ACORDO DO CONTROLADOR CONJUNTO Data de revisão: 12 de março de 2024

Shape1

Proprietary


ACORDO DO CONTROLADOR CONJUNTO

Data de revisão: 12 de março de 2024

Para os fins deste Acordo do Controlador Conjunto (“JCA”), a entidade Merck Sharp & Dohme LLC ou afiliada que executa o contrato, ou ainda outra forma de contrato referente a este JCA (o “Contrato”) deve ser denominada “Empresa” e todas as outras partes desse Contrato devem ser denominadas “Fornecedor”. A Empresa e o Fornecedor são cada uma “Parte” e juntos as “Partes”.

Disposições gerais

  1. As Partes inseridas e integrantes do Contrato poderão firmar uma ou mais ordens ou tarefas de compra, contratos de projeto, adendos de plano de projeto, declarações de trabalho, ordens de serviço ou outros termos de serviço (cada qual denominados como “Declaração de trabalho”), que regem os serviços nela contemplados (“Finalidade Conjunta”).

  2. As Partes pretendem complementar os termos do Contrato para garantir que todo o compartilhamento de Informações Pessoais relacionado ao Contrato seja realizado em conformidade com a Lei de Proteção de Dados, e esclarecer suas funções como controladores conjuntos desses dados.

  3. A Parte referida no Contrato como “MSD”, “CONTRATANTE”, “PATROCINADORA” ou “FORNECEDORA” será denominada neste JCA “Empresa”.

  4. A Parte referida no Contrato como “CONTRATADA”, “PATROCINADA”, “COMPRADORA” ou “DISTRIBUIDORA” será denominada neste JCA “Fornecedor”.

As Partes concordam que:

  1. Atividades conjuntas de processamento. Quanto às Informações Pessoais Processadas relacionadas ao Contrato, o teor, a natureza, o objetivo e a duração do Compartilhamento, bem como as categorias dos Titulares dos Dados envolvidos e as categorias de Informações Pessoais, estão especificados no Anexo do Contrato intitulado “Detalhes do Processamento de Dados”.

  2. Aplicabilidade. Os termos deste JCA se aplicam a cada Declaração de Trabalho de acordo com o Contrato, salvo se especificado o contrário na Declaração de Trabalho correspondente.

  3. Obrigações. No que tange as Informações Pessoais Processadas em relação ao Contrato, ambas as Partes:

    1. devem cumprir a Lei de Proteção de Xxxxx e suas respectivas obrigações sob este JCA, e no caso de uma Parte não poder cumprir essas obrigações, notificar a outra Parte imediatamente e adotar todas as ações razoáveis e apropriadas necessárias para a remediação em razão do não cumprimento.

    2. devem apenas Processar as Informações Pessoais conforme especificado neste JCA e no Contrato, salvo consentimento por escrito da outra Parte e nas seguintes hipóteses:

      1. a Parte obteve o consentimento prévio e válido do Titular dos Dados, conforme exigido pela Lei de Proteção de Dados aplicável;

      2. for necessário para o estabelecimento, exercício ou defesa em ações judiciais e no contexto de processos administrativos, regulatórios ou judiciais específicos;

      3. for necessário proteger os interesses principais dos Titulares dos Dados ou de outra pessoa física; ou

      4. for exigido de outra forma pela lei aplicável, caso em que a Parte afetada deve informar a outra Parte sobre essa exigência legal, salvo se proibida pela lei aplicável e envidará seus melhores esforços para limitar a natureza e o escopo de qualquer divulgação exigida e apenas divulgará a quantidade mínima de Informações Pessoais necessárias para cumprir a lei aplicável.

    3. não devem divulgar ou transferir Informações Pessoais a terceiros sem que terceiros celebrem um contrato por escrito com termos pelo menos tão protetores de Informações Pessoais quanto as obrigações estabelecidas neste JCA e no Contrato.

