Contrato de processamento de dados

Contrato de processamento de dados

O CONTROLADOR DE DADOS e o PROCESSADOR DE DADOS concordam com o seguinte:

1. Interpretação

1.1 Para os fins deste Contrato de processamento de dados:

Contrato é o contrato de prestação de serviços em nuvem, o programa e os serviços profissionais aos quais este Contrato de processamento de dados está anexado, conforme alterado periodicamente.

Controlador de dados, para os fins deste Contrato de processamento de dados, será o CLIENTE conforme está definido neste Contrato.

Processador de dados, para os fins deste Contrato de processamento de dados, será o FORNECEDOR conforme está definido neste Contrato.

1.2 Os termos usados neste Contrato de processamento de dados, mas não definidos de outra forma neste documento, terão o significado dado a eles no Contrato.

2. Objeto deste Contrato de processamento de dados

2.1 Este Contrato de processamento de dados é para garantir que as providências adequadas estejam em vigor em relação ao processamento de dados pessoais pelo PROCESSADOR DE DADOS fornecidos pelo CONTROLADOR DE DADOS de acordo com o Contrato e em conexão com a entrega dos serviços em nuvem e dos serviços nele contidos, conforme os termos definidos no Contrato (os serviços em nuvem e os serviços denominados Serviços, neste Contrato de processamento de dados).

2.2 O termo Leis de proteção de dados refere-se a todas as leis de privacidade e proteção de dados que se aplicam aos dados pessoais e ao Regulamento Geral de Proteção de Dados (UE) 2016/679 (RGPD) e a quaisquer leis nacionais de implementação, regulamentos e legislação secundária, conforme alterados ou atualizados periodicamente, bem como qualquer legislação posterior ao RGPD.

2.3 Termos como processamento (ou seus derivados), dados pessoais, controlador de dados, processador de dados, titular dos dados e medidas técnicas e organizacionais apropriadas terão o significado definido nas Leis de proteção de dados.

2.4 Caso o PROCESSADOR DE DADOS venha a processar dados pessoais relativos à Legislação de proteção de dados em nome do CONTROLADOR DE DADOS durante a prestação dos serviços ao CONTROLADOR DE DADOS, os termos deste Contrato de processamento de dados aplicar-se-ão. No Anexo 2, encontra-se um resumo das categorias de dados pessoais, dos tipos de titular de dados e das finalidades para as quais os dados pessoais estão sendo processados.

3. Controlador de dados e processador de dados

3.1 O CONTROLADOR DE DADOS e o PROCESSADOR DE DADOS cumprirão todos os dispositivos aplicáveis da Legislação de proteção de dados.

3.2 O CONTROLADOR DE DADOS determinará o escopo, as finalidades e a maneira pela qual os dados pessoais poderão ser acessados ou processados pelo PROCESSADOR DE DADOS. O PROCESSADOR DE DADOS processará os dados pessoais exclusivamente conforme nas instruções do CONTROLADOR DE DADOS por escrito.

3.3 O PROCESSADOR DE DADOS somente processará os dados pessoais de acordo com as instruções do CONTROLADOR DE DADOS, da maneira e na medida em que for apropriado para a prestação dos serviços, exceto quando necessário para cumprir uma obrigação prevista em lei para a qual o PROCESSADOR DE DADOS estiver vinculado. Nesse caso, O PROCESSADOR DE DADOS informará a obrigação prevista em lei ao

CONTROLADOR DE DADOS antes do processamento, a não ser que a devida lei proíba expressamente o fornecimento das informações ao CONTROLADOR DE DADOS.

3.4 O PROCESSADOR DE DADOS presta os serviços para que o CONTROLADOR DE DADOS usufrua da experiência do PROCESSADOR DE DADOS de proteger e processar dados pessoais para os fins definidos no Anexo 2. O PROCESSADOR DE DADOS terá permissão de exercer seu próprio discernimento de seleção e uso dos meios que considerar necessários para atingir esses objetivos, de acordo com os requisitos deste Contrato de processamento de dados.

3.5 O CONTROLADOR DE DADOS garantirá que tem todos os direitos necessários para fornecer os dados pessoais ao PROCESSADOR DE DADOS para que o processamento seja executado em relação aos serviços. No limite exigido pela Legislação de proteção de dados, o CONTROLADOR DE DADOS é responsável por garantir a obtenção de todos os consentimentos necessários dos titulares dos dados para o processamento e por garantir que o registro dos consentimentos seja mantido. Caso o consentimento seja revogado pelo titular dos dados, o CONTROLADOR DE DADOS é responsável por comunicar a revogação ao PROCESSADOR DE DADOS, e o PROCESSADOR DE DADOS fica responsável por implementar a instrução do CONTROLADOR DE DADOS com relação ao processamento posterior de dados pessoais.

