Requisitos de Privacidade e Proteção de Dados para Fornecedores
Requisitos de Privacidade e Proteção de Dados para Fornecedores
Última atualização: 1 de janeiro de 2023
1. Definições
1.1 “Contrato” significa o acordo principal de serviços, os termos e condições do pedido de compra ou
outro contrato sob o qual o Provedor de Serviços está prestando serviços ao Cliente.
1.2 “Cliente” significa as empresas da RELX que estão recebendo os serviços prestados nos termos do
Contrato.
1.3 “Leis de Proteção de Dados” significa todas as leis, regras, regulamentos, decretos, ordens e outros requisitos governamentais de privacidade e proteção de dados, aplicáveis ao Processamento de Informações Pessoais.
1.4 “Informações Pessoais” significa os dados pessoais em Processamento pelo Provedor de Serviços,
nos termos do Contrato.
1.5 “Processamento” significa qualquer tipo de processamento e/ou acesso de outra natureza, bem como operação ou o conjunto de operações realizadas sobre as Informações Pessoais, sendo que os termos “Processo” e “Processado” têm significados correspondentes.
1.6 “Provedor de Serviços” significa o prestador de serviços e/ou fornecedor que está oferecendo
serviços nos termos do Contrato.
1.7 Os termos com iniciais minúsculas “dados pessoais”, “titular dos dados”, “processamento”, “controlador”, “controlador conjunto”, “processador”, “violação de dados pessoais” e “autoridade supervisora” têm os mesmos significados que lhes são atribuídos nas Leis de Proteção de Dados, e nos locais em que as Leis de Proteção de Dados usam termos equivalentes ou correspondentes, como “informações pessoais” em vez de “dados pessoais”, tais termos devem ser lidos e interpretados aqui da mesma maneira.
1.8 Os termos iniciados em letra maiúscula usados, mas não definidos neste documento, terão os significados definidos no próprio Contrato.
2. Descrição do Processamento
2.1 A natureza e a finalidade das atividades de Processamento realizadas pelo Provedor de Serviços em nome do Cliente estão relacionadas ao fornecimento de serviços nos termos do Contrato.
2.2 O Processamento permanecerá vigente por toda a duração do direito do Cliente de receber, manter ou usar os serviços, até o descarte das Informações Pessoais nos termos do Contrato.
2.3 As categorias de titulares de dados representam indivíduos sobre os quais as Informações Pessoais são fornecidas ao Provedor de Serviços pelo Cliente (ou por ordem do Cliente) como parte dos serviços.
2.4 Os tipos das Informações Pessoais correspondem aos tipos de dados pessoais fornecidos ao Provedor de Serviços pelo Cliente (ou por ordem do Cliente) como parte dos serviços.
2.5 Com relação a eventuais informações pessoais incluídas em quaisquer dados da conta do Cliente, dados de uso e outros dados que o Provedor de Serviços processe como controlador, conforme necessário para fornecer, gerenciar ou proteger os serviços, o Cliente e o Provedor de Serviços são, cada qual, um controlador independente e não um controlador comum dos referidos dados.
2.6 Com relação a eventuais Informações Pessoais que o Provedor de Serviços colete de modo independente como controlador e fornece ao Cliente como parte dos serviços, o Provedor de Serviços e o Cliente são, cada qual, um controlador independente e não um controlador conjunto de tais informações. O Provedor de Serviços é responsável por garantir a legalidade das Informações Pessoais que fornece ao Cliente para Processamento.
2.7 Todo e qualquer detalhe adicional sobre as atividades de Processamento realizadas pelo Provedor de Serviços em nome do Cliente, bem como as instruções de Processamento do Cliente ao Provedor de Serviços, serão definidos no Contrato.
3. Restrições de Processamento
3.1 O Provedor de Serviços processará as Informações Pessoais em conformidade com suas obrigações, nos termos das Leis de Proteção de Dados e apenas conforme o necessário para cumprir as disposições do Contrato.
3.2 Na medida em que o Provedor de Serviços processar Informações Pessoais em nome do Cliente, o Provedor de Serviços o fará apenas em conformidade com as instruções documentadas do Cliente, a menos que exigido por legislação aplicável à qual o Provedor de Serviços esteja sujeito e, nesse caso, o Provedor de Serviços deverá notificar o Cliente de tal exigência legal antes do Processamento, a menos que a lei proíba a notificação por motivos importantes de interesse público. O Provedor de Serviços deverá informar imediatamente o Cliente se, em sua opinião, uma instrução infringir as Leis de Proteção de Dados.
