TERMOS E CONDIÇÕES GERAIS PARA OS SERVIÇOS EM NUVEM DA QUALTRICS("TCG")
TERMOS E CONDIÇÕES GERAIS PARA OS SERVIÇOS EM NUVEM DA QUALTRICS("TCG")
Firmado entre:
Qualtrics, LLC
(empresa da SAP America Inc.) 000 X. Xxxxx Xxxx Xxxxx
Xxxxx, Xxxx 00000 ("Qualtrics")
E [Nome do cliente]
[Endereço do cliente] ("Cliente")
1. DEFINIÇÕES
Os termos iniciados em letra maiúscula utilizados neste documento estão definidos no Glossário.
2. DIREITOS E RESTRIÇÕES DE USO
2.1 Concessão de direitos.
A Qualtrics concede ao Cliente o direito não exclusivo, intransferível e mundial para usar o Serviço em Nuvem (incluindo sua implementação e configuração), Materiais em Nuvem (conforme aplicável) e Documentação exclusivamente para as operações comerciais internas do Cliente e de suas Afiliadas. Os usos permitidos e restrições do Serviço em Nuvem também se aplicam aos Materiais e Documentação em Nuvem.
2.2 Usuários Autorizados.
O cliente pode permitir que Usuários Autorizados utilizem o Serviço em Nuvem. O uso é limitado às Métricas de Uso e aos volumes indicados no Formulário de Pedido. As credenciais de acesso ao Serviço em Nuvem não podem ser usadas por mais de um indivíduo, mas podem ser transferidas de um indivíduo para outro se o usuário original não tiver mais permissão para usar o Serviço em Nuvem. O cliente é responsável por violações do Contrato causadas por Usuários Autorizados.
2.3 Política de Uso Aceitável.
Com relação ao Serviço em Nuvem, o Cliente não irá:
(a) desmontar, descompilar, fazer engenharia reversa, copiar, traduzir ou fazer trabalhos derivados,
(b) transmitir qualquer conteúdo ou dado que seja ilegal ou infrinja qualquer direito de propriedade intelectual, ou
(c) contornar ou colocar em perigo sua operação ou segurança.
2.4 Verificação de Uso.
O cliente monitorará seu próprio uso do Serviço em Nuvem e relatará qualquer uso que exceder a Métrica de Uso e do volume. A Qualtrics poderá monitorar o uso para verificar a conformidade com a Métrica de Uso, com o volume e com o Contrato.
2.5 Suspensão do Serviço em Nuvem.
A Qualtrics pode suspender ou limitar o uso do Serviço em Nuvem se seu uso continuado puder resultar em danos materiais ao Serviço em Nuvem ou a seus usuários. A Qualtrics notificará imediatamente o Cliente sobre a sua suspensão ou limitação. A Qualtrics limitará a suspensão ou limitação em termos de tempo e escopo, conforme possível de acordo com as circunstâncias.
2.6 Serviços Web de Terceiros.
O Serviço em Nuvem pode incluir integrações com serviços web disponibilizados por terceiros (que não os Afiliados da Qualtrics) acessados através do Serviço em Nuvem e sujeitos aos termos e condições acordados com esses terceiros. Tais serviços web de terceiros não fazem parte do Serviço em Nuvem, sendo que o Contrato não se aplica a eles.
2.7 Acesso Móvel ao Serviço em Nuvem.
Se aplicável, Usuários Autorizados podem acessar certos Serviços em Nuvem através de aplicativos móveis obtidos de sites de terceiros, tais como nas lojas de aplicativos de Android ou Apple. Pode ser que o uso de aplicativos móveis seja regido pelos termos e condições apresentados no momento do download/acesso ao aplicativo móvel e não pelos termos do Contrato.
3. RESPONSABILIDADES DA QUALTRICS
3.1 Provisionamento.
A Qualtrics fornece acesso ao Serviço em Nuvem como descrito no Contrato.
3.2 Suporte.
Qualtrics fornece suporte para o Serviço em Nuvem conforme referenciado no Formulário de Pedido.
3.3 Segurança.
A Qualtrics implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os dados pessoais processados pela Qualtrics como parte do Serviço em Nuvem, conforme descrito no Contrato de Processamento de Dados, na forma do Anexo A ("APD") para Serviços em Nuvem incorporados ao Formulário de Pedido, em conformidade com a lei de proteção de dados aplicável.
3.4 Modificações.
(a) As políticas de Serviço em Nuvem e da Qualtrics podem ser modificadas pela Qualtrics. A Qualtrics informará o Cliente sobre as modificações por e-mail, portal de suporte, notas de lançamento, Documentação ou pelo Serviço em Nuvem. As informações serão entregues por e-mail se a modificação não for apenas um aprimoramento. As modificações podem incluir novos recursos opcionais para o Serviço em Nuvem, que podem ser utilizados pelo Cliente de acordo com o Suplemento e com a Documentação então vigente.
(b) Se o Cliente estabelecer que uma modificação não se trata apenas de um aprimoramento, mas sim reduz materialmente o Serviço em Nuvem, o Cliente poderá cancelar suas assinaturas do respectivo Serviço em Nuvem, por meio do envio de notificação por escrito à Qualtrics dentro de trinta dias após o recebimento da notificação informativa da Qualtrics.
3.5 Análises.
A Qualtrics ou as Afiliadas da Qualtrics podem criar análises utilizando, em parte, dados e informações do cliente derivados do uso do Serviço em Nuvem e Serviços de Consultoria, conforme estabelecido abaixo ("Análises"). As análises serão anônimas e agregarão informações e serão tratadas como Materiais em Nuvem.
Salvo acordo em contrário, os dados pessoais contidos nos Dados do Cliente são utilizados apenas para fornecer o Serviço em Nuvem e os Serviços de Consultoria. As análises podem ser utilizadas para as seguintes finalidades:
a) melhoria do produto (em particular, características e funcionalidade do produto, fluxos de trabalho e interfaces de usuário) e desenvolvimento de novos produtos e serviços da Qualtrics,
b) melhoria da alocação de recursos e o suporte,
c) planejamento da demanda interna,
d) treinamento e desenvolvimento de algoritmos de aprendizagem de máquinas,
e) melhoria do desempenho do produto,
f) verificação da segurança e integridade dos dados
g) identificação de tendências e desenvolvimentos do setor, criação de índices e benchmarking anônimo
4. DADOS DO CLIENTE E PESSOAIS
4.1 Dados do Cliente.
O cliente é responsável pelos dados do cliente e por sua inserção no Serviço em Nuvem. O cliente concede à Qualtrics (incluindo às Afiliadas e subcontratados da Qualtrics) o direito não
exclusivo de processar os Dados do Cliente somente para fornecer e dar suporte ao Serviço em Nuvem.
4.2 Dados Pessoais.
O cliente coletará e manterá todos os dados pessoais contidos nos Dados do Cliente em conformidade com as leis aplicáveis de privacidade e proteção de dados.
4.3 Segurança.
O cliente manterá padrões razoáveis de segurança para o uso do Serviço em Nuvem por seus Usuários Autorizados. O cliente não conduzirá ou autorizará testes de penetração do Serviço em Nuvem sem a aprovação prévia da Qualtrics.
4.4 Acesso aos dados do cliente.
(a) Durante a Vigência da Xxxxxxxxxx, o Cliente pode acessar seus Dados de Cliente a qualquer momento. O cliente pode exportar e recuperar seus Dados de Cliente em um formato padrão. A exportação e a recuperação podem estar sujeitas a limitações técnicas, caso em que a Qualtrics e o Cliente encontrarão um método razoável para permitir o acesso do Cliente aos Dados do Cliente.
(b) Antes do término da Vigência da Assinatura, se disponível, o Cliente pode usar as ferramentas de exportação de autoatendimento da Qualtrics (conforme disponível) para realizar uma exportação final de Dados do Cliente a partir do Serviço em Nuvem. Alternativamente, o Cliente pode solicitar a exportação de dados através de ticket de suporte.
(c) Ao final do Contrato, a Qualtrics excluirá os Dados do Cliente remanescentes nos servidores que hospedam o Serviço em Nuvem, a menos que a lei aplicável exija sua retenção. Os dados retidos estão sujeitos às disposições de confidencialidade do Contrato.
(d) No caso de processos judiciais movidos por terceiros com relação aos Dados do Cliente, a Qualtrics cooperará com o Cliente e cumprirá a lei aplicável (ambos às custas do Cliente) no que diz respeito ao tratamento dos Dados do Cliente.
5. TAXAS E TRIBUTOS
5.1 Taxas e Pagamento.
O cliente pagará as taxas conforme indicado no Formulário de Pedido. Após aviso prévio por escrito, a Qualtrics poderá suspender o uso do Serviço em Nuvem pelo Cliente até que o pagamento seja efetuado. O cliente não pode reter, reduzir ou compensar as taxas devidas nem reduzir a Métrica de Uso durante a Vigência da Assinatura. Os Formulários de Pedido não podem ser cancelados e as taxas não são sujeitas a reembolso.
