Contract
Anexo LGPD (Lei Geral de Proteção de Dados) | ||||
ÁREA FUNCIONAL: | RESPONSÁVEL: | |||
Compliance | Xxxxxxx Xxxxxx | |||
DATA: | NÚMERO DE CONTROLE: | REVISÃO: | ||
Janeiro-2022 | CCI-017-2022 | #00 | ||
CONTRATANTE CONTROLADORA | CONTRATADA OPERADORA
1. DEFINIÇÕES
1.1 Os termos iniciados em letra maiúscula adotarão os significados que lhes são atribuídos pela LGPD ou, no caso de ausência de definição, serão definidos de acordo com o Contrato.
2. TRATAMENTO DOS DADOS PESSOAIS
2.1. Escopo do Tratamento. A CONTRATADA somente poderá realizar o Tratamento dos Dados Pessoais na medida que seja necessário para a execução dos Serviços e sempre observadas as instruções fornecidas pela CONTRATANTE e as Leis Aplicáveis.
2.2. Obrigações da CONTRATADA. Sem prejuízo das demais obrigações do Contrato e deste Adendo, a CONTRATADA se compromete a:
i. Garantir que o acesso aos Dados Pessoais pelos seus funcionários ou contratados seja estritamente limitado às pessoas que precisam acessar tais Dados Pessoais, garantindo que estes sejam treinados e informados sobre a natureza confidencial dos Dados Pessoais e sobre o tratamento adequado de tais Dados Pessoais;
ii. Manter registro de todas as operações de tratamento de Dados Pessoais realizadas nos termos da LGPD e demais Leis Aplicáveis;
iii. Fornecer pronta assistência razoável à CONTRATANTE para a realização de relatório de impacto à proteção de dados pessoais, conforme exigido nas Leis Aplicáveis, mediante requerimento da CONTRATANTE;
iv. Não acessar, processar, compartilhar, divulgar, modificar, transferir, ceder, vender, alugar, comercialmente explorar ou utilizar os Dados Pessoais de forma que viole as orientações da CONTRATANTE e as Leis Aplicáveis.
3. COMUNICAÇÕES E SOLICITAÇÕES DOS TITULARES
3.1. Fornecimento de Informações. A CONTRATADA deverá fornecer prontamente toda e qualquer informação, documentação e assistência à CONTRATANTE no que for necessário para permitir a CONTRATANTE gerir qualquer comunicação de Titulares dos Dados ou da Autoridade Nacional, bem como cumprir com qualquer requisito legal, solicitação judicial ou procedimento administrativo.
3.2. Solicitações de Titulares. A CONTRATADA deverá cooperar com a CONTRATANTE nas solicitações para acessar, deletar ou apagar, anonimizar, restringir, retificar, receber e transmitir, bloquear o acesso ou impedir o tratamento de Dados Pessoais específicos ou em conjunto, ou qualquer outro direito ou obrigação determinada pela LGPD ou pela Autoridade Nacional.
3.3. Vedações. A CONTRATADA não poderá realizar comunicações diretas com Titulares dos Dados ou com a Autoridade Nacional, a menos que seja previamente autorizada por escrito pela CONTRATANTE, a seu critério. A CONTRATADA deverá prontamente encaminhar à CONTRATANTE qualquer pedido, comunicação ou reclamação recebida pela CONTRATADA. Sem prejuízo do acima exposto, a CONTRATADA encaminhará prontamente à
CONTRATANTE qualquer solicitação da Autoridade Nacional que exija inspeções, investigações, acesso ou informações relativas a Dados Pessoais.
4. SUBCONTRATAÇÃO
4.1. Suboperadores. A CONTRATADA poderá contratar ou utilizar Suboperadores para o Tratamento dos Dados Pessoais relacionados aos Serviços, ficando a CONTRATADA obrigada a fornecer uma lista atualizada dos Suboperadores que sejam potenciais destinatários dos Dados Pessoais para análise e aprovação da CONTRATANTE, sempre que solicitado pela CONTRATANTE, a seu exclusivo critério.
4.2. Obrigações dos Suboperadores. A CONTRATADA deverá impor aos Suboperadores obrigações contratuais substancialmente idênticas às obrigações da CONTRATADA nos termos do Contrato, com base nas funções e deveres da CONTRATADA, incluindo suas obrigações quanto à proteção dos Dados Pessoais a que possam ter acesso. Ainda, a CONTRATADA será solidariamente responsável pelos atos e omissões de seus Suboperadores, incluindo os que levarem a CONTRATADA a violar qualquer uma de suas obrigações assumidas sob o Contrato. Mediante solicitação da CONTRATANTE, a CONTRATADA fornecerá à CONTRATANTE uma cópia desses contratos com Suboperadores.
