TERMO DE TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS

TERMO DE TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS

Este Termo objetiva estabelecer as condições específicas relacionadas ao tratamento de dados pessoais no âmbito do Contrato estabelecido entre a Dock - Dock Soluções em Meios de Pagamento S.A. (Operador de dados) e o Parceiro (Controlador de dados), além de outras obrigações complementares.

CONSIDERANDO QUE:

(i) As Partes celebraram Contrato, o qual regula os termos e condições da Parceria/prestação de serviços estabelecida;

(i) O termo presente tem a finalidade de estabelecer os termos e condições aplicáveis ao tratamento de dados pessoais necessários à execução do contrato firmado entre as Partes; e

(ii) No âmbito do Contrato, existe fluxo de compartilhamento de Dados Pessoais (conforme definição prevista na LGPD, abaixo definida) e, em determinadas hipóteses, tomadas de decisões relacionadas aos Dados Pessoais, motivo pelo qual há a necessidade de celebração do presente Termo.

Este Termo de Tratamento e Proteção de Dados Pessoais (“Termo”) se aplica às atividades de Tratamento de Dados Pessoais realizadas em razão do Contrato, e é parte integrante do Contrato para todos os fins de direito.

Quaisquer termos iniciados em letras maiúsculas e não definidos de outra forma neste Termo terão o significado atribuído a eles no Contrato ou, em caso de omissão contratual, na LGPD e demais Leis e Regulamentos de Proteção de Dados aplicáveis.

1. Definições

1.1. Neste Termo, serão considerados os significados definidos abaixo:

1.1.1. “Leis e Regulamentos de Proteção de Dados” significam quaisquer leis e regulamentações, gerais ou setoriais, que contenham disposições acerca de Proteção de Dados pessoais, e sejam aplicáveis ao objeto do Contrato sobre o qual se refere o presente anexo, incluindo quaisquer decisões publicadas por quaisquer Autoridades Fiscalizadoras competentes que ocorram no contexto do Contrato;

1.1.2. “LGPD” significa Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados, e suas alterações posteriores);

1.1.3. “Serviços” significam os serviços e outras atividades que serão fornecidas ou realizadas pelo Parceiro, nos termos do Contrato;

1.1.4. “Colaborador(es)” significa qualquer colaborador, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerados ou sem remuneração, em regime integral ou parcial, que atuem em nome das Partes e que tenham acesso a Dados Pessoais ou realizem qualquer forma de tratamento destes;

1.1.5. “Incidente de Segurança” significa acessos não autorizados e/ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação indevida ou qualquer forma de tratamento inadequado ou ilícito;

1.1.6. “Autoridades Fiscalizadoras” significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD; e

1.1.7. “ANPD” significa a Autoridade Nacional de Proteção de Dados no Brasil, conforme definido na LGPD.

1.1.8. “Titular” significa a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

1.1.9. “Controlador” é o agente de tratamento a quem compete todas as decisões relativas ao tratamento dos dados pessoais, bem como, a responsabilidade de obter as respectivas autorizações dos titulares dos dados;

1.1.10. “Operador” é o agente de tratamento que executa o processamento dos Dados Pessoais em nome e sob a orientação do Controlador;

1.1.11. “Suboperador” é qualquer terceiro contratado pelo Operador que recebeu deste último os Dados Pessoais disponibilizados pelo Controlador exclusivamente destinado à prestação do serviço objeto deste Contrato, conforme orientação fornecida pelo Controlador.

2. Tratamento de Dados Pessoais pelos Agentes de Tratamento

2.1. A execução do Contrato pressupõe o compartilhamento de Dados Pessoais, bem como dos dados passivos resultantes da prestação do serviço objeto do Contrato entre os Agentes de Tratamento e a tomada de decisões e outras orientações relativas a determinados Dados Pessoais pelo Controlador, as quais deverão orientar a atuação do Operador.

2.2. Os Agentes de Tratamento devem assegurar a confidencialidade dos Dados Pessoais, por si e por seus Colaboradores, que venham a ter acesso a eles;

2.3. São obrigações das Partes:

2.3.1. Os Agentes de Tratamento devem tratar os Dados Pessoais de acordo com todas as Leis e Regulamentos de Proteção de Dados Pessoais aplicáveis, inclusive àquelas que entrarem em vigor após a assinatura deste Termo, assegurando que tal tratamento está em conformidade com o disposto na LGPD.

2.3.2. Os Agentes de Tratamento devem sempre comunicar à outra Parte em todos os casos de alteração ou inexatidão dos Dados Pessoais que tiverem conhecimento.

2.3.3. Os Agentes de Tratamento devem cooperar entre si, quando possível, no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e demais Leis e Regulamentos de Proteção de Dados e, também, no atendimento a eventuais solicitações de Autoridades Fiscalizadoras.