    4. não devem vender, compartilhar, reter, usar ou divulgar Informações Pessoais diferentes das especificadas no Contrato ou conforme autorizado de outra forma por este JCA.

    5. devem ser totalmente responsáveis por todos os atos ou omissões dos seus respectivos funcionários, afiliados, agentes, subcontratados e outros representantes.

    6. devem implementar e manter programas de segurança e privacidade de informações apropriados, que devem incorporar medidas físicas, técnicas e organizacionais, de acordo com a natureza das Informações Pessoais Processadas em conexão com o Contrato, de forma que atendam ou superem as boas práticas do setor e protejam razoavelmente contra uma Violação de Dados Pessoais, incluindo o treinamento de todos os funcionários responsáveis pelo Processamento de Informações Pessoais de maneira suficiente para atender aos requisitos deste JCA e, conforme apropriado:

      1. a pseudonimização e criptografia das Informações Pessoais;

      2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de Processamento;

      3. a capacidade de restaurar a disponibilidade e acesso a Informações Pessoais em tempo hábil em caso de um incidente físico ou técnico;

      4. um processo para testar, avaliar e estimar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento; e

      5. a capacidade de confirmar, dentro de 72 (setenta e duas) horas após a ocorrência, se um evento constitui uma Violação de Dados Pessoais.

    7. em caso de uma constatação real ou razoavelmente suspeita de Violação de Informações Pessoais, a Parte que detectou o desvio notificará a outra Parte sem demora injustificada (e em qualquer circunstância dentro de 24 horas após tomar conhecimento da Violação de Dados Pessoais) e deve cooperar com a outra Parte para determinar o curso apropriado de ação.

    8. notificar imediatamente a outra Parte, sem demora injustificada, e em qualquer circunstância dentro de 24 (vinte e quatro) horas após:

      1. qualquer reclamação, questionamento, solicitação ou preocupação de uma autoridade competente de proteção de dados ou outra autoridade regulatória relacionada às Informações pessoais ligadas ao Contrato; e

      2. qualquer reclamação, questionamento, solicitação ou preocupação de um Titular dos Dados em relação às Informações Pessoais relacionadas ao Contrato, incluindo qualquer solicitação para exercer os direitos nos termos da Lei de Proteção de Dados ou da política de privacidade de qualquer uma das Partes, tais como acessar, retificar, alterar, corrigir, compartilhar, excluir ou cessar o Processamento de suas Informações Pessoais.

    9. cumprir todas as medidas razoáveis e adequadas solicitadas pela outra Parte, necessárias para que ambas as Partes cumpram suas respectivas obrigações nos termos da Lei de Proteção de Dados e deste JCA.

    10. reter as Informações Pessoais não mais do que o necessário para realizar a Finalidade Conjunta, salvo exigido de outra forma pela lei aplicável.

    11. manter a precisão e integridade das Informações Pessoais objeto deste JCA.

    12. em conformidade com os termos do Contrato, fornecer notificações e obter o consentimento de qualquer Titular dos Dados, cujas Informações Pessoais relacionadas ao Contrato tenham sido coletadas.

    13. manter todos os registros necessários a fim de demonstrar que essas Informações Pessoais somente foram Processadas de acordo com os avisos, consentimentos, autorizações e direitos aplicáveis, conforme permitido nos termos deste JCA, para que cada Parte possa estar em conformidade com a Lei de Proteção de Dados.

    14. nos casos em que cada Parte deve processar as Informações Pessoais sobre Titulares dos Dados de qualquer país ou região com restrições sobre a transferência transfronteiriça de Informações Pessoais, ambas as Partes somente devem atuar em conformidade com a Lei de Proteção de Dados, o que pode incluir, sem limitação, a celebração das Cláusulas Contratuais Padrão ou mecanismos semelhantes destinados a proteger as transferências de Informações Pessoais.

