CONTRATO DE TRATAMENTO DE DADOS DOS SERVIÇOS CLOUD
CONTRATO DE TRATAMENTO DE DADOS DOS SERVIÇOS CLOUD
1. DEFINIÇÕES
1.1. “Controlador” significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina a finalidade e os meios de tratamento de Dados Pessoais; para os fins deste DPA, quando o Cliente atuar como um operador para outro controlador, ele deverá ser considerado, em relação à SAP, um Controlador adicional e independente, com os direitos e obrigações aplicáveis aos controladores nos termos deste DPA.
1.2. “Lei de Proteção de Dados” significa a legislação aplicável que protege os direitos e as liberdades fundamentais de pessoas e o direito à privacidade, em relação ao tratamento de Dados Pessoais nos termos do Contrato, incluindo a Lei 13.709 de 14 de agosto de 2018 (“LGPD”).
1.3. “Titular dos Dados” significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção de Dados.
1.4. "EEE" significa o Espaço Econômico Europeu, ou seja, os estados-membros da União Europeia, juntamente com Islândia, Liechtenstein e Noruega.
1.5. "GDPR" significa o Regulamento Geral de Proteção de Dados 2016/679.
1.6. "My Trust Center" significa informações disponíveis no portal de suporte da SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou no site de contratos da SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou em qualquer site subsequente disponibilizado pela SAP ao Cliente.
1.7. "Nova Transferência Relevante para SCC" significa uma transferência ou uma transferência posterior para um País Terceiro de Dados Pessoais sujeito ao GDPR ou à Lei de Proteção de Dados aplicável e quando qualquer meio de adequação exigido pelo GDPR ou pela Lei de Proteção de Dados aplicável puder ser cumprido celebrando as Novas Cláusulas Contratuais Padrão.
1.8. "Novas Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão inalteradas, publicadas pela Comissão Europeia (referência 2021/914) ou qualquer versão final subsequente, que deverá ser aplicada automaticamente. Para evitar dúvidas, os Módulos 2 e 3 (das Novas Cláusulas Contratuais Padrão) devem ser aplicados conforme definido na Cláusula 8.
1.9. “Dados Pessoais” significa informações relacionadas a um Titular dos Dados protegido pela Lei de Proteção de Dados. Para os fins do DPA, incluem somente dados pessoais:
a) inseridos pelo Cliente ou por seus Usuários Autorizados ou derivados de seu uso do Serviço Cloud; ou
b) fornecidos ou acessados pela SAP ou seus Operadores Subcontratados para fornecer suporte de acordo com o Contrato. Os Dados Pessoais são um subconjunto dos Dados do Cliente (conforme definido no Contrato).
1.10. "Violação de Dados Pessoais" significa:
a) destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros aos Xxxxx Xxxxxxxx; ou
b) incidente similar envolvendo Xxxxx Xxxxxxxx, em todos os casos em que um Controlador for obrigado, de acordo com a Lei de Proteção de Dados, a notificar as autoridades competentes de proteção de dados ou os Titulares dos Dados.
1.11. “Operador” significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador, seja diretamente como operador de um controlador ou indiretamente como Operador Subcontratado de um operador que processa dados pessoais em nome do Controlador.
1.12. "Anexo" significa o Apêndice numerado em relação às Cláusulas Contratuais Padrão (2010) e o Anexo numerado em relação às Novas Cláusulas Contratuais Padrão.
1.13. "Cláusulas Contratuais Padrão (2010)" significa as Cláusulas Contratuais Padrão (operadores) publicadas pela Comissão Europeia, referência 2010/87/EU.
1.14. “Operador Subcontratado” ou “sub-operador” significa as Afiliadas SAP, a SAP SE, as Afiliadas SAP SE e os terceiros envolvidos pela SAP, pela SAP SE ou pelas Afiliadas SAP SE em conexão com o Serviço Cloud e que processam os Dados Pessoais de acordo com esse DPA.
1.15. "Medidas Técnicas e Organizacionais" significa as medidas técnicas e organizacionais do Serviço Cloud relevante publicadas no My Trust Center (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx- center/agreements/cloud/cloud-services.html?search=Technical%20Organizational%20Measures).
1.16. "País Terceiro" significa qualquer país, organização ou território não reconhecido pela União Europeia nos termos do Artigo 45 do GDPR como país seguro com nível adequado de proteção de dados.