5. DA SEGURANÇA DOS DADOS
5.1. Segurança dos Dados. A CONTRATADA implementará medidas de segurança, técnicas e administrativas adequadas em todas as instalações, servidores, equipamentos de rede, mídias de armazenamento e sistemas de software que estejam sob seu controle e sejam utilizados para fornecer os Serviços a fim de proteger os Dados Pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, difusão ou qualquer forma de tratamento inadequado, ilícito ou não autorizado, bem como garantir um nível de segurança cibernética correspondente e suficiente aos potenciais riscos de violações aos Dados Pessoais, sempre de acordo com as Leis Aplicáveis.
5.2. Disponibilização de Documentos. A CONTRATADA disponibilizará à CONTRATANTE, sempre que solicitado, os documentos relativos à segurança dos Dados Pessoais, incluindo a documentação técnica necessária, a análise de risco produzida e uma lista detalhada das medidas de segurança implementadas. A CONTRATADA manterá um programa de segurança das informações desenvolvido para oferecer o maior nível de proteção adequado. Este programa deve incluir processos e procedimentos de apoio à recuperação de desastres e à continuidade dos negócios.
5.3. Gerenciamento de Incidentes e Notificação sobre Violação. A CONTRATADA se responsabilizará diretamente com relação a Incidentes de Segurança que criem suspeitas ou indiquem acesso não autorizado, inadequado ou manipulação dos Dados Pessoais pela CONTRATADA. No caso de qualquer Incidente de Segurança, a CONTRATADA deverá notificar a CONTRATANTE sem demora e, em qualquer caso, em até 24 (vinte e quatro) horas após a CONTRATADA ter ciência do ocorrido, quaisquer que sejam as Partes ou os dados diretamente afetados.
5.3.1. A CONTRATADA investigará prontamente o Incidente de Segurança e tomará as medidas razoáveis para identificar suas origens, consequências e evitar recorrências, devendo adotar todas as medidas necessárias, às suas expensas. Conforme as informações sejam coletadas ou se tornarem disponíveis, a CONTRATADA fornecerá à CONTRATANTE (i) uma descrição detalhada do Incidente de Segurança, incluindo data, duração, localização; (ii) a natureza dos dados pessoais afetados; (iii) informações sobre os Titulares dos Dados envolvidos; (iv) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (v) os riscos relacionados ao incidente; (vi) as medidas adotadas ou a serem adaptadas para reverter ou mitigar os efeitos de qualquer dano, bem como outras informações que a CONTRATANTE possa razoavelmente solicitar em relação aos Titulares dos Dados afetados e ao respectivo Incidente de Segurança, conforme determinado para atender as obrigações das Leis Aplicáveis.
5.3.2. A CONTRATADA não deve relatar o Incidente de Segurança a qualquer terceiro, incluindo aos Titulares dos Dados ou à Autoridade Nacional, sem a autorização e instrução prévia e expressa da CONTRATANTE.
As Partes concordam em coordenar de boa-fé o desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou quaisquer avisos necessários para os Titulares dos Dados afetados e/ou avisos à Autoridade Nacional ou a outras autoridades relevantes de proteção de dados ou outros órgãos governamentais competentes, conforme exigido pelas Leis Aplicáveis e de acordo com as orientações da CONTRATANTE. Igualmente, a CONTRATADA se compromete a cooperar com a CONTRATANTE para minimizar possíveis consequências negativas do Incidente de Segurança e impedir sua reincidência.
5.4. Responsabilidade por Incidente de Segurança. A CONTRATADA deverá seguir as instruções, agir em conjunto ou defender a CONTRATANTE e seus funcionários, executivos e diretores contra qualquer reivindicação de qualquer cliente da CONTRATANTE decorrente de um Incidente de Segurança causado por uma violação ou responsabilidade da CONTRATADA quanto às suas obrigações nos termos do Contrato.
5.5. Não divulgação. A CONTRATADA não poderá divulgar ou publicar qualquer requerimento, notificação, comunicação ou comunicado de imprensa ou relatório relacionado a qualquer Incidente de Segurança relacionado à CONTRATANTE.
