ANEXO DE PROCESSAMENTO DE DADOS DA CITRIX
ANEXO DE PROCESSAMENTO DE DADOS DA CITRIX
Versão: sexta-feira, 17 de setembro de 2021
1. Escopo, Ordem de Precedência e Partes
Este Anexo de Processamento de Dados (“DPA”) aplica-se ao Processamento de Dados Pessoais da Citrix em Seu nome ao prestar serviços do Citrix Cloud, serviços de suporte técnico ou serviços de consultoria (“Serviços”). Os Serviços estão descritos no contrato de licença e/ou de serviços da Citrix relevante e no pedido aplicável aos Serviços (coletivamente, o “Contrato”). Em caso de conflito entre os termos do Contrato e este DPA, os termos deste DPA prevalecerão. Em caso de conflito entre os termos deste DPA e as cláusulas contratuais padrão da UE, os termos das cláusulas contratuais padrão da UE prevalecerão.
Este DPA é firmado entre o usuário final (“Você”) e a entidade contratante da Citrix (“Citrix”) e é incorporado por referência ao Contrato. Sua localização determina a entidade da Citrix, conforme identificado em xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx.
2. Definições
“Você“ significa o cliente final especificado neste DPA.
“Afiliada” significa qualquer subsidiária da Citrix Systems, Inc. que possa ajudar a Citrix no processamento de Seus Dados Pessoais sob este DPA.
“Agregadas” significam informações relacionadas a um grupo ou categoria de indivíduos, das quais identidades foram removidas, de forma que as informações não sejam vinculadas ou sejam razoavelmente vinculáveis a qualquer indivíduo sujeito à Legislação Aplicável de Proteção de Dados.
“Legislações Aplicáveis de Proteção de Dados” significam (i) o Regulamento Geral de Proteção de Dados da UE 2016/679 (“RGPD”) e legislações ou regulamentos que implementam ou complementam o RGPD; e (ii) quaisquer outras legislações, regras, normas, regulamentos, diretivas e requisitos governamentais internacionais, federais, estaduais, provinciais e locais de proteção de dados em vigor atualmente e à medida que se tornem efetivas e sejam aplicáveis ao Processamento de Dados Pessoais sob este Contrato.
“Conteúdo do Cliente” significa quaisquer dados carregados na Sua conta para armazenamento ou dados no Seu ambiente de computação aos quais a Citrix recebe acesso para executar os Serviços.
“Zona Econômica Europeia” significa o Espaço Econômico Europeu, a Suíça e o Reino Unido para as finalidades deste DPA.
“Novas Cláusulas Contratuais Padrão da UE” ou “Novas CCPs da UE” significam as cláusulas contratuais anexadas à Decisão da Comissão da UE 2021/914/EU ou qualquer cláusula sucessora aprovada pela Comissão da UE.
“Cláusulas Contratuais Padrão Originais da UE” ou “CCPs Originais da UE” significam as cláusulas contratuais anexadas à Decisão da Comissão da UE 2010/87/EU.
“Dados Pessoais” significam qualquer Conteúdo do Cliente Processado em conexão com a execução dos Serviços capaz de identificar um indivíduo único, direta ou indiretamente, principalmente por referência a um identificador como nome, número de identificação, dados de localização, identificador online ou a um ou mais fatores específicos à identidade física, fisiológica, genética, mental, econômica, cultural ou social dos indivíduos ou, como tal, as informações podem ser definidas de outra forma sob as Legislações Aplicáveis de Proteção de Dados.
“Violação de Dados Pessoais” significa uma violação da segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a Dados Pessoais transmitidos, armazenados, ou de outra forma Processados para executar os Serviços, que comprometam a segurança dos Dados Pessoais.
“Subprocessador” significa qualquer terceiro contratado para ajudar no Processamento de Dados Pessoais para a execução dos Serviços sob os termos do Contrato.
Os termos usados, mas não definidos neste DPA (por exemplo, “Finalidade de Negócios, Consumidor, Controlador, Titular dos Dados, Processo/Processamento, Processador”) devem ter o mesmo significado estabelecido no Contrato ou nas Legislações Aplicáveis de Proteção de Dados.
