ACORDO DE PROCESSAMENTO DE DADOS Data de revisão: 12 de março de 2024

Shape1

Proprietary


ACORDO DE PROCESSAMENTO DE DADOS

Data de revisão: 12 de março de 2024

Para os fins deste Acordo de Processamento de Dados (“DPA”), a entidade Merck Sharp & Dohme LLC ou afiliada que executa o contrato, ou ainda outra forma de contrato referente a este DPA (o “Contrato”) deve ser denominada “Empresa” e todas as outras partes desse Contrato devem ser denominadas “Fornecedor”. A Empresa e o Fornecedor são cada um “Parte” e juntos as “Partes”.

Disposições gerais

  1. As Partes inseridas e integrantes do Contrato poderão firmar uma ou mais ordens ou tarefas de compra, contratos de projeto, adendos de plano de projeto, declarações de trabalho, ordens de serviço ou outros termos de serviço (cada qual denominado “Declaração de trabalho”), que regem os serviços nela contemplados (os “Serviços”).

  2. As Partes estão dispostas a complementar os termos do Contrato a fim de garantir que todo o processamento de Informações Pessoais em relação ao Contrato seja realizado em conformidade com a Lei de Proteção de Dados.

  3. A Parte referida no Contrato como “MSD”, “CONTRATANTE”, “PATROCINADORA” ou “FORNECEDORA” será denominada neste DPA “Empresa”.

  4. A Parte referida no Contrato como “CONTRATADA”, “PATROCINADA”, “COMPRADORA” ou “DISTRIBUIDORA” será denominada neste DPA “Fornecedor”.

As Partes concordam que:

  1. Atividades de Processamento de Dados. Quanto às Informações Pessoais Processadas relacionadas ao Contrato, o teor, a natureza, o objetivo e a duração do Processamento, bem como as categorias dos Titulares dos Dados envolvidos e as categorias de Informações Pessoais estão especificados no Anexo do Contrato intitulado “Detalhes do Processamento de Dados”.

  2. Aplicabilidade. Os termos deste DPA se aplicam a cada Declaração de Trabalho de acordo com o Contrato, salvo se especificado o contrário na Declaração de Trabalho correspondente.

  3. Obrigações do Fornecedor. Ao processar dados pessoais em nome da Empresa em relação ao Contrato, o Fornecedor:

    1. deve cumprir a Lei de Proteção de Dados e as obrigações do Fornecedor de acordo com este DPA e caso o Fornecedor não possa cumprir essas obrigações, deve notificar a Empresa imediatamente e adotar todas as medidas razoáveis e apropriadas consideradas necessárias pela Empresa na remediação em razão do não cumprimento.

    2. deve apenas Processar Informações Pessoais conforme instruções documentadas pela Empresa, incluindo o cumprimento pelo Fornecedor de suas obrigações estabelecidas no Contrato e neste DPA, salvo exigido de outra forma pela lei aplicável. Nesse caso, o Xxxxxxxxxx deverá informar a Empresa sobre essa exigência legal antes de iniciar o Processamento, a menos que esteja proibido por essa lei aplicável, devendo empregar seus melhores esforços para limitar a natureza e o escopo de qualquer divulgação exigida e apenas divulgar a quantidade mínima de Informações Pessoais necessárias para cumprir a lei aplicável.

    3. deve apenas Processar as Informações Pessoais na medida mínima necessária para a execução dos Serviços, o que inclui a proibição de combinar Informações Pessoais com outros dados, salvo se expressamente permitido por escrito pela Empresa.

    4. deve informar imediatamente a Empresa se o Fornecedor acreditar que uma instrução da Empresa sobre Processamento de Informações Pessoais viola a Lei de Proteção de Dados.

    5. deve assegurar que a equipe do Fornecedor, que tenha acesso a Informações Pessoais (i) solicite acesso às Informações Pessoais para realizar os serviços, (ii) somente Processe as Informações Pessoais conforme permitido por este DPA e (iii) esteja sujeita a obrigações, pelo menos, tão protetora das Informações Pessoais quanto as obrigações do Fornecedor de acordo com este DPA e o Contrato.