2. BACKGROUND
2.1. Finalidade e aplicação
2.1.1. Este documento ("DPA") é incorporado ao Contrato e faz parte de um contrato por escrito, inclusive em formulário eletrônico, entre a SAP e o Cliente.
2.1.2. Este DPA se aplica a Dados Pessoais tratados pela SAP e por seus Operadores Subcontratados em conexão com o fornecimento do Serviço Cloud.
2.1.3. Este DPA não se aplicará a ambientes não produtivos do Serviço Cloud se tais ambientes forem disponibilizados pela SAP. O Cliente não deve armazenar Dados Pessoais em ambientes não produtivos.
2.2. Estrutura
Os Apêndices 1 e 2 são incorporados e constituem parte deste DPA. Eles definem o tópico acordado, a natureza e a finalidade do tratamento, os tipos de Dados Pessoais, as categorias dos titulares dos dados (Apêndice 1) e as Medidas Técnicas e Organizacionais aplicáveis (Apêndice 2).
2.3. Governança
2.3.1. A SAP atua como um Operador e o Cliente e as empresas que ela autoriza a usar o Serviço Cloud atuam como Controladores, nos termos do DPA.
2.3.2. O Cliente atua como ponto único de contato e deverá obter as autorizações, consentimentos e permissões necessárias para o tratamento de Dados Pessoais de acordo com este DPA, incluindo, quando aplicável, a aprovação por Controladores para usar a SAP como um Operador. As autorizações, o consentimento, as instruções ou as permissões são fornecidas pelo Cliente não somente em seu nome, mas também em nome de qualquer outro Controlador que usa o Serviço Cloud. Quando a SAP informar ou notificar o Cliente, tal informação ou notificação será considerada recebida pelos Controladores autorizados pelo Cliente a usar o Serviço Cloud. O Cliente deverá encaminhar tais informações e notificações aos Controladores relevantes.
3. SEGURANÇA DO TRATAMENTO
3.1. Aplicabilidade das Medidas Técnicas e Organizacionais
A SAP implementou e aplicará as Medidas Técnicas e Organizacionais. O Cliente analisou tais medidas e concorda que, em relação ao Serviço Cloud selecionado no Formulário de Pedido, as medidas são apropriadas e levam em consideração a situação, os custos da implementação, a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais.
3.2. Alterações
3.2.1. A SAP aplica as Medidas Técnicas e Organizacionais a toda a base de clientes da SAP hospedada no mesmo centro de dados ou recebendo o mesmo Serviço Cloud. A SAP pode alterar as Medidas Técnicas e Organizacionais a qualquer momento sem notificação prévia desde que mantenha um nível de segurança equivalente ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
3.2.2. A SAP publicará versões atualizadas das Medidas Técnicas e Organizacionais no My Trust Center e, quando disponível, o Cliente poderá optar por receber notificações por e-mail das versões atualizadas.
4. OBRIGAÇÕES DA SAP
4.1. Instruções do Cliente
A SAP processará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato, incluindo este DPA, constitui tais instruções iniciais registradas, e cada uso do Serviço Cloud constitui instruções posteriores. A SAP envidará esforços razoáveis para seguir todas as demais instruções do Cliente, desde que sejam exigidas pela Lei de Proteção de Dados, sejam tecnicamente viáveis e que não exijam mudanças no Serviço Cloud. Se alguma das exceções for aplicável, se a SAP não puder cumprir as instruções ou se julgar que uma instrução fere a Lei de Proteção de Dados, a SAP notificará o Cliente imediatamente (pode ser por e-mail).
4.2. Tratamento determinado por lei
A SAP também pode processar Dados Pessoais quando for obrigada por lei. Nesse caso, a SAP informará ao Cliente sobre a exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos relevantes de interesse público.
4.3. Equipe
Para processar Xxxxx Xxxxxxxx, a SAP e seus Operadores Subcontratados deverão garantir acesso apenas a pessoal autorizado, comprometido com a confidencialidade. A SAP e os Operadores Subcontratados devem treinar regularmente a equipe que tem acesso a Dados Pessoais em segurança de dados e medidas de privacidade de dados.
