POLÍTICA PARA FORNECEDORES E PARCEIROS SOBRE TRATAMENTO DE DADOS PESSOAIS
POLÍTICA PARA FORNECEDORES E PARCEIROS SOBRE TRATAMENTO DE DADOS PESSOAIS
A Empresa KSL ASSOCIADOS LTDA.. (“KSL”) entende como essencial o atendimento à Lei nº 13.709/2018 (“LGPD”) por seus fornecedores e parceiros (“Fornecedores e Parceiros”), visando resguardar e proteger o tratamento de quaisquer dados pessoais em razão dos serviços prestados.
Esta política rege qualquer relação que envolva tratamento de dados pessoais entre a KSL e terceiros, esteja a KSL atuando como Controladora, Co-controladora ou Operadora.
Para fins desta política, os Fornecedores, Parceiros e a KSL podem ser referidos, quando em conjunto,
como “PARTES”.
1. Definições
1.1. Nesta Política, os seguintes termos terão os significados definidos abaixo:
1.1.1 “Leis e Regulamentos de Proteção de Dados” significam qualquer lei e regulação, incluindo qualquer decisão publicada por qualquer Autoridade Fiscalizadora competente, aplicável ao Tratamento dos Dados Pessoais do Controlador.
1.1.2 “LGPD” significa Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados, e suas respectivas alterações posteriores).
1.1.3 “Tratamento” (incluindo os termos correlatos, tratar, tratados etc.) significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
1.1.4 “Dado(s) Xxxxxxx(ais)” significa qualquer informação que, direta ou indiretamente, sozinha ou acompanhada de outros dados, identifique ou possa identificar uma pessoa física. São exemplos de dados pessoais: nome, CPF, número de Protocolo de Internet (IP), endereço de e-mail, número de conta bancária, perfil financeiro, identificação de contribuinte, registro profissional, geolocalização, entre outros. Incluem-se neste conceito os Dados Pessoais Sensíveis (conforme definição abaixo).
1.1.5 “Dado(s) Xxxxxxx(ais) Sensível(is)” significa qualquer informação que revele, em relação a uma pessoa física, a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical e também dados genéticos ou biométricos que identifiquem uma pessoa de forma inequívoca, dados relativos à saúde, e dados relativos à vida sexual ou orientação sexual.
1.1.6 “Dados Pessoais do Controlador” significam qualquer Dado Pessoal Tratado pelo Fornecedor ou Parceiros como Operadores, incluindo Dados Pessoas Sensíveis, nos termos de ou em relação com o Contrato.
1.1.7 “Serviços” significam os serviços e outras atividades que serão fornecidas ou realizadas pelo ou em nome dos Fornecedores e Parceiros para a KSL, nos termos dos Contratos firmados.
1.1.8 “Controlador” significa pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, no caso, a KSL.
1.1.9 “Operador” significa a pessoa natural ou jurídica integrante que, em nome da KSL, irá tratar os Dados Pessoais, nos termos dos Contratos firmados, no caso os Fornecedores e Parceiros.
1.1.10 “Sub-operador” significa qualquer pessoa natural ou jurídica que, em nome do
Operador (Fornecedores e Parceiros), irá tratar os Dados Pessoais em nome do Controlador
(KSL), nos termos dos Contratos firmados.
1.1.11 Colaborador(es)” significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais.
1.1.12 “Incidente de Segurança” significa toda e qualquer situação, acidental ou intencional, ilícita ou sem autorização da Controladora, praticada mediante culpa ou dolo, que provoque, em relação a Dados Pessoais: (i) a destruição; (ii) a perda; (iii) a alteração; (iv) a comunicação ou difusão; ou (v) o acesso a Terceiros não autorizados.
1.1.13 “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD.
1.1.14 “ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD.