    6. não deve divulgar ou transferir Informações Pessoais a terceiros ou de outra forma envolver qualquer agente ou subcontratado em qualquer Processamento relacionado ao Contrato (cada agente ou subcontratado é aqui denominado “Subprocessador”), a menos que a Empresa tenha fornecido seu consentimento por escrito previamente. A lista atualizada de Subprocessadores, para os quais a Empresa concedeu seu consentimento por escrito previamente a partir da data deste DPA está especificada no Anexo “Detalhes do Processamento de Dados”. Além disso, ao envolver um Subprocessador:

      1. a divulgação ou transferência deve ser razoavelmente necessária para realizar os Serviços conforme disposto no Contrato,

      2. o Fornecedor deve realizar uma diligência prévia razoável para garantir que o Subprocessador seja capaz de fornecer o nível de proteção das Informações Pessoais exigido por este DPA e pelo Contrato, e

      3. o Subprocessador deve firmar um contrato por escrito com termos pelo menos tão protetores das Informações Pessoais quanto as obrigações estabelecidas neste DPA e no Contrato.

    7. não deve vender, compartilhar, reter, usar ou divulgar Informações Pessoais a não ser para fornecer os Serviços conforme especificado no Contrato ou conforme autorizado de outra forma por este DPA.

    8. deve ser totalmente responsável por todos os atos ou omissões dos seus respectivos funcionários, afiliadas, agentes, subcontratados e outros representantes.

    9. deve implementar e manter programas de segurança e privacidade de informações razoáveis e apropriados, determinar quais programas devem incorporar medidas físicas, técnicas e organizacionais que sejam proporcionais à natureza das Informações Pessoais processadas em relação ao Contrato, que atendam ou superem as boas práticas do setor (ou padrão superior, conforme exigido no Apêndice 1) e que protejam razoavelmente contra uma Violação de Dados Pessoais, incluindo o treinamento de todos os funcionários responsáveis pelo processamento de Informações Pessoais de maneira a atender suficientemente às exigências deste DPA. Tais medidas, descritas no Apêndice 1 e, na medida em que não forem tratadas de outra forma no Apêndice 1, compreendem:

      1. a pseudonimização e criptografia das Informações Pessoais;

      2. a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de Processamento;

      3. a capacidade de restaurar a disponibilidade e acesso a Informações Pessoais em tempo hábil em caso de um incidente físico ou técnico;

      4. um processo para testar, avaliar e estimar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento; e

      5. a capacidade de confirmar, dentro de 72 (setenta e duas) horas após a ocorrência, se um evento constitui uma Violação de Dados Pessoais.

    10. em caso de uma constatação real ou razoavelmente suspeita de Violação de Dados relacionados a Informações Pessoais sob custódia ou controle do Fornecedor ou como resultado dos atos ou omissões do Fornecedor (uma “Violação de Dados Pessoais do Fornecedor”), o Fornecedor deve:

      1. notificar a Empresa imediatamente (em qualquer caso de Violação de Dados Pessoais do Fornecedor dentro de 72 horas após conhecimento do evento);

      2. realizar uma investigação adequada e todos os esforços de remediação necessários para corrigir e prevenir a recorrência dessa Violação de Dados Pessoais do Fornecedor de maneira satisfatória para a Empresa;

      3. fornecer prontamente à Empresa todas as informações consideradas necessárias pela Empresa, para permtir que cumpra a Lei de Proteção de Dados, inclusive com relação à manutenção de registros e relatórios e todas as outras informações que a Empresa possa razoavelmente solicitar sobre uma Violação de Dados Pessoais do Fornecedor;

      4. fornecer notificação a todos os Titulares dos Dados cujas Informações Pessoais podem ter sido afetadas, com o conteúdo exigido pela Lei de Proteção de Dados, que seja satisfatório para a Empresa, ou fornecer à Empresa toda a assistência e informações necessárias para permitir que Empresa forneça notificação a todo e qualquer Titular de Dados cujas Informações Pessoais possam ter sido afetadas, conforme a Empresa considerar apropriado;

      5. se responsabilizar exclusivamente pelos custos e despesas de qualquer uma das Partes por qualquer notificação aos Titulares dos Dados, independentemente da notificação ser enviada pelo Fornecedor ou pela Empresa; e

      6. com exceção de advogados, consultores, seguradoras e outros terceiros afetados para os quais o Fornecedor presta serviços, o Fornecedor não pode disponibilizar a terceiros qualquer informação sobre uma Violação de Dados Pessoais do Fornecedor sem informar previamente a Empresa, salvo exigido de outra forma pela lei aplicável.

      7. Para evitar dúvidas, as obrigações da Seção 3(j) também se aplicam às Informações Pessoais Processadas por qualquer uma das afiliadas do Fornecedor, por qualquer um de seus Subprocessadores, de suas afiliadas ou outros agentes, subcontratados ou representantes.