5.2 Tributos.
As taxas e outros encargos impostos sob o Formulário de Pedido não incluirão tributos, todos os quais serão por conta do Cliente. O cliente é responsável por todos os tributos, exceto pelo imposto de renda e tributos sobre a folha de pagamento da Qualtrics. O cliente deve fornecer à Qualtrics todas as permissões de pagamento direto ou certificados válidos de isenção fiscal antes de assinar o Formulário de Pedido. Se a Qualtrics for obrigada a pagar tributos (além do imposto de renda e tributos sobre a folha de pagamento), o cliente reembolsará a Qualtrics por esses valores e indenizará a Qualtrics por quaisquer tributos e custos relacionados que tenham sido pagos ou que devam ser pagos pela Qualtrics atribuíveis a tais tributos.
6. VIGÊNCIA E RESCISÃO
6.1 Vigência.
A Vigência da Assinatura é aquela indicada no Formulário de Pedido.
6.2 Rescisão.
Uma parte pode rescindir o Contrato:
(a) após trinta dias de notificação por escrito da violação material da outra parte, a menos que a violação seja curada durante esse período de trinta dias,
(b) conforme permitido nas Cláusulas 3.4(b), 7.3(b), 7.4(c), ou 8.1(c) (com rescisão efetiva trinta dias após o recebimento da notificação em cada um desses casos), ou
(c) imediatamente se a outra parte declarar falência, tornar-se insolvente, ou fizer uma cessão em benefício dos credores, ou de outra forma violar materialmente as Cláusulas 11 ou 12.6.
6.3 Reembolso e Pagamentos.
Para rescisão pelo Cliente ou sob a Cláusula 8.1(c), o Cliente terá direito:
(a) ao reembolso proporcional no valor da parcela não utilizada das taxas pré-pagas da assinatura cancelada, calculado a partir da data efetiva da rescisão, e
(b) à liberação da obrigação de pagamento de taxas devidas por períodos após a data efetiva de rescisão.
6.4 Efeito de Vencimento ou Rescisão.
Na data efetiva de vencimento ou rescisão do Contrato:
(a) O direito do cliente de usar o Serviço em Nuvem e todas as Informações Confidenciais Qualtrics restarão rescindidos,
(b) As informações confidenciais da parte reveladora serão devolvidas ou destruídas conforme exigido pelo Contrato, e
(c) A rescisão ou o vencimento do Contrato não afeta demais acordos havidos entre as partes.
6.5 Sobrevivência.
As Cláusulas 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11, e 12 subsistirão ao vencimento ou à rescisão do Contrato.
7. GARANTIAS
7.1 Cumprimento da Lei.
Cada uma das partes garante que cumprirá e continuará a cumprir todas as leis e regulamentos aplicáveis com relação:
(a) no caso da Qualtrics, à operação dos negócios da Qualtrics no que se refere ao Serviço em Nuvem, e
(b) no caso do Cliente, aos Dados do Cliente e ao uso do Serviço em Nuvem pelo Cliente.
7.2 Boas Práticas Industriais.
A Qualtrics garante que prestará o Serviço em Nuvem:
(a) substancialmente de acordo com a Documentação; e
(b) com o grau de habilidade e cuidado razoavelmente esperados de um prestador global, qualificado e experiente de serviços com natureza e complexidade substancialmente similares ao Serviço em Nuvem.
7.3 Recurso.
Os únicos e exclusivos recursos do cliente e a única responsabilidade da Qualtrics pela violação da garantia prestada na Cláusula 7.2 serão:
(a) a nova prestação do Serviço em Nuvem, e
(b) se a Qualtrics falhar em refazer o serviço, o Cliente poderá cancelar a assinatura do respectivo Serviço em Nuvem. Qualquer rescisão deve ocorrer dentro de três meses após a falha da nova prestação do serviço pela Qualtrics.
7.4 Disponibilidade do Sistema.
(a) A Qualtrics garante manter uma disponibilidade média mensal do sistema de produção do Serviço em Nuvem conforme definido no respectivo acordo de nível de serviço ou Suplemento ("SLA").
(b) O único e exclusivo recurso do Cliente em virtude da violação do SLA pela Qualtrics é a emissão de um crédito no valor descrito no SLA. O cliente seguirá o procedimento de reclamação de crédito da Qualtrics. Quando a validade do crédito do serviço for confirmada por escrito pela Qualtrics (e-mail permitido), o Cliente poderá aplicar o crédito a uma fatura futura do Serviço em Nuvem ou solicitar o reembolso no valor do crédito se nenhuma fatura futura for devida.
(c) Caso a Qualtrics não cumpra o SLA (i) por quatro meses consecutivos, ou (ii) por cinco meses ou mais durante qualquer período de doze meses, ou (iii) a um nível de disponibilidade do sistema de pelo menos 95% por mês civil, o Cliente poderá cancelar as assinaturas do respectivo Serviço em Nuvem mediante o envio à Qualtrics de um aviso por escrito dentro de trinta dias após o não cumprimento.
7.5 Exclusões de Garantia.
As garantias previstas nas Cláusulas 7.2 e 7.4 não se aplicarão se:
(a) o Serviço em Nuvem não for utilizado de acordo com o Contrato ou com a Documentação,
(b) uma não-conformidade seja causada pelo Cliente, ou por qualquer produto ou serviço não fornecido pela Qualtrics, ou
(c) o Serviço em Nuvem tiver sido fornecido sem nenhum custo.
7.6 Isenção de Responsabilidade.
Exceto conforme expressamente previsto no Contrato, nem a Qualtrics nem seus subcontratados prestam qualquer representação ou garantia, expressa ou implícita, estatutária ou não, com relação a qualquer assunto, incluindo a comercialização, adequação, originalidade ou adequação para um uso ou propósito particular, não-infração ou resultados a serem derivados do uso ou integração com quaisquer produtos ou serviços fornecidos sob o Contrato, ou de que a operação de quaisquer produtos ou serviços será segura, ininterrupta ou livre de erros. O Cliente concorda que não está se baseando na entrega de futuras funcionalidades, comentários públicos ou publicidade da Qualtrics ou roadmaps de produtos na contratação de assinaturas para qualquer Serviço em Nuvem.
8. REIVINDICAÇÕES DE TERCEIROS
8.1 Reivindicações contra o Cliente.
(a) A Qualtrics defenderá o Cliente contra reclamações feitas contra o Cliente e suas Afiliadas por qualquer terceiro que alegar que o uso do Serviço em Nuvem pelo Cliente e suas Afiliadas infringe ou se apropria indevidamente de uma reivindicação de patente, direitos autorais ou direito de segredo comercial. A Qualtrics ressarcirá ao Cliente todas as indenizações determinadas em definitivo contra o Cliente (ou o valor de qualquer acordo firmado pela Qualtrics) com relação a tais reivindicações.
(b) As obrigações da Qualtrics sob a Cláusula 8.1 não se aplicarão se a reivindicação resultar de (i) violação pelo Cliente da Cláusula 2, (ii) uso do Serviço em Nuvem em conjunto com qualquer produto ou serviço não fornecido pela Qualtrics, ou (iii) uso do Serviço em Nuvem fornecido sem nenhum custo.
(c) Caso uma reclamação seja feita ou seja provável de ser feita, a Qualtrics pode (i) providenciar que o Cliente tenha o direito de continuar a utilizar o Serviço em Nuvem sob os termos do Contrato, ou (ii) substituir ou modificar o Serviço em Nuvem para não infringir o Contrato sem que haja a diminuição relevante da funcionalidade. Se estas opções não estiverem disponíveis, a Qualtrics ou o Cliente poderá cancelar a assinatura do Cliente do respectivo Serviço em Nuvem mediante aviso por escrito ao outro.
8.2 Reivindicações contra a Qualtrics.
O Cliente defenderá a Qualtrics contra reclamações feitas contra a Qualtrics e suas Afiliadas e subcontratados por qualquer terceiro com relação aos Dados do Cliente.
O Cliente ressarcirá à Qualtrics todas as indenizações determinadas em definitivo contra a Qualtrics e suas Afiliadas e subcontratados (ou o valor de qualquer acordo firmado pelo Cliente) com relação a essas reivindicações.
8.3 Procedimento de Reivindicação de Terceiros.
(a) A parte contra a qual uma reivindicação de terceiros tiver sido apresentada notificará a outra parte por escrito sobre qualquer reivindicação, cooperará razoavelmente na defesa e poderá ser representada (às suas próprias custas) pelo advogado razoavelmente aceitável para a parte que elaborar a defesa.
(b) A parte que for obrigada a se defender em uma reivindicação terá o direito de controlar totalmente a defesa.
(c) Qualquer acordo de uma reivindicação não incluirá uma obrigação de execução financeira ou específica ou admissão de responsabilidade pela parte contra a qual a reivindicação foi movida.