4.4. Cooperação
4.4.1. Mediante solicitação do Cliente, a SAP irá cooperar com o Cliente e com os Controladores para lidar com as solicitações feitas pelos Titulares dos Dados ou pelas autoridades regulatórias em relação ao tratamento de Dados Pessoais ou a qualquer Violação de Dados Pessoais.
4.4.2. Se a SAP receber uma solicitação de um Titular dos Dados em relação ao tratamento de Dados Pessoais aqui previsto, a SAP notificará imediatamente o Cliente (se o Titular dos Dados forneceu informações para identificar o Cliente) por e-mail e não responderá à solicitação em si, mas solicitará ao Titular dos Dados que redirecione sua solicitação ao Cliente.
4.4.3. Em caso de disputa com um Titular dos Dados em relação ao tratamento de Dados Pessoais pela SAP de acordo com este DPA, as Partes deverão manter-se mutuamente informadas e, quando apropriado, cooperar razoavelmente com o objetivo de resolver amigavelmente a disputa com o Titular dos Dados.
4.4.4. A SAP deverá fornecer recursos para sistemas de produção que suportem a capacidade do Cliente de corrigir, excluir ou anonimizar Dados Pessoais de um Serviço Cloud, ou de restringir seu tratamento de acordo com a Lei de Proteção de Dados. Quando essa funcionalidade não for fornecida, a SAP irá corrigir, excluir ou anonimizar os Dados Xxxxxxxx, ou restringirá seu tratamento de acordo com as instruções do Cliente e com a Lei de Proteção de Dados.
4.5. Notificação de violação de Xxxxx Xxxxxxxx
A SAP irá notificar o Cliente tão logo tome conhecimento sobre qualquer Violação de Xxxxx Xxxxxxxx, bem como fornecer as informações que tiver para auxiliar o Cliente a cumprir sua obrigação de informar sobre a Violação de Dados Pessoais nos termos da Lei de Proteção de Dados. A SAP pode fornecer tais informações em fases, à medida que se tornarem disponíveis. Tal notificação não pode ser interpretada como uma admissão de culpa ou de responsabilidade pela SAP.
4.6. Avaliação de impacto de proteção aos dados
Se, de acordo com a Lei de Proteção de Dados, o Cliente ou seus Controladores forem obrigados a realizar uma avaliação de impacto da proteção aos dados ou consulta prévia com um regulador, mediante solicitação do Cliente, a SAP fornecerá tais documentos normalmente disponíveis para o Serviço Cloud (por exemplo,
este DPA, o Contrato, Relatórios de Auditoria e Certificações). Toda assistência adicional deve ser acordada mutuamente entre as Partes.
5. EXPORTAÇÃO E EXCLUSÃO DE DADOS
5.1. Exportação e recuperação pelo Cliente
Durante o Prazo de Subscrição e sujeito aos termos do Contrato, o Cliente pode acessar seus Dados Pessoais a qualquer momento. O Cliente pode exportar e recuperar seus Dados Pessoais em um formato padrão. A exportação e a recuperação podem estar sujeitas a limitações técnicas, situação em que a SAP e o Cliente devem encontrar um método razoável para permitir que o Cliente acesse os Dados Pessoais.
Antes do término do Prazo de Subscrição, o Cliente pode usar as ferramentas de exportação da SAP, conforme disponíveis, para realizar uma exportação final dos Dados Pessoais a partir do Serviço Cloud, o que configura uma devolução de Dados Pessoais. Ao final do Prazo de Subscrição, o Cliente desde já instrui a SAP a excluir os Dados Pessoais remanescentes nos servidores que hospedam o Serviço Cloud dentro de um período de tempo razoável, de acordo com a Lei de Proteção de Dados, (não superior a 6 meses) exceto se a legislação aplicável exigir a retenção.
6. CERTIFICAÇÕES E AUDITORIAS
O Cliente ou seu auditor independente aceito pela SAP (não pode incluir auditores concorrentes da SAP nem auditores não qualificados e devem ser independentes) podem realizar auditoria no ambiente de controle e nas práticas de segurança da SAP aplicáveis aos Dados Pessoais tratados pela SAP somente se:
a) a SAP não tiver fornecido evidências suficientes sobre sua conformidade com as Medidas Técnicas e Organizacionais que protegem os sistemas produtivos do Serviço Cloud através de: (i) uma certificação sobre conformidade com ISO 27001 ou outros padrões (escopo definido no certificado); ou (ii) um ISAE3402 ou ISAE3000 válidos ou outro relatório de certificação SOC1-3. Mediante solicitação do Cliente, relatórios de auditoria ou certificações ISO estão disponíveis através do auditor externo ou da SAP;
b) tiver ocorrido uma Violação de Dados Pessoais;
c) uma auditoria tiver sido solicitada formalmente pela autoridade de proteção de dados do Cliente; ou
d) tiverem sido fornecidos direitos, de acordo com a Lei de Proteção de Dados, assegurando ao Cliente direito de auditoria direta e o Cliente só poderá realizar a auditoria uma vez a cada período de 12 meses, salvo se a Lei de Proteção de Dados exigir auditorias mais frequentes.