    11. notificar imediatamente a Empresa, sem demora injustificada, e em qualquer hipótese, dentro de 72 (setenta e duas) horas de:

      1. qualquer reclamação, questionamento, solicitação ou preocupação de uma autoridade competente de proteção de dados ou outra autoridade regulatória relacionada às Informações Pessoais Processadas pelo Fornecedor que tenham relação com Contrato, e que auxiliem a Empresa a responder a essas demandas; e

      2. qualquer reclamação, questionamento, solicitação ou preocupação do Titular dos Dados em relação às Informações Pessoais Processadas pelo Fornecedor em conexão ao Contrato, incluindo qualquer solicitação para exercer os direitos sob a Lei de Proteção de Dados ou a política de privacidade da Empresa ou do Fornecedor, tais como acessar (incluindo solicitações de informações sobre qualquer processamento de suas Informações Pessoais), retificar, alterar, corrigir, compartilhar, excluir ou cessar o processamento das Informações Pessoais do Titular.

    12. cumprir todas as medidas razoáveis e adequadas solicitadas pela Empresa, necessárias para que o Fornecedor e a Empresa cumpram suas respectivas obrigações de acordo com a Lei de Proteção de Dados e este DPA, incluindo, sem limitação, se necessário, o auxílio na conclusão de qualquer avaliação de impacto sobre a proteção dos dados ou avaliação de impacto sobre a privacidade exigida pela Lei de Proteção de Dados.

    13. mediante solicitação da Empresa ou na expiração ou rescisão antecipada do Contrato ou de uma Declaração de Trabalho em relação a quais Informações Pessoais são Processadas, excluir ou devolver imediatamente, a critério da Empresa, todas as Informações Pessoais Processadas, a menos que exigido de outra forma pela lei aplicável. Nesse caso, o Fornecedor poderá reter uma cópia das Informações Pessoais até 30 (trinta) dias após o término do período de retenção das Informações Pessoais exigidas pela lei aplicável e o Fornecedor continuará a cumprir este DPA em relação a quaisquer Informações Pessoais por ele retidas, Processando apenas as Informações Pessoais conforme requerido pela lei aplicável. O Fornecedor deverá excluir ou devolver as Informações Pessoais por esses meios e, em caso de devolução de Informações Pessoais, no formato razoavelmente solicitado pela Empresa.

    14. manter a precisão e a integridade das Informações Pessoais Processadas em nome da Empresa, de forma consistente com a forma pela qual o Fornecedor recebeu ou coletou tais Informações Pessoais.

    15. manter todos os registros necessários a fim de demonstrar que essas Informações Pessoais somente foram Processadas de acordo com os avisos, consentimentos, autorizações e direitos aplicáveis, conforme permitido nos termos deste DPA, para que a Empresa e o Fornecedor possam estar em conformidade com a Lei de Proteção de Dados.

    16. mediante solicitação da Empresa, permitir e contribuir com auditorias conduzidas pela Empresa ou outro auditor designado pela Empresa, sobre a conformidade do Fornecedor com este DPA e com os programas de privacidade e segurança da informação do Fornecedor e ter um auditor terceirizado, razoavelmente aceitável, para a Empresa conduzir uma auditoria de programas de privacidade e segurança da informação do Fornecedor. Tais auditorias estarão sujeitas a quaisquer restrições e requisitos de auditoria razoavelmente aplicáveis detalhados no Contrato, exceto na medida em que tais restrições impediriam quaisquer auditorias, avaliações ou revisões exigidas pela Lei de Proteção de Dados.

    17. nos casos em que o Fornecedor deve Processar as Informações Pessoais sobre Titulares dos Dados de qualquer país ou região com restrições sobre a transferência transfronteiriça de Informações Pessoais, o Fornecedor somente o fará em conformidade com a Lei de Proteção de Dados, o que pode incluir, sem limitação, a celebração de Cláusulas Contratuais Padrão ou mecanismos semelhantes destinados a proteger as transferências de Informações Pessoais.

    18. mediante solicitação da Empresa e de acordo com os termos do Contrato, notificar e obter o consentimento de qualquer Titular de Dados, cujas Informações Pessoais são coletadas pelo Fornecedor ou em seu nome, em conexão com o Contrato. O Fornecedor usará formulários de notificação e de consentimento e fornecerá e obterá tais notificações e consentimentos de maneira satisfatória e tempestiva, para que a Empresa possa atender às exigências da Lei de Proteção de Dados.

