TERMO ADITIVO AO CONTRATO DE PRESTAÇÃO DE SERVIÇOS CONTINUADOS DE MANUTENÇÃO PREVENTIVA E CORRETIVA DE ELEVADORES, QUE ENTRE SI FAZEM A CVM - COMISSÃO DE VALORES MOBILIÁRIOS E A CROWN SERVIÇOS DE ELEVADORES LTDA – ME.

TERMO ADITIVO AO CONTRATO DE PRESTAÇÃO DE SERVIÇOS CONTINUADOS DE MANUTENÇÃO PREVENTIVA E CORRETIVA DE ELEVADORES, QUE ENTRE SI FAZEM A CVM - COMISSÃO DE VALORES MOBILIÁRIOS E A CROWN SERVIÇOS DE ELEVADORES LTDA – ME.

A CVM - Comissão de Valores Mobiliários, Autarquia Federal vinculada ao Ministério da Economia, com sede na Xxx Xxxx xx Xxxxxxxx, 000 - 00x xxxxx - Xxxxxx - Xxx xx Xxxxxxx/XX (CEP: 20.050-901), inscrita no CNPJ sob o n.º 29.507.878/0001-08, neste ato representada, com base na competência estabelecida pela Resolução n.˚ 24, de 5 de março de 2021, pela Superintendente Administrativo-Financeira, Sra. Cintia de Xxxxxxx Xxxxx, doravante denominada CVM, e a CROWN SERVIÇOS DE ELEVADORES LTDA – ME, estabelecida à Av. dos Italianos, n.º 830, Lojas A e B, Xxxxxx Xxxx, Rio de Janeiro/RJ, CEP: 21.510-103, inscrita no CNPJ sob o n.º 04.171.974/0001-99, doravante designada CONTRATADA, neste ato representada pelo Sr. Xxxx Xxxx Xxxxxxxx Xxxxx Xxxxxx, têm justo e acordado aditar o CONTRATO de prestação de serviços celebrado em 19/07/2021, Processo de Compras nº 19957.003219/2021-22, o qual se regerá pela Lei n.º 8.666, de 21/6/1993 e suas alterações posteriores, e pela Instrução Normativa SEGES/MPDG n.º 5/2017 e seus Anexos, objetivando a prorrogação de sua vigência (Cláusula Segunda), com fundamento no Art. 57, II, da Lei n.° 8.666/93, bem como a inclusão de Cláusula que adeque o presente instrumento ao teor da Lei n.º 13.709/18, em consonância com as disposições da Instrução Normativa n.º 05, Anexo IX, de 26 de maio de 2017, da SEGES/MPDG, nos termos e condições a seguir:

1. Fica prorrogada a vigência do contrato ora aditado por 12 (doze) meses, a contar de 02/09/2022 com termo final em 01/09/2023.

2. Fica incluída a Cláusula Décima Sétima ao contrato, com a seguinte redação:

17. CLÁUSULA DÉCIMA SÉTIMA – ADERÊNCIA À LGPD

17.1 A CONTRATADA deverá executar o objeto do certame em estreita observância dos ditames estabelecidos pela Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), conforme Anexo I deste Contrato.

3. Permanecem inalterados os demais termos e condições do contrato. E, por estarem de comum acordo, firmam o presente Xxxxx Xxxxxxx.

XXXXXX XX XXXXXXX XXXXX XXXX XXXX XXXXXXXX XXXXX XXXXXX

Pela CVM Pela CONTRATADA

ANEXO I AO CONTRATO CVM Nº 013/2021 TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS

PROCESSO DE COMPRAS Nº 19957.003219/2021-22 PREGÃO ELETRÔNICO Nº 05/2021

1. FINALIDADE E CONDIÇÕES GERAIS DO ANEXO

O presente anexo tem como finalidade firmar as condições e responsabilidades a serem assumidas pelas partes no que se refere a aplicabilidade da Lei Geral de Proteção de Dados – LGPD.