3. Funções como Controlador de Dados e Processador de Dados
Para os fins deste DPA, você é o Controlador de Dados dos Dados Pessoais Processados pela Citrix na execução dos Serviços sob os termos do Contrato. Você é responsável por cumprir suas obrigações como Controlador sob as Legislações Aplicáveis de Proteção de Dados que regem o fornecimento de Dados Pessoais à Citrix para a execução dos Serviços, incluindo, sem limitação, obtenção de consentimentos, fornecimento de avisos ou estabelecimento da base legal necessária. A menos que especificado no Contrato, o Cliente não fornecerá à Citrix acesso a quaisquer Dados Pessoais que imponham requisitos específicos de proteção de dados maiores que os acordados no Contrato e neste DPA, e você limitará o acesso da Citrix aos Dados Pessoais conforme necessário para executar os serviços.
A Citrix é o Processador de Dados e o provedor de serviços com relação a esses Dados Pessoais, exceto quando você atua como Processador de Xxxxx Xxxxxxxx; nesse caso, a Citrix é um Subprocessador. A Citrix é responsável pelo cumprimento de suas obrigações sob as Legislações Aplicáveis de Proteção de Dados que se aplicam ao seu Processamento de Dados Pessoais nos termos do Contrato e deste DPA.
4. Finalidade de Processamento da Citrix
A Citrix e qualquer pessoa que atue sob sua autoridade sob este DPA, incluindo Subprocessadores e Afiliadas, conforme descrito na Seção 6, Processarão Dados Pessoais apenas para os fins de execução dos Serviços, de acordo com as instruções por escrito especificadas no Contrato, neste DPA e de acordo com as Legislações Aplicáveis de Proteção de Dados. A Citrix não divulgará Dados Pessoais em resposta a uma intimação, ordem judicial ou administrativa ou outro instrumento vinculativo (uma “Demanda”), a menos que exigido por lei. A Citrix notificará Você imediatamente sobre qualquer Demanda, a menos que seja proibido por lei e fornecerá assistência razoável para facilitar sua resposta oportuna à Demanda. A Citrix também pode Agregar Dados Pessoais como parte dos Serviços, a fim de fornecer, proteger e aprimorar os produtos e Serviços da Citrix. Detalhes adicionais relacionados às atividades de Processamento da Citrix podem ser especificados no Contrato e certas descrições adicionais dos Serviços estão disponíveis em xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxx-xxxxxxx-xxxxxxxxxxxx.xxxx.
A Citrix pode fornecer Dados Pessoais às Afiliadas em conexão com qualquer fusão, aquisição, venda, falência ou outra reorganização prevista ou real de parte ou de todos os seus negócios, sujeita à obrigação de proteger os Dados Pessoais de acordo com os termos deste DPA.
5. Titulares de Dados e Categorias de Dados Pessoais
Você determina os Dados Pessoais aos quais fornece acesso à Citrix para executar os Serviços. Isso pode envolver o Processamento de Dados Pessoais das seguintes categorias de seus Titulares de Dados:
• Funcionários e candidatos,
• Clientes e usuários finais
• Fornecedores, agentes e contratados
O Processamento de seus Dados Pessoais também pode incluir as seguintes categorias de Xxxxx Xxxxxxxx:
• Identificadores diretos, como nome, sobrenome, data de nascimento e endereço residencial
• Dados de comunicação, como número de telefone residencial, número de telefone celular, endereço de email, correio postal e número de fax
• Família e outras informações sobre circunstâncias pessoais, como idade, data de nascimento, estado civil, cônjuge ou parceiro, número e nomes dos filhos
• Informações de emprego, como empregador, endereço comercial, email e telefone comercial, cargo e função, salário, gerente, ID do emprego, nomes de usuário e senhas do sistema, informações sobre desempenho, dados de currículo
• Outros dados, como finanças, bens ou serviços adquiridos, identificadores de dispositivo, perfis e comportamento online e endereço IP
• Outros Dados Pessoais aos quais você fornece acesso à Citrix em conexão com o fornecimento de Produtos ou Serviços
6. Subprocessamento
Sujeito aos termos deste DPA, Você autoriza a Citrix a envolver Subprocessadores e Afiliadas no Processamento de Dados Pessoais. Esses Subprocessadores e Afiliadas estão vinculados a contratos por escrito que exigem que eles forneçam pelo menos o nível de proteção de dados exigido pela Citrix no Contrato e neste DPA. Você pode solicitar à Citrix que realize uma auditoria em um Subprocessador ou obtenha um relatório de auditoria de terceiros existente relacionado às operações do Subprocessador para verificar a conformidade com esses requisitos. Você também pode solicitar cópias dos termos de proteção de dados que a Citrix possui com qualquer Subprocessador ou Afiliada envolvido no fornecimento dos Serviços. A Citrix permanece responsável o tempo todo pelo cumprimento desses Subprocessadores e Afiliadas com os requisitos do Contrato, deste DPA e das Legislações Aplicáveis de Proteção de Dados.