8.4 Recurso Exclusivo.
As disposições da Cláusula 8 estabelecem a responsabilidade única, exclusiva e total das partes, suas Afiliadas, Parceiros Comerciais e subcontratados para com a outra parte, sendo o único recurso da outra parte, com respeito às reivindicações de terceiros cobertos e à violação ou apropriação indevida de direitos de propriedade intelectual de terceiros.
9. LIMITAÇÃO DE RESPONSABILIDADE
9.1 Responsabilidade Ilimitada.
Nenhuma das partes excluirá ou limitará sua responsabilidade por danos resultantes:
(a) das obrigações das partes nos termos da Cláusula 8.1(a) e 8.2,
(b) do uso não autorizado ou divulgação de Informações Confidenciais,
(c) da violação por qualquer uma das partes de suas obrigações de proteção e segurança de dados que resulte no uso ou divulgação não autorizada de dados pessoais,
(d) da morte ou lesões corporais decorrentes de falta grave ou dolo de qualquer uma das partes, ou
(e) de qualquer falha do Cliente no pagamento de quaisquer taxas devidas nos termos do Contrato.
9.2 Limite de Responsabilidade Civil
Observadas as Cláusulas 9.1 e 9.3, a responsabilidade máxima agregada de qualquer uma das partes (ou de suas respectivas Afiliadas ou dos subcontratados da Qualtrics) para com a outra ou qualquer outra pessoa ou entidade em todos os eventos (ou séries de eventos conectados) que surgirem em qualquer período de doze meses não excederá as taxas anuais de assinatura pagas pelo respectivo Serviço em Nuvem que ocasionaram diretamente os danos no referido período de doze meses. Um "período de doze meses" se inicia na data de início da Vigência da Xxxxxxxxxx ou em qualquer data de seus aniversários anuais.
9.3 Exclusão de Danos.
Observada a Cláusula 9.1:
(a) nenhuma das partes (nem suas respectivas Afiliadas ou os subcontratados da Qualtrics) será responsável perante a outra parte por quaisquer danos especiais, emergentes, imprevistos ou indiretos, perda de fundo de comércio ou de lucros, interrupção do trabalho ou por danos exemplares ou punitivos, e
(b) a Qualtrics não será responsável por nenhum dano ocasionado por qualquer Serviço em Nuvem prestado gratuitamente.
9.4 Alocação de Riscos.
O Contrato aloca os riscos entre a Qualtrics e o Cliente. As taxas para o Serviço em Nuvem e o Serviços de Consultoria refletem esta alocação de riscos e limitações de responsabilidade.
10. DIREITOS DE PROPRIEDADE INTELECTUAL
10.1 Propriedade da QUALTRICS.
A Qualtrics, suas Afiliadas ou licenciadoras têm todos os direitos de propriedade intelectual e relacionados ao Serviço em Nuvem, aos Materiais em Nuvem, à Documentação, aos Serviços de Consultoria, às contribuições de projeto, aos conhecimentos ou aos processos relacionados e a todos os trabalhos deles derivados. Todos os direitos não expressamente concedidos ao Cliente são reservados à Qualtrics e a seus licenciadores.
10.2 Propriedade do Cliente.
O Cliente tem todos os direitos sobre e relacionados aos Dados do Cliente. A Qualtrics pode utilizar as marcas fornecidas pelo Cliente exclusivamente para fornecer e dar suporte ao Serviço em Nuvem.
10.3 Não-Asserção de Direitos.
O Cliente se obriga, em seu nome e em nome de seus sucessores e cessionários, a não impor contra a Qualtrics e suas Afiliadas ou licenciadoras, nenhum direito, ou reivindicação de um direito, em nenhum Serviço em Nuvem, Materiais em Nuvem, Documentação, ou Serviços de Consultoria.
11. CONFIDENCIALIDADE
11.1 Uso de Informações Confidenciais.
(a) A parte receptora protegerá todas as Informações Confidenciais da parte reveladora, mantendo-as como estritamente confidenciais, da mesma forma em que protege suas próprias Informações Confidenciais, adotando nada menos do que um padrão razoável de cuidado. A parte receptora não divulgará nenhuma Informação Confidencial da parte reveladora a nenhuma pessoa além de seu pessoal, representantes ou Usuários Autorizados cujo acesso seja necessário para que estes possam exercer seus direitos ou cumprir suas obrigações nos termos do Contrato e que estejam sujeitos a obrigações de confidencialidade substancialmente similares àquelas previstas na Cláusula 11. O Cliente não divulgará o Contrato ou o preço a terceiros.
(b) As informações confidenciais de qualquer uma das partes divulgadas antes da execução do Contrato estarão sujeitas à Cláusula 11.
(c) No caso de processos judiciais relacionados às Informações Confidenciais, a parte receptora cooperará com a parte reveladora e cumprirá a lei aplicável (tudo às custas da parte reveladora) no que diz respeito ao manuseio das Informações Confidenciais.
11.2 Exceções.
As restrições ao uso ou divulgação de Informações Confidenciais não se aplicarão a Informações Confidenciais:
(a) que tenham sido desenvolvidas de maneira independente pela parte receptora sem referência às Informações Confidenciais da parte reveladora,
(b) que estejam, de uma forma geral, disponíveis ao público sem violação do Contrato pela parte receptora,
(c) que, no momento da divulgação, já eram conhecidas pela parte receptora livre de restrições de confidencialidade, ou
(d) as quais a parte reveladora concorda, por escrito, não estarem sujeitas a restrições de confidencialidade.
11.3 Publicidade.
Nenhuma das partes usará o nome da outra parte em atividades publicitárias sem o consentimento prévio por escrito da outra, exceto que o Cliente concorda que a Qualtrics poderá usar o nome do Cliente em listas de clientes ou chamadas trimestrais com seus investidores ou, caso de comum acordo com as partes, como parte dos esforços de marketing da Qualtrics (incluindo chamadas e histórias de referência, comunicados de imprensa, visitas ao site, participação da SAPPHIRE). O Cliente concorda que a Qualtrics pode compartilhar informações sobre o Cliente com suas Afiliadas para fins de marketing e outros fins comerciais e que obteve as devidas autorizações para compartilhar informações de contato dos funcionários do Cliente com a Qualtrics.
12. OUTRAS DISPOSIÇÕES
12.1 Independência das Cláusulas.
Se qualquer disposição do Contrato for considerada inválida ou inexequível, a invalidade ou inexequibilidade não afetará as outras disposições do Contrato.
12.2 Sem Renúncia.
A renúncia a uma violação do Contrato não é considerada renúncia a outras violações.
12.3 Assinatura Eletrônica.
Assinaturas eletrônicas que cumprem com a lei aplicável são consideradas assinaturas originais.
12.4 Assuntos Regulatórios.
As Informações Confidenciais da Qualtrics estão sujeitas às leis de controle de exportação de vários países, incluindo as leis dos Estados Unidos e da Alemanha. O Cliente não submeterá as Informações Confidenciais da Qualtrics a nenhum órgão governamental para consideração de licenciamento ou outra aprovação regulatória, e não exportará as Informações Confidenciais da Qualtrics para países, pessoas ou entidades proibidas pelas leis de exportação.
12.5 Notificações.
Todas as notificações serão feitas por escrito e entregues no endereço indicado no Formulário de Pedido com cópia para o departamento jurídico. As notificações da Qualtrics relativas à operação ou ao suporte do Serviço em Nuvem e aquelas sob as Cláusulas 3.4 e 5.1 podem ser na forma de um aviso eletrônico ao representante ou administrador autorizado do Cliente identificado no Formulário de Pedido.
12.6 Cessão.
Sem o consentimento prévio por escrito da Xxxxxxxxx, o Cliente não poderá ceder ou transferir o Contrato (ou qualquer de seus direitos ou obrigações) a nenhuma outra parte. A Qualtrics pode ceder o Contrato às Afiliadas Qualtrics.
12.7 Subcontratação.
A Qualtrics pode subcontratar partes do Serviço em Nuvem ou Serviços de Consultoria a terceiros. A Qualtrics é responsável pelas violações do Contrato ocasionadas por seus subcontratados.
12.8 Relação das Partes.
As partes são contratantes independentes, e nenhuma parceria, franquia, joint venture, agência, relação fiduciária ou de emprego entre as partes é criada pelo Contrato.
12.9 Força Maior.
Qualquer atraso na execução (exceto para o pagamento de valores devidos) ocasionado por condições além do controle razoável da parte executante não é uma violação do Contrato. O tempo de execução será prorrogado por um período igual à duração das condições que impedem a execução.