2. Tratamento de Dados Pessoais da KSL – Fornecedor/Parceiro na condição de Operador
2.1. Os Fornecedores e Parceiros, na condição de Operadores, devem:
2.1.1. Cumprir todas as Leis e Regulamentos de Proteção de Dados aplicáveis no Tratamento do Dados Pessoais do Controlador;
2.1.2. Tratar os Dados Pessoais do Controlador para as finalidades previstas no que for estritamente necessário para cumprir o Contrato e para a prestação dos Serviços;
2.1.3. Garantir, quando a prestação dos Serviços implicar no Tratamento de Dados Pessoais e/ou sensíveis, o enquadramento do Tratamento em alguma das bases legais previstas na LGPD;
2.1.4. Assegurar o cumprimento da legislação e da regulamentação em vigor, incluindo, mas não se limitando, à LGPD, bem como quaisquer outras normas aplicáveis que estejam vigentes na data de assinatura do Contrato ou que entrem em vigor durante a vigência do mesmo.
2.1.5. Registrar e reter, por um período mínimo, a ser indicado posteriormente pelo Controlador, após o término ou rescisão do Contrato, o aviso de término, ou documento que se preste à finalidade de comprovação de término do Contrato, e, quando aplicável, o consentimento por escrito, eletrônico ou verbal obtido de cada titular, a menos que o aviso tenha que ser retido por mais tempo por motivos específicos como, por exemplo, cumprimento de obrigação legal ou regulatória. O Operador fornecerá tais registros ao Controlador mediante solicitação e após o término ou rescisão do Contrato;
2.1.6. Garantir que o Tratamento seja limitado às atividades necessárias para o cumprimento das obrigações do Operador previstas no Contrato e realizado somente em relação aos dados ali previstos, sendo vedado o Tratamento posterior ou em excesso, exceto em casos específicos de cumprimento de obrigação regulatória ou determinação legal.
2.1.7. Manter todos os Dados Pessoais obtidos por meio do Controlador em sigilo e segurança e apenas tratá-los para as finalidades autorizadas por escrito pelo Controlador, por meio do Contrato ou qualquer outro documento assinado pelo Controlador, a menos que o Tratamento seja exigido pelas Leis e Regulamentos de Proteção de Dados aos quais o Operador ou eventual Sub-operador esteja sujeito, caso em que o Operador ou Sub-operador devem, na medida permitida pelas Leis e Regulamentos de Proteção de Dados, informar o Controlador desse requisito legal antes do Tratamento desses Dados Pessoais;
2.1.8. Cooperar com o Controlador no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e também no atendimento a eventuais solicitações de Autoridades Fiscalizadoras;
2.1.9. Notificar imediatamente o Controlador em caso de qualquer alteração relacionada à segurança, privacidade e/ou práticas relacionadas aos Dados Pessoais do Controlador; e
2.1.10. Em caso de incidente de acesso indevido, não autorizado e do vazamento ou perda de dados que tiverem sido transferidos pela KSL, independentemente do motivo que o tenha ocasionado, deverá o operador enviar comunicação à KSL por escrito, certificando-se do recebimento, imediatamente a partir da ciência do vazamento, contendo, no mínimo, as seguintes informações: (i) data e hora do incidente; (ii) data e hora da ciência pelo operador;
(iii) relação dos tipos de dados afetados pelo incidente; (iv) número de Titulares afetados; (v) relação de Titulares afetados pelo vazamento; (vi) dados de contato do Encarregado de Proteção de Dados (DPO) ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (vii) descrição das possíveis consequências do incidente; e (viii) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes, incluindo plano de comunicação e estratégia para resolução de conflitos. Caso o operador não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 24 horas a partir da ciência do incidente, sob pena de aplicação da multa contida neste Contrato.
2.2. É vedado aos Operadores, Sub Operadores e seus Colaboradores:
2.2.1. Copiar, transferir, duplicar, ou realizar qualquer ação que vise à criação de um novo banco de dados contendo os Dados Pessoais obtidos por meio do Controlador fora do escopo inicialmente contratado;
2.2.2. Utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que o Controlador tenha compartilhado os Dados Pessoais aos Operadores de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação; e
2.2.3. Anonimizar os Dados Pessoais do Controlador que foram disponibilizados ao Operador ou Sub-operador no contexto do Contrato e utilizá-los, de forma anonimizada, para outras finalidades que não previstas no Contrato e neste Termo.