2. DEFINIÇÕES

2.1 Para efeito deste termo, serão consideradas as seguintes definições:

2.1.1 Leis e Regulamentos de Proteção de Dados - Quaisquer leis, portarias e regulações, incluindo-se aí as decisões publicadas pela Autoridade Fiscalizadora competente, aplicável ao Tratamento dos Dados Pessoais no território nacional.

2.1.2 LGPD - Lei Geral de Proteção de Dados, e suas respectivas alterações posteriores (Lei nº 13.709, de 14 de agosto de 2018).

2.1.3 Dados Pessoais da Contratante (CVM) - Significam qualquer Dado Pessoal Tratado pelo Contratado ou Operador, incluindo Dados Pessoas Sensíveis, nos termos de ou em relação com o Contrato.

2.1.4 Serviços - Serviços e outras atividades que serão fornecidas ou realizadas pelo ou em nome do Contratado para a Contratante (CVM), nos termos do Contrato.

2.1.5 Colaborador(es) – Significa qualquer empregado, funcionário, inclusive subcontratados ou terceirizados, representantes ou prepostos, remunerado ou sem remuneração, em regime integral ou parcial, que atue em nome das Partes e que tenha acesso a Dados Pessoais.

2.1.6 Incidente de Segurança – Significa toda e qualquer situação, acidental ou intencional, ilícita ou sem autorização da Controladora, praticada mediante culpa ou dolo, que provoque, em relação a Dados Pessoais: (i) a destruição; (ii) a perda; (iii) a alteração; (iv) a comunicação ou difusão; ou (v) o acesso a Terceiros.

2.1.7 Autoridades Fiscalizadoras – Significa qualquer autoridade, inclusive judicial, competente para fiscalizar, julgar e aplicar a legislação pertinente, incluindo, mas não se limitando, à ANPD.

2.1.8 Os termos “Tratamento”, “Dado Pessoal”, “Dado Pessoal Sensível”, “ANPD”, “Titular” e “Relatório de Impacto à Proteção de Dados” terão, para os efeitos deste Anexo, o mesmo significado que lhes é atribuído na Lei nº 13.709/18.

2.2 Para os efeitos deste Anexo, a Contratante (CVM) é a Controladora, na qualidade de pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.

2.3 Para os efeitos deste Anexo, o Contratado é o Operador, na qualidade de pessoa jurídica que realiza o tratamento de dados pessoais em nome da Controladora.

2.4 As partes comprometem-se a proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, relativos ao tratamento de dados pessoais, inclusive nos meios digitais, observando-se, em especial, o disposto nas Leis 13.709/2018 e 12.965/2014.

3. DO TRATAMENTO DE DADOS PESSOAIS São deveres da Controladora:

3.1.1 A Controladora declara que realiza o tratamento de dados pessoais com base nas hipóteses dos Arts. 7º e/ou 11º da Lei 13.709/2018 às quais se submeterão os serviços, e responsabiliza- se pela realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, pela compatibilidade no tratamento com as finalidades informadas junto ao titular, assim como pela definição da forma de tratamento dos referidos dados, além de informar ao Titular que seus dados pessoais são compartilhados com este Contratado, que atua na qualidade de Operador.

3.1.2 Caso realize tratamento de dados pessoais baseado em "consentimento" (Arts. 7º I ou 11, I da LGPD), a Controladora é responsável pela guarda adequada do instrumento de consentimento fornecido pelo Titular, e deverá informar ao titular do dado sobre o compartilhamento de seus dados com o operador visando atender às finalidade para o respectivo tratamento.

3.1.2.1 Compartilhar, sem demora, o instrumento de consentimento com o Contratado, quando solicitado, visando atender requisições e determinações das autoridades fiscalizadoras, Ministério Público, Poder Judiciário ou Órgãos de controle administrativo.

3.1.3 A Contratante (CVM) notificará ao Contratado e/ou Operador sobre qualquer possível risco de Incidente de Segurança ou de descumprimento com quaisquer Leis e Regulamentos de Proteção de Dados de que venha a ter conhecimento ou suspeita, devendo, o Contratado/Operador, em até 30 (trinta) dias corridos, tomar as medidas necessárias, informando a Contratante (CVM).