12.10 Lei de Regência.
O Contrato e quaisquer reivindicações relacionadas a seu objeto serão regidos e interpretados sob as leis da Pensilvânia (Commonwealth of Pennsylvania), sem referência a seus conflitos de princípios legais. Todas as disputas estarão sujeitas à jurisdição exclusiva dos tribunais localizados na Filadélfia, Pensilvânia. A Convenção das Nações Unidas sobre Contratos para a Venda Internacional de Mercadorias e a Lei de Transações Uniformes de Informações de Informática (onde promulgada) não se aplicará ao Contrato. Qualquer uma das partes deve iniciar uma ação para qualquer reivindicação relacionada ao Contrato e seu objeto no prazo de um ano a partir da data em que a parte teve conhecimento, ou deveria ter tido conhecimento após investigação razoável, dos fatos que deram origem à(s) reivindicação(ões).
12.11 Acordo Integral.
O Contrato constitui a declaração completa e exclusiva do acordo entre a Qualtrics e o Cliente em relação ao relacionamento comercial das partes relacionado ao objeto do Contrato. Todas as representações, discussões e escritos anteriores (incluindo quaisquer acordos de confidencialidade) são fundidas e substituídas pelo Contrato e as partes renunciam a se basearem por eles. O Contrato pode ser modificado somente por meio de instrumento por escrito e assinado por ambas as partes, exceto conforme permitido na Cláusula 3.4. Um Contrato prevalecerá sobre os termos e condições de qualquer ordem de compra emitida pelo Cliente, que não terá força e efeito, mesmo que a Qualtrics aceite ou de outra forma não rejeite a ordem de compra.
12.12 Acordo de Processamento de Dados.
Quando o Cliente estiver processando dados pessoais usando os Serviços, o APD regerá o processamento de dados pessoais.
Glossário
1.1 "Afiliada" de uma parte significa qualquer pessoa jurídica na qual uma parte, direta ou indiretamente, detém mais de cinquenta por cento (50%) das ações ou direitos de voto da entidade. Qualquer pessoa jurídica será considerada uma Afiliada desde que tal participação seja mantida.
1.2 "Contrato" significa um Formulário de Pedido e documentos incorporados em um Formulário de Pedido.
1.3 "Usuário Autorizado" significa qualquer indivíduo a quem o Cliente concede autorização de acesso para usar o Serviço em Nuvem que seja funcionário, agente, empreiteiro ou representante
(a) do Cliente,
(b) das Afiliadas do Cliente, e/ou
(c) dos Parceiros Comerciais do Cliente e das Afiliadas do Cliente.
1.4 "Parceiro Comercial" significa uma pessoa jurídica que requer o uso de um Serviço em Nuvem em conexão com as operações comerciais internas do Cliente e de suas Afiliadas. Estas podem incluir clientes, distribuidores, prestadores de serviços e/ou fornecedores do Cliente.
1.5 "Serviço em Nuvem" significa qualquer solução distinta, baseada em assinatura, hospedada, suportada e operada sob demanda fornecida pela Qualtrics sob um Formulário de Pedido.
1.6 "Materiais em Nuvem" significam quaisquer materiais fornecidos ou desenvolvidos pela Qualtrics (de maneira independente ou com a cooperação do Cliente) no curso do desempenho sob o Contrato, inclusive na entrega de qualquer suporte ou Serviços de Consultoria ao Cliente. Os Materiais em Nuvem não incluem os Dados do Cliente, as Informações Confidenciais do Cliente ou o Serviço em Nuvem.
1.7 "Informação Confidencial" significa
(a) com respeito ao Cliente: (i) os Dados do Cliente, (ii) as exigências comerciais e de marketing do Cliente, (iii) os planos de implementação do Cliente, e/ou (iv) as informações financeiras do Cliente, e
(b) com respeito à Qualtrics: (i) o Serviço em Nuvem, a Documentação, os Materiais em Nuvem e análises sob a Cláusula 3.5, e (ii) informações relativas à pesquisa e desenvolvimento, ofertas de produtos, preços e disponibilidade da Qualtrics.
(c) As Informações Confidenciais da Qualtrics ou do Cliente também incluem informações que a parte divulgadora protege contra a divulgação irrestrita a terceiros que (i) a parte divulgadora ou seus representantes designam como confidenciais no momento da divulgação, ou (ii) devem ser razoavelmente entendidas como confidenciais, dada a natureza das informações e as circunstâncias que envolvem sua divulgação.
1.8 "Serviços de Consultoria" significa serviços profissionais, tais como implementação, configuração, desenvolvimento personalizado e treinamento, realizados pelos funcionários ou subcontratados da Qualtrics, conforme descrito em qualquer Formulário de Pedido e que são regidos pelo Suplemento para Serviços de Consultoria ou acordo similar.
1.9 "Dados do Cliente" significa qualquer conteúdo, materiais, dados e informações que os Usuários Autorizados inserem no sistema de produção de um Serviço em Nuvem ou derivados pelo Cliente de seu uso e armazenados no Serviço em Nuvem (por exemplo, relatórios específicos do Cliente). Os Dados do Cliente e seus derivados não incluirão as Informações Confidenciais da Qualtrics.
1.10 "Documentação" significa a documentação técnica e funcional atual da Qualtrics, assim como quaisquer descrições de funções e responsabilidades, se aplicável, para o Serviço em Nuvem que é disponibilizado ao Cliente com o Serviço em Nuvem.
1.11 "Formulário de Pedido" significa o documento de pedido de um serviço em nuvem que faz referência ao TCG.
1.12 "Políticas da Qualtrics " significa as diretrizes operacionais e políticas aplicadas pela Qualtrics para fornecer e das suporte ao Serviço em Nuvem, conforme incorporadas a um Formulário de Pedido.
1.13 "Vigência da Assinatura" significa a vigência de uma assinatura de Serviço em Nuvem identificada no respectivo Formulário de Pedido, incluindo todas as renovações.
1.14 "Suplemento" significa, conforme aplicável, os termos e condições suplementares que se aplicam ao Serviço em Nuvem e que são incorporados em um Formulário de Pedido.
1.15 "Métrica de Uso" significa o padrão de medição para determinar o uso permitido e calcular as taxas devidas por um Serviço em Nuvem, conforme estabelecido em um Formulário de Pedido.
AS PARTES FIRMAM O PRESENTE CONTRATO A PARTIR DA ÚLTIMA DATA DE ASSINATURA ABAIXO ("DATA DE VIGÊNCIA DOS TCG").
CLIENTE: | QUALTRICS, LLC |
Por: | Por: |
Nome: | Nome: |
Cargo: | Cargo: |
Data: | Data: |
Anexo A
Contrato de Processamento de Dados
ACORDO DE PROCESSAMENTO DE DADOS PESSOAIS PARA SERVIÇOS EM NUVEM DA QUALTRICS
Este Adendo de Processamento de Dados ("APD") é firmado ENTRE
(1) o Cliente; e
(2) a Qualtrics.
1. HISTÓRICO
1.1 Objetivo e Aplicação. Este documento é incorporado ao Contrato e faz parte de um contrato escrito (inclusive em forma eletrônica) firmado entre a Qualtrics e o Cliente. Este APD se aplica aos Dados Pessoais processados pela Qualtrics e seus Subprocessadores em conexão com seu fornecimento do Serviço em Nuvem. Este APD não se aplica a ambientes não produtivos do Serviço em Nuvem se tais ambientes forem disponibilizados pela Qualtrics, sendo que o Cliente não deverá armazenar Dados Pessoais em tais ambientes.
1.2 Estrutura. Os Apêndices 1 e 2 são incorporados a e formam parte deste APD. Eles expõem o assunto acordado, a natureza e a finalidade do processamento, o tipo de dados pessoais, as categorias de titulares de dados e as medidas técnicas e organizacionais aplicáveis.
1.3 GDPR. A Qualtrics e o Cliente concordam que é responsabilidade de cada uma das partes revisar e adotar os requisitos impostos aos Controladores e Processadores pelo Regulamento Geral de Proteção de Dados 2016/679 ("GDPR"), em particular com relação aos Artigos 28 e
32 a 36 da GDPR, se e na medida em que aplicável aos Dados Pessoais do Cliente/Controladores que são processados sob o APD. Para fins ilustrativos, o Apêndice 3 lista as exigências relevantes da GDPR e as cláusulas correspondentes deste APD.
1.4 Governança. A Qualtrics atua como Processador e o Cliente e as entidades por este autorizadas a utilizarem o Serviço em Nuvem atuam como Controladores sob o APD. O Cliente atua como o único ponto de contato e é o único responsável pela obtenção de quaisquer autorizações, consentimentos e permissões relevantes para o processamento de Dados Pessoais de acordo com este APD, incluindo, quando aplicável, a aprovação pelos Controladores para usar a Qualtrics como Processador. Quando autorizações, consentimentos, instruções ou permissões são fornecidos pelo Cliente, estes são fornecidos não somente em nome do Cliente, mas também em nome de qualquer outro Controlador que utilize o Serviço em Nuvem. Quando a Qualtrics informa ou envia notificações ao Cliente, tais informações ou notificações são considerados recebidos pelos Controladores autorizados pelo Cliente a utilizar o Serviço em Nuvem e é responsabilidade do Cliente encaminhar tais informações e notificações aos Controladores relevantes.