    15. salvo mudanças feitas de acordo com o cumprimento de um padrão mais elevado do setor ou da Lei de Proteção de Dados, ambas as Partes devem manter em vigor e aplicar consistentemente suas respectivas práticas de privacidade e segurança de dados e comunicar à outra Parte sobre qualquer diligência devida que a outra Parte realizou mais recentemente sobre as práticas relacionadas ao Contrato.

    16. cada Parte reconhece e concorda que a assinatura deste JCA constitui sua certificação de que se compromete a estar em conformidade com as restrições dispostas neste JCA.

  1. Definições

    1. “Lei de Proteção de Dados” significa qualquer lei aplicável de proteção de dados, segurança ou privacidade de dados, incluindo a Lei Geral de Proteção de Dados (“LGPD”) nº 13.709/18, ou quando aplicável, o Regulamento Geral de Proteção de Dados da UE e qualquer legislação nacional de implementação relacionada, Lei de Portabilidade e Responsabilidade do Seguro de Saúde, a Lei de Direitos de Privacidade da Califórnia e qualquer outra lei de proteção, privacidade e segurança de dados a nível municipal, estadual ou federal.

    2. “Informações pessoais” significa quaisquer dados relacionados ao Contrato vinculado a um indivíduo identificado ou identificável, incluindo dados que identificam um indivíduo ou que poderiam ser usados para identificar, localizar, rastrear ou contatar um indivíduo. As Informações Pessoais incluem informações diretamente identificáveis, como nome, número de identificação ou título exclusivo do cargo, e informações indiretamente identificáveis, como data de nascimento, identificador exclusivo de dispositivos móveis ou vestíveis, informações que possam ser usadas para identificar uma residência, número de telefone, dados codificados por chave, identificadores online, como endereços IP ou atividades pessoais, comportamentos ou preferências, e inclui quaisquer dados que constituam “dados pessoais” de acordo com a Lei de Proteção de Dados.

    3. “Processo” significa realizar qualquer operação, ou conjunto de operações sobre Informações Pessoais, seja ou não por meios automatizados, inclusive, entre outros, a coleta, registro, organização, armazenamento, acesso, adaptação ou alteração, recuperação, consulta, uso, divulgação, disseminação, transmissão, disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.

    4. “Violação de Dados Pessoais” significa uma destruição acidental ou ilegal, perda, alteração, divulgação, uso ou acesso não autorizados a Informações Pessoais, ou ainda transmissão, armazenamento ou Processamento indevidos.

    5. “Cláusulas Contratuais Padrão” são cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros que não foram avaliados pela Comissão Europeia como fornecendo um nível adequado de proteção aos dados pessoais, conforme publicado pela Comissão Europeia em 4 de junho de 2021, e que podem ser atualizadas periodicamente.

    6. Caso essas definições restrinjam ou reduzam o escopo das definições relacionadas à Lei de Proteção de Dados, as disposições deverão ser expandidas para corresponder às determinações da Lei de Proteção de Dados.

    7. Na ausência de uma definição nesta Seção, um termo deve ser interpretado de maneira compatível com as Leis de Proteção de Dados aplicáveis.

  2. Interpretação.

    1. As palavras “incluir” e “incluindo” devem ser interpretadas como incluindo, entre outros.

    2. Em relação à Finalidade Conjunta conforme os termos do Contrato, ambas as Partes podem processar as Informações Pessoais de uma ou mais das afiliadas da outra Parte. Nesse caso, qualquer uma dessas afiliadas será considerada um “Controlador” de Informações Pessoais e um terceiro beneficiário deste JCA terá o direito de confiar e fazer cumprir todos os direitos e proteções concedidos sob este JCA, independentemente da afiliada ser nomeada ou não como parte do Contrato ou deste JCA.

    3. Este JCA é incorporado e faz parte do Contrato.

    4. No caso e na medida em que houver qualquer conflito entre os termos do Contrato e este JCA, os termos deste JCA prevalecerão, exceto se os termos do Contrato garantirem mais proteção às Informações Pessoais Processadas no escopo do Contrato. Neste caso, os termos mais protetores do Contrato prevalecerão.