6. TRANSFERÊNCIA INTERNACIONAL
6.1. Transferência Internacional. Na medida em que a prestação dos Serviços envolva quaisquer transferências internacionais de Dados Pessoais, a CONTRATADA fica obrigada a fornecer uma lista atualizada dos Serviços que envolvam a transferência internacional para análise e aprovação CONTRATANTE, sempre que solicitado pela CONTRATANTE, a seu exclusivo critério A MPRESA deverá cumprir as restrições e exigências das Leis Aplicáveis, incluindo, mas não se limitando, às cláusulas-padrão contratuais ou quaisquer cláusulas contratuais ou mecanismos similares que atendam às disposições previstas na LGPD ou demais Leis Aplicáveis.
7. AUDITORIA
7.1. Direito de Auditoria. A CONTRATANTE está autorizada a auditar e inspecionar o Tratamento de todo e qualquer Dado Pessoal relacionado ao Contrato, inclusive com o auxílio de auditores externos. A CONTRATANTE e/ou seu auditor autorizado devem evitar causar danos ou interrupções no equipamento e nos negócios da CONTRATADA no decorrer de tal auditoria ou inspeção. Mediante solicitação da CONTRATANTE, a CONTRATADA fornecerá (i) informações e recursos de gerenciamento para assegurar que a CONTRATADA possa monitorar os Serviços e confirmar que estes são fornecidos de acordo com as Leis Aplicáveis, bem como de acordo com os procedimentos, controles e políticas da CONTRATANTE; (ii) documentação ou informação que comprove que a CONTRATADA está operando em conformidade com as Leis Aplicáveis; (iii) direito de visitas presenciais nas suas instalações utilizadas para a prestação dos Serviços à CONTRATANTE, sempre que for necessário, desde que observado os padrões de segurança e confidencialidade; e (iv) acesso a qualquer relatório elaborado por CONTRATADAs de auditoria independentes contratadas pela CONTRATADA relacionadas aos procedimentos e controles utilizados nos Serviços. Os custos de realização da auditoria serão suportados pela CONTRATANTE. Contudo, nos casos em que a auditoria mostrar irregularidades materiais relacionadas ao Tratamento de Dados Pessoais pela CONTRATADA, os custos de remediação das irregularidades identificadas pela auditoria serão suportados pela CONTRATADA.
7.2. Supervisão Regulatória. A CONTRATADA cooperará com a CONTRATANTE em caso de auditorias, inspeções, sem prejuízo de outros procedimentos referentes à supervisão do Tratamento de Dados Pessoais por entidades autorizadas ou em conexão com uma auditoria realizada pela CONTRATANTE. Caso a Autoridade Nacional envie uma solicitação para qualquer uma das Partes, as Partes envidarão seus melhores esforços para cumprir com a solicitação feita, inclusive fornecendo informações e documentações disponíveis. As Partes se comprometem a se auxiliar mutualmente no cumprimento de qualquer solicitação, incluindo a disponibilização de informações e documentos relevantes sobre as medidas técnicas e organizacionais utilizadas no Contrato.
8. DO PRAZO E TÉRMINO DO TRATAMENTO
8.1. Prazo. As Partes concordam que este Adendo será terminado automaticamente mediante o término do Tratamento dos Dados Pessoais, de acordo com as instruções da CONTRATANTE, limitado ao período de vigência do
Contrato. Sem prejuízo do exposto, qualquer obrigação imposta à CONTRATADA nos termos deste Adendo em relação ao Tratamento de Dados Pessoais deverá sobreviver a qualquer rescisão ou término do Contrato e deste Adendo.
8.2. Rescisão. Sem prejuízo do disposto no Contrato, o presente Xxxxxx e o Contrato poderão ser rescindidos prontamente pela CONTRATANTE sem necessidade de qualquer aviso prévio, a qualquer tempo, se a CONTRATADA
(i) cometer infração contratual e não a sanar no prazo de até 15 (quinze) dias contados do recebimento da notificação enviada; ou (ii) houver qualquer Incidente de Segurança ocasionado pela CONTRATADA.
8.3. Obrigações após o Término do Tratamento dos Dados. Após o término do Tratamento ou do Contrato, a CONTRATADA deverá excluir imediatamente todas as cópias dos Dados Xxxxxxxx ou, a critério da CONTRATANTE, efetuar a transferência segura dos arquivos no formato informado pela CONTRATANTE, a menos que sua retenção seja obrigatória por lei.