Uma lista de Subprocessadores e Afiliadas, bem como um mecanismo para obter um aviso de qualquer atualização da lista, estão disponíveis em xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx. Pelo menos catorze (14) dias corridos antes de autorizar qualquer novo Subprocessador a acessar Dados Pessoais, a Citrix atualizará a lista de Subprocessadores e Afiliadas. Em que a Citrix é um Processador (e não um Subprocessador), os seguintes termos se aplicam:
• Se, com base em motivos razoáveis relacionados à incapacidade de tal Subprocessador ou Afiliada proteger os Dados Pessoais, Você não aprovar um novo Subprocessador ou Afiliada, poderá rescindir qualquer assinatura do Serviço afetado sem penalidade, fornecendo, antes do final do período de notificação, notificação por escrito de rescisão que inclua uma explicação dos motivos da não aprovação.
• Se o Serviço afetado fizer parte de um conjunto (ou compra única semelhante de Serviços), qualquer rescisão será aplicada a todo o conjunto.
• Após tal rescisão, Você permanecerá obrigado a efetuar todos os pagamentos exigidos sob qualquer pedido de compra ou outra obrigação contratual com o Revendedor ELA e/ou a Citrix e não terá direito a nenhum reembolso ou devolução de pagamento do Revendedor ELA e/ou da Citrix.
7. Transferência Internacional de Dados Pessoais
Dependendo dos Serviços, Você e a Citrix podem concordar com o local para armazenamento de Dados Pessoais. Não obstante o acima exposto, a Citrix pode transferir Dados Pessoais para os Estados Unidos e/ou para outros países terceiros, conforme necessário para executar os Serviços, e você designa a Citrix para realizar qualquer transferência, a fim de processar Dados Pessoais conforme necessário para fornecer os Serviços. A Citrix seguirá os requisitos deste DPA, independentemente de onde esses Dados Pessoais sejam armazenados ou processados.
Quando o Processamento envolve a transferência internacional de Dados Pessoais sob as Legislações Aplicáveis de Proteção de Dados na Zona Econômica Europeia para a Citrix, Afiliadas ou Subprocessadores em uma jurisdição (i) que não foi considerada pela Comissão Europeia como fornecedora de um nível adequado de dados, e (ii) não há outra base legítima para a transferência
internacional desses dados pessoais; essas transferências estão sujeitas às Cláusulas Contratuais Padrão da UE ou a outros mecanismos de transferência válidos disponíveis sob as Legislações Aplicáveis de Proteção de Dados. Para transferências internacionais sujeitas às:
• CCPs Originais da UE para jurisdições que não adotaram as Novas CCPs, as partes incorporam por referência as CCPs Originais da UE de forma não modificada.
• Novas CCPs da UE, as partes incorporam por referência as Novas CCPs de forma não modificada.