6.2. Outra auditoria de controlador
Qualquer outro Controlador poderá assumir os direitos do Cliente previstos na Cláusula 6.1 somente se aplicável diretamente ao Controlador e se a auditoria for permitida e coordenada pelo Cliente. O Cliente deverá usar todos os meios razoáveis para combinar auditorias de vários outros Controladores para evitar múltiplas auditorias, a menos que a auditoria deva ser realizada pelo outro Controlador de acordo com a Lei de Proteção de Dados. Se diversos Controladores cujos Dados Pessoais sejam tratados pela SAP com base no Contrato exigirem uma auditoria, o Cliente deverá envidar todos os esforços razoáveis para combinar as auditorias e evitar múltiplas auditorias.
6.3. Escopo da auditoria
O Cliente deve fornecer notificação com antecedência mínima de 60 dias sobre qualquer auditoria, salvo se a Lei de Proteção de Dados ou uma autoridade de proteção de dados exigir prazo menor. A frequência e o escopo das auditorias devem ser acordados mutuamente entre as partes, atuando de maneira razoável e de boa-fé. O tempo de duração das auditorias do Cliente deve ser limitado a no máximo 3 dias úteis. Além de tais restrições, as partes irão usar as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O Cliente deve fornecer os resultados de qualquer auditoria à SAP.
6.4. Custo das auditorias
O Cliente deve arcar com os custos de qualquer auditoria, salvo se tal auditoria revelar violação material deste DPA pela SAP, situação em que a SAP deverá arcar com as suas despesas relacionadas a uma auditoria. Se uma auditoria determinar que a SAP violou suas obrigações nos termos do DPA, a SAP deverá sanar imediatamente a violação, às suas custas.
7. OPERADORES SUBCONTRATADOS
7.1. Uso autorizado
A SAP recebe uma autorização geral para subcontratar o tratamento de Dados Pessoais para Operador Subcontratado, desde que:
a) a SAP ou a SAP SE, em seu nome, celebre um contrato por escrito com os Operadores Subcontratados (inclusive em formato eletrônico) consistente com os termos deste DPA em relação ao tratamento de Dados Pessoais pelo Operador Subcontratado. A SAP será responsabilizada por violações pelo Operador Subcontratado de acordo com os termos deste Contrato;
b) a SAP avalie a segurança, a privacidade e a confidencialidade de um Operador Subcontratado antes de selecioná-lo, para verificar se ele é capaz de fornecer o nível de proteção aos Dados Pessoais exigidos pelo presente DPA; e
c) a lista de Operadores Subcontratados da SAP em vigor na data de início de vigência do Contrato seja publicada pela SAP no My Trust Center ou a SAP disponibilize a lista ao Cliente mediante solicitação, incluindo o nome, endereço e a função de cada Operador Subcontratado que a SAP usa para fornecer o Serviço Cloud.
7.2. Novos Operadores Subcontratados
O uso de Operadores Subcontratados pela SAP fica a seu próprio critério, ficando estabelecido que:
a) a SAP informará ao Cliente antecipadamente (por e-mail ou publicando no My Trust Center) sobre qualquer inclusão ou substituição à lista de Operadores Subcontratados, incluindo nome, endereço e função no novo Operador Subcontratado; e
b) o Cliente poderá se opor a tais modificações, conforme definido nesta Seção 7.3.
7.3. Objeções a novos Operadores Subcontratados
7.3.1. Se o Cliente tiver uma razão legítima, de acordo com a Lei de Proteção de Dados, para se opor ao tratamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá rescindir o Contrato (limitado ao Serviço Cloud para o qual o novo Operador Subcontratado seria usado) mediante notificação por escrito à SAP. Tal rescisão entrará em vigor no momento determinado pelo Cliente, que não pode ser superior a 30 dias a partir da data da notificação da SAP ao Cliente informando sobre o novo Operador Subcontratado. Se o Cliente não rescindir o contrato dentro deste período de 30 dias, o Cliente terá aceito tacitamente o novo Operador Subcontratado.