    19. salvo mudanças feitas de acordo com o cumprimento de um padrão mais elevado do setor ou da Lei de Proteção de Dados, o Fornecedor deve manter em vigor e aplicar consistentemente as práticas de privacidade e segurança de dados do Fornecedor divulgadas à Empresa, em relação a devida diligência conduzida sobre essas práticas em relação a este Contrato; contanto que o Fornecedor não reduza os padrões dessas práticas, divulgando subsequentemente práticas de privacidade e segurança de dados, o que configuraria uma degradação das práticas anteriormente divulgadas. O Fornecedor declara e garante que todas as respostas por ele fornecidas, em qualquer diligência devida são verdadeiras, precisas e completas quando feitas, e que um representante autorizado do Fornecedor concluiu tal diligência devida. O Fornecedor notificará imediatamente a Empresa sobre todas as alterações materiais nas práticas de privacidade e segurança dos dados do Fornecedor.

    20. se exigido pela Lei de Proteção de Dados, nomear um Responsável por Proteção de Dados ou função similar encarregada da proteção das Informações Pessoais e informar à Empresa sobre o nome e as informações de contato dessa pessoa.

    21. o Fornecedor reconhece e concorda que a assinatura deste DPA constitui sua certificação de que se compromete com as restrições dispostas neste DPA e as cumprirá.

  1. Indenização. Sem limitar quaisquer direitos ou prerrogativas da Empresa, obrigações do Fornecedor nos termos do Contrato ou de outra forma, as Partes concordam que o Fornecedor indenizará a Empresa, suas afiliadas e seus respectivos executivos, diretores, funcionários, contratados, trabalhadores temporários, subcontratados, agentes e outros representantes (denominados “Parte Indenizada”) quanto a quaisquer perdas, danos, multas, custos ou despesas (incluindo despesas e gastos jurídicos) incorridos por essa Parte Indenizada resultante de Violação de Dados Pessoais do Fornecedor em relação às Informações Pessoais Processadas pelo Fornecedor em relação ao Contrato. Qualquer responsabilidade abordada nesta seção estará sujeita às limitações ou exclusões de responsabilidade aplicáveis no Contrato, a menos que tal responsabilidade seja resultado da negligência ou ato errado intencional do Fornecedor, caso em que nenhuma limitação ou exclusão de responsabilidade será aplicada.

  2. Definições

    1. “Lei de Proteção de Dados” significa qualquer lei aplicável de proteção de dados, segurança ou privacidade de dados, incluindo a Lei Geral de Proteção de Dados (“LGPD”) nº 13.709/18, ou quando aplicável, o Regulamento Geral de Proteção de Dados da UE e qualquer legislação nacional de implementação relacionada, Lei de Portabilidade e Responsabilidade do Seguro de Saúde, a Lei de Direitos de Privacidade da Califórnia e qualquer outra lei de proteção, privacidade e segurança de dados, a nível municipal, estadual ou federal.

    2. “Informações pessoais” significa quaisquer dados relacionados ao Contrato vinculado a um indivíduo identificado ou identificável, incluindo dados que identificam um indivíduo ou que poderiam ser usados para identificar, localizar, rastrear ou contatar um indivíduo. As Informações Pessoais incluem informações diretamente identificáveis, como nome, número de identificação ou título exclusivo do cargo, e informações indiretamente identificáveis, como data de nascimento, identificador exclusivo de dispositivos móveis ou vestíveis, informações que possam ser usadas para identificar uma residência, número de telefone, dados codificados por chave, identificadores online, como endereços IP ou atividades pessoais, comportamentos ou preferências, e inclui quaisquer dados que constituam “dados pessoais” de acordo com a Lei de Proteção de Dados.

    3. “Processamento” significa realizar qualquer operação ou conjunto de operações em Informações Pessoais ou conjuntos de Informações Pessoais, seja ou não por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, acesso, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou ainda disponibilização, avaliação, análise, elaboração de relatórios, compartilhamento, alinhamento ou combinação, restrição, eliminação ou destruição.

    4. “Violação de Dados Pessoais” significa uma destruição acidental ou ilegal, perda, alteração, divulgação, uso ou acesso não autorizados a Informações Pessoais, ou ainda transmissão, armazenamento ou Processamento indevidos.

    5. “Cláusulas Contratuais Padrão” são cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros que não foram avaliados pela Comissão Europeia como fornecendo um nível adequado de proteção aos dados pessoais, conforme publicado pela Comissão Europeia em 4 de junho de 2021, e que podem ser atualizadas periodicamente.

    6. Caso essas definições restrinjam ou reduzam o escopo das definições relacionadas à Lei de Proteção de Dados, as disposições deverão ser expandidas para corresponder às determinações da Lei de Proteção de Dados.

    7. Na ausência de uma definição nesta Seção, um termo deve ser interpretado de maneira compatível com todas as Leis de Proteção de Dados aplicáveis.

  3. Interpretação.

    1. Os termos definidos e usados neste DPA, mas não definidos neste documento, devem ter o significado especificado em outras disposições deste Contrato.

