anonimizados” significa informações que não podem ser atribuídas a uma pessoa em específico sem o uso de informações adicionais, desde que sejam resguardadas separadamente e sujeitas a medidas técnicas e organizacionais apropriadas para garantir que não sejam atribuídas à pessoa.

(p) “Dados Confidenciais” refere-se aos seguintes tipos e categorias de dados: (1) dados revelando origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, condição de imigração ou cidadania, ou associação sindical; dados

genéticos; (2) dados biométricos; (3) dados relacionados à saúde, inclusive informações de saúde protegidas regidas pela Lei Americana HIPAA (Health Insurance Portability Accountability Act); (4) dados relacionados à vida sexual ou à orientação sexual de uma pessoa física; (5) carteiras de identificação emitidas pelo governo (por exemplo, RG, carteira de habilitação, carteira emitida por conselho profissional regional); (6) informações do cartão de pagamento; (7) informações pessoais não públicas regidas pela Lei Gramm Leach Bliley; (8) um identificador não criptografado combinado com senha ou código de acesso que permitiria o acesso à conta de um titular de dados; (9) números de conta bancária pessoal; (10) dados

relacionados a crianças; e (11) geolocalização precisa.

(q) “Cláusulas Contratuais Padrão” significa as cláusulas contratuais padrão da União Europeia para transferências

internacionais do Espaço Econômico Europeu para outros países, a Decisão de Implementação da Comissão (UE) 2021/914 datada de 4 de junho de 2021, está disponível em xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx- dimension-data-protection/standard-contractual-clauses-scc_en.

(r) “Subprocessador” significa um Processador compromissado com uma parte que está atuando como Processadora.

SEÇÃO 3 Descrição das atividades de processamento doa Dados Pessoais das Partes e Status das Partes

(a) O Cronograma 1 descreve as finalidades do processamento das partes, os tipos ou categorias de Dados Pessoais envolvidos no processamento e as categorias dos Titulares de Dados afetados pelo processamento.

(b) O Cronograma 1 lista os status das partes de acordo com a Lei de Proteção de Dados relevante.

(c) O assunto e a duração do Processamento, a natureza e o propósito do Processamento e o tipo de Dados Pessoais e

categorias dos Titulares dos Dados podem ser mais especificamente descritos em uma declaração de trabalho, ordem de compra da Microsoft ou contrato por escrito assinado por representantes autorizados das partes, que forma uma parte

integral dos Termos da OC; se este for o caso, a descrição mais específica controlará o Cronograma 1.

SEÇÃO 4 Transferência de Dados Internacional

(a) Algumas jurisdições exigem que uma entidade que venha a transfirir Dados Pessoais para um destinatário em outra

jurisdição adote medidas extras para garantir que os Dados Pessoais tenham proteções especiais, caso a lei da jurisdição do destinatário não proteja os Dados Pessoais de maneira equivalente à jurisdição da entidade transferente (um “Mecanismo de Transferência de Dados Internacional”). As partes cumprirão qualquer Mecanismo de Transferência de Dados

Internacional que possa ser exigido pela Lei de Proteção de Dados aplicável, inclusive as Cláusulas Contratuais Padrão.

(b) Se o Mecanismo de Transferência de Dados Internacional no qual as partes confiam revelar-se invalidado ou vir a ser substituído, as partes trabalharão juntas de boa-fé para encontrar uma alternativa adequada.

(c) Com relação aos Dados Pessoais dos Titulares de Dados localizados em uma jurisdição que exija um Mecanismo de Transferência de Dados Internacional (por exemplo, EEE, Suíça ou Reino Unido) que a Microsoft transfira para o Fornecedor ou permita acesso do Fornecedor, as partes concordam que, quando do inicio da vigência dos Termos desta OC, elas também assinarão as Cláusulas Contratuais Padrão, que serão incorporadas por referência e formarão parte integral deste

Contrato. As partes concordam que, em relação aos elementos das Cláusulas Contratuais Padrão que exigem a contribuição das partes, os Cronogramas 1 e 2 contêm informações relevantes para os Anexos das Cláusulas Contratuais Padrão. As partes concordam que, para Dados Pessoais dos Titulares de Dados no Reino Unido, Suíça ou outro país especificado no

Cronograma 1, elas adotam as modificações às Cláusulas Contratuais Padrão listadas no Cronograma 1 para adaptar as Cláusulas Contratuais Padrão à lei local, conforme aplicável.