São deveres do Operador:

3.2.1 Garantir que o tratamento seja limitado às atividades necessárias ao atingimento das finalidades de execução do contrato e do serviço contratado, e utilizá-los, quando seja o caso, em cumprimento de obrigação legal ou regulatória, no exercício regular de direito, por determinação judicial ou por requisição da ANPD.

3.2.2 Cooperar com a Controladora no cumprimento das obrigações referentes ao exercício dos direitos dos Titulares previstos na LGPD e nas Leis e Regulamentos de Proteção de Dados em vigor e também no atendimento de requisições e determinações do Poder Judiciário, Ministério Público e Órgãos de controle administrativo.

3.2.3 Comunicar, sem demora, à Controladora, o resultado de auditoria realizada pela ANPD, na medida em que esta diga respeito aos dados da Controladora. Caso sejam detectadas eventuais desconformidades, o Operador irá corrigi-las dentro de um prazo razoável e informará a Controladora a este respeito.

3.2.4 Informar imediatamente à Contratante (CVM) quando receber uma solicitação de um Titular de Dados, a respeito dos seus Dados Pessoais.

3.2.5 Abster-se de responder qualquer solicitação em relação aos Dados Pessoais do solicitante, exceto nas instruções documentadas da Contratante (CVM) ou conforme exigido pela LGPD e Leis e Regulamentos de Proteção de Dados em vigor.

3.2.6 Informar imediatamente à Contratante (CVM), assim que tomar conhecimento, de:

a) qualquer investigação ou apreensão de Dados Pessoais sob o controle da Contratante (CVM) por oficiais do governo ou qualquer indicação específica de que tal investigação ou apreensão seja iminente.

b) quaisquer outros pedidos provenientes desses funcionários públicos.

c) qualquer informação que seja relevante em relação ao tratamento de Dados Pessoais da Contratante (CVM).

d) qualquer incidente ou violação que afete o negócio ou que demande ação por parte da Controladora.

4. DOS COLABORADORES DO CONTRATADO

O Contratado assegurará que o acesso e o Tratamento dos Dados Pessoais da Contratante (CVM) fiquem restritos aos Colaboradores que precisam efetivamente tratá-los, com o objetivo único de alcançar as finalidades definidas no contrato indicado no preâmbulo, bem como que tais Colaboradores:

4.1 Tenham recebido treinamentos referentes aos princípios da proteção de dados e às leis que envolvem o tratamento.

4.2 Tenham conhecimento das obrigações do Contratado, incluindo as obrigações do presente Termo.

Todos os Colaboradores do Contratado, bem como os em exercício na Empresa, são obrigados a guardar sigilo quanto aos elementos manipulados, incluindo os que envolvam dados pessoais.

5. DA SEGURANÇA DOS DADOS PESSOAIS

O Contratado adotará medidas técnicas e administrativas adequadas a assegurar a proteção de dados (nos termos do artigo 46 da LGPD), de modo a garantir um nível apropriado de segurança aos Dados Pessoais tratados e mitigar possíveis riscos. Ao avaliar o nível apropriado de segurança, o Contratado deverá levar em conta os riscos que são apresentados pelo Tratamento, em particular aqueles relacionados a potenciais Incidentes de Segurança, identificação de vulnerabilidades e adequada gestão de risco.

O Contratado manterá os Dados Pessoais de clientes da Contratante (CVM) e informações confidenciais sob programas de segurança (incluindo a adoção e a aplicação de políticas e procedimentos internos), elaborados visando (a) proteção contra perdas, acessos ou divulgação acidentais ou ilícitos; (b) identificar riscos prováveis e razoáveis para segurança e acessos não autorizados à sua rede; e (c) minimizar riscos de segurança, incluindo avaliação de riscos e testes regulares.

O Contratado designará um ou mais empregados para coordenar e para se responsabilizar pelo programa de segurança da informação, que inclui a garantia de cumprimento de políticas internas de segurança da informação.