4. Confidencialidade

Independentemente de quaisquer disposições contratuais existentes entre as partes, o PROCESSADOR DE DADOS tratará todos os dados pessoais como estritamente confidenciais e garantir que todos os funcionários, agentes e/ou subprocessadores participantes do processamento de dados pessoais sejam obrigados a manter a confidencialidade dos dados pessoais.

5. Segurança do processamento

5.1 Levando-se em consideração a inovação, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis dos direitos e liberdades das pessoas físicas, sem prejuízo de quaisquer outros padrões de segurança acordados pelas partes, o CONTROLADOR DE DADOS e o PROCESSADOR DE DADOS implementarão medidas técnicas e organizacionais apropriadas para garantir o nível adequado de segurança do processamento de dados pessoais em relação ao risco. Essas medidas incluirão, conforme apropriado:

a) medidas para garantir que os dados pessoais possam ser acessados somente por pessoal autorizado para os fins estabelecidos no Anexo 2 deste Contrato de processamento de dados;

b) ao avaliar o nível adequado de segurança da conta, todos os riscos apresentados no processamento serão levados em conta, principalmente, por exemplo, destruição, perda ou alteração acidental ou ilícita, armazenamento, processamento, acesso ou divulgação não autorizados ou ilícito de dados pessoais;

c) a pseudonimização e a criptografia de dados pessoais;

d) a capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento;

e) a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil, no caso de um incidente físico ou técnico;

f) um processo para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais; e

g) medidas para identificar vulnerabilidades com relação ao processamento de dados pessoais em sistemas usados para prestar serviços ao CONTROLADOR DE DADOS.

5.2 Cada parte será responsável separadamente por concluir as avaliações de impacto de proteção de dados necessárias, incluindo consultas a um órgão regulador. Quando solicitado por uma das partes, a outra parte fornecerá a essa parte assistência e informações que possam ser razoavelmente necessárias para que ela cumpra as obrigações.

6. Melhorias na segurança

6.1 O CONTROLADOR DE DADOS reconhece que as medidas técnicas e organizacionais definidas na Cláusula 4 acima estão condicionadas ao progresso e desenvolvimento técnico. O PROCESSADOR DE DADOS pode implementar medidas alternativas adequadas sem aviso prévio ao CONTROLADOR DE DADOS, desde que elas não sejam menos adequadas do que o nível de segurança das medidas específicas que foram aceitas pelo CONTROLADOR DE DADOS no momento da assinatura deste Contrato de processamento de dados.

7. Transferências de dados

7.1 O CONTROLADOR DE DADOS, por este instrumento, consente que o PROCESSADOR DE DADOS processe ou transfira dados pessoais nos termos deste Contrato de processamento de dados para um país fora do Espaço Econômico Europeu para os fins das atividades de processamento contempladas neste Contrato de processamento de dados (incluindo, para evitar dúvidas, a transferência dos dados pessoais para um subprocessador localizado em um país fora do Espaço Econômico Europeu, no qual referido subprocessador tenha sido nomeado de acordo com os termos deste Contrato de processamento de dados), desde que os requisitos necessários nos termos da Legislação de proteção de dados da transferência internacional sejam atendidos, incluindo oferece as proteções adequadas em relação à transferência, garantir que o titular dos dados tenha direitos executórios e recursos previstos em lei, oferecer um nível adequado de proteção a todos os dados pessoais que sejam transferidos e cumprir as instruções razoáveis que lhe forem notificadas antecipadamente pelo CONTROLADOR DE DADOS em relação ao processamento de dados pessoais.

7.2 No caso de o CONTROLADOR DE DADOS ou o PROCESSADOR DE DADOS confiar em um mecanismo jurídico específico para normalizar as transferências internacionais de dados que seja posteriormente modificado, revogado ou considerado inválido por um juízo de jurisdição competente, o CONTROLADOR DE DADOS e o PROCESSADOR DE DADOS concordam em cooperar de boa-fé para encerrar prontamente a transferência ou procurar um mecanismo alternativo adequado que possa respaldar a transferência de acordo com a lei.