SEÇÃO 5 Obrigações Mútuas das Partes

(a) Conformidade. As partes cumprirão suas respectivas obrigações sob a Lei de Proteção de Dados e seus avisos de

privacidade, inclusive fornecendo o mesmo nível de proteção de privacidade que é exigido das Empresas sob a CCPA.

(b) Informação. Mediante solicitação, o Fornecedor fornecerá informações razoavelmente relevantes à Microsoft para permitir que a Microsoft cumpra as suas obrigações (se houver) de realizar avaliações de proteção de dados ou consultas prévias com autoridades de proteção de dados.

(c) Notificação. O Fornecedor notificará a Microsoft se determinar que não poderá mais cumprir suas obrigações nos termos da Lei de Proteção de Dados aplicável.

(d) Cooperação. Se o Fornecedor receber qualquer tipo de solicitação ou consulta de uma autoridade governamental,

legislativa, judicial, policial ou reguladora, ou enfrentar uma reclamação, consulta ou reclamação real ou potencial em conexão com o Processamento de Dados Pessoais das Partes fornecidos ao Fornecedor por ou em nome da Microsoft, de suas afiliadas ou de seus respectivos usuários finais, ou obtidas ou coletadas pelo Fornecedor em conexão com as finalidades descritas no Anexo 1 (coletivamente, uma “Consulta”), o Fornecedor notificará a Microsoft sem demora

injustificada, mas em nenhum caso evento após 10 (dez) dias úteis, a menos que tal notificação seja proibida pela lei

aplicável. O Fornecedor fornecerá imediatamente à Microsoft informações relevantes para a Consulta, incluindo quaisquer informações relevantes para a defesa de uma reclamação, para permitir que a Microsoft responda à Consulta.

(e) Confidencialidade. O Fornecedor garantirá que as pessoas autorizadas a Processar os Dados Pessoais se comprometeram com obrigações de confidencialidade não menos protetoras do que aquelas estabelecidas nos Termos da OC ou estão sob uma obrigação legal apropriada de confidencialidade.

(f) Controles de segurança. O Fornecedor cumprirá o Anexo 2 e tomará todas as medidas exigidas de acordo com as boas práticas da indústria e pela Lei de Proteção de Dados relativa à segurança de dados (inclusive de acordo com o Artigo 32 do GDPR). O Fornecedor implementará medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco.

(g) Obrigações Relacionadas a PHI. Se o envolvimento do Fornecedor envolver o Processamento de PHI, o Fornecedor deverá ter Termos de PO de Parceiro Comercial e/ou outros Termos de PO exigidos em vigor com a Microsoft.

SEÇÃO 6 Obrigações do fornecedor como controlador independente (se aplicável). Se o fornecedor for um controlador de dados pessoais que são coletados, trocados ou de outra forma processados em conexão com o cumprimento dos termos da oc pelo fornecedor (consulte o anexo 1), então:

(a) O Fornecedor reconhece e concorda que o Fornecedor é responsável de forma independente pela conformidade e cumprirá a Lei de Proteção de Dados aplicável (por exemplo, obrigações dos Controladores);

(b) O Fornecedor não venderá Dados Pessoais;

(c) O Fornecedor concorda em ser responsável por notificar os Titulares dos Dados conforme exigido pela Lei de Proteção de Dados aplicável (por exemplo, Artigos 13 e 14 do GDPR, conforme aplicável) e responder, conforme exigido pelas Leis de Proteção de Dados, como o Capítulo III do GDPR , às solicitações do Titular dos Dados para exercer seus direitos e

identificar uma base legal de Processamento (por exemplo, consentimento ou interesse legítimo);

(d) O Fornecedor concorda que manterá os Dados Pseudônimos separados de quaisquer informações adicionais necessárias para tornar esses Dados Pseudônimos atribuíveis a um indivíduo específico e sujeitará esses Dados Pseudônimos a medidas técnicas e organizacionais apropriadas para garantir que não sejam atribuídos a um indivíduo específico; e

(e) O Fornecedor concorda que tomará medidas razoáveis para garantir que os Dados Desidentificados não possam ser associados a um consumidor ou agregado familiar específico, comprometer-se-á publicamente a manter os Dados Desidentificados de forma anonimizada e não tentará reidentificá-los, e comprometer contratualmente quaisquer Subprocessadores a fazer o mesmo.