7.3.2. Dentro do período de 30 dias a partir da data de notificação da SAP ao Cliente informando sobre o novo Operador Subcontratado, o Cliente poderá solicitar que as partes se reúnam para discutir uma solução quanto à objeção. Tais discussões não devem extrapolar o prazo para rescisão e não afetam o direito da SAP de usar o novo Operador Subcontratado após o período de 30 dias.
7.3.3. As rescisões previstas nesta Cláusula 7.3 não são consideradas como culposas e estão sujeitas aos termos do Contrato.
7.4. Substituição de Emergência
8. TRATAMENTO INTERNACIONAL
8.1. Condições para o Tratamento Internacional
De acordo com este DPA, a SAP terá o direito de tratar Dados Pessoais, inclusive através do uso de Operadores Subcontratados, fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção de Dados.
8.2. Aplicabilidade das Cláusulas Contratuais Padrão (2010).
a) a SAP e o Cliente assinam as Cláusulas Contratuais Padrão (2010);
c) outros controladores cujo uso dos Serviços Cloud foram autorizados pelo Cliente nos termos do Contrato também podem celebrar as Cláusulas Contratuais Padrão (2010) com a SAP ou com os Operadores Subcontratados do mesmo modo que o Cliente, de acordo com a Cláusula 8.2.1 a) e b) acima. Nesse caso, o Cliente celebrará as Cláusulas Contratuais Padrão (2010) em nome de outros Controladores.
8.2.2. As Cláusulas Contratuais Padrão (2010) são regidas pela legislação do país em que o Controlador é constituído.
8.3. Aplicabilidade das Novas Cláusulas Contratuais Padrão
8.3.1. O disposto a seguir é aplicável a partir de 27 de setembro de 2021 e só se aplica em relação às Novas Transferências Aplicáveis às SCCs.
8.3.1.1. Quando a SAP não está localizada em um País Terceiro e atua como exportadora de dados, a SAP (ou a SAP SE em seu nome) celebrou as Novas Cláusulas Contratuais Padrão com cada Operador Subcontratado como importador de dados. O Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão será aplicável às Novas Transferências Aplicáveis às SCCs.
8.3.1.2. Quando a SAP está localizada em um País Terceiro:
A SAP e o Cliente, por meio deste instrumento, celebram as Novas Cláusulas Contratuais Padrão com o Cliente como exportador de dados e a SAP como importador de dados, que se aplica da seguinte forma:
a) o Módulo 2 (Controlador para Operador) será aplicado quando o Cliente for um Controlador; e
b) o Módulo 3 (Operador para Operador) será aplicado quando o Cliente for um Operador. Quando o Cliente atua como Operador no Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão, a SAP reconhece que o Cliente atua como Operador de acordo com as instruções de seus Controladores.
8.3.2. Outros Controladores ou Operadores cujo uso dos Serviços Cloud tenha sido autorizado pelo Cliente nos termos do Contrato também poderão celebrar as Novas Cláusulas Contratuais Padrão com a SAP da mesma maneira que o Cliente, de acordo com a Cláusula 8.3.1.28.3.1.2 acima. Nesse caso, o Cliente celebrará as Novas Cláusulas Contratuais Padrão em nome de outros Controladores ou Operadores.
8.3.3. Em relação a uma Nova Transferência Aplicável às SCCs, mediante solicitação de um Titular dos Dados para o Cliente, o Cliente pode disponibilizar uma cópia do Módulo 2 ou 3 das Novas Cláusulas Contratuais Padrão celebradas entre o Cliente e a SAP (incluindo os Anexos aplicáveis), para os Titulares dos Dados.
8.3.4. A legislação aplicável às Novas Cláusulas Contratuais Padrão será a da Alemanha.
8.4. Relação das Cláusulas Contratuais Padrão com o Contrato
Nenhum dispositivo do Contrato prevalecerá sobre qualquer Cláusula conflitante das Cláusulas Contratuais Padrão (2010) nem sobre as Novas Cláusulas Contratuais Padrão. As regras de auditoria e de Operador Subcontratado previstas neste DPA também são aplicáveis em relação às Cláusulas Contratuais Padrão (2010) e às Novas Cláusulas Contratuais Padrão.