4. Pessoal
O Provedor de Serviços deverá garantir que as pessoas autorizadas a Processar as Informações Pessoais se comprometam com a confidencialidade dessas informações, ou que estejam sob uma obrigação legal de confidencialidade, e que jamais processem as Informações Pessoais em desacordo com as instruções do Cliente, a menos que exigido por legislação aplicável.
5. Segurança
O Provedor de Serviços deverá implementar e manter as medidas técnicas e organizacionais adequadas, como aquelas especificadas no Contrato, de forma que o Processamento das Informações Pessoais atenda aos requisitos das Leis de Proteção de Dados, garantindo a proteção dos direitos dos titulares
dos dados e oferecendo um padrão de proteção que esteja, pelo menos, no mesmo nível de proteção exigido pelas Leis de Proteção de Dados vigentes.
6. Notificando Solicitações ao Cliente
O Provedor de Serviços deverá, na medida em que seja permitido pela legislação vigente, notificar imediatamente o Cliente, por escrito, sobre eventuais solicitações de um titular de dados, de uma autoridade supervisora ou de outro terceiro, sobre qualquer intimação ou outra ordem judicial ou administrativa, solicitação por uma autoridade governamental, ou procedimentos que o Provedor de Serviços receba buscando acesso ou divulgação de Informações Pessoais. O Cliente fica devidamente autorizado a se opor ou intervir em tal ação, bem como a lidar com tal solicitação à sua própria custa, em nome do Provedor de Serviços, a menos que proibido por lei. O Provedor de Serviços deverá cooperar, na medida do possível, com o Cliente em tais procedimentos judiciais.
7. Cooperação
7.1 Levando em consideração a natureza do Processamento, o Provedor de Serviços deverá auxiliar o Cliente por meio de medidas técnicas e organizacionais adequadas, na medida do possível, a cumprir as obrigações legais de responder às solicitações de exercício dos direitos do titular dos dados previstos nas Leis de Proteção de Dados (como direitos de acesso, correção, objeção e exclusão, conforme aplicável).
7.2 O Provedor de Serviços deverá ajudar o Cliente a garantir a conformidade com as obrigações de segurança de dados, notificação de violação de dados pessoais e demais obrigações nos termos das Leis de Proteção de Dados, levando em consideração a natureza do Processamento e as informações disponibilizadas ao Provedor de Serviços.
8. Violação de Dados Pessoais
O Provedor de Serviços deverá notificar o Cliente, conforme especificado no Contrato, sem atrasos indevidos e, em todos os casos, dentro do período exigido pelas Leis de Proteção de Dados, ao tomar conhecimento de qualquer violação de dados pessoais em conexão com as Informações Pessoais do Cliente, devendo ainda fazer o possível para ajudar o Cliente na investigação e na remediação de tal violação de dados pessoais.
9. Responsabilidade
Na medida em que o Provedor de Serviços está processando quaisquer Informações Pessoais em nome do Cliente, o Provedor de Serviços deverá disponibilizar ao Cliente todas as informações necessárias para demonstrar a conformidade com as Leis de Proteção de Dados e permitir (e contribuir com) auditorias, incluindo inspeções, a serem realizadas pelo Cliente ou por outro auditor determinado pelo Cliente, sujeito aos compromissos de confidencialidade apropriados.
10. Subprocessadores
10.1 Na medida em que o Provedor de Serviços esteja processando quaisquer Informações Pessoais em nome do Cliente, o Cliente poderá, por meio deste documento, fornecer autorização geral por escrito ao Provedor de Serviços para envolver outros agentes no Processamento das Informações Pessoais. O Provedor de Serviços deverá informar ao Cliente sobre eventuais alterações pretendidas com relação à adição ou à substituição destes outros processadores, fornecendo ao Cliente a oportunidade de se opor, na medida do razoável, a tais alterações.
10.2 Se o Provedor de Serviços contratar outro processador para realizar atividades de Processamento específicas em nome do Cliente, as mesmas obrigações de proteção de dados estabelecidas neste documento e no Contrato, bem como em qualquer outro documento jurídico firmado entre as Partes, deverão ser impostas a esse outro processador por meio de um contrato ou outro documento jurídico, nos termos da legislação aplicável. Caso esse outro processador deixe de cumprir alguma das obrigações de proteção de dados dele, o Provedor de Serviços fica totalmente responsável pelo desempenho integral dessas obrigações.