SEÇÃO 7 Obrigações do Fornecedor como Terceiro (se aplicável). Se o Fornecedor Processar Dados Pessoais como Terceiro nos termos da CCPA em conexão com o cumprimento dos Termos da OC pelo Fornecedor (consulte o Anexo 1), então:

(a) O Fornecedor processará Dados Pessoais apenas para os fins comerciais limitados e específicos descritos no Anexo 1.

(b) O Fornecedor concorda que os Dados Pessoais são disponibilizados apenas para os fins limitados e especificados estabelecidos no contrato, e que o Fornecedor poderá usar as informações apenas para esses fins.

(c) O Fornecedor não venderá nem compartilhará Dados Pessoais disponibilizados a ele pela Microsoft.

(d) O Fornecedor permitirá que a Microsoft tome medidas razoáveis e apropriadas para garantir que o Fornecedor use os Dados Pessoais que recebeu da Microsoft ou em nome dela de maneira consistente com as obrigações da Microsoft nos termos da CCPA.

(e) O Fornecedor permitirá que a Microsoft, mediante notificação, tome medidas razoáveis e apropriadas para interromper e remediar qualquer uso não autorizado de Dados Pessoais.

SEÇÃO 8 Obrigações do Fornecedor como Processador, Contratado, Subprocessador ou Prestador de Serviços.

O Fornecedor terá as obrigações estabelecidas nesta Seção 8 se Processar os Dados Pessoais dos Titulares dos Dados na qualidade de Processador, Contratante ou Provedor de Serviços da Microsoft; para maior clareza, essas obrigações não se aplicam ao Fornecedor na qualidade de Controlador Independente, Empresa ou Terceiro.

(a) Escopo do processamento

(1) O Fornecedor Processará Dados Pessoais exclusivamente para (i) fornecer Serviços à Microsoft (e, quando aplicável, para as Finalidades Comerciais especificadas na SOW aplicável, (ii) cumprir suas obrigações sob os Termos da OC e (iii) executar as instruções documentadas da Microsoft. O Fornecedor não processará Dados Pessoais para qualquer outra finalidade, a menos que exigido pela lei aplicável, e não venderá ou compartilhará Dados Pessoais que coletar ou obter de acordo com os Termos da OC.

(2) O processamento de quaisquer Dados Pessoais fora do escopo dos Termos do PO e deste Anexo exigirá Termos de PO prévios por escrito entre o Fornecedor e a Microsoft por meio de alteração por escrito aos Termos do PO.

(3) O Fornecedor notificará a Microsoft se acreditar que não pode seguir as instruções da Microsoft ou cumprir as suas obrigações ao abrigo dos Termos da OC devido a uma obrigação legal à qual o Fornecedor está sujeito, a menos que o Fornecedor esteja proibido por lei de fazer tal notificação.

(4) O Fornecedor está proibido de reter, usar ou divulgar os Dados Pessoais (1) para qualquer finalidade que não seja as Finalidades Comerciais especificadas no Anexo 1, incluindo reter, usar ou divulgar os Dados Pessoais para fins comerciais que não sejam a realização de Instruções da Microsoft; (2) fora do relacionamento comercial direto das Partes, a menos que permitido pela Lei de Proteção de Dados aplicável, ou (3) combinando dados pessoais que o Fornecedor recebe da Microsoft ou em nome dela com Dados Pessoais que recebe de ou em nome de outra pessoa ou pessoas, ou coleta de sua própria interação com o Titular dos Dados, desde que o Fornecedor possa combinar Dados Pessoais para realizar quaisquer Finalidades Comerciais permitidas pela Lei de Proteção de Dados aplicável. O Fornecedor certifica que compreende e cumprirá as proibições estabelecidas neste parágrafo (8)(a)(4).

(5) O Fornecedor permitirá que a Microsoft, mediante notificação, tome medidas razoáveis e apropriadas para interromper e remediar qualquer uso não autorizado de Dados Pessoais.