2.3.4. Os Agentes de Tratamento devem garantir um processo de exclusão ou anonimização (meios próprios, irreversível e definitivo) que possa ser equivalente a uma exclusão dos Dados Pessoais, quando não houver mais base legal que justifique o tratamento de tais dados.

2.3.5. Conforme solicitado pelo Controlador, com antecedência de 15 (quinze) dias, o Operador submeterá suas instalações de Tratamento de dados à auditoria designada pelo Controlador, desde que atendidas as seguintes condições:

(iii) Tal auditoria não pode afetar o trabalho do Operador, deve garantir os direitos industriais e de propriedade intelectual, bem como preservar as informações dos demais clientes deste último;

(iv) Deverá ser precedido da celebração acordo de confidencialidade entre o Operador, Controlador e Auditoria;

(v) O Controlador definirá cronograma prévio com o Operador, a fim de evitar interferências injustificadas às atividades deste; e

(vi) O Operador limitará o acesso na medida em que tal limitação seja necessária para resguardar direitos de privacidade de terceiros;

2.3.6. Compete exclusivamente ao Controlador:

2.3.6.1. Garantir que existe base legal que permite a realização do tratamento e que obteve junto aos Titulares o consentimento, quando for esta a base legal adotada, para a utilização dos Dados Pessoais necessários à prestação do serviço contratado, inclusive com relação aos dados passivos que são resultantes da relação comercial, em conformidade com as disposições da Lei de Proteção de Dados.

2.3.6.2. Disponibilizar os Dados Pessoais para que seja possível a realização dos Serviços, garantindo que os Dados Pessoais tenham sido coletados de acordo com as disposições e princípios das Leis e Regulamentos de Proteção de Dados aplicáveis, vigentes e, especialmente, que as atividades de tratamento pretendidas estejam devidamente subsidiadas por uma das bases legais descritas pela LGPD.

2.3.7. Compete exclusivamente ao Operador:

2.3.7.1. Tratar os dados pessoais unicamente para os propósitos estabelecidos contratualmente, se abstendo de tratar os Dados Pessoais compartilhados pelo Controlador para fins alheios à finalidade do Contrato, ou de forma excessiva ao objeto contratual firmado entre as partes, exceto se houver base legal apropriada ao tratamento.

2.3.7.2. O Operador de Dados, ao término do tratamento, deve devolver os dados pessoais tratados ao Controlador, se assim for instruído, e apagá-los de suas bases, de forma definitiva, exceto se ainda houver base legal que justifique a manutenção dos dados, assegurando em todos os casos a confidencialidade de todos os Dados Pessoais advindos de sua relação com o Controlador.

2.3.7.3. Caso não seja possível atender às instruções do Controlador quanto ao tratamento de dados pessoais, tendo em vista que a mesma poderá afetar a prestação do serviço e/ou a legislação vigente, bem como onerar excessivamente o Contrato, deverá o Operador informar de imediato ao Controlador acerca de sua incapacidade de cumprimento e, nesse caso, o Controlador poderá suspender a transferência dos dados ou ajustar os termos junto aos Titulares para tratar os dados em conformidade com a Lei nº 13.709/2018 e as demais normas e leis que venham a ser promulgadas e que tenham por objeto regulamentar a Proteção de Dados Pessoais.

3. Segurança

3.1. As Partes se comprometem a implementar medidas técnicas, tecnológicas, administrativas e organizacionais adequadas e compatíveis com as atividades de tratamento realizadas. Para avaliar o nível apropriado de segurança, as Partes deverão levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a Incidentes de Segurança, também levando em consideração as categorias de Dados Pessoais tratados e vulnerabilidades já conhecidas.

3.2. Caberá ao Operador manter controle sobre o acesso aos Dados Pessoais franqueados pelo Controlador, exclusivamente para os colaboradores, incluindo empregados e terceiros, alocados para a prestação do serviço contratado, com acesso restrito apenas às informações necessárias para o desenvolvimento do trabalho.

3.3. Declara o Operador que possui mecanismo de autenticação dos acessos, usando o sistema com duplo fator de autenticação.

3.4. O Operador manterá o registro das operações de tratamento de dados pessoais realizadas por meio de suas aplicações, onde será informada a data, duração e a identidade do colaborador responsável pelo acesso.

3.5. Os dados transferidos pelo Controlador serão criptografados para garantir a inviolabilidade destes.

4. Transferência Internacional de Dados

4.1. Caso necessário, única e exclusivamente para a execução dos Serviços, a realização de Transferência Internacional de Dados Pessoais poderá ser realizada, observado, neste caso, o disposto na LGPD e nas demais Leis e Regulamentos de Proteção de Dados.