11. Local de Processamento
As Informações Pessoais poderão ser transferidas para qualquer país em que o Provedor de Serviços e os processadores contratados mantiverem instalações sujeitas às salvaguardas apropriadas, conforme descrito nas Leis de Proteção de Dados, incluindo eventuais mecanismos de transferência aplicáveis.
12. Treinamento
O Provedor de Serviços deverá ministrar treinamentos de privacidade apropriados (inclusive conforme exigido pelas Leis de Proteção de Dados) ao pessoal que esteja processando quaisquer Informações Pessoais.
13. Reivindicações
Se o Cliente enfrentar uma reivindicação real (ou a possibilidade de uma reivindicação) decorrente da violação das Leis de Proteção de Dados ou a uma questão relacionada, em conexão com os serviços prestados pelo Provedor de Serviços nos termos do Contrato, o Provedor de Serviços deverá fornecer prontamente todos os materiais e as informações relevantes para a defesa contra tal reivindicação e circunstâncias subjacentes.
14. Descarte
Logo após o término da prestação de serviços relativa ao Processamento de Informações Pessoais pelo Provedor de Serviços em nome do Cliente, ou antes que o Cliente solicite, o Provedor de Serviços deverá, com base na opção feita pelo Cliente, excluir ou devolver ao Cliente ou a um terceiro designado (na medida do possível, no formato de dados especificado pelo Cliente) todas as Informações Pessoais e excluir as cópias existentes, a menos que a legislação aplicável exija o armazenamento das Informações Pessoais. A pedido do Cliente, o Provedor de Serviços deverá garantir tal descarte por escrito.
15. Termos Específicos da Jurisdição
Na medida em que o Provedor de Serviços esteja processando quaisquer Informações Pessoais originadas nas Leis de Proteção de Dados, ou de outra forma sujeitas a elas, de qualquer uma das jurisdições listadas no anexo deste documento, os termos aí especificados com relação à(s) jurisdição(ões) aplicável(is) são válidos em adição aos termos anteriores.
Anexo
Termos Específicos da Jurisdição
1. Espaço Econômico Europeu
1.1 Quando o Cliente transfere informações pessoais a partir do Espaço Econômico Europeu (“EEE”) para o Prestador de Serviços localizado fora do EEE, a menos que as Partes possam recorrer a um mecanismo de transferência alternativo ou a uma base nos termos das Leis de Proteção de Dados, considera-se que as partes acordaram as cláusulas contratuais padrão aprovadas pela Comissão Europeia que implementa a Decisão 2021/914 de 4 de Junho de 2021, disponível em xxxx://xxxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx (“Cláusulas”), no que diz respeito a essa transferência, mediante a qual:
a. O Cliente é o “exportador de dados” e o Prestador de Serviços é o “importador de dados”;
b. as notas de rodapé, a Opção da Cláusula 11(a) e a opção 1 da Cláusula 17 serão omitidas, e os anexos aplicáveis serão preenchidos, respectivamente, com as informações estabelecidas no Contrato;
c. Quando cada parte atua como controlador, o Módulo Um se aplica e os Módulos Dois, Três e Quatro são omitidos;
d. Quando o Cliente atua como controlador e o Prestador de Serviços atua como processador, o Módulo Dois se aplica, os módulos Um, Três e Quatro são omitidos, a Opção 1 da Cláusula 9(a) é omitida e o período na Opção 2 é de 14 dias;
e. Quando cada parte atua como um processador, o Módulo Três se aplica, os Módulos Um, Dois e Quatro são omitidos; a Opção 1 da Cláusula 9(a) é omitida e o período na Opção 2 é de 14 dias;
f. A “autoridade de supervisão competente” é a do país onde o exportador de dados está estabelecido;
g. As Cláusulas são regidas pela legislação do país onde exportador de dados está estabelecido;
h. Qualquer litígio decorrente das Cláusulas deve ser resolvido pelos tribunais do país em que o exportador de dados está estabelecido; e
i. Se houver qualquer conflito entre algum dos termos do Contrato e das Cláusulas, as Cláusulas deverão prevalecer.