(b) Obrigações relacionadas a dados anonimizados e dados desidentificados

(1) o Fornecedor concorda que manterá os Dados Anonimizados separados de qualquer informação adicional que seria necessária para tornar esses Dados Anonimizados atribuíveis a uma pessoa em específico, e sujeitará esses Dados

Anonimizados a medidas técnicas e organizacionais apropriadas para garantir que não sejam atribuídos a um indivíduo específico;

(2) o Fornecedor concorda (i) que tomará medidas razoáveis para garantir que os Dados Desidentificados não possam ser associados a um consumidor ou residência específica, (ii) em comprometer-se publicamente a manter os Dados

Desidentificados em forma desidentificada e em não tentar reidentificá-los, e (iii) em estabelecer com quaisquer Subprocessadores o compromisso contratual de fazer o mesmo.

(c) Solicitações dos Titulares de Dados para exercer direitos. O Fornecedor informará imediatamente a Microsoft se o

Fornecedor receber uma solicitação de um Titular dos Dados para exercer seus direitos em relação aos seus Dados Pessoais, nos termos da Lei de Proteção de Dados aplicável. O Fornecedor não responderá aos Titulares dos Dados, exceto para confirmar suas solicitações. O Fornecedor fornecerá assistência à Microsoft, mediante solicitação, para ajudar a Microsoft a responder à solicitação do Titular dos Dados. A Microsoft notificará o Fornecedor sobre qualquer solicitação do consumidor que o Fornecedor deva atender e fornecerá as informações necessárias para a conformidade.

(d) Subprocessadores do Fornecedor. O Fornecedor não contratará um Subprocessador sem a autorização prévia por escrito da Microsoft. O Fornecedor será responsável pelos atos ou omissões de seus Subprocessadores na mesma medida em que o

Fornecedor se responsabilizaria se realizasse os serviços do Subprocessador diretamente nos termos deste Anexo, salvo disposição em contrário nos Termos da OC. O Fornecedor exigirá que os Subprocessadores concordem por escrito com termos não menos protetivos do que os termos constantes neste Anexo.

(e) Incidente de Dados Pessoais

(1) Sem limitar as obrigações do Fornecedor nos Termos desta OC, inclusive o DPR e este Anexo concernente aos Dados Pessoais, caso venha a saber sobre qualquer Incidente de Dados Pessoais, o Fornecedor irá:

(i) notificar a Microsoft sem atraso indevido sobre o Incidente de Dados Pessoais [em qualquer caso, no máximo, com o mesmo prazo com que notifica clientes do Fornecedor similarmente situados e, em todos os casos, antes de qualquer divulgação ao público em geral pelo Fornecedor (p. ex., comunicado à

imprensa)];

(ii) investigar imediatamente ou prestar a assistência necessária na investigação do Incidente de Dados Pessoais, e fornecerá à Microsoft informações detalhadas sobre o Incidente de Dados Pessoais, inclusive uma descrição da natureza do Incidente de Dados Pessoais, o número aproximado dos Titulares de Dados afetados, o impacto atual e previsível do Incidente de Dados Pessoais e as medidas que o Fornecedor está tomando para abordar o Incidente de Dados e mitigar seus efeitos; e

(iii) tomar todas as medidas comercialmente razoáveis prontamente, a fim de mitigar os efeitos do Incidente de Dados ou auxiliar a Microsoft a fazê-lo.

(2) O Fornecedor cumprirá esta Seção 8(e) às suas expensas, a menos que o Incidente de Dados Pessoais seja decorrente de negligência da Microsoft, atos deliberados ou conformidade do Fornecedor com instruções da Microsoft expressas por escrito.

(3) O Fornecedor precisa obter a aprovação por escrito da Microsoft antes de notificar qualquer entidade

governamental, indivíduo, a imprensa ou outros terceiros sobre o Incidente de Dados que tenha afetado ou possa, de maneira sensata, afetar as Dados Pessoais que o Fornecedor recebeu da Microsoft ou Processou em nome da Microsoft. Não obstante qualquer disposição em contrário neste Anexo, o Fornecedor poderá notificar o terceiro sobre o Incidente de Dados Pessoais que afete os Dados Pessoais se estiver sob obrigação legal, contanto que o Fornecedor: (i) faça o possível para notificar previamente a Microsoft, o mais rápido possível, se pretender divulgar

o Incidente de Dados Pessoais ao terceiro e; (ii) não sendo possível dar à Microsoft esta notificação prévia, notificar imediatamente a Microsoft, assim que seja possível transmitir a notificação. Para qualquer divulgação de Incidentes de Dados Pessoais a terceiros, o Fornecedor, como parte da notificação à Microsoft, divulgará a identidade do

terceiro e uma cópia da notificação (se a notificação ao terceiro não tiver sido enviada, o Fornecedor providenciará um rascunho à Microsoft). O Fornecedor permitirá que a Microsoft sugira edições ou atualizações à notificação.