8. Incidentes de segurança, direitos do titular dos dados e outras solicitações

8.1 Ao tomar conhecimento de um incidente que comprometa o processamento de dados pessoais objeto deste Contrato de processamento de dados, o PROCESSADOR DE DADOS notificará imediatamente o incidente ao CONTROLADOR DE DADOS, que auxiliará o CONTROLADOR DE DADOS em relação ao incidente, para que o CONTROLADOR DE DADOS possa realizar uma investigação completa do incidente, oferecer uma resposta pertinente e tomar medidas adicionais adequadas com relação ao incidente. Cada parte arcará com seus próprios custos em relação à investigação e à resposta a um incidente e às medidas adicionais contempladas nesta Cláusula 8.

8.2 O termo incidente usado na Cláusula 8.1 será, em qualquer caso:

a) uma reclamação ou uma solicitação referente ao exercício dos direitos de um titular dos dados de acordo com as Leis de proteção de dados;

b) uma investigação ou apreensão de dados pessoais por órgão regulador ou órgão supervisor, ou uma indicação específica de que a investigação ou apreensão é iminente;

c) acesso, processamento, exclusão, não autorizada ou acidental, perda ou qualquer forma de processamento ilícito de dados pessoais;

d) violação de segurança e/ou de confidencialidade, conforme definido nas Cláusulas 3 e 4 deste Contrato de processamento de dados, que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito aos dados pessoais, ou qualquer indicação de que a violação tenha ocorrido ou de que esteja prestes a ocorrer;

e) quando, na opinião do PROCESSADOR DE DADOS, a implementação de uma instrução recebida do CONTROLADOR DE DADOS puder infringir as leis aplicáveis às quais o CONTROLADOR DE DADOS e o PROCESSADOR DE DADOS estão vinculados.

O PROCESSADOR DE DADOS terá procedimentos escritos que lhe permitam responder prontamente ao CONTROLADOR DE DADOS sobre um incidente.

8.3 Todas as notificações feitas ao CONTROLADOR DE DADOS de acordo com esta Cláusula 7 serão endereçadas ao funcionário do CONTROLADOR DE DADOS, cujos dados de contato estão no Anexo 1 deste Contrato de processamento de dados, e elas conterão:

a) a descrição da natureza do incidente, incluindo, se possível, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e a quantidade aproximada de registros de dados pessoais em questão;

b) o nome e os dados de contato do responsável pela proteção de dados do PROCESSADOR DE DADOS ou outro ponto de contato no qual pode-se obter mais informações;

c) a descrição das prováveis consequências do incidente; e

d) a descrição das medidas tomadas ou propostas a serem tomadas pelo PROCESSADOR DE DADOS para lidar com o incidente, incluindo, se apropriado, as medidas para mitigar os possíveis efeitos adversos.

9. Contratação de subprocessadores

9.1 O CONTROLADOR DE DADOS consente que o PROCESSADOR DE DADOS nomeie um subprocessador de dados pessoais nos termos deste Contrato de processamento de dados. O PROCESSADOR DE DADOS garantirá que os subprocessadores por ele indicados estejam vinculados às mesmas obrigações de proteção de dados ou a obrigações equivalentes do PROCESSADOR DE DADOS nos termos deste Contrato de processamento de dados e supervisionará o cumprimento das obrigações e, principalmente, imporá aos subprocessadores a obrigação de implementar medidas técnicas e organizacionais apropriadas de modo que o processamento atenda aos requisitos das Leis de proteção de dados.

10. Devolução ou destruição de dados pessoais

10.1 Após a rescisão deste Contrato de processamento de dados ou mediante solicitação por escrito do CONTROLADOR DE DADOS, ou após o cumprimento de todas as finalidades acordadas no contexto da prestação dos serviços em que nenhum processamento adicional seja necessário, o PROCESSADOR DE DADOS, por orientação do CONTROLADOR DE DADOS, excluirá, destruirá ou devolverá todos os dados pessoais para o CONTROLADOR DE DADOS e destruirá ou devolverá todas as cópias existentes.

10.2 O PROCESSADOR DE DADOS notificará todos os subprocessadores que apoiam o processamento de dados pessoais da rescisão do Contrato de processamento de dados

e garantirá que os terceiros destruam os dados pessoais ou devolvam os dados pessoais ao CONTROLADOR DE DADOS, conforme instruído pelo CONTROLADOR DE DADOS.

11. Assistência ao controlador de dados

11.1 O PROCESSADOR DE DADOS auxiliará o CONTROLADOR DE DADOS no cumprimento da obrigação do CONTROLADOR DE DADOS de responder às solicitações de exercício dos direitos do titular de dados de acordo com as Leis de proteção de dados.