    2. As palavras “incluir” e “incluindo” devem ser interpretadas como incluindo, entre outros.

    3. Em relação aos Serviços nos termos do Contrato, o Fornecedor pode Processar as Informações Pessoais de uma ou mais afiliadas da Empresa. Nesse caso, qualquer uma dessas afiliadas da Empresa será considerada um “Controlador” de Informações Pessoais e um terceiro beneficiário deste DPA e terá o direito de confiar e fazer cumprir todos os direitos e proteções conedidos à Empresa nos termos deste DPA, independentemente da afiliada ser nomeada como parte do Contrato ou do DPA.

    4. Este DPA é incorporado e faz parte do Contrato.

    5. No caso e na medida de qualquer conflito entre os termos do Contrato e este DPA, os termos deste DPA prevalecerão, exceto se os termos do Contrato garantirem mais proteção às Informações Pessoais Processadas no escopo do Contrato, caso em que os termos mais protetores do Contrato prevalecerão.

    6. Na hipótese e na medida de qualquer conflito entre os termos deste DPA e as Cláusulas Contratuais Padrão, os termos da Cláusulas Contratuais Padrão prevalecerão.

    7. Salvo expressamente alterado neste documento, os termos do Contrato permanecerão em pleno vigor e efeito.

    8. Se este DPA for redigido em inglês e em um idioma estrangeiro, no caso de diferenças entre o texto em inglês e o texto no idioma estrangeiro, o texto em inglês prevalecerá.

    9. As cláusulas e outros títulos neste DPA são somente para conveniência de referência e não devem constituir uma parte ou de outra forma afetar o significado ou a interpretação deste DPA.

    10. Os Anexos e Apêndices a este DPA devem ser considerados parte integrante deste DPA na mesma medida, como se tivessem sido transcritos expressamente neste DPA.

    11. As disposições deste DPA são separáveis. Se qualquer frase, cláusula ou disposição for inválida ou inexequível no todo ou em parte, tal invalidade ou inexequibilidade afetará somente essa frase, cláusula ou disposição e o restante deste DPA permanecerá em pleno vigor e efeito.

    12. Este DPA rege qualquer Processamento de Informações Pessoais relacionado aos Serviços e complementa os termos do Contrato aplicável aos Serviços, exceto quando a Empresa e Fornecedor celebraram outro DPA aplicável a alguns dos Serviços.


    1. Este DPA pode ser celebrado em qualquer número de vias que, em conjunto, constituirão um mesmo contrato. Qualquer Parte pode celebrar este DPA firmando tal via.


    1. Este DPA constitui o acordo integral entre as Partes em relação ao assunto deste DPA (na medida do permitido por lei) e substitui todas as representações anteriores ou acordos orais ou escritos entre as Partes em relação a esse assunto, desde que nada neste DPA e nenhuma das Partes esteja tentando excluir qualquer responsabilidade por declarações fraudulentas.


    1. As disposições de lei e jurisdição aplicáveis do Contrato serão aplicáveis a este DPA.


  1. Limites em atualizações.


    1. Quando as Partes renovarem, alterarem, emitirem uma nova Declaração de Trabalho sob, ou de qualquer forma modificarem o Acordo ou qualquer Declaração de Trabalho sob o Acordo (um "Evento Gatilho"), o documento mais recente sob "Data Processing Addendum" localizado em xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ irá substituir e sobrepor os termos deste DPA até o próximo Evento Gatilho, a menos que uma objeção seja apresentada dentro de 30 dias após a ocorrência do evento gatilho. Não obstante o exposto, pode haver situações que exijam uma alteração imediata dos termos deste DPA, o que só ocorrerá por motivos articulados em 7(b), e só será feito de boa fé e após garantir que os novos termos ou termos modificados se limitem àqueles necessários para cumprir com a nova Lei de Proteção de Dados aplicável, jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes.


    1. No evento de qualquer um dos seguintes cenários ocorrer, as Partes concordam imediatamente com os termos mais recentes postados no endereço acima, a menos que uma objeção seja apresentada dentro de 30 dias após o aviso da Empresa sobre os novos termos fornecidos a todas as entidades que solicitaram receber aviso em xxxxxxx_xxxxxxx@xxx.xxx:


      1. a Lei de Proteção de Dados aplicável foi atualizada de maneira que os termos contratuais existentes deste DPA sejam inadequados para satisfazer os requisitos da lei atualizada,


      1. há uma mudança na Lei de Proteção de Dados aplicável e as Partes têm um interesse razoável e legítimo em alterar esses termos devido à mudança da lei, por exemplo e sem limitação, removendo requisitos que não são mais necessários, ou


      1. há nova jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes que têm um efeito comparável a uma mudança na lei descrita em (i) ou (ii) acima.