As CCPs Originais da UE e as Novas CCPs da UE estão disponíveis no Citrix Trust Center em xxxxx://xxx.xxxxxx.xxx/xx-xx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx, e devem ser entre Você e a Citrix Systems, Inc., independentemente da sua localização. Para tais finalidades, você atuará como Exportador de Dados em Seu nome e em nome de qualquer uma de Suas entidades, a Citrix atuará como Importador de Dados em seu próprio nome e/ou em nome de suas Afiliadas. Para os fins da Cláusula 7 das Novas CCPs da UE, qualquer entidade aderente fará valer seus direitos por meio de Você. Para os fins da Cláusula 9 das CCPs Originais da UE, a legislação do Reino Unido se aplica às transferências sujeitas ao RGPD do Reino Unido. Você pode executar formalmente as CCPs Originais da UE incorporadas ou as Novos CCPs da UE disponíveis no Citrix Trust Center.
Quando o Processamento envolve a transferência internacional de Dados Pessoais sob outras Legislações Aplicáveis de Proteção de Dados para a Citrix, Afiliadas ou Subprocessadores, essas transferências estão sujeitas aos termos de proteção de dados especificados neste DPA e nas Legislações Aplicáveis de Proteção de Dados.
8. Solicitações de Titulares de Dados
A Citrix disponibilizará a Você os Dados Pessoais de seus Titulares de Dados e a capacidade de atender solicitações dos Titulares de Dados para exercer um ou mais de seus direitos sob as Legislações Aplicáveis de Proteção de Dados de maneira consistente com o papel da Citrix como Processador de Dados. A Citrix fornecerá assistência razoável para ajudar com Sua resposta.
Se a Citrix receber uma solicitação diretamente do Seu Titular de Dados para exercer um ou mais de seus direitos sob as Legislações Aplicáveis de Proteção de Dados, a Citrix direcionará o Titular dos Dados para Você, a mesmo que proibido pela legislação.
9. Segurança
A Citrix deve implementar e manter práticas técnicas e organizacionais apropriadas, projetadas para proteger os Dados Pessoais contra qualquer uso indevido ou destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais. Tais práticas de segurança são estabelecidas no Anexo de Segurança dos Serviços da Citrix, disponível em xxxxx://xxx.xxxxxx.xxx/xx-xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx. A Citrix busca fortalecer e melhorar continuamente suas práticas de segurança e, portanto, reserva-se o direito de modificar os controles aqui descritos. Quaisquer modificações não diminuirão o nível de segurança durante o período relevante dos Serviços.
Os funcionários da Citrix estão sujeitos a acordos de confidencialidade adequados e são obrigados a receber treinamento regular em proteção de dados, além de cumprir as políticas e procedimentos corporativos de privacidade e segurança da Citrix.
10. Violação de Dados Pessoais
A Citrix notificará você sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais envolvendo dados pessoais em posse, custódia ou controle da Citrix. Essa notificação deve, ao menos: (i) descrever a natureza da Violação de Xxxxx Xxxxxxxx, incluindo, sempre que possível, as categorias e o número aproximado de Seus Titulares de Dados em questão e as categorias e o número aproximado de registros de Dados Pessoais em
questão; (ii) fornecer o nome e os detalhes de contato do responsável pela proteção de dados ou outro contato onde mais informações possam ser obtidas; e (iii) descrever as medidas adotadas ou propostas a serem adotadas para solucionar a Violação de Dados Pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Você coordenará com a Citrix o conteúdo de quaisquer declarações públicas ou avisos necessários a indivíduos e/ou autoridades de supervisão.
11. Suas Instruções e Fornecimento de Informações e Assistência
Você pode fornecer instruções adicionais à Citrix relacionadas ao Processamento de Dados Pessoais necessárias para que você e a Citrix cumpram nossas respectivas obrigações sob as Legislações Aplicáveis de Proteção de Dados como Controlador e Processador de Dados. A Citrix cumprirá Suas instruções sem custo adicional, desde que, caso as instruções imponham custos à Citrix além daqueles incluídos no escopo dos Serviços sob o Contrato, as partes concordarão em negociar de boa fé para determinar os custos adicionais. A Citrix informará você imediatamente se acreditar que Suas instruções não são consistentes com as Legislações Aplicáveis de Proteção de Dados, desde que a Citrix não seja obrigada a inspecionar ou verificar independentemente Seu Processamento de Dados Pessoais.