11.2 O PROCESSADOR DE DADOS auxiliará o CONTROLADOR DE DADOS a garantir a conformidade com as obrigações previstas na Cláusula 4 (Segurança do processamento) e consultas prévias aos órgãos reguladores ou de supervisão exigidas pelo Artigo 36 do RGPD ou pela Lei de proteção de dados relevante, levando em consideração a natureza do processamento e as informações disponíveis para o PROCESSADOR DE DADOS.

11.3 O PROCESSADOR DE DADOS disponibilizará ao CONTROLADOR DE DADOS todas as informações necessárias para demonstrar a conformidade com as obrigações do PROCESSADOR DE DADOS e permitirá e contribuirá com auditorias, incluindo inspeções, conduzidas pelo CONTROLADOR DE DADOS ou por outro auditor designado pelo CONTROLADOR DE DADOS.

12. Indenização

No limite permitido por lei, o CONTROLADOR DE DADOS indenizará o PROCESSADOR DE DADOS por qualquer prejuízo, responsabilidade, despesas (incluindo custas judiciais), danos ou despesas incorridos pelo PROCESSADOR DE DADOS, direta ou indiretamente, resultantes de violação pelo CONTROLADOR DE DADOS de suas obrigações nos termos deste Contrato de processamento de dados ou de violação pelo CONTROLADOR DE DADOS de suas obrigações nos termos das Leis de proteção de dados, incluindo custos e despesas de lidar com demandas privadas ou aplicação regulatória.

13. Duração e rescisão

13.1 Este Contrato de processamento de dados entrará em vigor na data de vigência do Contrato.

13.2 A rescisão ou encerramento deste Contrato de processamento de dados não eximirá o PROCESSADOR DE DADOS de suas obrigações de confidencialidade nos termos da Cláusula 3.

13.3 O PROCESSADOR DE DADOS processará os dados pessoais até o fim da vigência da assinatura, a não ser que receba instruções em contrário do CONTROLADOR DE DADOS, ou até que os dados sejam devolvidos ou destruídos por instrução CONTROLADOR DE DADOS.

14. Generalidades

14.1 Este Contrato de processamento de dados é regido pelas leis da Inglaterra. Quaisquer disputas decorrentes ou relacionadas a este Contrato de processamento de dados serão levadas exclusivamente ao juízo competente na Inglaterra.

Anexo 1: Informações de contato

Informações de contato do responsável pela proteção de dados/responsável pela conformidade do CONTROLADOR DE DADOS.

Conforme definido no cronograma do contrato

Informações de contato do responsável pela proteção de dados/responsável pela conformidade do PROCESSADOR DE DADOS.

Chefe de proteção de dados

Glory Global Solutions (International) Limited Infinity View

0 Xxxxxxxxx Xxxx Xxxx Xxx Xxxxxxxx Xxxxxxxxxxx Xxxxxxxxx XX00 0XX

Reino Unido XXX@Xxxxx-Xxxxxx.xxx

Anexo 2: Processamento, dados pessoais e titulares de dados Processamento pelo PROCESSADOR DE DADOS

Escopo

Processamento de dados pessoais do CLIENTE para o provisionamento e acesso aos serviços de nuvem da Glory Global Solutions. Os dados pessoais também podem ser coletados por meio da ferramenta do CLIENTE no local.

Natureza e finalidade

O processamento de dados pessoais é necessário para a execução do Contrato entre as partes no qual este Contrato de processamento de dados está anexado. O processamento de dados pessoais é limitado às atividades que fazem parte do escopo.

Duração

O processamento de dados pessoais será feito durante a vigência e nos termos do Contrato.

Titulares dos dados

Os dados pessoais processados podem se referir às seguintes categorias de titulares de dados:

Os titulares de dados são fornecidos pelo CLIENTE, que pode incluir funcionários do CLIENTE, diretores, encarregados, funcionários de agências, funcionários transferidos, voluntários, estagiários, agentes, contratados, consultores externos, representantes externos e parceiros comerciais ou qualquer outra pessoa associada à Glory Global Solutions, ou qualquer outra pessoa associada ao CLIENTE.

Categorias de dados

Os dados pessoais processados podem se referir às seguintes categorias de dados (marque todas as opções que se aplicam):

☒Nome ☒endereço (opcional) ☒e-mail

☐e-mail pessoal ☒Telefone (opcional) ☐Celular

☐Data de nascimento ☐Seguro social no. ☐Passaporte no.

☐Informações da família ☐Parente mais próximo ☐Sexo

☐Carteira de motorista ☐Informações financeiras ☐Outros (especificar abaixo)

Categorias especiais de dados (se for apropriado)

Não aplicável