9. DAS DISPOSIÇÕES GERAIS
9.1. Indenização. A CONTRATADA deve indenizar, defender e isentar de responsabilidade a CONTRATANTE, suas afiliadas e seus respectivos diretores, administradores, funcionários e representantes contra qualquer responsabilidade, perda, reivindicação, dano, penalidade, multa ou conciliação, incluindo custas e honorários advocatícios razoáveis, decorrentes ou relacionados a qualquer ação, investigação, reivindicação, reclamação ou alegação de um terceiro (incluindo, com limitação, qualquer autoridade regulatória ou governamental) decorrente ou relacionada a qualquer Incidente de Segurança ou violação deste Adendo e/ou qualquer ato, omissão ou negligência da CONTRATADA ou de seus Suboperadores que cause ou resulte em a CONTRATANTE violar as Leis Aplicáveis ou as instruções da CONTRATANTE. As obrigações de indenização da CONTRATADA neste item devem ser complementares de qualquer indenização ou de obrigações similares que a CONTRATADA possa ter nos termos do Contrato e sem prejuízo dos outros direitos e recursos da CONTRATANTE. As Partes concordam que em hipótese alguma será aplicada limitação de responsabilidade para perdas e danos que sejam decorrentes de violação de privacidade, de proteção de Dados, da inobservância da LGPD ou outras Leis aplicáveis sobre proteção de dados e sigilo.
9.2. Alterações deste Adendo. A CONTRATANTE poderá notificar periodicamente a CONTRATADA, por escrito, sobre quaisquer alterações necessárias deste Adendo como resultado de uma atualização ou modificação nas Leis Aplicáveis, bem como acerca de quaisquer variações que sejam (i) resultado de resoluções ou instruções emitidas pela Autoridade Nacional sobre orientações e obrigações quanto às Leis Aplicáveis. Essas variações entrarão em vigor na data de 30 (trinta) dias corridos após a data em que a notificação por escrito for enviada pela CONTRATANTE e a CONTRATADA providenciará que, quando necessário, os termos de cada contrato entre a CONTRATADA e cada Suboperador sejam alterados para refletir a legislação e boas práticas vigentes.
9.3. Conflito. Caso haja conflito entre as disposições deste Adendo e quaisquer outros acordos entre as Partes, incluindo, mas não se limitando ao Contrato, as disposições deste Adendo prevalecerão em relação às obrigações de proteção de Dados Pessoais, permanecendo inalteradas e em vigor as demais cláusulas e disposições do Contrato, que também serão aplicáveis a este Adendo no que couberem.
9.4. Validade. Se qualquer disposição deste Adendo for considerada inválida ou inexequível, o restante deste Adendo permanecerá válido e em vigor. A disposição inválida ou inexequível será (i) alterada conforme necessário para garantir sua validade e aplicabilidade, preservando as intenções das Partes ou, se isso não for possível, e (ii) interpretada de maneira como se a parte inválida ou inexequível nunca tivesse existido.
CONTRATANTE E CONTRATADA CONTROLADORAS
1. DEFINIÇÕES
1.1. Definições. Os termos iniciados em letra maiúscula adotarão os significados que lhes são atribuídos pela LGPD ou, no caso de ausência de definição, serão definidos de acordo com o Contrato.
2. TRATAMENTO DOS DADOS PESSOAIS
2.1. Tratamento. As Partes desde já declaram estar cientes e de acordo que que atuam como controladores independentes em relação a qualquer Dado Pessoal, sendo cada uma responsável pelo seu Tratamento dos Dados Pessoais de acordo com as leis gerais ou leis de proteção de dados pessoais aplicáveis, incluindo a LGPD e demais instruções e regulamentos emitidos pela Autoridade Nacional ou demais órgãos competentes (“Leis Aplicáveis”), inclusive com relação à coleta, aos princípios, às notificações aos titulares, à transferência internacional ou ao compartilhamento dos Dados Pessoais com terceiros, isentando a outra Parte de qualquer responsabilidade neste sentido.
2.2. Divulgação de Dados Pessoais. Quando atuar como divulgadora dos Dados Pessoais (“Parte Divulgadora”), cada
Parte deve:
i. apenas divulgar os Dados Pessoais para as finalidades que sejam consistentes com os termos do Contrato ("Finalidades Permitidas");
ii. disponibilizar aos titulares dos Dados Pessoais informação de que seus Dados Xxxxxxxx serão divulgados
para a outra Parte (“Parte Receptora”);
iii. obter quaisquer consentimentos ou prosseguir de acordo com as bases legais necessárias para permitir que a Parte Receptora processe livremente os Dados Pessoais para as Finalidades Permitidas; e
iv. se responsabilizar pela segurança de quaisquer Dados Pessoais durante o compartilhamento dos Dados Pessoais à Parte Receptora.