5. Direitos dos Titulares

5.1. O Operador deve notificar o Controlador em caso de recebimento de solicitação de Titular de Dados Pessoais, quando relacionada a qualquer atividade de Tratamento realizada no contexto do Contrato, para que este tome as devidas providências. Por outro lado, deverá o Operador responder ao Controlador em até 07 (sete) dias úteis, ou em prazo menor, se assim definido pela ANPD, quando o Controlador enviar-lhe qualquer solicitação relativa a direitos dos Titulares de Dados Pessoais.

5.1.1. A notificação se dará através da plataforma acordada entre as Partes, em no máximo 48 (quarenta e oito) horas úteis após o recebimento da solicitação de Exercício de Direito de Titular de Dado Pessoal e validação da identidade do Titular de Xxxx Xxxxxxx. Qualquer demora na comunicação deve ser justificada. Para fins desta Cláusula, as Partes acordam que a notificação será enviada através dos seguintes meios :

(a) Se para o Parceiro: via e-mail.

(b) Se para a DOCK: encaminhamento através do Portal de Privacidade Dock (xxxxx://xxxxxxxxxxx.xxxx.xxxx/xxxx-xxxxxxxx-xx-xxxxx-xx-xxxxxxxxx-xx-xxxx-xxx-x-xxxxx).

5.1.2. O Controlador se compromete à realização de autenticação da identidade do Titular solicitante, a fim de evitar demandas indevidas e/ou fraudulentas. A identidade sempre deverá ser confirmada antes de ser dado prosseguimento à demanda.

5.1.3. O Operador também obriga-se a notificar o Controlador em caso de dificuldades, ou de impossibilidade técnica de atendimento à solicitação deste último, para que seja possível que, através de cooperação, tempestivamente, o Controlador intervenha/ajude/solucione a questão e, se for o caso, acione a Autoridade competente e/ou comunique o Titular de quaisquer questões pertinentes.

5.2. Solicitações de Titulares por via judicial, inquérito policial, dentre outros acionamentos que exijam apresentação de prova em formato específico e/ou com prazos diferenciados de execução: as Partes se comprometem a colaborar e atender adequadamente solicitações e prazos peculiares ao padrão de Solicitação trazido pela LGPD que sejam demandados por processos judiciais, administrativos ou arbitrais (dentre outras situações semelhantes).

5.3. O Controlador se encarregará do fluxo de atendimento aos titulares, acionando o Operador quando necessário, e respeitando as Leis e Regulamentos de Proteção de Dados aplicáveis, bem como determinações

das Autoridades competentes.

5.4. O Operador se compromete, caso tenha conhecimento, em monitorar demandas judiciais que tenham possível relação com Privacidade e Proteção de Dados Pessoais, e comunicar ao Controlador sempre que houver percepção de risco (direto ou indireto) de desdobramentos que digam respeito às atividades de tratamento nas quais as Partes atuam conjuntamente

6. Incidente de Segurança

6.1. Quando o Operador identificar a ocorrência de um Incidente de Segurança que esteja relacionado aos Dados Pessoais compartilhados no âmbito do Contrato e possa causar dano relevante ao Titular, de acordo com a LGPD e eventuais regulamentações que venham a ser emitidas pela Autoridade Nacional de Proteção de Dados, deverá notificar o Controlador por escrito em até 48 (quarenta e oito) horas. A notificação deverá conter informações suficientes (no mínimo, descrição do ocorrido, data, possíveis causas e impactos aos Titulares de Dados Pessoais, ações de mitigação adotadas e próximos passos) para que o Controlador possa cumprir com eventuais exigências impostas pelas Leis e Regulamentos de Proteção de Dados.

6.2. O Controlador poderá exigir informações complementares às oferecidas, nos termos do Item 6.1 supra, cabendo ao Operador responder às solicitações em até 48 (quarenta e oito) horas úteis, contados da data do recebimento do pedido.

6.3. As Partes, com suas próprias despesas, investigarão as causas e as consequências do Incidente de Segurança e tomarão as medidas necessárias para remediar suas consequências, devendo o Operador, quando for o caso, informar prontamente ao Controlador acerca de todas as ações tomadas.

6.4. O Operador deverá manter registro dos Incidentes de Segurança, contendo pelo menos (a) descrição da natureza do Incidente de Segurança, (b) descrição das consequências do Incidente de Segurança e (c) descrição das medidas tomadas ou propostas para tratar do Incidente de Segurança.

6.5. O Operador não divulgará qualquer informação sobre o Incidente de Segurança, a menos que autorizado pelo Controlador, ou se obrigado por determinação de Autoridades Fiscalizadoras, nos termos da lei brasileira.

7. Autoridades Fiscalizadoras

7.1. O Operador deve informar ao Controlador acerca do recebimento de solicitações de informações ou determinações por Autoridades Fiscalizadoras relacionadas a qualquer atividade de Tratamento realizada no contexto do Contrato, para que este possa tomar as devidas providências.