8.5. Direitos de Terceiros Beneficiários previstos nas Novas Cláusulas Contratuais Padrão
8.5.1. Quando o Cliente estiver localizado em um País Terceiro e estiver atuando como importador de dados no Módulo 2 ou Módulo 3 das Novas Cláusulas Contratuais Padrão e a SAP estiver atuando como Operador Subcontratado do Cliente nos termos do Módulo aplicável, o respectivo exportador de dados terá o seguinte direito como terceiro beneficiário:
8.5.2. Caso o Cliente deixe de existir ou se torne insolvente (em todos os casos sem uma empresa sucessora que tenha assumido as obrigações legais do Cliente por contrato ou por força de lei), o exportador de dados aplicável terá o direito de cancelar o Serviço Cloud afetado somente na medida em que os Dados Pessoais do exportador de dados sejam tratados. Nesse caso, o respectivo exportador de dados também instruirá a SAP sobre apagar ou devolver os Dados Pessoais.
9. DOCUMENTAÇÃO; REGISTROS DE TRATAMENTO
9.1. Cada parte é responsável pela conformidade com seus requisitos de documentação, em especial quanto à manutenção de registros de tratamento onde exigido pela Lei de Proteção de Dados. As partes devem se auxiliar em relação às solicitações de documentação, inclusive fornecendo informações que a outra parte necessite conforme solicitado de forma razoável (uso de sistema eletrônico, por exemplo), para permitir que a outra parte cumpra as obrigações relacionadas à manutenção de registros de tratamento.
Anexo 1 Descrição do tratamento
Este Anexo 1 se aplica para descrever o Tratamento de Dados Pessoais para os fins das Cláusulas Contratuais Padrão (2010), Novas Cláusulas Contratuais Padrão e Lei de Proteção de Dados aplicável.
1. A. LISTA DE PARTES
1.1. De acordo com as Cláusulas Contratuais Padrão (2010)
1.1.1. Exportador de Dados
De acordo com as Cláusulas Contratuais Padrão (2010), o exportador de dados é o Cliente que assina um Serviço Cloud que permite aos Usuários Autorizados inserir, aditar, usar, excluir ou de outra forma tratar Dados Pessoais. Quando o Cliente permite que outros Controladores usem o Serviço Cloud, esses outros Controladores também serão exportadores de dados.
1.1.2. Importador de Dados
A SAP e seus Operadores Subcontratados que fornecem e suportam o Serviço Cloud são importadores de dados de acordo com as Cláusulas Contratuais Padrão (2010).
1.2. Sob as novas cláusulas contratuais padrão
1.2.1. Módulo 2: Transferência Controlador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será o Controlador e a SAP será o Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
1.2.2. Módulo 3: Transferência Operador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será um Operador e a SAP será um Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
2. B. DESCRIÇÃO DA TRANSFERÊNCIA
2.1. Titulares dos Dados
Salvo se de outra forma previsto pelo exportador de dados, os Dados Pessoais transferidos são relativos às seguintes categorias de Titulares dos Dados: funcionários, contratados, parceiros de negócio ou outros indivíduos que possuem Dados Pessoais armazenados no Serviço Cloud, transmitidos, disponibilizados, acessados ou de outra forma tratados pelo importador de dados.
2.2. Categorias de Dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente deve determinar as categorias de dados por Serviço Cloud assinado. O Cliente pode configurar os campos de dados durante a implementação do Serviço Cloud ou conforme definido pelo Serviço Cloud. Os Dados Pessoais transferidos normalmente se referem às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, dados de endereço, dados de acesso/uso/autorização do sistema, nome de empresa, dados de contrato, dados de fatura, além de dados específicos de aplicativo, inseridos pelos Usuários Autorizados no Serviço Cloud, podendo incluir dados de conta bancária, de cartão de crédito ou débito.
2.3. Categorias de Dados Especiais (se apropriado)
2.3.1. Os Dados Xxxxxxxx transferidos podem abranger categorias especiais de dados pessoais definidas no Contrato ("Dados Confidenciais"). A SAP adotou Medidas Técnicas e Organizacionais conforme definido no Anexo 2 para garantir um nível de segurança adequado a fim de proteger também os Dados Confidenciais.