2. SEGURANÇA DO PROCESSAMENTO
2.1 Medidas Técnicas e Organizacionais Adequadas. A Qualtrics implementou e aplicará as medidas técnicas e organizacionais estabelecidas no Apêndice 2. O Cliente analisou tais medidas e concorda que, quanto ao Serviço em Nuvem selecionado pelo Cliente no Formulário de Pedido, as medidas são apropriadas levando em conta o estado da arte, os custos de implementação, natureza, escopo, contexto e propósitos do processamento de Dados Pessoais.
2.2 Mudanças. A Qualtrics aplica as medidas técnicas e organizacionais estabelecidas no Apêndice 2 a toda a sua base de clientes que não são hospedados no mesmo Centro de Dados e que recebem o mesmo Serviço em Nuvem. A Qualtrics pode alterar as medidas estabelecidas no Apêndice 2 a qualquer momento sem aviso prévio, desde que mantenha um nível de segurança comparável ou melhor. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem diminuir o nível de segurança que protege os Dados Pessoais.
3. OBRIGAÇÕES DA QUALTRICS
3.1 Instruções do Cliente. A Qualtrics processará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato (incluindo este APD) constitui tais instruções iniciais documentadas e cada uso do Serviço em Nuvem constitui uma instrução adicional. A Qualtrics envidará todos os esforços para seguir quaisquer outras instruções do Cliente, desde que sejam exigidas pela Lei de Proteção de Dados, tecnicamente viáveis e não exijam alterações no Serviço em Nuvem. Se qualquer uma das exceções mencionadas anteriormente se aplicar, ou se a Qualtrics não puder cumprir uma instrução ou for da opinião que uma instrução infringe a Lei de Proteção de Dados, a Qualtrics notificará imediatamente o Cliente (e-mail permitido).
3.2 Processamento em virtude de Exigência Legal. A Qualtrics também pode processar Dados Pessoais quando exigido pela lei aplicável. Neste caso, a Qualtrics informará o Cliente sobre essa exigência legal antes do processamento, a menos que essa lei proíba tal aviso por motivos importantes de interesse público.
3.3 Pessoal. Para processar Xxxxx Xxxxxxxx, a Qualtrics e seus Subprocessadores somente concederão acesso ao pessoal autorizado que tenha se comprometido com a confidencialidade. A Qualtrics e seus Subprocessadores oferecerão, regularmente, treinamento ao pessoal que têm acesso aos Dados Pessoais nas medidas aplicáveis de segurança e privacidade dos dados.
3.4 Cooperação. A pedido do Cliente, a Qualtrics cooperará razoavelmente com o Cliente e os Controladores ao processar as solicitações de Titulares de Dados ou autoridades reguladoras em relação ao processamento de Dados Pessoais ou qualquer Violação de Dados Pessoais pela Qualtrics. A Qualtrics notificará o Cliente assim que razoavelmente possível sobre qualquer solicitação recebida de um Titular de Dados em relação ao processamento de Dados Pessoais, sem ela própria responder a tal solicitação antes de receber instruções adicionais do Cliente, se aplicável. A Qualtrics deve oferecer uma funcionalidade que permita que o Cliente corrija ou remova os Dados Pessoais do Serviço em Nuvem, ou restrinja o seu processamento de acordo com a Lei de Proteção de Dados. Quando tal funcionalidade não for oferecida, a Qualtrics corrigirá ou removerá quaisquer Dados Pessoais, ou restringirá seu processamento, de acordo com as instruções do Cliente e com a Lei de Proteção de Dados.
3.5 Notificação de Violação de Xxxxx Xxxxxxxx. A Qualtrics notificará o Cliente sem atraso indevido após tomar conhecimento de qualquer violação de dados pessoais e fornecerá informações razoáveis em sua posse para ajudar o Cliente a cumprir suas obrigações de comunicar uma violação de dados pessoais, conforme exigido pela Lei de Proteção de Dados. A Qualtrics poderá fornecer tais informações em fases à medida em que elas se tornem disponíveis. Tal notificação não deve ser interpretada como admissão de culpa ou de responsabilidade pela Qualtrics.
3.6 Avaliação do Impacto da Proteção de Dados. Se, de acordo com a Lei de Proteção de Dados, o Cliente (ou seus Controladores) for solicitado a realizar uma avaliação de impacto de proteção de dados ou consulta prévia com um regulador, a pedido do Cliente, a Qualtrics fornecerá os documentos geralmente disponíveis para o Serviço em Nuvem (por exemplo, este APD, o Contrato, relatórios de auditoria ou certificações). Qualquer assistência adicional deverá ser mutuamente acordada entre as Partes.
4. EXPORTAÇÃO E EXCLUSÃO DE DADOS
4.1 Exportação e Recuperação pelo Cliente. Durante a Vigência da Xxxxxxxxxx e sujeito ao Contrato, o Cliente pode acessar seus Dados Pessoais a qualquer momento. O Cliente pode exportar e recuperar seus Dados Pessoais em um formato padrão. A exportação e a recuperação podem estar sujeitas a limitações técnicas, caso em que a Qualtrics e o Cliente encontrarão um método razoável para permitir o acesso do Cliente aos Dados Pessoais.
4.2 Eliminação. Antes do término da Vigência da Assinatura, o Cliente é obrigado a utilizar as ferramentas de exportação de autoatendimento da Qualtrics (conforme disponíveis) para realizar uma exportação final de Dados Pessoais do Serviço em Nuvem (que constituirá uma "devolução" de Dados Pessoais). Ao final da Vigência da Xxxxxxxxxx, o Cliente instruirá a Qualtrics a apagar os Dados Pessoais remanescentes nos servidores que hospedam o Serviço em Nuvem dentro de um período razoável, de acordo com a Lei de Proteção de Dados (não superior a seis meses), a menos que a lei aplicável exija sua retenção.
5. CERTIFICAÇÕES E AUDITORIAS
5.1 Auditoria do Cliente. O cliente ou seu auditor externo independente razoavelmente aceitável para a Qualtrics (que não deverá incluir nenhum auditor externo que seja concorrente da Qualtrics ou não seja devidamente qualificado ou independente) poderá auditar o ambiente de controle e as práticas de segurança da Qualtrics relevantes ao processamento dos Dados Pessoais pela Qualtrics somente se:
(a) A Qualtrics não tiver fornecido provas suficientes de sua conformidade com as medidas técnicas e organizacionais que protegem os sistemas de produção do Serviço em Nuvem através do fornecimento de: (i) certificação de conformidade com a ISO 27001 ou outras normas (escopo conforme definido no certificado); ou (ii) relatório válido de certificação ISAE3402 e/ou ISAE3000 ou outro relatório de certificação SOC1-3. A pedido do Cliente, os relatórios de auditoria ou as certificações ISO estarão disponíveis através do auditor terceirizado ou da Qualtrics;
(b) Ocorreu uma violação de dados pessoais;
(c) Uma auditoria tiver sido formalmente solicitada pela autoridade de proteção de dados do Cliente; ou
(d) A Lei de Proteção de Dados Obrigatória conferir ao Cliente um direito de auditoria direta e desde que o Cliente só faça auditoria uma vez em qualquer período de doze meses, a menos que a Lei de Proteção de Dados Obrigatória exija auditorias mais frequentes.
5.2 Outra Auditoria do Controlador. Qualquer outro Controlador poderá auditar o ambiente de controle e as práticas de segurança da Qualtrics relevantes ao processamento dos Dados Pessoais pela Qualtrics, de acordo com a Cláusula 5.1, somente se qualquer um dos casos estabelecidos na Cláusula 5.1 se aplicar a esse outro Controlador. Tal auditoria deve ser realizada através do e pelo Cliente, conforme estabelecido na Cláusula 5.1, a menos que a auditoria deva ser realizada pelo próprio Controlador terceiro sob a Lei de Proteção de Dados. Se vários Controladores cujos Dados Pessoais forem processados pela Qualtrics com base no Contrato exigirem uma auditoria, o Cliente deverá utilizar todos os meios razoáveis para combinar as auditorias e para evitar múltiplas auditorias.
5.3 Escopo da Auditoria. O Cliente deverá avisar com pelo menos sessenta dias de antecedência sobre qualquer auditoria, a menos que a Lei de Proteção de Dados obrigatória ou uma autoridade competente de proteção de dados exija aviso prévio mais curto. A frequência e o escopo de qualquer auditoria deverão ser mutuamente acordados entre as partes agindo de forma razoável e de boa fé. As auditorias do Cliente serão limitadas a um prazo máximo de três dias úteis. Além dessas restrições, as partes utilizarão as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O Cliente deverá fornecer os resultados de todas as auditorias para a Qualtrics.