3. Segurança de Dados Pessoais
3.1. Os Operadores e eventuais sub-operadores implementarão medidas técnicas, administrativas e organizacionais adequadas, de modo a garantir segurança de Dados Pessoais do Controlador e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, o Operador deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança.
3.2. As medidas de segurança descritas na Política de Privacidade da KSL, disponíveis nos canais de comunicação do Controlador, e nas normas do Controlador, (Política de segurança da informação e Política de segurança interna) que serão encaminhadas para o endereço de e-mail indicado pelo Operador, deverão ser observadas, sem limitar o Operador a adotar medidas adicionais, caso necessário.
3.3. O Operador deve realizar regularmente testes, avaliações e verificações da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvam o tratamento dos Dados Pessoais do Controlador.
4. Transferência Internacional de Dados
4.1. As transferências de Dados Pessoais do Controlador pelo Operador ou por qualquer Sub
Operador para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados ao Operador, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Contrato e previamente autorizadas pela KSL, nos termos a seguir:
● O Operador deverá notificar o Controlador, sem demora indevida, de quaisquer intenções de transferências permanentes ou temporárias dos Dados Pessoais do Controlador pelo Operador (ou Sub-Operador) para um terceiro país e somente realizar tal transferência após obter autorização, por escrito, do Controlador, que pode ser negada a seu próprio critério. Essa notificação do Operador deverá conter informações detalhadas sobre para quais países as informações seriam transferidas e para quais finalidades.
● Quando a transferência for solicitada pelo Controlador ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito, do Controlador), o Operador e/ou Sub Operador deverá adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países não brasileiros para Transferência Internacional de Dados Pessoais).
4.2. Ainda, de acordo com o art. 33, da LGPD, a transferência internacional de dados pessoais somente é permitida, alternativamente, quando:
(a) Os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD (Art. 33, I, da LGPD).
(b) O Controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD.
(c) A transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional (Art. 33, III, da LGPD).
(d) A transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros (Art. 33, IV, da LGPD).
(e) A autoridade nacional autorizar a transferência (Art. 33, V, da LGPD).
(f) A transferência resultar em compromisso assumido em acordo de cooperação internacional (Art. 33, VI, da LGPD).
(g) A transferência for necessária para a execução de política pública ou atribuição legal do serviço público (Art. 33, VII, da LGPD).
(h) O titular tiver fornecido o seu consentimento específico e em destaque para a transferência (Art. 33, VIII, da LGPD), com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta e outras finalidades; ou
(i) É necessária para atender as hipóteses previstas nos incisos II, V e VI do Art. 7º da LGPD (Art. 33, IX, da LGPD), isto é respectivamente: para o cumprimento de obrigação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
5. Direito de Auditoria
5.1. O Operador concorda que o Controlador terá o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que o Operador e/ou Sub Operador retiver os
Dados Pessoais do Controlador, de realizar uma avaliação interna ou auditoria para confirmar que o Operador e/ou Sub Operador está agindo em conformidade com esta Política e a LGPD, mediante notificação do Operador com 10 (dez) dias úteis de antecedência.
5.2. O Operador deve notificar imediatamente o Controlador, assim que tomar conhecimento, de:
(a) qualquer investigação ou apreensão de Dados Pessoais do Controlador por oficiais do governo ou qualquer indicação específica de que tal investigação ou apreensão seja iminente;
(b) quaisquer outros pedidos provenientes desses funcionários públicos e eventuais Titulares e; (c) qualquer informação que seja relevante em relação ao tratamento de Dados Pessoais do Controlador.
5.3. O Operador deverá disponibilizar, a qualquer momento, todas as informações necessárias para demonstrar conformidade com esta Política e com o Contrato, e deverá permitir e contribuir com auditorias, incluindo verificações e inspeções periódicas, pelo Controlador ou por auditor enviado pelo Controlador, em relação ao Tratamento dos Dados Pessoais do Controlador pelos Sub Operadores. No caso de quaisquer problemas de segurança encontrados durante tais auditorias, o Operador deverá tomar, às suas próprias custas, todas as ações necessárias para resolver os problemas mencionados.