2.3.2. A transferência de Dados Confidenciais pode acionar a aplicação das seguintes restrições adicionais ou proteções, se necessário, para levar em consideração a natureza dos dados e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, se aplicável:
a) treinamento de pessoal;
b) criptografia dos dados em trânsito e em repouso;
c) registro em log de acesso ao sistema e registro em log de acesso a dados gerais.
2.3.3. Além disso, os Serviços Cloud fornecem medidas para o tratamento de Dados Confidenciais conforme descrito na Documentação.
2.4. Objetivos da transferência de dados e continuação do tratamento; tipo do tratamento
2.4.1. Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades básicas de tratamento:
a) uso de Dados Pessoais para configurar, operar, monitorar e fornecer o Serviço Cloud (inclusive suporte operacional e técnico);
b) melhoria contínua dos recursos e funcionalidades de serviço fornecidos como parte do Serviço Cloud incluindo automação, tratamento de transações e machine learning;
c) fornecimento de Serviços Profissionais incorporados;
d) comunicação para Usuários Autorizados;
e) armazenamento de Dados Pessoais em centros de dados especializados (arquitetura multitenant);
f) lançamento, desenvolvimento e carregamento de consertos e upgrades para o Serviço Cloud;
g) backup e restauração de Dados de Cliente armazenados no Serviço Cloud;
h) computação de Dados Pessoais, incluindo transmissão de dados, recuperação de dados e acesso aos dados;
i) acesso à rede para transferência de Dados Pessoais;
j) monitoramento, solução de problemas e administração da infraestrutura e banco de dados básicos do Serviço Cloud;
k) monitoramento de segurança, suporte à detecção de invasão de rede, testes de penetração; e
l) execução de instruções do Cliente de acordo com o Contrato.
2.4.2. A finalidade da transferência é fornecer e dar suporte ao Serviço Cloud. A SAP e seus Operadores Subcontratados podem suportar remotamente os centros de dados do Serviço Cloud. A SAP e seus Operadores Subcontratados fornecem suporte quando o Cliente envia um ticket de suporte nos termos detalhados no Contrato.
2.5. Descrição adicional em relação às Novas Cláusulas Contratuais Padrão:
2.5.1. Módulos aplicáveis das Novas Cláusulas Contratuais Padrão
a) Módulo 2: Transferência Controlador para Operador
b) Módulo 3: Transferência Operador para Operador
2.5.2. Nas transferências para (sub)operadores, especifique também o assunto, a natureza e a duração do tratamento
Em relação às Novas Cláusulas Contratuais Padrão, as transferências para Operadores Subcontratados serão as mesmas estabelecidas no DPA.
2.5.3. A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua). As transferências devem ser feitas continuamente.
2.5.4. O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período.
Os Dados Pessoais devem ser retidos durante o prazo de vigência do Contrato, sujeito à Cláusula 5.2 do DPA.
3. C. AUTORIDADE SUPERVISORA COMPETENTE
3.1. Em relação às Novas Cláusulas Contratuais Padrão:
3.1.1. Módulo 2: Transferência Controlador para Operador
3.1.2. Módulo 3: Transferência Operador para Operador
3.2. Quando o Cliente for o exportador de dados, a autoridade supervisora será aquela que supervisiona o Cliente de acordo com a Cláusula 13 das Novas Cláusulas Contratuais Padrão.
Anexo 2 - Medidas Técnicas e Organizacionais
Este Anexo 2 se aplica para descrever as medidas técnicas e organizacionais aplicáveis para os fins das Cláusulas Contratuais Padrão (2010), das Novas Cláusulas Contratuais Padrão e da Lei de Proteção de Dados aplicável.
A SAP aplicará e manterá as Medidas Técnicas e Organizacionais.
Na medida em que o fornecimento do Serviço Cloud abrange Novas Transferências Aplicáveis às SCCs, as Medidas Técnicas e Organizacionais definidas no Anexo 2 descrevem as medidas e proteções que foram tomadas para levar em consideração integralmente a natureza dos dados pessoais e os riscos envolvidos. Se as leis locais puderem afetar o cumprimento das cláusulas, isso poderá acionar a aplicação de proteções adicionais aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino (se aplicável: criptografia dos dados em trânsito, criptografia dos dados em repouso, anonimização, pseudonimização).