5.4 Custo das Auditorias. O Cliente deverá arcar com os custos de toda e qualquer auditoria, a menos que tal auditoria revele uma violação material deste APD pela Qualtrics, caso em que a Qualtrics deverá arcar com suas próprias despesas de auditoria. Se uma auditoria determinar que a Qualtrics descumpriu suas obrigações sob o APD, a Qualtrics prontamente remediará a infração a seu próprio custo.
6. SUBPROCESSORES
6.1 Uso Permitido. A Qualtrics recebe uma autorização geral para subcontratar o processamento de dados pessoais para os Subprocessadores, desde que:
(a) A Qualtrics contrate Subprocessadores sob um contrato escrito (inclusive na forma eletrônica) consistente com os termos deste APD em relação ao processamento de Dados Pessoais pelo Subprocessador. A Qualtrics será responsável por qualquer violação por parte do Subprocessador de acordo com os termos deste Contrato;
(b) A Qualtrics avalie as práticas de segurança, privacidade e confidencialidade de um Subprocessador antes de estabelecer que ele é capaz de oferecer o nível de proteção aos Dados Pessoais exigido por esta APD; e
(c) A lista de Subprocessadores Qualtrics em vigor na data de vigência do Contrato seja publicada pela Qualtrics ou que a Qualtrics disponibilize tal lista ao Cliente, mediante solicitação, incluindo o nome, endereço e função de cada Subprocessador que contratado pela Qualtrics para prestar o Serviço em Nuvem.
6.2 Novos Subprocessadores. A contratação de Subprocessadores pela Qualtrics fica a seu critério, desde que:
(a) A Qualtrics informe ao Cliente com antecedência (por e-mail ou por meio de postagem dentro do Serviço em Nuvem) acerca de quaisquer adições ou substituições pretendidas à lista de Subprocessadores, incluindo nome, endereço e função do novo Subprocessador; e
(b) O cliente possa se opor a tais mudanças, conforme estabelecido na Cláusula 6.3.
6.3 Objeção a Novos Subprocessadores.
(a) Se o Cliente tiver uma razão legítima sob a Lei de Proteção de Dados para se opor ao processamento de Dados Pessoais pelos novos Subprocessadores, o Cliente poderá rescindir o Contrato (limitado ao Serviço em Nuvem para o qual o novo Subprocessador se destina a ser utilizado) mediante notificação por escrito à Qualtrics. Tal rescisão entrará em vigor na data determinada pelo Cliente, que será no máximo trinta dias após a data da notificação da Qualtrics ao Cliente informando o Cliente sobre o novo Subprocessador. Caso o Cliente não apresente sua objeção dentro deste período de trinta dias, considerar-se-á que o Cliente aceitou o novo Subprocessador.
(b) Dentro do período de trinta dias a partir da data da notificação da Qualtrics ao Cliente informando o Cliente sobre o novo Subprocessador, o Cliente pode solicitar que as
partes se reúnam de boa-fé para discutir uma resolução para a objeção. Tais discussões não estenderão o prazo de rescisão e não afetarão o direito da Qualtrics de usar o(s) novo(s) Subprocessador(es) após o período de trinta dias.
(c) Qualquer rescisão sob esta Cláusula 6.3 será considerada sem culpa por qualquer uma das partes e estará sujeita aos termos do Contrato.
6.4 Reposição de Emergência. A Qualtrics pode substituir um Subprocessador sem aviso prévio quando o motivo da mudança estiver fora do controle razoável da Qualtrics e a substituição imediata for necessária por motivos de segurança ou outros motivos urgentes. Neste caso, a Qualtrics informará ao Cliente sobre o Subprocessador substitutivo o mais rápido possível após sua nomeação. A cláusula 6.3 se aplica.
7. PROCESSAMENTO INTERNACIONAL
7.1 Condições para o Processamento Internacional. A Qualtrics terá o direito de processar Dados Pessoais, inclusive por meio de Subprocessadores, de acordo com este APD fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção de Dados.
7.2 Cláusulas Contratuais Padrão. Caso (i) os Dados Pessoais de um Controlador baseado no Espaço Econômico Europeu (“EEE”) ou na Suíça sejam processados em um país fora do EEE, da Suíça e de qualquer país, organização ou território reconhecido pela União Europeia como um país seguro com nível adequado de proteção de dados sob o Art. 45 da GDPR, ou caso (ii) os Dados Pessoais de outro Controlador sejam processados internacionalmente e tal processamento internacional exigir uma adequação sob as leis do país do Controlador e tais adequações possam ser cumpridas por meio da assinatura de Cláusulas Contratuais Padrão, então:
(a) A Qualtrics e o Cliente assinam às Cláusulas Contratuais Padrão;
(b) O Cliente assina as Cláusulas Contratuais Padrão com cada Subprocessador relevante da seguinte forma: (i) o Cliente assina as Cláusulas Contratuais Padrão firmadas pela Qualtrics e o Subprocessador como proprietário independente de direitos e obrigações ("Modelo de Adesão") ou, (ii) o Subprocessador (representado pela Qualtrics) assina as Cláusulas Contratuais Padrão com o Cliente ("Modelo de Procuração"). O Modelo de Procuração será aplicável se e quando a Qualtrics confirmar expressamente que um Subprocessador é por ela considerado elegível por meio da lista de Subprocessadores descrita na Cláusula 6.1(c), ou de um aviso ao Cliente; e/ou
(c) Outros Controladores cujo uso dos Serviços em Nuvem tenha sido autorizado pelo Cliente nos termos do Contrato também podem assinar Cláusulas Contratuais Padrão com a Qualtrics e/ou os Subprocessadores relevantes da mesma forma que o Cliente, de acordo com as Cláusulas 7.2 (a) e (b) acima. Neste caso, o Cliente celebrará as Cláusulas Contratuais Padrão em nome dos outros Controladores.
7.3 Relação das Cláusulas Contratuais Padrão com o Contrato. Nada no Contrato deverá ser interpretado de modo a prevalecer sobre qualquer cláusula conflitante das Cláusulas Contratuais Padrão. Para evitar dúvidas, onde este APD especifica as regras de auditoria e de contratação do subprocessador nas cláusulas 5 e 6, tais especificações também se aplicam em relação às Cláusulas Contratuais Padrão.
7.4 Lei de Regência das Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão serão regidas pela lei do país de constituição do respectivo Controlador.
8. DOCUMENTAÇÃO; REGISTROS DE PROCESSAMENTO
Cada parte é responsável pelo cumprimento de suas exigências de documentação, em particular a manutenção de registros de processamento quando exigido pela Lei de Proteção de Dados. As partes ajudarão umas às outras com suas exigências de documentação, inclusive fornecendo as informações que a outra parte necessita conforme razoavelmente solicitadas pela outra parte (como o uso de um sistema eletrônico), a fim de permitir que a outra parte cumpra com quaisquer obrigações relacionadas à manutenção de registros de processamento.
9. DEFINIÇÕES
Termos iniciados em letra maiúscula não definidos aqui terão os significados a eles atribuídos no Contrato.
9.1 "Controlador" significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e meios de processamento
de Dados Pessoais; para os fins deste APD, nos casos em que o Cliente atua como processador para outro controlador, ele será, em relação à Qualtrics, considerado como Controlador adicional e independente com os respectivos direitos e obrigações de controlador sob este APD.
9.2 "Centro de Dados" significa o local onde a instância de produção do Serviço em Nuvem é hospedada para o Cliente na região acordada em um Formulário de Pedido.
9.3 "Lei de Proteção de Dados" significa a legislação aplicável que protege os direitos e liberdades fundamentais das pessoas e seu direito à privacidade com relação ao processamento de Dados Pessoais nos termos do Contrato (e inclui, no que diz respeito ao relacionamento entre as partes em relação ao processamento de Dados Pessoais pela Qualtrics em nome do Cliente, a GDPR como padrão mínimo, independentemente de os Dados Pessoais estarem ou não sujeitos à GDPR).
9.4 "Titular de Dados" significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção de Dados.
9.5 "EEE" significa o Espaço Econômico Europeu, ou seja, os Estados membros da União Europeia juntamente com a Islândia, Liechtenstein e Noruega.
9.6 "Dados Pessoais" significa qualquer informação relacionada a um Titular de Dados que seja protegida pela Lei de Proteção de Dados. Para os fins do APD, tal termo inclui apenas os dados pessoais (i) inseridos pelo Cliente ou seus Usuários Autorizados ou derivados de seu uso do Serviço em Nuvem, ou (ii) fornecidos ou acessados pela Qualtrics ou por seus Subprocessadores a fim de fornecer suporte nos termos do Contrato. Os Dados Pessoais são um subconjunto de Dados do Cliente (conforme definido no Contrato).