(f) Exclusão e devolução de dados pessoais. Na expiração ou rescisão da declaração de trabalho aplicável, pedido de nuvem, pedido de compra ou outro acordo por escrito entre as partes, ou mediante solicitação da Microsoft ou da Afiliada da

Microsoft, o Fornecedor irá, sem demora injustificada: (1) devolver todos os Dados Pessoais (incluindo cópias dos mesmos) à Microsoft ou à Afiliada Microsoft aplicável; ou (2) mediante solicitação da Microsoft ou de sua Afiliada, destruir todos os Dados Pessoais da Microsoft (incluindo cópias dos mesmos) e certificar sua destruição, em cada caso, a menos que a Lei exija expressamente o contrário ou as partes concordem expressamente por escrito. Para quaisquer Dados Pessoais da

Microsoft que o Fornecedor retenha após a expiração ou rescisão da declaração de trabalho aplicável, pedido de nuvem, pedido de compra ou outro acordo por escrito entre as partes (por exemplo, porque o Fornecedor é legalmente obrigado a reter as informações), (A) O Fornecedor continuará a cumprir todos os termos dos Termos do PO aplicáveis a esses Dados Pessoais, incluindo todas as disposições de segurança e privacidade de dados neste Anexo e esses termos aplicáveis sobreviverão a tal expiração ou rescisão e (B) o Fornecedor deverá Desidentificar ou agregar Dados pessoais (se houver) na medida do possível. Todos os dados pessoais são informações confidenciais da Microsoft.

(g) Auditorias. Sem limitar qualquer dos direitos de auditoria existentes da Microsoft nos Termos da OC (se houver), o

Fornecedor disponibilizará à Microsoft todas as informações necessárias para demonstrar a conformidade com a Lei de Proteção de Dados, e permitir e contribuir para auditorias, inclusive inspeções, realizadas pela Microsoft ou por outro auditor em nome da Microsoft.

Cronograma 1: Descrição do processamento e dos subprocessadores

Atividade de processamento	Status das partes	Categorias de Dados Pessoais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Categorias de Dados Confidenciais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Módulo SCCs aplicável
O Fornecedor processa Dados Pessoais para fornecer as Mercadorias, os Serviços ou Serviços de Nuvem.	A Microsoft é Controlado ra. O Fornecedo r é Processado r.	• Dados de localização • Endereço IP • Personalização e preferências do dispositivo • Uso de serviços para sites, rastreamento de cliques em página da web • Dados de mídia social, relações de gráficos sociais • Dados da atividade de dispositivos conectados, como monitores de condicionamento físico • Dados de contato, como nome, endereço, número de telefone, endereço de email, data de nascimento, dependentes e contatos de emergência • Avaliação de fraude e risco, verificação de antecedentes • Dados de seguro, aposentadoria, benefícios • Currículos de candidato, anotações/feedback de entrevista • Metadados e telemetria • Dados do meio de pagamento	• Dados relacionados a crianças • Dados genéticos • Dados biométricos • Dados de saúde • Origem racial ou étnica • Opiniões políticas • Crenças religiosas ou filosóficas • Associação sindical • Vida sexual ou orientação sexual de pessoa física • Situação de imigração (visto, autorização de trabalho etc.) • Identificadores emitidos por órgãos governamentais (passaporte, carteira de habilitação, visto, cadastro de pessoas físicas, números de identificação nacional)	Módulo 2 Módulo 3, se a Microsoft atuar como processador a para outro controlador

Atividade de processamento	Status das partes	Categorias de Dados Pessoais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Categorias de Dados Confidenciais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Módulo SCCs aplicável
		• Número do cartão de crédito e data de validade • Informações sobre roteamento bancário • Número de conta bancária • Solicitações de crédito – Linha de crédito • Documentos fiscais e identificadores • Dados de investimento • Cartões corporativos • Dados de despesas • Locatário do Azure, locatário do M365 • Consumidor do Xbox Live, OneDrive • Tíquete de suporte originado pelo cliente • Data de cobrança • Dados de comércio eletrônico • Registro de evento • Treinamento • Identificador global exclusivo (GUID) • ID do passaporte do usuário ou identificador exclusivo (PUID) • Informações de identificação do usuário final fragmentadas (EUII) - IDs de sessão • Identificação do dispositivo • Dados diagnósticos • Dados de registro
As partes processam	A	• Nome do funcionário,	Nenhum	Módulo 2