1.2 Quando o Cliente se encontre fora do EEE e receba informações pessoais do Prestador de Serviços localizado no EEE, a menos que as Partes possam contar com um mecanismo de transferência alternativo ou com base nas Leis de Proteção de Dados, as Partes serão consideradas como tendo acordado as Cláusulas com relação a tal transferência, mediante a qual:
a. O Prestador de Serviços é o “exportador de dados” e o Cliente é o “importador de dados”;
b. Os anexos aplicáveis são preenchidos, respectivamente, com as informações constantes do Contrato;
c. Quando o provedor de serviços atua como controlador, o Módulo Um se aplica, os Módulos Dois, Três e Quatro, as notas de rodapé, a Opção da Cláusula 11(a) e a Opção 1 da Cláusula 17 são omitidas;
d. Quando cada o Prestador de Serviços atua como processador, o Módulo Quatro se aplica e os Módulos Um, Dois, Três e as notas de rodapé são omitidos;
e. A “autoridade de supervisão competente” é a do país onde o exportador de dados está
estabelecido;
f. As Cláusulas são regidas pela legislação do país onde exportador de dados está estabelecido;
g. Qualquer litígio decorrente das Cláusulas deve ser resolvido pelos tribunais do país em que o exportador de dados está estabelecido; e
h. Se houver qualquer conflito entre algum dos termos do Contrato e das Cláusulas, as Cláusulas deverão prevalecer.
2. Reino Unido
2.1 Em relação às transferências de dados pessoais do Reino Unido, as Cláusulas conforme implementadas na Cláusula 1 acima serão aplicadas, sujeito às seguintes modificações:
a. As Cláusulas são alteradas conforme especificado pela Parte 2 do adendo de transferência de dados internacionais às cláusulas contratuais padrão da Comissão Europeia sancionadas nos termos da Seção 119A da Lei de Proteção de Dados do Reino Unido de 2018, conforme pode ser alterado ou substituído periodicamente (“Adendo do Reino Unido”);
b. As tabelas 1 a 3 da Parte 1 do Adendo do Reino Unido estão preenchidos, respectivamente, com as informações constantes do Contrato; e
c. A tabela 4 da Parte 1 do Adendo do Reino Unido é preenchida pela seleção de “nenhuma das
partes”.
3. Suíça
3.1 Em relação às transferências de dados pessoais da Suíça, as Cláusulas conforme implementadas na Cláusula 1 acima serão aplicadas, sujeito às seguintes modificações:
a. As referências ao “Regulamento (UE) 2016/679” devem ser interpretadas como referências à
Lei Federal Suíça sobre Proteção de Dados (“LFPD”);
b. As referências a Artigos específicos do “Regulamento (UE) 2016/679” serão substituídas pelo
artigo ou seção equivalente da LFPD;
c. As referências a “UE”, “União”, “Estado-Membro” e “legislação do Estado-Membro” são substituídas pelas referências à “Suíça” ou à “legislação suíça”, conforme aplicável;
d. O termo “Estado-Membro” não deve ser interpretado de modo a excluir os titulares de dados
na Suíça da possibilidade de ter acesso aos seus direitos;
e. A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas e a “autoridade de supervisão competente” é o Comissário Federal Suíço de Informações de Proteção de Dados;
f. As Cláusulas são regidas pela lei da Suíça; e
g. Qualquer controvérsia decorrente das Cláusulas será resolvida pelos tribunais competentes da Suíça.
4. Brasil
4.1 Quando cada parte atua como controlador, cada Parte deverá:
a. Cumprir com suas obrigações sob a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD), nº 13.709 de 2018;
b. Manter um registro das operações de processamento de dados pessoais que ele executa;
c. Nomear um diretor de proteção de dados; e
d. Adotar medidas de segurança técnicas e administrativas capazes de proteger os dados pessoais contra o acesso não autorizado e contra destruição acidental ou ilícita, perda, alteração, comunicação ou qualquer forma de tratamento impróprio ou ilícito, incluindo normas técnicas mínimas aplicáveis, conforme estabelecido pela autoridade nacional.
4.2 Na medida em que o Cliente transfira Informações Pessoais do Brasil para um Provedor de Serviços localizado fora do Brasil, o Provedor de Serviços deverá garantir o cumprimento dos princípios e direitos do titular de dados e do regime de proteção de dados previsto na LGPD.
5. África do Sul
Na medida em que o Provedor de Serviços esteja processando como operador quaisquer Informações Pessoais no âmbito da Lei de Proteção de Informações Pessoais da África do Sul (South African Protection of Personal Information Act), nº 4 de 2013 (POPIA), para o Cliente como parte responsável, o Provedor de Serviços deverá estabelecer e manter as medidas de segurança mencionadas na seção 19 da POPIA e deverá notificar o Cliente imediatamente quando houver motivos plausíveis para acreditar que as informações pessoais de um titular de dados tenham sido acessadas e/ou obtidas por algum indivíduo não autorizado.