8. Exclusão de Dados Pessoais e Término do Tratamento

8.1. Com o término do acordo entre as partes (ou da finalidade para o tratamento dos Dados Pessoais dentro do contexto dos Termos e Condições Gerais), o Controlador deverá excluir ou anonimizar os dados pessoais objeto do tratamento. O Controlador de dados pode manter apenas os Dados Pessoais necessários

caso ainda haja base legal que justifique o tratamento, ou nas hipóteses previstas no art. 16 da LGPD.

8.1.1. Caso mantenha para cumprimento de obrigações legais ou regulatórias às quais as Partes estejam sujeitas, deve considerar o prazo de retenção estipulado pelas Leis e Regulamentos aplicáveis;

8.1.2. Caso mantenha para exercício regular de direito em processo judicial, arbitral ou administrativo, deve considerar que a retenção de dados deve ser limitada ao prazo limite previsto na legislação para ingresso da ação ou dos recursos cabíveis.

8.2. O Operador, por sua vez, deve, ao término do tratamento de dados Pessoais, devolver os dados pessoais tratados ao Controlador, se assim for instruído, e apagá-los de suas bases, de forma definitiva, salvo em caso de exercício regular de direitos em processo judicial, arbitral ou administrativo, ou se houver ainda base legal que justifique o tratamento, mantido o dever de confidencialidade.

9. Indenização

9.1. Em caso de danos causados por quaisquer das Partes, será observado o disposto no Contrato.

9.2. Cada Parte assumirá a inteira responsabilidade por quaisquer danos causados à Parte prejudicada, aos seus prepostos, clientes e a terceiros, oriundos da indevida utilização e Tratamento de Dados Pessoais, respondendo por multas, sanções, indenizações, condenações e custos impostos por autoridades brasileiras ou estrangeiras, considerada a relação estabelecida entre Controlador e Operador, os agentes de Tratamento, nos termos do artigo 42 da LGPD.

9.3. Caso a Parte prejudicada venha a ser demandada, administrativa, judicial ou extrajudicialmente, em razão de Tratamento de Dados Pessoais realizado pela outra Parte e/ou suas Afiliadas e subcontratados, incluindo, mas não se limitando a situações de Incidentes, a Parte deverá envidar os melhores esforços para excluir a Parte Prejudicada da referida demanda.

9.4. A indenização estará sujeita às seguintes condições:

(a) A Parte Inocente deverá notificar imediatamente a Parte Infratora acerca da reivindicação; e

(b) Deverá ser concedida à Parte Infratora a oportunidade de cooperar com a Parte Inocente para defesa, sendo certo que a Parte Inocente não poderá celebrar qualquer acordo sem o prévio consentimento por escrito da Parte Infratora.

9.5. Acordam as Partes que não estarão sujeitos a qualquer limitação, as obrigações de indenizar e/ou reembolsar a Parte Inocente, por atos ou fatos decorrentes de violação ao previsto neste Instrumento, mesmo que exista qualquer previsão de limitação de responsabilidade no Contrato acima referenciado.

10. Termos Gerais

10.1. Sem prejuízo das disposições sobre Mediação e Jurisdição:

10.1.1. As partes deste Termo se submetem à escolha da jurisdição estipulada no Contrato com

relação a quaisquer disputas ou reivindicações, de qualquer forma, decorrentes deste Termo, incluindo disputas relativas à sua existência, validade ou rescisão ou as consequências de sua nulidade; e

10.1.2. Este Termo e todas as obrigações extracontratuais ou outras decorrentes ou relacionadas a ela são regidas pelas leis do país ou território estipulado para este fim no Contrato.

10.2. Em caso de conflito entre as disposições deste Termo e o Contrato ou qualquer outro documento firmado entre as Partes, especificamente em relação às atividades de Tratamento de Dados Pessoais, prevalecerão as disposições deste Termo, exceto nos casos em que documento superveniente seja firmado entre as partes, declarando expressamente a subsidiariedade deste Termo.

10.3. Este Termo poderá ser alterado pela vontade das partes ou caso sobrevenha nova lei, regulação ou direcionamentos por parte da ANPD ou qualquer Autoridade Fiscalizadora que demandem a alteração de suas disposições. As novas disposições deverão ser acordadas pelas Partes de boa-fé e sempre por escrito.

10.4. Caso qualquer disposição deste Termo seja considerada nula, inválida ou inexequível, as disposições remanescentes permanecerão válidas e em vigor. A disposição nula, inválida ou inexequível deve ser alterada para garantir a sua validade e eficácia, preservando as intenções das partes.

10.5. Este Termo permanecerá em vigor até que o Contrato seja rescindido por qualquer motivo.

Barueri, 05 de julho de 2022.