5.4. O Operador deverá providenciar, às suas custas, informações necessárias para demonstrar a conformidade do Sub Operador com esta Política.
5.5. O Controlador terá o direito de notificar o Operador e/ou Sub Operador sobre qualquer possível risco de eventual ocorrência de Incidente de Segurança ou descumprimento com quaisquer Leis e Regulamentos de Proteção de Dados que constatar em sua auditoria, devendo o Operador e/ou Sub Operador, em até 30 (trinta) dias corridos, tomar as medidas necessárias, informando o Controlador que poderá, a seu critério, realizar nova auditoria. Caso o resultado não seja satisfatório, o Controlador terá o direito de rescindir o Contrato e receber indenização, conforme previsto na Cláusula 6.
6. Indenização
6.1. O Operador deverá indenizar, defender e isentar o Controlador e/ou suas filiais contra toda e qualquer responsabilidade, perda, reivindicação, dano, multa, penalidade, despesa (incluindo, sem limitação, multas, indenização por danos, custos dos esforços de reparação e honorários advocatícios e custos decorrentes de ou relacionados a qualquer ação, reivindicação ou alegação de terceiros - incluindo, sem limitação, qualquer autoridade reguladora ou governamental) que decorrer do não cumprimento desta Política e/ou não cumprimento das Leis e Regulamentos de Proteção de Dados.
6.2. Caso a ANPD (Autoridade Nacional de Proteção de Dados) impute sanções para o Controlador, relacionada a esta Política, e for constatada culpa, dolo ou outro elemento de responsabilidade do Operador e/ou Sub Operador, estes deverão arcar com a penalidade financeira – quando for o caso - e/ou indenizar o Controlador, inclusive pelos danos reputacionais experimentados.
7. Tratamento de Dados Pessoais da KSL – Fornecedor/Parceiro e KSL na condição de Controladores
7.1 As Partes, se atuarem como co-controladoras, reconhecem a importância de que, apesar de agirem de forma independente, precisam garantir e se comprometerem a:
a. tratar os dados pessoais dos quais venham a ter ciência ou os que estiverem em sua posse durante a implementação do escopo do Contrato firmado entre as partes, apenas para as operações e para os fins nele previstos;
b. limitar o período de armazenamento de dados pessoais à duração necessária para a execução do contrato firmado entre as partes e cumprir quaisquer obrigações legais;
c. adotar todas as medidas de segurança, técnicas e organizacionais adequadas, nos termos do artigo 6.º, inciso VII, VIII e dos artigos 46 e 47 da LGPD, bem como qualquer outra medida preventiva baseada na experiência, a fim de impedir o tratamento de dados não permitido ou não compatível com a finalidade para a qual os dados são coletados e tratados;
d. adotar todas as medidas necessárias para garantir o exercício de direitos dos titulares dos dados previstos nos artigos 17 ao 22 da LGPD;
e. fornecer as informações apropriadas sobre as atividades de tratamento de dados realizadas, bem como comunicar prontamente qualquer solicitação do titular de dados à outra Parte;
f. não divulgar dados pessoais tratados na execução deste Contrato às pessoas que não sejam autorizadas a realizar operações de tratamento;
g. manter um registro, quando exigido por lei, das atividades de tratamento realizadas, em conformidade com o artigo 37 da LGPD;
h. Em caso de incidente de acesso indevido, não autorizado e do vazamento ou perda de dados que tiverem sido tratados no âmbito da relação entre as partes, independentemente do motivo que o tenha ocasionado, as partes deverão se comunicar por escrito, certificando- se do recebimento, imediatamente a partir da ciência do vazamento, contendo, no mínimo, as seguintes informações: (i) data e hora do incidente; (ii) data e hora da ciência do fato; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de Titulares afetados; (v) relação de Titulares afetados pelo vazamento; (vi) dados de contato do Encarregado de Proteção de Dados (DPO) ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; (vii) descrição das possíveis consequências do incidente; e
(viii) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes, incluindo plano de comunicação e estratégia para resolução de conflitos. Caso a parte não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, de forma a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 24 horas a partir da ciência do incidente.