A Citrix fornecerá ao Cliente as informações razoavelmente necessárias para ajudar Você a permitir o cumprimento de suas obrigações sob as Legislações Aplicáveis de Proteção de Dados, incluindo, sem limitação, as obrigações da Citrix sob o Regulamento Geral de Proteção de Dados da UE de implementar medidas de segurança de dados apropriadas, realizar uma avaliação de impacto na proteção de dados e consultar a autoridade supervisora competente (levando em consideração a natureza do Processamento e as informações disponíveis para a Citrix) e conforme especificado neste DPA.
12. Devolução e Exclusão de Dados Pessoais
A Citrix devolverá ou fornecerá uma oportunidade para você recuperar todos os Dados Xxxxxxxx após o término do fornecimento dos Serviços e excluir as cópias existentes. Com relação aos Serviços do Cloud, você terá trinta (30) dias corridos para baixar Seus Dados Pessoais após a rescisão do Contrato e deverá entrar em contato com o suporte técnico da Citrix para obter acesso e instruções para download. No caso de Você não entrar em contato com o suporte técnico da Citrix para essa finalidade dentro de um calendário de 30 dias após o término da prestação dos Serviços, a Citrix excluirá Seus Dados Pessoais imediatamente assim que os Dados Pessoais não estiverem mais acessíveis por Você, exceto (i) backups excluídos no curso normal e (ii) retenção conforme exigido pela legislação aplicável. No caso de (i) ou (ii), a Citrix continuará a cumprir as disposições relevantes deste DPA até que esses dados sejam excluídos.
13. Auditoria
Caso as informações solicitadas pela Citrix nos termos da Seção 11 acima não cumpram suas obrigações sob as Legislações Aplicáveis de Proteção de Dados, você poderá realizar uma auditoria do Processamento de Seus Dados Pessoais pela Citrix até uma vez por ano ou conforme exigido pelas Legislações Aplicáveis de Proteção de Dados. Para solicitar uma auditoria, você deve fornecer à Citrix um plano de auditoria detalhado proposto com três semanas de antecedência e a Citrix trabalhará com você de boa fé para concordar com um plano final por escrito. Qualquer auditoria deve ser realizada às Suas próprias custas, durante o horário comercial, sem interrupção dos negócios da Citrix e de acordo com as regras e requisitos de segurança da Citrix. Antes de qualquer auditoria, a Citrix se compromete a fornecer ao Cliente informações razoavelmente solicitadas e evidências associadas para satisfazer suas obrigações de auditoria, e você se compromete a revisar essas informações antes de realizar qualquer auditoria independente. Se qualquer um dos escopos solicitados da auditoria for coberto por um relatório de auditoria emitido para a Citrix por um auditor qualificado nos últimos doze meses, as partes concordarão que o escopo da Sua auditoria será reduzido adequadamente.
Você pode usar um auditor de terceiros com o contrato da Citrix, que não será retido de forma irracional. Antes de qualquer auditoria de terceiros, esse auditor deverá executar um contrato de confidencialidade apropriado com a
Citrix. Se o terceiro for Sua autoridade supervisora permitida pela legislação aplicável para auditar a Citrix diretamente, a Citrix cooperará e fornecerá assistência razoável à autoridade supervisora de acordo com a legislação aplicável.
Você fornecerá à Citrix uma cópia de qualquer relatório final, a menos que seja proibido pelas Legislações Aplicáveis de Proteção de Dados, tratará as descobertas como Informações Confidenciais de acordo com os termos do Contrato (ou contrato de confidencialidade firmado entre Você e a Citrix) e as utilizará exclusivamente. com o objetivo de avaliar a conformidade da Citrix com os termos do Contrato, este DPA e as Legislações Aplicáveis de Proteção de Dados.
14. Diretor de Proteção de Dados
Você pode entrar em contato com o Diretor Global de Proteção de Dados da Citrix, com os cuidados da Citrix Systems, Inc., 00 Xxxxxxx Xxxxx, Xxxxxxxxxx XX 00000 EUA. Se você tiver indicado um Diretor de Proteção de Dados, poderá incluir as informações de contato no seu pedido de Serviços.
15. Período
Este Contrato entra em vigor após a compra dos Serviços.