  1. Aplicabilidade dos apêndices. As Cláusulas Contratuais Padrão aqui anexadas como Apêndice 2 e os anexos no Apêndice 3 só devem ser aplicáveis na medida em que forem exigidos pela Lei de Proteção de Dados aplicável. As Partes concordam em cumprir tais cláusulas e adendos unicamente na medida em que estejam alinhados e sejam exigidos pelos requisitos da Lei de Proteção de Dados aplicável em cada respectiva jurisdição.

  2. Notificação. Notificações fornecidas nos termos deste DPA (cada uma, “Notificação”) devem ser feitas por escrito. As notificações fornecidas neste deste DPA devem ser fornecidas de acordo com as disposições de notificação do Contrato aplicável, juntamente com cópia(s) enviadas por e-mail à Empresa, para xxx_xxxxxxx_xxxxxx@xxx.xxx, com uma linha de assunto “DPA Notificação do Fornecedor” ou no caso de uma Violação de Dados Pessoais “Urgente: Notificação de Violação de Dados Pessoais”.



APÊNDICE 1 – Medidas de Segurança da Tecnologia da Informação

  1. Segurança da rede - O Fornecedor cumprirá com as políticas, procedimentos e sistemas de segurança da rede e conduzirá atividades e segurança de rede consistentes com as melhores práticas do setor do Fornecedor, mas que deverá, ao menos, incluir, mas não limitado a: avaliações de vulnerabilidade de firewall de rede, a detecção de invasões e avaliações regulares de vulnerabilidade (não menos que uma vez por ano, em qualquer caso). Em nenhuma circunstância o disposto acima aplicado às Informações Pessoais da Empresa será menos rigoroso e protetor do que aqueles aplicados pelo Fornecedor para a proteção dos seus próprios dados e sistemas de natureza semelhante.

  2. Segurança de Aplicativos - O Fornecedor fornecerá, manterá e prestará suporte a qualquer um de seus softwares e sistemas fornecidos ou usados em conexão com os serviços ou produtos nos termos do Contrato e atualizações, upgrades e correções de bugs, de forma a torná-los e mantê-los seguros de vulnerabilidades, utilizando práticas ou padrões do setor reconhecidos e comparáveis, conforme estabelecido no parágrafo 9 abaixo.

  3. Segurança de Dados - Sem limitar as obrigações de confidencialidade do Fornecedor ou outras obrigações para proteger dados e outras informações da Empresa ou de suas afiliadas, incluindo qualquer Informação Pessoal, nos termos do Contrato ou deste DPA, o Fornecedor armazenará todas as Informações Pessoais de acordo com as melhores práticas do setor e em conformidade com todas as leis aplicáveis, bem como usará as medidas de segurança, incluindo, entre outras, a criptografia e firewalls, para proteger essas Informações Pessoais da divulgação ou uso não autorizados. Essas medidas não serão menos rigorosas do que as medidas mantidas pelo Fornecedor para seus próprios dados de natureza semelhante. Quando o Fornecedor armazenar Informações Pessoais em uma instalação de terceiros, o Fornecedor deverá ter cumprido os termos deste DPA relacionados à divulgação de Informações Pessoais a terceiros ou de outra forma à subcontratação de serviços ou produtos para terceiros e somente utilizará instalações de armazenamento externas de terceiros que seja razoavelmente aceitável para a Empresa, sem limitar o disposto acima, a instalação de um terceiro que esteja em total conformidade com todas as disposições deste Apêndice.

  4. Armazenamento de Dados - Todas as Informações Pessoais serão armazenadas, processadas e mantidas exclusivamente nos recursos de computação e armazenamento designados pelo Fornecedor e nenhuma das Informações Pessoais será, em nenhum momento, processada ou transferida para qualquer dispositivo de computação portátil ou laptop ou qualquer meio de armazenamento portátil, a menos que esse dispositivo ou meio de armazenamento esteja em uso como parte dos processos de backup e recuperação designados pelo Fornecedor e criptografado de acordo com o parágrafo 6 abaixo. O Fornecedor armazenará todas as cópias de backup de Informações Pessoais como parte de seus processos de backup e recuperação.

  5. Transmissão de Dados - Toda e qualquer transmissão ou troca eletrônica de Informações Pessoais com a Empresa e/ou quaisquer terceiros deve ocorrer por meios seguros (usando HTTPS, SFTP ou equivalentes) e exclusivamente de acordo com o parágrafo 6 abaixo.