i. Cada parte deverá ser responsável perante as outras partes pelos danos causados por qualquer violação desta cláusula.
j. Cada parte deverá ser responsável perante os titulares de dados pelos danos causados por qualquer violação dos seus direitos e dos direitos de terceiros previstos nestas cláusulas, sempre quando o dano for causado por tratamento de dados pessoais relacionados às suas atribuições e somente na medida e proporção de sua participação no evento danoso.
k. As partes terão o direito, a qualquer momento, durante a vigência do Contrato e/ou durante todo o período em que retenham os Dados Pessoais uma da outra, de realizar uma avaliação interna ou auditoria para confirmar que a outra parte está agindo em conformidade com esta Política e a LGPD, mediante notificação com 10 (dez) dias úteis de antecedência, sempre com a concordância da parte contrária.
7.2 Transferência Internacional de Dados
● As transferências de Dados Pessoais de uma parte realizada pela outra parte para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Contrato e previamente autorizadas pela parte contrária,
nos termos a seguir:
○ A parte deverá notificar a parte contrária, sem demora indevida, de quaisquer intenções de transferências permanentes ou temporárias dos Dados Pessoais para um terceiro país e somente realizar tal transferência após obter autorização, por escrito, da parte contrária, que pode ser negada a seu próprio critério. Essa notificação deverá conter informações detalhadas sobre para quais países as informações seriam transferidas e para quais finalidades.
○ Quando a transferência for solicitada de uma parte à outra parte ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito), as partes deverão adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países não brasileiros para Transferência Internacional de Dados Pessoais).
● Ainda, de acordo com o art. 33, da LGPD, a transferência internacional de dados pessoais somente é permitida, alternativamente, quando:
(a) Os países ou organismos internacionais proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD (Art. 33, I, da LGPD).
(b) O Controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na LGPD.
(c) A transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional (Art. 33, III, da LGPD).
(d) A transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros (Art. 33, IV, da LGPD).
(e) A autoridade nacional autorizar a transferência (Art. 33, V, da LGPD).
(f) A transferência resultar em compromisso assumido em acordo de cooperação internacional (Art. 33, VI, da LGPD).
(g) A transferência for necessária para a execução de política pública ou atribuição legal do serviço público (Art. 33, VII, da LGPD).
(h) O titular tiver fornecido o seu consentimento específico e em destaque para a transferência (Art. 33, VIII, da LGPD), com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta e outras finalidades; ou
(i) É necessária para atender as hipóteses previstas nos incisos II, V e VI do Art. 7º da LGPD (Art. 33, IX, da LGPD), isto é respectivamente: para o cumprimento de obrigação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
8. Tratamento de Dados Pessoais da KSL quando ocupar o papel de Operador
8.1. Na condição de operadora, a KSL deverá:
8.1.1. Cumprir todas as Leis e Regulamentos de Proteção de Dados aplicáveis no Tratamento do
Dados Pessoais do Controlador;
8.1.2. Tratar os Dados Pessoais do Controlador para as finalidades previstas no que for estritamente necessário para cumprir o Contrato e para a prestação dos Serviços;
8.1.3. Garantir, quando a prestação dos Serviços implicar no Tratamento de Dados Pessoais e/ou sensíveis, o enquadramento do Tratamento em alguma das bases legais previstas na LGPD;
8.1.4. Assegurar o cumprimento da legislação e da regulamentação em vigor, incluindo, mas não se limitando, à LGPD, bem como quaisquer outras normas aplicáveis que estejam vigentes na data de assinatura do Contrato ou que entrem em vigor durante a vigência do mesmo.