Em caso de incidente de acesso indevido, não autorizado e do vazamento ou perda de dados pessoais que tiverem sido transferidos pela Contratante (CVM), independentemente do motivo que o tenha ocasionado, o Contratado comunicará à Contratante (CVM) imediatamente a partir da ciência do incidente, contendo, no mínimo, as seguintes informações: (i) data e hora do incidente; (ii) data e hora da ciência pelo Contratado; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de Titulares afetados; (v) dados de contato do Encarregado de Proteção de Dados ou outra pessoa junto à qual seja possível obter maiores informações sobre o ocorrido; e (vi) indicação de medidas que estiverem sendo tomadas para reparar o dano e evitar novos incidentes. Caso o Contratado não disponha de todas as informações ora elencadas no momento de envio da comunicação, deverá enviá-las de forma gradual, objetivando a garantir a maior celeridade possível, sendo certo que a comunicação completa (com todas as informações indicadas) deve ser enviada no prazo máximo de 5 dias a partir da ciência do incidente.

6. DA TRANSFERÊNCIA INTERNACIONAL DE DADOS

As transferências de Dados Pessoais da Contratante (CVM) pelo Contratado para um terceiro país, ou seja, um país diferente daquele em que os Dados Pessoais são disponibilizados ao Contratado, são permitidas somente quando tais transferências forem estritamente necessárias para a execução do Contrato e de acordo com as condições e os limites estabelecidos a seguir.

O Contratado/Operador deverá notificar a Contratante (CVM), sem demora indevida, de quaisquer intenções de transferências permanentes ou temporárias dos Dados Pessoais da Contratante (CVM) pelo Contratado para um terceiro país e somente realizar tal transferência após obter autorização, por escrito, da Controladora, que pode ser negada a seu critério.

6.1 Essa notificação à Contratante (CVM) deverá conter informações detalhadas sobre para quais países as informações seriam transferidas e para quais finalidades.

Quando a transferência for solicitada pela Contratante (CVM) ou necessária para a prestação dos Serviços (mediante prévia autorização, por escrito, da Contratante (CVM)), o Contratado deverá adotar os mecanismos de transferência internacional pertinentes (incluindo, quando aplicável, as futuras cláusulas padrão aprovadas pela ANPD para Transferência Internacional de Dados Pessoais, sempre que estiverem disponíveis, ou, quando aplicável, cláusulas contratuais exigidas por países destinatários).

7. DA EXCLUSÃO E DEVOLUÇÃO DOS DADOS PESSOAIS DA CONTRATANTE (CVM)

O Contratado deverá, quando do término da vigência do contrato, envolvendo o Tratamento de Dados Pessoais da Contratante (CVM), prontamente interromper o tratamento dos Dados Pessoais da Contratante (CVM) e, em no máximo (30) dias, sob instruções e na medida do determinado pela Contratante (CVM), eliminar completamente os Dados Pessoais e todas as cópias porventura existentes (seja em formato digital ou físico), salvo quando o Contratado tenha que manter os dados para cumprimento de obrigação legal ou outra hipótese da LGPD.

8. DAS RESPONSABILIDADES

Eventuais responsabilidades das partes, serão apuradas conforme estabelecido no corpo deste Anexo, do contrato em que ele se insere e também de acordo com o que dispõe a Seção III, Capítulo VI da LGPD.

9. DAS DISPOSIÇÕES FINAIS

Sem prejuízo de eventuais disposições sobre mediação e jurisdição.

9.1 Na hipótese de conflito entre o presente Anexo e o Contrato, prevalecerão as disposições do Contrato.

9.2 As partes ajustarão variações a este Anexo que sejam necessárias para atender aos requisitos de quaisquer mudanças nas Leis e Regulamentos de Proteção de Dados.

Caso qualquer disposição deste Anexo seja inválida ou inexequível, o restante deste Anexo permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o máximo possível ou, se isso não for possível, (ii) interpretadas de maneira como se a disposição inválida ou inexequível nunca estivesse contida nele.