Atividade de processamento	Status das partes	Categorias de Dados Pessoais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Categorias de Dados Confidenciais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Módulo SCCs aplicável
Dados Pessoais de seus funcionários para, por exemplo, administrar e fornecer as Mercadorias, os Serviços ou Serviços de Nuvem, gerenciar faturas, gerenciar os Termos da OC e resolver disputas relacionadas a eles, responder e/ou levantar dúvidas gerais, cumprir as respectivas obrigações regulatórias, e criar e administrar contas baseadas na web.	Microsoft é Controlado ra. O Fornecedo r é Processado r.	cargo e outras informações de contato • IDs dos funcionários • Dados de dispositivo e/ou atividade relacionados a cliques, pressionamentos ou outras interações de funcionários da Microsoft com hardware e software do Fornecedor		Módulo 3, se a Microsoft atuar como processador a para outro controlador
O Fornecedor coleta ou recebe Dados Pessoais como Controlador/Terceiro.	A Microsoft é Controlado ra. O Fornecedo r é um Controlado r/Terceiro.	• Dados de localização • Endereço IP • Personalização e preferências do dispositivo • Uso de serviços para sites, rastreamento de cliques em página da web • Dados de mídia social, relações de gráficos sociais • Dados da atividade de dispositivos conectados, como monitores de condicionamento físico • Dados de contato, como nome, endereço, número de telefone, endereço de email, data de nascimento, dependentes e	• Dados relacionados a crianças • Dados genéticos • Dados biométricos • Dados de saúde • Origem racial ou étnica • Opiniões políticas • Crenças religiosas ou filosóficas • Associação sindical • Vida sexual ou orientação sexual de pessoa física • Situação de imigração (visto, autorização de trabalho etc.) • Identificadores emitidos por órgãos governamentais (passaporte, carteira de habilitação, visto, cadastro de pessoas físicas, números de	Módulo 1

Atividade de processamento	Status das partes	Categorias de Dados Pessoais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Categorias de Dados Confidenciais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Módulo SCCs aplicável
		contatos de emergência • Avaliação de fraude e risco, verificação de antecedentes • Dados de seguro, aposentadoria, benefícios • Currículos de candidato, anotações/feedback de entrevista • Metadados e telemetria • Dados do meio de pagamento • Número do cartão de crédito e data de validade • Informações sobre roteamento bancário • Número de conta bancária • Solicitações de crédito – Linha de crédito • Documentos fiscais e identificadores • Dados de investimento • Cartões corporativos • Dados de despesas • Locatário do Azure, locatário do M365 • Consumidor do Xbox Live, OneDrive • Tíquete de suporte originado pelo cliente • Data de cobrança o Dados de comércio eletrônico • Registro de evento	identificação nacional)

Atividade de processamento	Status das partes	Categorias de Dados Pessoais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Categorias de Dados Confidenciais que podem ser processados As categorias listadas são descritivas e não significam necessariamente que as partes estejam processando cada categoria de dados listados.	Módulo SCCs aplicável
		• Treinamento • Identificador global exclusivo (GUID) • ID do passaporte do usuário ou identificador exclusivo (PUID) • Informações de identificação do usuário final fragmentadas (EUII) - IDs de sessão • Identificação do dispositivo • Dados diagnósticos • Dados de registro

Subprocessadores

O Fornecedor usa os Subprocessadores listados em uma declaração de trabalho ou contrato por escrito assinado pelos representantes autorizados das partes quando atua como Processador.

Informações para transferências internacionais

Frequência da transferência

Contínua para todos os Dados Pessoais.

Período de Retenção

Como Controladoras, as partes retêm Dados Pessoais enquanto tiverem uma finalidade comercial para isso ou pelo prazo mais longo permitido pela lei aplicável.

Na qualidade de Processador, o Fornecedor retém os Dados Pessoais que coleta ou recebe da Microsoft durante a vigência dos Termos da OC e de acordo com suas obrigações neste Anexo.

Para os fins das Cláusulas Contratuais Padrão:

• Cláusula 7: As partes não adotam a cláusula de amparo opcional.