    5. Na hipótese de qualquer conflito entre os termos deste JCA e as Cláusulas Contratuais Padrão, os termos da Cláusulas Contratuais Padrão prevalecerão.

    6. Salvo expressamente alterado neste documento, os termos do Contrato permanecerão em pleno vigor e efeito.

    7. Se este JCA for redigido em inglês e em um idioma estrangeiro, no caso de diferenças entre o texto em inglês e o texto no idioma estrangeiro, o texto em inglês prevalecerá.

    8. As cláusulas e outros títulos neste JCA são somente para conveniência de referência e não devem constituir uma parte ou de outra forma afetar o significado ou a interpretação deste JCA.

    9. Os Anexos e Apêndices a este JCA devem ser considerados parte integrante deste JCA na mesma medida como se tivessem sido transcritos expressamente neste JCA.

    10. As disposições deste JCA são separáveis. Se qualquer frase, cláusula ou disposição for inválida ou inexequível no todo ou em parte, tal invalidade ou inexequibilidade afetará somente essa frase, cláusula ou disposição e o restante deste JCA permanecerá em pleno vigor e efeito.

    11. Este JCA pode ser celebrado em qualquer número de vias que, em conjunto, constituirão um mesmo contrato. Qualquer Parte pode celebrar este JCA firmando tal via.

    12. Este JCA constitui o acordo integral entre as Partes em relação ao assunto deste JCA e (na medida do permitido por lei) e substitui todas as representações anteriores ou acordos orais ou escritos entre as Partes em relação a este assunto, desde que nada neste JCA e nenhuma das Partes esteja tentando excluir qualquer responsabilidade por declarações fraudulentas.

    13. As disposições de lei e jurisdição aplicáveis do Contrato serão aplicáveis a este JCA.

  3. Limites em atualizações.


    1. Quando as Partes renovarem, alterarem, emitirem uma nova Declaração de Trabalho sob, ou de qualquer forma modificarem o Acordo ou qualquer Declaração de Trabalho sob o Acordo (um "Evento Gatilho"), o documento mais recente sob "Joint Controller Addendum" localizado em xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ irá substituir e sobrepor os termos deste JCA até o próximo Evento Gatilho, a menos que uma objeção seja apresentada dentro de 30 dias após a ocorrência do evento gatilho. Não obstante o exposto, pode haver situações que exijam uma alteração imediata dos termos deste JCA, o que só ocorrerá por motivos articulados em 6(b), e só será feito de boa fé e após garantir que os novos termos ou termos modificados se limitem àqueles necessários para cumprir com a nova Lei de Proteção de Dados aplicável, jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes.


    1. No evento de qualquer um dos seguintes cenários ocorrer, as Partes concordam imediatamente com os termos mais recentes postados no endereço acima, a menos que uma objeção seja apresentada dentro de 30 dias após o aviso da Empresa sobre os novos termos fornecidos a todas as entidades que solicitaram receber aviso em xxxxxxx_xxxxxxx@xxx.xxx:


      1. a Lei de Proteção de Dados aplicável foi atualizada de maneira que os termos contratuais existentes deste JCA sejam inadequados para satisfazer os requisitos da lei atualizada,


      1. há uma mudança na Lei de Proteção de Dados aplicável e as Partes têm um interesse razoável e legítimo em alterar esses termos devido à mudança da lei, por exemplo e sem limitação, removendo requisitos que não são mais necessários, ou


      1. há nova jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes que têm um efeito comparável a uma mudança na lei descrita em (i) ou (ii) acima.



  1. Aplicabilidade dos apêndices. As Cláusulas Contratuais Padrão aqui anexadas como Apêndice 2 e os anexos no Apêndice 3 só devem ser aplicáveis na medida em que forem exigidos pela Lei de Proteção de Dados aplicável. As Partes concordam em cumprir tais cláusulas e adendos unicamente na medida em que estejam alinhados e sejam exigidos pelos requisitos da Lei de Proteção de Dados aplicável em cada respectiva jurisdição.

