ADENDO DE PROCESSAMENTO DE DADOS PARA OPERADORES - ESCOLA CONQUER
ADENDO DE PROCESSAMENTO DE DADOS PARA OPERADORES - ESCOLA CONQUER
CONTRATANTE: CONQUER HOLDING EDUCACIONAL S.A., pessoa jurídica
de direito privado inscrita no CNPJ/MF sob nº 26. 058.324/0001-74, com sede na Xxxxxxx Xxxx xx Xxxxxxxx, xx 0000, xxxx 0000, Xxxxx, XXX 00000-000, doravante CONTRATANTE ou “Conquer”.
OBJETO:
Este adendo de Processamento de Xxxxx rege os serviços fornecidos à Conquer pelos fornecedores na qualidade de Operadores ou Sub-operadores de dados pessoais.
O objeto, a natureza e a finalidade do processamento regidos por este Adendo é a prestação de Serviços regidos pelo Contrato principal, e as categorias de dados pessoais de titulares dos dados são as necessárias para prestar os Serviços nos termos do Contrato e nele detalhadamente descritos.
Sua empresa será referida abaixo como “Operador”, "Parte", “Fornecedor” ou
“Contratada”.
VIGÊNCIA:
Este adendo permanece em vigor durante a vigência de qualquer contrato entre as Partes, incluindo, mas não limitado, a qualquer contrato eletrônico.
1. DEFINIÇÕES.
LGPD (Lei Geral de Proteção de Dados)
A LGPD é a sigla para Lei Geral de Proteção de Dados (Lei 13.709/18). Essa lei altera as regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais pelas empresas e seu objetivo é aumentar a proteção à privacidade dos dados pessoais físicas.
Titular de dados
É a pessoa natural a quem se referem os dados pessoais objeto de tratamento.
Tratamento de dados
O tratamento de dados é toda operação realizada com os dados pessoais, entre os quais: acesso, coleta, produção, recepção, classificação, guarda, utilização, transmissão, reprodução, processamento, controle, arquivamento, distribuição, modificação, comunicação, armazenamento, avaliação, eliminação.
Dados pessoais
Os dados pessoais são informações relacionadas à pessoa natural, identificada ou identificável (art. 5°, inciso I, LGPD): por exemplo, nome, endereço, e-mail, origem racial, religião, preferência política, saúde, vida sexual, sexo, idade, dados de GPS, IP, número do Cadastro de Pessoa Física.
Dados pessoais sensíveis
Dados pessoais sensíveis são uma categoria dentro dos dados pessoais. Esses dados podem gerar discriminação e por isso são tratados de maneira diferenciada pela lei. São exemplos dessa categoria de dados: informações de origem racial, genéticos, religião, saúde, opinião política.
Controlador
É a pessoa física ou jurídica a quem competem as decisões sobre o tratamento dos dados pessoais.
Operador
É a pessoa física ou jurídica a quem compete o processamento em nome do controlador.
Agente de tratamento
São os controladores e os operadores.
ANPD
A Autoridade Nacional de Proteção de Dados é responsável pela fiscalização do cumprimento da LGPD, no território nacional. Em caso de descumprimento à LGPD, a ANPD pode aplicar advertências, multas de até 2% sobre o faturamento anual da empresa (por infração) e suspensão das atividades.
"Sub-Operador"
Entidade contratada por um operador para exercer atividades de tratamento como parte dos serviços prestados ao Controlador.
2. OBRIGAÇÕES DO FORNECEDOR
2.1 Cabe ao operador agir de acordo com as instruções documentadas do controlador, a menos que exigido por lei para agir sem tais instruções.
2.2 O operador só deve contratar um sub-operador com a autorização prévia do controlador e sob um contrato por escrito. Caso inviável, o tratamento realizado pelos sub-operadores é de inteira responsabilidade do operador.
2.3 Quando sua entidade atua como operadora de dados pessoais em nome da Conquer todas as obrigações atribuídas nesse Adendo devem ser aplicadas também aos Sub-operadores.
2.4 O operador deve garantir que as pessoas que processam os dados estejam sujeitas ao dever de sigilo;
2.5 O operador deve tomar as medidas adequadas para garantir a segurança do processamento;
2.6 O operador deve tomar as medidas adequadas para ajudar o controlador a responder às solicitações de indivíduos para exercer seus direitos;
2.7 O operador deve auxiliar o controlador no cumprimento das obrigações da LGPD em relação à segurança do processamento, à notificação de violações de dados pessoais e às solicitações de titulares de dados;
2.8 O operador deve excluir ou devolver todos os dados pessoais ao controlador no final do contrato, a menos que a lei permita seu armazenamento, por tempo superior;
2.9 O operador deve se submeter a auditorias e inspeções, caso solicitado pelo controlador.
2.10 Na eventualidade de uma violação de dados, o operador deverá imediatamente: notificar a Conquer; fornecer uma descrição razoavelmente detalhada da violação de dados; descrever o tipo de dado que foi objeto da violação de dados; revelar a identidade de cada pessoa afetada, assim que essas informações sejam coletadas; investigar a violação de dados e; fazer esforços razoáveis para mitigar os efeitos e danos da violação de dados de acordo com as suas obrigações.