• Cláusula 9, Módulo 2(a), se aplicável: as partes selecionam a Opção 1. O período é de 30 dias.

• Cláusula 9, Módulo 3(a), se aplicável: as partes selecionam a Opção 1. O período é de 30 dias.

• Cláusula 11(a): as partes não selecionam a opção de solução de controvérsias independente.

• Cláusula 17: as partes selecionam a Opção 1. as partes concordam com a jurisdição regente é a República da Irlanda.

• Cláusula 18: as partes concordam com o fórum é o Supremo Tribunal de Dublin.

• Anexo I(A): o exportador de dados é o Exportador de Dados (definido acima) e o importador de dados é o Importador de Dados (definido acima).

• Anexo I(B): as partes concordam que o Cronograma 1 descreve a transferência.

• Anexo I(C): a autoridade de supervisão competente é a Comissão de Proteção de Dados da Irlanda.

• Anexo II: As partes concordam que o Cronograma 2 descreve as medidas técnicas e organizacionais aplicáveis à transferência.

Para fins de localização das Cláusulas Contratuais Padrão:

• Suíça

o As partes adotam o padrão GDPR para todas as transferências de dados.

o Cláusula 13 e Anexo I(C): as autoridades competentes nos termos da Cláusula 13 e no Anexo I(C) são o Comissário Federal de Proteção de Dados e Informações e, simultaneamente, a autoridade do estado-membro do EEE identificada acima.

o Cláusula 17: as partes concordam com a jurisdição regente é a República da Irlanda.

o Cláusula 18: as partes concordam com o fórum é o Supremo Tribunal de Dublin. As partes concordam em interpretar as Xxxxxxxxx Contratuais Padrão para que os Titulares dos Dados na Suíça possam impetrarações em busca de seus direitos na Suíça, de acordo com a Cláusula 18(c).

o As partes concordam em interpretar as Cláusulas Contratuais Padrão para que “Titulares dos Dados” façam constar informações sobre pessoas jurídicas suíças, até que a Lei Federal de Proteção de Dados revisada se torne operacional.

• Reino Unido

o “Adendo do Reino Unido às SCC” significa o Adendo Internacional de Transferência de Dados às Cláusulas Contratuais Padrão da Comissão da UE emitido pelo Gabinete do Comissário de Informações do Reino Unido, nos termos da Lei de Proteção de Dados SS119A(1) de 2018, conforme alterada pelo Gabinete do Comissário de Informações de tempos em tempos, disponível em xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx- protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and- guidance/.

o Para transferências do Reino Unido que não estejam sujeitas a uma decisão ou exceção de adequação, as partes incorporam o Adendo do Reino Unido às SCC por referência e, ao assinar este DPA, também celebram e concordam em estar vinculadas às Cláusulas Obrigatórias do Adendo do Reino Unido às SCC.

o As partes concordam que as seguintes informações são relevantes para as Tabelas 1 a 4 do Adendo do Reino Unido às SCC e que, em caso de alteração no formato e no conteúdo das Tabelas, nenhuma das partes pretende reduzir as Proteções adequadas (conforme definido no Adendo do Reino Unido às SCC).

▪ Tabela 1: os detalhes, contatos principais, contatos do titular dos dados e assinaturas das partes estão no bloco de assinaturas do DPA.

▪ Tabela 2: as SCCs, os módulos e as cláusulas selecionados estão descritos no Anexo 1.

▪ Tabela 3: a lista de partes, a descrição da transferência e a lista de subprocessadores estão descritas no Anexo 1. Medidas técnicas e organizacionais para garantir a segurança dos dados estão descritas no Anexo 2.

▪ Tabela 4: nenhuma das partes poderá rescindir o Adendo do Reino Unido às SCC mediante alteração do Adendo aprovado.

o Cláusula 17 das Cláusulas Contratuais Padrão: as partes concordam com a jurisdição regente do Reino Unido.

o Cláusula 18 das Cláusulas Contratuais Padrão: as partes concordam em eleger o fórum dos tribunais da Inglaterra e do País de Gales. As partes concordam que os Titulares dos Dados podem apresentar processos judiciais contra qualquer das partes nos tribunais de qualquer país no Reino Unido.

Cronograma 2: Medidas de Segurança Técnicas e Organizacionais

O Fornecedor cumprirá o DPR da Microsoft conforme acordado na Seção 15(a) dos Termos desta OC.