  2. Notificação. Notificações fornecidas nos termos deste JCA (cada uma, “Notificação”) devem ser feitas por escrito. As notificações fornecidas neste JCA devem ser fornecidas de acordo com as disposições de notificação do Contrato aplicável, juntamente com cópia(s) enviadas por e-mail à Empresa, para xxx_xxxxxxx_xxxxxx@xxx.xxx, com uma linha de assunto “JCA Notificação do Fornecedor” ou no caso de uma Violação de Dados Pessoais “Urgente: Notificação de Violação de Dados Pessoais”.



APÊNDICE 1 – Medidas de Segurança da Tecnologia da Informação

  1. Segurança de Rede - O Fornecedor cumprirá com políticas, procedimentos, sistemas segurança de rede e conduzirá atividades e segurança de rede e atividades consistentes com as melhores práticas do setor do Fornecedor, mas que deverá, ao menos, incluir, mas não limitado a: avaliações de vulnerabilidade de firewall de rede, detecção de invasões e avaliações regulares de vulnerabilidade (não menos que uma vez por ano em qualquer caso). Em nenhuma circunstância o disposto acima aplicado às Informações Pessoais da Empresa será menos rigoroso e protetor do que aqueles aplicados pelo Fornecedor para a proteção dos seus próprios dados e sistemas de natureza semelhante.

  2. Segurança de Aplicativos - O Fornecedor fornecerá, manterá e prestará suporte a qualquer um de seus softwares e sistemas fornecidos ou usados em conexão com os serviços ou produtos nos termos do Contrato e atualizações , upgrades e correções de bugs de forma a torná-los e mantê-los seguros de vulnerabilidades, utilizando práticas ou padrões do setor reconhecidos e comparáveis, conforme estabelecido no parágrafo 9 abaixo.

  3. Segurança de Dados - Sem limitar as obrigações de confidencialidade do Fornecedor ou outras obrigações para proteger dados e outras informações da Empresa ou de suas Afiliadas, incluindo qualquer Informação Pessoal, nos termos do Contrato ou deste JCA, o Fornecedor deve armazenar todas as Informações Pessoais de acordo com as melhores práticas do setor e em conformidade com todas as leis aplicáveis, bem como usar as medidas de segurança, incluindo, entre outras, a criptografia e firewalls, para proteger essas Informações Pessoais da divulgação ou uso não autorizados. Essas medidas não serão menos rigorosas do que as medidas mantidas pelo Fornecedor para seus próprios dados de natureza semelhante. Quando o Fornecedor armazenar Informações Pessoais em uma instalação de terceiros, o Fornecedor deverá ter cumprido os termos deste JCA relacionados à divulgação de Informações Pessoais a terceiros ou de outra forma à subcontratação de serviços ou produtos para terceiros e somente utilizará instalações de armazenamento externas de terceiros, que seja razoavelmente aceitável para a Empresa, sem limitar o disposto acima, a instalação de um terceiro que esteja em total conformidade com todas as disposições deste Apêndice.

  4. Armazenamento de Dados - Todas as Informações Pessoais serão armazenadas, processadas e mantidas exclusivamente nos recursos de computação e de armazenamento designados pelo Fornecedor e nenhuma das Informações Pessoais será, em nenhum momento, processada ou transferida para qualquer dispositivo de computação portátil ou laptop ou qualquer meio de armazenamento portátil, a menos que esse dispositivo ou meio de armazenamento esteja em uso como parte dos processos de backup e recuperação designados pelo Fornecedor e criptografado de acordo com o parágrafo 6 abaixo. O Fornecedor armazenará todas as cópias de backup de Informações Pessoais como parte de seus processos de backup e recuperação.

  5. Transmissão de Dados Toda e qualquer transmissão ou troca eletrônica de Informações Pessoais com a Empresa e/ou quaisquer terceiros deve ocorrer por meios seguros usando HTTPS, SFTP ou equivalentes) e exclusivamente de acordo com o parágrafo 6 abaixo.