9.7 "Violação de Dados Pessoais" significa (1) a destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros, confirmado, acidental ou ilegal, a Dados Pessoais ou (2) incidente similar envolvendo Dados Pessoais, em cada caso, cuja notificação é obrigatória pelo Controlador, de acordo com a Lei de Proteção de Dados, às autoridades competentes de proteção de dados ou aos Titulares de Dados.
9.8 "Processador" significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador, seja diretamente como processador de um controlador ou indiretamente como subprocessador de um processador que processa dados pessoais em nome do controlador.
9.9 "Cláusulas Contratuais Padrão" ou por vezes também denominadas "Cláusulas Modelo da UE" significa as (Cláusulas Contratuais Padrão (processadores)) ou qualquer versão posterior destas publicada pela Comissão Europeia (as quais se aplicarão automaticamente). As Cláusulas Contratuais Padrão vigentes a partir da data de vigência do Contrato são anexadas ao presente como Apêndice 4.
9.10 "Subprocessador" significa as afiliadas da Qualtrics e os terceiros contratados pela Qualtrics em conexão com o Serviço em Nuvem e que processam Dados Pessoais de acordo com este APD.
Apêndice 1 do APD e, se aplicável, das Cláusulas Contratuais Padrão
Exportador de Dados
O Exportador de Dados é o Cliente que assinou um Serviço em Nuvem que permite aos Usuários Autorizados entrar, alterar, usar, apagar ou de outra forma processar Dados Pessoais. Quando o Cliente permite que outros Controladores também utilizem o Serviço em Nuvem, esses outros Controladores também são Exportadores de Dados.
Importador de Dados
A Qualtrics e seus Subprocessadores fornecem o Serviço em Nuvem que inclui o seguinte suporte:
A Qualtrics e suas Afiliadas prestam suporte aos centros de dados do Serviço em Nuvem remotamente a partir dos locais da Qualtrics especificados no Artigo Técnico de Segurança da Qualtrics (disponível mediante solicitação). O suporte inclui:
• Monitoramento do Serviço em Nuvem
• Backup e restauração dos dados do cliente armazenados no Serviço em Nuvem
• Lançamento e desenvolvimento de correções e atualizações para o Serviço em Nuvem
• Monitoramento, solução de problemas e administração da infraestrutura e banco de dados subjacentes do Serviço em Nuvem
• Monitoramento de segurança, suporte de detecção de intrusão baseado em rede, teste de penetração
A Qualtrics e suas Afiliadas fornecem suporte quando um Cliente solicita suporte porque o Serviço em Nuvem não está disponível ou não está funcionando como esperado para alguns ou todos os Usuários Autorizados. A Qualtrics presta o suporte por telefone, soluciona problemas básicos e atende tickets de suporte em um sistema de rastreamento que é separado da instância de produção do Serviço em Nuvem.
Titulares de Dados
O Exportador de Dados somente determina as categorias de Titulares de Dados que podem incluir: funcionários, contratantes, parceiros comerciais ou outros indivíduos com Dados Pessoais armazenados no Serviço em Nuvem.
Categorias de Dados
O Cliente somente determina as categorias de dados por Serviço em Nuvem assinados. O Cliente pode configurar os campos de dados durante a implementação do Serviço em Nuvem ou como de outra forma fornecido pelo Serviço em Nuvem. Os Dados Xxxxxxxx transferidos normalmente dizem respeito às seguintes categorias de dados: nome, números de telefone, endereço eletrônico, fuso horário, dados de endereço, acesso ao sistema / uso / autorização de dados, nome da empresa, dados contratuais, dados de fatura, além de quaisquer dados específicos da aplicação contratada pelo Usuários Autorizados no Serviço em Nuvem.
Categorias de Dados Especiais (se apropriado)
Os Dados Xxxxxxxx transferidos dizem respeito às seguintes categorias especiais de dados: Conforme estabelecido no Contrato (incluindo o Formulário de Pedido), se houver.
Operações/Finalidades de Processamento
Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades básicas de processamento:
• uso de Dados Pessoais para configurar, operar, monitorar e fornecer o Serviço em Nuvem (incluindo suporte operacional e técnico)
• prestação de Serviços;
• comunicação aos Usuários Autorizados
• armazenamento de dados pessoais em centros de dados dedicados (arquitetura multi-tenant)
• carregamento de quaisquer correções ou atualizações para o Serviço em Nuvem
• Cópia de segurança de dados pessoais
• processamento eletrônico de dados pessoais, incluindo transmissão de dados, recuperação de dados, acesso aos dados
• acesso à rede para permitir a transferência de dados pessoais
• execução das instruções do Cliente de acordo com o Contrato.
Apêndice 2 do APD e, se aplicável, das Cláusulas Contratuais Padrão - Medidas Técnicas e Organizacionais
1. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
As cláusulas abaixo determinam as medidas técnicas e organizacionais atuais da Qualtrics. A Qualtrics pode alterá-las a qualquer momento sem aviso prévio, desde que mantenha um nível de segurança comparável ou melhor. Medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem diminuir o nível de segurança que protege os Dados Pessoais.
1.1 Controle de Acesso Físico. Pessoas não autorizadas são impedidas de obter acesso físico a instalações, edifícios ou salas onde se localizam sistemas de processamento de dados que processam e/ou utilizam Dados Pessoais.
Medidas:
• A Qualtrics protege seus ativos e instalações usando os meios apropriados baseados na Política de Segurança da Qualtrics
• Em geral, os edifícios são protegidos por sistemas de controle de acesso (por exemplo, sistema de acesso com cartão inteligente).
• Como requisito mínimo, os pontos de entrada periféricos do edifício devem estar equipados com um sistema de chaves certificado, incluindo um moderno gerenciamento de chaves ativo.
• Dependendo da classificação de segurança, edifícios, áreas individuais e instalações circundantes podem ser ainda mais protegidos por medidas adicionais. Estas incluem perfis de acesso específicos, vigilância por vídeo, sistemas de alarme de intrusão e sistemas biométricos de controle de acesso.
• Os direitos de acesso são concedidos a pessoas autorizadas individualmente de acordo com o Sistema e as medidas de controle de acesso aos dados (ver cláusulas 1.2 e 1.3 abaixo). Isto também se aplica ao acesso de visitantes. Os hóspedes e visitantes às dependências da Qualtrics devem registrar seus nomes na recepção e devem ser acompanhados por pessoal autorizado da Qualtrics.
• Os funcionários e pessoal externo da Qualtrics devem usar seus crachás de identificação em todos os ambientes da Qualtrics.
Medidas adicionais para Centros de Dados:
• Todos os Centros de Dados aderem a rigorosos procedimentos de segurança compostos por guardas, câmeras de vigilância, detectores de movimento, mecanismos de controle de acesso e outras medidas para evitar que os equipamentos e as instalações do Centro de Dados sejam comprometidos. Somente representantes autorizados têm acesso aos sistemas e à infraestrutura das instalações do Centro de Dados. Para proteger sua funcionalidade adequada, os equipamentos de segurança física (por exemplo, sensores de movimento, câmeras, etc.) passam por manutenção regular.
• A Qualtrics e todos os provedores terceiros de Centros de Dados registram os nomes e o horário em que o pessoal autorizado entra nas áreas privadas da Qualtrics dentro dos Centros de Dados.
1.2 Controle de Acesso ao Sistema. Os sistemas de processamento de dados utilizados para fornecer o Serviço em Nuvem não poderão ser utilizados sem autorização.
Medidas:
• Vários níveis de autorização são usados ao conceder acesso a sistemas sensíveis, incluindo aqueles que armazenam e processam Dados Pessoais. As autorizações são gerenciadas através de processos definidos de acordo com a Política de Segurança da Qualtrics
• Todo o pessoal acessa os sistemas da Qualtrics com um identificador único (ID do usuário).
• A Qualtrics tem procedimentos em vigor para que as mudanças de autorização solicitadas sejam implementadas somente de acordo com a Política de Segurança da Qualtrics (por exemplo, nenhum direito é concedido sem autorização). Caso o pessoal deixe a empresa, seus direitos de acesso são revogados.
• A Qualtrics estabeleceu uma política de senhas que proíbe o compartilhamento de senhas, rege as respostas à divulgação de senhas e exige que as senhas sejam alteradas regularmente e que
as senhas padrão sejam alteradas. Os IDs personalizados dos usuários são atribuídos para autenticação. Todas as senhas devem preencher requisitos mínimos definidos e são armazenadas de forma criptografada. No caso de senhas de domínio, o sistema força uma mudança de senha a cada seis meses, de acordo com os requisitos para senhas complexas. Cada computador tem uma proteção de tela protegida por senha.
• A rede da empresa é protegida da rede pública por firewalls.
• A Qualtrics utiliza software antivírus atualizado nos pontos de acesso à rede da empresa (para contas de e-mail), assim como em todos os servidores de arquivos e em todas as estações de trabalho.