2.3. Recebimento dos Dados Pessoais: Quando atuar com Parte Receptora, cada Parte deve:
não tratar os Dados Pessoais de forma incompatível com as Finalidades Permitidas (exceto para fins de cumprimento de uma exigência legal à qual a Parte Receptora está sujeita);
não tratar os Dados Pessoais por mais tempo do que é necessário para realizar as Finalidades Permitidas (exceto se possuir base legal para o Tratamento por um período maior); e
adotar medidas de segurança de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos das Leis Aplicáveis.
2.4. Gerenciamento de Incidentes de Segurança. Cada Parte se compromete a notificar a outra Parte no caso de qualquer Incidente de Segurança relacionado aos Dados Pessoais, em até 24 (vinte e quatro) horas contados da data do conhecimento do Incidente de Segurança, devendo cada Parte cooperar com a outra Parte, na medida do razoavelmente solicitado, com relação às notificações da autoridade competente ou titular dos Dados Pessoais.
2.5. Cooperação e Assistência. Cada Parte deverá cooperar e encaminhar à outra Parte, de forma imediata (mas, em todo caso, até o dia seguinte do recebimento), eventual solicitação dos titulares, na medida que esta seja responsável pelo processamento indicado e, mediante solicitação razoável por escrito, fornecer à outra Parte cooperação e assistência razoáveis em relação a tal solicitação ou a qualquer outra comunicação recebida de titulares ou da autoridade competente, de forma a permitir que a outra Parte responda a tal solicitação ou comunicação e cumpra os prazos aplicáveis de acordo com as Leis Aplicáveis.
3. DO PRAZO E TÉRMINO DO TRATAMENTO
3.1. Prazo. As Partes acordam que este Adendo será terminado de acordo com o término do Contrato. Sem prejuízo do exposto, qualquer obrigação imposta a cada Parte em relação ao Tratamento de Dados Pessoais deverá sobreviver a qualquer rescisão ou término do Contrato e deste Adendo.
3.2. Rescisão. Sem prejuízo do disposto no Contrato, o presente Xxxxxx e o Contrato poderão ser rescindidos prontamente por cada Parte sem necessidade de qualquer aviso prévio, a qualquer tempo, se (i) a outra Parte cometer infração deste Adendo e não a sanar no prazo de até 15 (quinze) dias contados do recebimento da notificação enviada, ou (ii) houver qualquer Incidente de Segurança ocasionado pela outra Parte.
4. DAS DISPOSIÇÕES GERAIS
4.1. Indenização. Cada Parte deve indenizar, defender e isentar de responsabilidade a outra Parte, suas afiliadas e seus respectivos diretores, administradores, funcionários e representantes contra qualquer responsabilidade, perda, reivindicação, dano, penalidade, multa ou conciliação, incluindo custas e honorários advocatícios razoáveis, decorrentes ou relacionados a qualquer ação, investigação, reivindicação, reclamação ou alegação de um terceiro (incluindo, com limitação, qualquer autoridade regulatória ou governamental) decorrente ou relacionada a qualquer Incidente de Segurança ou violação deste Adendo e/ou qualquer ato, omissão ou negligência de cada Parte ou de seus subcontratados que cause ou resulte em violação das Leis Aplicáveis. As obrigações de indenização neste item devem ser complementares a qualquer indenização ou de obrigações similares que cada Parte possa ter nos termos do Contrato e sem prejuízo dos outros direitos e recursos de cada Parte.
4.2. Alterações deste Adendo. As Partes deverão, em comum acordo, alterar este Adendo como resultado de alteração nas Leis Aplicáveis, bem como no caso de quaisquer alterações necessárias por força de resoluções ou instruções emitidas pela autoridade competente.
4.3. Conflito. No caso de conflito entre as disposições deste Adendo e quaisquer outros acordos entre as Partes, incluindo, mas não se limitando ao Contrato, as disposições deste Adendo prevalecerão em relação às obrigações de proteção de Dados Pessoais, sendo que permanecem em vigor e sem alterações as demais cláusulas e disposições do Contrato, que também serão aplicáveis a este Adendo no que couberem.
4.4. Validade. Se qualquer disposição deste Adendo for considerada inválida ou inexequível, o restante deste Adendo permanecerá válido e em vigor. A disposição inválida ou inexequível será alterada conforme necessário para garantir sua validade e aplicabilidade, preservando as intenções das Partes o mais próximo possível ou, se isso não for possível, interpretada de maneira como se a parte inválida ou inexequível nunca tenha sido contida nela.