  6. Criptografia de Dados - O Fornecedor concorda que todas as Informações Pessoais armazenadas em qualquer dispositivo, laptop ou qualquer meio de armazenamento portátil, inclusive todos os dados de backup da Empresa devem ser mantidos em formato criptografado, por meio de uma solução de criptografia com suporte comercial. As soluções de criptografia serão implementadas com no mínimo uma chave criptográfica de 128-bits para criptografia simétrica e uma chave com comprimento de de 2.048-bits (ou mais) para criptografia assimétrica.

  7. Reutilização de Dados - Exceto quando necessário para fornecer os serviços ou produtos nos termos do Contrato ou conforme permitido de outra forma por este DPA, o Fornecedor não distribuirá, reaproveitará ou compartilhará quaisquer Informações Pessoais com outros aplicativos, ambientes ou unidades de negócios do Fornecedor.

  8. Notificação de Violação de Segurança - No caso de uma violação de dados pessoais ou violação de quaisquer obrigações de segurança do Fornecedor, além de suas obrigações decorrentes do Contrato ou do DPA, o Fornecedor deve notificar a Empresa sobre tal ocorrência dentro de 72 (setenta e duas) horas da descoberta no seguinte número de telefone e endereço de e-mail:

N.º de telefone para Notificação de Violação de segurança: 000-000-0000

Centro de Operações Globais da Merck (“GOC”) (Selecione a opção “interrupção do serviço de TI” (Esta opção é atualmente a nº 1. O GOC pode enviar um page para a Equipe de Resposta à Violação de Dados Pessoais da MSD Cyber.)

E-mail de Notificação de Violação de segurança: XXX@Xxxxx.xxx

  1. Padrões do Setor - Conforme aplicável aos serviços ou produtos nos termos do Contrato, os padrões da indústria geralmente reconhecidos incluem, entre outros, os padrões atuais e os padrões de referência estabelecidos e mantidos por:

    1. Centro de segurança da Internet [Center for Internet Security] - consulte xxxx://xxx.xxxxxxxxxx.xxx

    2. Padrão de segurança de dados do setor de cartões de pagamento (PCI/DSS) [Payment Card Industry/Data Security Standards] - consulte xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

    3. Instituto Nacional de Padrões e Tecnologia [National Institute for Standards and Technology] - consulte xxxx://xxxx.xxxx.xxx

    4. Lei Federal de Gerenciamento da Segurança da Informação (FISMA) [Federal Information Security Management Act] - consulte xxxx://xxxx.xxxx.xxx

    5. Normas ISO/IEC 27000 - consulte xxxx://xxx.xxx00000xxxxxxxx.xxx/

    6. Organização para o Avanço de Padrões em informação Estruturada (OASIS) [Organization for the Advancement of Structured Information Standards] - consulte xxxx://xxx.xxxxx-xxxx.xxx/

    7. Projeto Aberto de Segurança de Aplicações Web (OWASP) [Open Web Application Security Project] “Projeto Top Ten” - consulte xxxx://xxx.xxxxx.xxx

    8. A CWE (Enumeração de fraquezas comuns) [Common Weakness Enumeration] - consulte xxxx://xxx.xxxxx.xxx ou CWE/SANS 25 principais erros de programação - xxxx://xxx.xxxxx.xxx/xxx00/

    9. A SANS Institute - consulte xxxx://xxx.xxxx.xxx

    10. Erros de software mais perigosos [Most Dangerous Software Errors] xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/

APÊNDICE 2

Caso a Empresa esteja exportando Informações Pessoais de forma que o Módulo 2 das Cláusulas Contratuais Padrão seja necessário, os seguintes termos se aplicam:

O texto localizado no corpo do Módulo 2 (Controlador para Processador) das Cláusulas Contratuais Padrão anexadas à Decisão de implementação da Comissão (UE) 2021/914 de 4 de junho de 2021 são incorporados por referência. Os aspectos opcionais são descritos abaixo:

  1. Cláusula 7 (cláusula de ancoragem) omitida.

  2. Para a Cláusula 9, opção 1: A autorização prévia específica foi escolhida.

  3. Para a Cláusula 11, o texto opcional foi omitido.

  4. Para a Cláusula 17, a opção 1 foi escolhida, sendo os Países Baixos o Estado-membro.

  5. Para a Cláusula 18, a escolha do Foro foi os Países Baixos.



Caso o Fornecedor esteja exportando Informações Pessoais de forma que o Módulo 4 das Cláusulas Contratuais Padrão seja necessário, os seguintes termos se aplicam:

O texto localizado no corpo do Módulo 4 (Processador para Controlador) das Cláusulas Contratuais Padrão anexadas à Decisão de implementação da Comissão (UE) 2021/914 de 4 de junho de 2021 são incorporados por referência. Os aspectos opcionais são descritos abaixo:

              1. Cláusula 7 (cláusula de ancoragem) omitida.

              2. Para a Cláusula 17, a opção 1 foi escolhida, sendo os Países Baixos o Estado-membro.

              3. Para a Cláusula 18, a escolha do Foro foi os Países Baixos.





ANEXO 1 AO APÊNDICE 2

A. LISTA DE PARTES

Consulte o Contrato

B. DESCRIÇÃO DA TRANSFERÊNCIA

Consulte o Anexo do contrato intitulado “Detalhes do Processamento de Dados”.

C. AUTORIDADE SUPERVISORA COMPETENTE

Commission Nationale de l'Informatique et des Libertés - CNIL
3 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/







ANEXO 2 AO APÊNDICE 2 – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Consulte o Apêndice 1 do DPA ao qual essas Cláusulas estão anexadas. Além disso, o Importador de Dados deve garantir que todos os Dados Pessoais sejam pseudonimizados e criptografados quando apropriado. Além disso, ao receber uma solicitação de uma autoridade governamental relativa aos Dados Pessoais objetos dessas Cláusulas, os Importadores de Dados e suas Afiliadas garantem que (i) as demandas de acesso por serviços de inteligência ou autoridades semelhantes nos EUA ou em outros lugares, e (ii) qualquer “dever de divulgação”, os dados pessoais descritos no Anexo 1B serão contestados pelo Importador de Dados e suas Afiliadas de acordo com as leis e regulamentos aplicáveis antes da extração.



ANEXO 3 AO APÊNDICE 2 – LISTA DE SUBPROCESSADORES

Consulte o Anexo do Contrato intitulado “Detalhes do Processamento de Dados”.



APÊNDICE 3

Requisitos legais adicionais de estado, país, região e província



ADENDO DO REINO UNIDO: Lei de Proteção de dados de 2018

O Apêndice 3 deste documento se incorpora, por referência, ao Adendo de Transferência de Dados Internacionais às Cláusulas Contratuais Padrão da Comissão da UE, versão B1.0, em vigor desde 21 de março de 2022, e deve ser considerado integralmente executado por todas as partes do Contrato, abrangendo todas as transferências aplicáveis, de acordo com o DPA, e incluindo todas as Cláusulas Obrigatórias da Parte 2.



ADENDO DA SUÍÇA: FADP

  1. Na medida em que as transferências de dados descritas no Apêndice 2 estão sujeitas ao FADP, as referências ao GDPR devem ser entendidas como referências à Lei Federal Suíça sobre Proteção de Dados (“FADP”).

  2. Durante o período exigido pela FADP, os dados pessoais das entidades jurídicas devem ser protegidos de acordo com essas Cláusulas da mesma maneira que são configuradas as proteções para os Titulares dos Dados.

  3. Cláusula 13: Supervisão paralela

    1. Quando a transferência de dados for regida pela FADP: A Comissão Federal de Proteção e Informações de Dados (“FDPIC”) é o órgão supervisor competente;

    2. Quando a transferência de dados for regida pela GDPR: Os critérios da Cláusula 13(a) devem ser aplicados.

  4. Cláusula 18(c): Escolha do Foro e jurisdição: Um Titular de Dados, que tem sua residência habitual na Suíça também pode instaurar processos judiciais contra o exportador de dados e/ou importador de dados para os tribunais da Suíça.



ADENDO DO CANADÁ: Lei de Quebec 25

        1. Qualquer seção deste DPA que garanta ao Fornecedor o processamento de Informações Pessoais de acordo com as instruções documentadas da Empresa deverá ser interpretada de forma a também proibir qualquer tentativa de anonimizar, agregar ou ainda de modificar as Informações Pessoais de maneira a deixar de constituir ou incluir as informações relacionadas ou informações sobre um Titular dos Dados identificado ou identificável, salvo na medida necessária para fornecer os serviços à empresa ou conforme expressamente autorizado por escrito pela Empresa.



        1. Qualquer notificação exigida neste DPA em relação a uma Violação de Dados Pessoais e qualquer notificação semelhante exigida pelo Contrato também será exigida para qualquer evento que constitua uma violação ou tentativa de violação deste DPA pelo Fornecedor.

        2. Se for necessário coletar consentimento em conexão aos termos deste DPA, o Fornecedor também deverá reter a evidência de todos os consentimentos por três (3) anos após o término do Contrato.

Document Metadata

Filed: October 30th, 2023