8.1.5. Registrar e reter, por um período mínimo, a ser indicado posteriormente pelo Controlador, após o término ou rescisão do Contrato, o aviso de término, ou documento que se preste à comprovação do término do Contrato, e, quando aplicável, o consentimento por escrito, eletrônico ou verbal obtido de cada indivíduo, a menos que o aviso tenha que ser retido por mais tempo por motivos específicos como, por exemplo, cumprimento de obrigação legal ou regulatória. O Operador fornecerá tais registros ao Controlador mediante solicitação e após o término ou rescisão do Contrato;
8.1.6. Garantir que o Tratamento seja limitado às atividades necessárias para o cumprimento das obrigações do Operador previstas no Contrato e realizado somente em relação aos dados ali previstos, sendo vedado o Tratamento posterior ou em excesso, exceto em casos específicos de cumprimento de obrigação regulatória ou determinação legal.
8.1.7. Manter todos os Dados Pessoais obtidos por meio do Controlador em sigilo e segurança e apenas tratá-los para as finalidades autorizadas por escrito pelo Controlador, por meio do Contrato ou qualquer outro documento assinado pelo Controlador, a menos que o Tratamento seja exigido pelas Leis e Regulamentos de Proteção de Dados aos quais o Operador ou eventual Sub-operador esteja sujeito, caso em que o Operador ou Sub-operador devem, na medida permitida pelas Leis e Regulamentos de Proteção de Dados, informar o Controlador desse requisito legal antes do Tratamento desses Dados Pessoais. Sem prejuízo, em eventuais outros casos em que se faça necessário, a KSL atuará como controladora;
8.1.8. Cooperar com o Controlador no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e também no atendimento a eventuais solicitações de Autoridades Fiscalizadoras; e
8.1.9. Notificar imediatamente o Controlador em caso de qualquer alteração relacionada à segurança, privacidade e/ou práticas relacionadas aos Dados Pessoais do Controlador.
8.1.10. Se abster de utilizar qualquer tipo de ferramenta, tecnologia, engenharia reversa ou qualquer outro método que vise identificar os Titulares dos Dados Pessoais, nos casos em que o Controlador tenha compartilhado os Dados Pessoais aos Operadores de forma a não ser possível a identificação direta dos Titulares sem que haja o cruzamento com outras informações ou com o acesso à chave de identificação; e
9. Segurança de Dados Pessoais
9.1. A KSL, enquanto operadora e seus eventuais Sub-Operadores implementarão medidas técnicas, administrativas e organizacionais adequadas, de modo a garantir segurança de Dados Pessoais do Controlador e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, o Operador deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança.
9.2. As medidas de segurança descritas na Política de Privacidade do Controlador, disponíveis nos canais de comunicação do Controlador, e nas normas do Controlador, deverão ser encaminhadas para a KSL, estas deverão ser observadas, sem limitar à KSL a adotar medidas
adicionais, caso necessário.
9.3. A KSL deve realizar regularmente testes, avaliações e verificações da efetividade das medidas técnicas, administrativas e organizacionais para assegurar a segurança dos processos que envolvam o tratamento dos Dados Pessoais do Controlador.
10. Transferência Internacional de Dados
10.1. As transferências de Dados Pessoais do Controlador pela KSL ou por qualquer Sub Operador para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados ao Operador, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Contrato, nos termos a seguir:
● A KSL deverá dar ciência ao Controlador de quaisquer transferências permanentes ou temporárias dos Dados Pessoais do Controlador pelo Operador (ou Sub Operador) para um terceiro país. O Operador deverá informar sobre para quais países as informações seriam transferidas e para quais finalidades.
● Quando a transferência for solicitada pelo Controlador ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito, do Controlador), o Operador e/ou Sub Operador deverá adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países não brasileiros para Transferência Internacional de Dados Pessoais).
11. Disposições Gerais
11.1 Estes Termos poderão ser alterados a qualquer momento e a critério exclusivo da KSL, sendo que a versão deste documento entrará em vigor quando de sua disponibilização. Somente haverá comunicação sobre eventuais alterações destes Termos em decorrência de obrigação legal neste sentido.
12. Legislação e Foro
10.1. Esta Política será regida, interpretada e executada de acordo com as Leis vigentes da República Federativa do Brasil, especialmente a Lei Federal nº 13.709/2018, independentemente das Leis de outros estados ou países, sendo competente o foro de sede da matriz da empresa KSL para dirimir qualquer dúvida decorrente deste documento.
Atualizado em 19 de novembro de 2021.