3. MEDIDAS DE SEGURANÇA, TÉCNICAS E ORGANIZACIONAIS, OBRIGATÓRIAS AO OPERADOR DE DADOS
3.1 Designe um encarregado de dados pessoais;
a) Para gerir o tratamento dos dados pessoais na sua empresa, é necessário um encarregado que realize um controle organizacional interno;
b) Esse encarregado deve aconselhar os funcionários, monitorar o cumprimento dos regulamentos, assessorar a organização, realizar a comunicação com os titulares e com a ANPD;
c) Mesmo que posteriormente, por medida regulatória, a sua empresa seja dispensada da designação de um encarregado, pela ANPD, a Conquer aconselha a designação de uma pessoa responsável por garantir o cumprimento da LGPD, dentro da sua empresa;
3.2 Mapeie o tratamento de dados pessoais;
3.3 Realize um inventário de dados e mantenha registro do tratamento realizado pela sua empresa. Nessa documentação identifique com precisão os diferentes tipos de dados pessoais, as finalidades e as bases legais de tratamento;
3.4 Após o mapeamento, certifique-se que a empresa trata apenas os dados pessoais estritamente necessários para os objetivos para os quais foram obtidos;
3.5 Identifique se o tratamento tem base jurídica que lhe confira legitimidade;
3.6 Minimize o volume de dados pessoais coletados e tratados;
3.7 Certifique-se de que disponibiliza informações claras sobre o processo de tratamento dos dados pessoais;
3.8 Respeite os direitos dos titulares de dados pessoais;
3.9 Estabeleça procedimentos que possibilitem o exercício dos direitos dos titulares de dados pessoais;
3.10 Revise seus contratos para adequação à nova legislação de proteção de dados pessoais;
3.11 Para garantir um alto nível de proteção de dados pessoais, implemente procedimentos que contemplem todo o itinerário (roteiro, vida), com todos os seus possíveis eventos, do tratamento dos dados pessoais de terceiros dentro da sua organização e das suas atividades;
3.12 Compile e consolide a documentação necessária para comprovar sua conformidade com os regulamentos (como por exemplo: registro de operações de processamento, relatórios de impacto, modelos para coleta de consentimento, contratos com outros subcontratados, notificação aos titulares em caso de violação de dados pessoais etc.);
3.13 Autentique usuários;
3.14 Gerencie autorizações;
3.15 Gerencie o período de retenção de dados pessoais;
3.16 Rastreie o acesso e gerencie incidentes;
3.17 Mantenha as estações de trabalho seguras;
3.18 Mantenha a computação móvel segura;
3.19 Proteja seu ambiente de desenvolvimento;
3.20 Proteja a rede interna dos computadores;
3.21 Proteja seus sites, aplicativos e servidores;.
3.22 Arquive com segurança;
3.23 Avalie o tráfego para seus sites e aplicativos;
3.24 Supervisione a manutenção e a destruição de dados pessoais;
3.25 Mantenha seguras as trocas entre organizações do mesmo grupo e com empresas terceiras;
3.26 Proteja as instalações;
3.27 Garanta a qualidade do seu código e sua documentação;
3.28 Supervisione os desenvolvimentos de TI;
3.29 Criptografe e garanta a integridade das informações.
3.30 Avalie o nível de segurança de dados pessoais da organização, se necessário com tentativas simuladas de violação de dados;
3.31 Certifique que o sistema de informação é dotado de mecanismos de segurança que garantam a Confidencialidade, a Integridade e a Disponibilidade da informação (por exemplo, por meio de políticas de backup, geração de logs, medidas de segurança física, políticas de firewall, criptografia, treinamento de pessoal.);
3.32 Em caso de transferência internacional, garanta que existe nível suficiente e adequado de proteção de dados pessoais para o país de transferência. Em caso de transferência entre países com nível regulatório
diferente, utilize outras salvaguardas para a segurança do tratamento (por exemplo, por meio de cláusulas contratuais-padrão);
4 Indenizações
Caso sua empresa atue fora ou contra as instruções do controlador (Conquer), sem prejuízo de outras previsões contratuais, responderá isoladamente, especialmente perante autoridades e terceiros, pelas indenizações, medidas corretivas, multas e outras penalidades das quais decorrem o descumprimento da lei.
O operador indenizará, manterá indenizada e isentará a Conquer, bem como os seus clientes, executivos, diretores, funcionários, agentes, representantes e Afiliadas, de quaisquer perdas, prejuízos, custos (incluindo honorários e despesas legais), e responsabilidades de terceiros que uma pessoa física ou jurídica possa sofrer ou incorrer como resultado do descumprimento dos requisitos deste Adendo.
No que se refere às disposições relacionadas ao processamento de Dados Pessoais, em caso de conflito entre o Contrato e este Adendo, as disposições deste último têm precedência.