  6. Criptografia de Dados - O Fornecedor concorda que todas as Informações Pessoais armazenadas em qualquer dispositivo, laptop ou qualquer meio de armazenamento portátil, inclusive todos os dados de backup da empresa, devem ser mantidos em formato criptografado, por meio de uma solução de criptografia com suporte comercial. As soluções de criptografia serão implementadas com no mínimo uma chave criptográfica de 128-bits para criptografia simétrica e uma chave com comprimento de 2.048-bits (ou mais) para criptografia assimétrica.

  7. Reutilização de Dados - Exceto quando necessário para fornecer os serviços ou produtos nos termos do Contrato ou conforme permitido de outra forma por este JCA, o Fornecedor não distribuirá, reaproveitará ou compartilhará quaisquer Informações Pessoais com outros aplicativos, ambientes ou unidades de negócios do Fornecedor.

  8. Notificação de Violação de Segurança - No caso de uma violação de dados pessoais ou violação de quaisquer obrigações de segurança do Fornecedor, além de suas obrigações decorrentes do Contrato ou do JCA, o Fornecedor deve notificar a Empresa sobre tal ocorrência dentro de 24 (vinte e quatro) horas da descoberta no seguinte número de telefone e endereço de e-mail:

N.º de telefone para Notificação de Violação de segurança: 000-000-0000

Centro de Operações Globais da Merck (“GOC”) (Selecione a opção “interrupção do serviço de TI” (Esta opção é atualmente a nº 1. O GOC pode enviar um page para a Equipe de Resposta à Violação de Dados Pessoais MSD Cyber.)

E-mail de Notificação de Violação de segurança: XXX@Xxxxx.xxx

  1. Padrões do Setor - Conforme aplicável aos serviços ou produtos nos termos do Contrato, os padrões da indústria geralmente reconhecidos incluem, entre outros, os padrões atuais e os padrões de referência estabelecidos e mantidos pelas seguintes entidades:

    1. Centro de segurança da Internet [Center for Internet Security] - consulte xxxx://xxx.xxxxxxxxxx.xxx

    2. Padrão de segurança de dados do setor de cartões de pagamento (PCI/DSS) [Payment Card Industry/Data Security Standards] - consulte xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

    3. Instituto Nacional de Padrões e Tecnologia [National Institute for Standards and Technology] - consulte xxxx://xxxx.xxxx.xxx

    4. Lei Federal de Gerenciamento da Segurança da Informação (FISMA) [Federal Information Security Management Act] - consulte xxxx://xxxx.xxxx.xxx

    5. Normas ISO/IEC 27000 - consulte xxxx://xxx.xxx00000xxxxxxxx.xxx/

    6. Organização para o Avanço de Padrões em informação Estruturada (OASIS) [Organization for the Advancement of Structured Information Standards] - consulte xxxx://xxx.xxxxx-xxxx.xxx/

    7. Projeto Aberto de Segurança de Aplicações Web (OWASP) [Open Web Application Security Project] “Projeto Top Ten” - consulte xxxx://xxx.xxxxx.xxx

    8. A CWE (Enumeração de Fraquezas Comuns) [Common Weakness Enumeration] - consulte xxxx://xxx.xxxxx.xxx ou CWE/SANS 25 principais erros de programação - xxxx://xxx.xxxxx.xxx/xxx00/

    9. A SANS Institute - consulte xxxx://xxx.xxxx.xxx

    10. Erros de software mais perigosos [Most Dangerous Software Errors] xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/



APÊNDICE 2

Caso a Empresa ou o Fornecedor estejam exportando Informações Pessoais de forma que o Módulo 1 das Cláusulas Contratuais Padrão seja necessário, os seguintes termos se aplicam:

O texto localizado no corpo do Módulo 1 (Controlador para Controlador) das Cláusulas Contratuais Padrão anexadas à Decisão de implementação da Comissão (UE) 2021/914 de 4 de junho de 2021 são incorporados por referência. Os aspectos opcionais são descritos abaixo:

  1. Cláusula 7 (cláusula de ancoragem) omitida.

  2. Para a Cláusula 11, o texto opcional foi omitido.

  3. Para a Cláusula 17, a opção 1 foi escolhida, sendo os Países Baixos o Estado-membro.

  4. Para a Cláusula 18, a escolha do Foro foi os Países Baixos.



ANEXO 1 ao APÊNDICE 2

A. LISTA DE PARTES

Consulte o Contrato

B. DESCRIÇÃO DA TRANSFERÊNCIA

Consulte o Anexo do contrato intitulado “Detalhes do Processamento de Dados”.

C. AUTORIDADE SUPERVISORA COMPETENTE

Commission Nationale de l'Informatique et des Libertés - CNIL
0 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/





ANEXO 2 DO APÊNDICE 2 – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Consulte o Apêndice 1 do JCA ao qual essas Cláusulas estão anexadas. Além disso, o importador de dados deve garantir que todos os Dados Pessoais sejam pseudonimizados e criptografados quando apropriado. Além disso, ao receber uma solicitação de uma autoridade governamental relativa aos Dados Pessoais objetos dessas Cláusulas, os Importadores de Dados e suas Afiliadas garantem que (i) as demandas de acesso por serviços de inteligência ou autoridades semelhantes nos EUA ou em outros lugares, e (ii) qualquer “dever de divulgação”, os dados pessoais descritos no Anexo 1B serão contestados pelo importador de Dados e suas Afiliadas de acordo com as leis e regulamentos aplicáveis antes da extração.



APÊNDICE 3

Requisitos legais adicionais de estado, país, região e província



ADENDO DO REINO UNIDO: Lei de Proteção de dados de 2018

O Apêndice 3 deste documento se incorpora, por referência, ao Adendo de Transferência de Dados Internacionais às Cláusulas Contratuais Padrão da Comissão da UE, versão B1.0, em vigor desde 21 de março de 2022, e deve ser considerado integralmente executado por todas as partes do Contrato, abrangendo todas as transferências aplicáveis, de acordo com o JCA, e incluindo todas as Cláusulas Obrigatórias da Parte 2.



ADENDO DA SUÍÇA: FADP

  1. Na medida em que as transferências de dados descritas no Apêndice 2 estão sujeitas ao FADP, as referências ao GDPR devem ser entendidas como referências à Lei Federal Suíça sobre Proteção de Dados (“FADP”).

  2. Durante o período exigido pela FADP, os dados pessoais das entidades jurídicas devem ser protegidos de acordo com essas Cláusulas da mesma maneira que são configuradas as proteções para os titulares dos dados.

  3. Cláusula 13: Supervisão paralela

    1. Quando a transferência de dados for regida pela FADP: A Comissão Federal de Proteção e Informações de Dados (“FDPIC”) é o órgão supervisor competente;

    2. Quando a transferência de dados for regida pela GDPR: Os critérios da Cláusula 13(a) devem ser aplicados.

  4. Cláusula 18(c): Escolha do fórum e jurisdição: Um titular dos dados, que tem sua residência habitual na Suíça, também pode acionar processos legais contra o exportador de dados e/ou importador de dados para os tribunais da Suíça.



ADENDO DO CANADÁ: Lei de Quebec 25

        1. Qualquer notificação exigida neste JCA em relação a uma Violação de Dados Pessoais e qualquer notificação semelhante exigida pelo Contrato também será exigida para qualquer evento que constitua uma violação ou tentativa de violação deste JCA pelo Fornecedor.

        2. Se for necessário coletar o consentimento em conexão aos termos deste JCA, o Fornecedor também deverá reter a evidência de todos os consentimentos por três (3) anos após o término do Contrato.



Document Metadata

Filed: October 30th, 2023