O gerenciamento de patch de segurança é implementado para proporcionar a implantação regular e periódica de atualizações de segurança. O acesso remoto completo à rede corporativa e à infraestrutura crítica da Qualtrics é protegido por forte autenticação.
1.3 Controle de Acesso aos Dados. As pessoas com direito a usar sistemas de processamento de dados têm acesso somente aos Dados Pessoais os quais têm o direito de acessar, e os Dados Pessoais não devem ser lidos, copiados, modificados ou removidos sem autorização durante o seu processamento, uso e armazenamento.
Medidas:
• Como parte da Política de Segurança da Qualtrics, os Dados Pessoais exigem pelo menos o mesmo nível de proteção que as informações "confidenciais" de acordo com o padrão de Classificação de Informações da Qualtrics.
• O acesso aos Dados Pessoais é concedido com base na necessidade de seu conhecimento. O pessoal tem acesso às informações de que necessita para cumprir seus deveres. A Qualtrics utiliza conceitos de autorização que documentam os processos de concessão e as funções atribuídas por conta (ID do usuário). Todos os Dados do Cliente são protegidos de acordo com a Política de Segurança da Qualtrics.
• Todos os servidores de produção são operados nos Centros de Dados ou em salas seguras de servidores. As medidas de segurança que protegem as aplicações de processamento de Dados Pessoais são verificadas regularmente. Para este fim, a Qualtrics realiza verificações de segurança interna e externa e testes de penetração em seus sistemas de TI.
• Uma norma de segurança da Qualtrics rege como os dados e os portadores de dados são excluídos ou destruídos uma vez que não são mais necessários.
1.4 Controle de Transmissão de Dados. Exceto conforme necessário para a prestação dos Serviços em Nuvem de acordo com o Contrato, os Dados Pessoais não devem ser lidos, copiados, modificados ou removidos sem autorização durante a transferência. Quando transportadores de dados são transportados fisicamente, medidas adequadas são implementadas na Qualtrics para fornecer os níveis de serviço acordados (por exemplo, criptografia e contêineres revestidos de chumbo).
Medidas:
• Os Dados Xxxxxxxx transferidos por meio das redes internas da Qualtrics são protegidos de acordo com a Política de Segurança da Qualtrics.
• Quando os dados são transferidos entre a Qualtrics e seus clientes, as medidas de proteção para os Dados Xxxxxxxx transferidos são mutuamente acordadas e fazem parte de acordo relevante. Isto se aplica tanto à transferência de dados físicos quanto à transferência de dados com base na rede. Em qualquer caso, o Cliente assume a responsabilidade por toda transferência de dados realizada fora dos sistemas controlados pela Qualtrics (por exemplo, dados sendo transmitidos fora do firewall do Centro de Dados da Qualtrics).
1.5 Controle de Entrada de Dados. Será possível examinar e estabelecer retrospectivamente se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados da Qualtrics.
Medidas:
• A Qualtrics permite apenas que o pessoal autorizado tenha acesso aos Dados Pessoais conforme necessário no exercício de suas funções.
• A Qualtrics implementou um sistema de registro para entrada, modificação e exclusão, ou bloqueio de dados pessoais pela Qualtrics ou seus subprocessadores dentro do Serviço em Nuvem, conforme tecnicamente possível.
1.6 Controle de Trabalhos. Os Dados Pessoais processados sob demanda (ou seja, Dados Pessoais processados em nome de um cliente) são processados exclusivamente de acordo com o Contrato e as instruções relacionadas do cliente.
Medidas:
• A Qualtrics utiliza controles e processos para monitorar o cumprimento de contratos firmados entre a Qualtrics e seus clientes, subprocessadores ou outros prestadores de serviços.
• Como parte da Política de Segurança da Qualtrics, os Dados Pessoais exigem pelo menos o mesmo nível de proteção que as informações "confidenciais" de acordo com o padrão de Classificação de Informações da Qualtrics.
• Todos os funcionários e subprocessadores contratuais da Qualtrics ou outros prestadores de serviços estão contratualmente obrigados a respeitar a confidencialidade de todas as informações sensíveis, incluindo segredos comerciais dos clientes e parceiros da Qualtrics.
1.7 Controle de Disponibilidade. Os Dados Xxxxxxxx serão protegidos contra destruição ou perda acidental ou não autorizada.
Medidas:
• A Qualtrics emprega processos regulares de backup para fornecer a restauração de sistemas críticos de negócios, quando e como necessário.
• A Qualtrics utiliza fontes de alimentação ininterrupta (por exemplo: UPS, baterias, geradores, etc.) para proteger o abastecimento de energia para os Centros de Dados.
• A Qualtrics definiu planos de contingência de negócios para processos comerciais críticos e pode oferecer estratégias de recuperação de desastres para serviços críticos de negócios, conforme estabelecido mais adiante na Documentação ou incorporado no Formulário de Pedido do respectivo Serviço em Nuvem.
• Os processos e sistemas de emergência são testados regularmente.
1.8 Controle de Separação de Dados.
Medidas:
• A Qualtrics utiliza as capacidades técnicas do software implantado (por exemplo: locação múltipla, paisagens do sistema) para conseguir a separação de dados entre os Dados Pessoais originados de múltiplos clientes.
• O Cliente (incluindo seus Controladores) tem acesso apenas aos seus próprios dados.
1.9 Controle de Integridade de Dados. Os Dados Pessoais permanecerão intactos, completos e atuais durante as atividades de processamento.
Medidas:
A Qualtrics implementou uma estratégia de defesa em várias camadas como proteção contra modificações não autorizadas.
Especificamente, a Qualtrics adota as seguintes medidas para implementar as seções de controle e medição descritas acima:
• Firewalls;
• Centro de Monitoramento de Segurança;
• Software de antivírus;
• Backup e recuperação;
• Testes de penetração externos e internos;
• Auditorias externas regulares para comprovar as medidas de segurança.
Apêndice 3 do APD e, se aplicável, das Cláusulas Contratuais Padrão
A tabela a seguir apresenta os Artigos relevantes da GDPR e os termos correspondentes do APD apenas para fins ilustrativos.
Artigo da GDPR | Cláusula do APD | Clique no link para ver a cláusula |
28(1) | 2 e Apêndice 2 | Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizacionais. |
28(2), 28(3) (d) e 28 (4) | 6 | SUBPROCESSORES |
28 (3) sentença 1 | 1.1 e Apêndice 1, 1.2 | Objetivo e Aplicação. Estrutura. |
28(3) (a) e 29 | 3.1 e 3.2 | Instruções do Cliente. Processamento em virtude de Exigência legal. |
28(3) (b) | 3.3 | Pessoal. |
28(3) (c) e 32 | 2 e Apêndice 2 | Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizacionais. |
28(3) (e) | 3.4 | Cooperação. |
28(3) (f) e 32-36 | 2 e Apêndice 2, 3.5, 3.6 | Segurança do Processamento e Apêndice 2, Medidas Técnicas e Organizacionais. Notificação de Violação de Xxxxx Xxxxxxxx. Avaliação do Impacto da Proteção de Dados. |
28(3) (g) | 4 | Exportação e Eliminação de Dados |
28(3) (h) | 5 | CERTIFICAÇÕES E AUDITORIAS |
28 (4) | 6 | SUBPROCESSORES |
30 | 8 | Documentação; Registros de Processamento |
46(2) (c) | 7.2 | Cláusulas Contratuais Padrão. |
Apêndice 4
CLÁUSULAS CONTRATUAIS PADRÃO (PROCESSADORES)
(De acordo com a Decisão da Comissão de 5 de fevereiro de 2010 (2010/87/EU))
Para os fins do artigo 26(2) da Diretiva 95/46/CE (ou, após 25 de maio de 2018, do artigo 44 e seguintes do Regulamento 2016/79) para a transferência de dados pessoais a processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados
Cliente também agindo em nome dos demais Controladores
(doravante denominado nas Cláusulas a seguir como "exportador de dados") e
Qualtrics, LLC
(doravante denominada nas Cláusulas como "importador de dados"), individualmente, "parte" e, em conjunto "as partes".
ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas) a fim de apresentar salvaguardas adequadas com respeito à proteção da privacidade e direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados ao importador de dados dos dados pessoais especificados no Apêndice 1.
Cláusula 1
Definições
Para os fins das Cláusulas:
a) "dados pessoais", "categorias especiais de dados", "tratar/tratamento", "controlador", "processador", "titular dos dados" e "autoridade de controle" têm mesmo significado previsto na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 com relação à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
b)' “exportador de dados” significa o controlador que transfere os dados pessoais;
c) “importador de dados” significa o processador que concorda em receber do exportador de dados os dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das cláusulas, e que não está sujeito ao sistema de um país terceiro que garanta proteção adequada na acepção do artigo 25(1) da Diretiva 95/46/CE;
(d) “processador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorda em receber do importador de dados ou de qualquer outro subprocessador do importador de dados os dados pessoais destinados exclusivamente a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;
e) "lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais das pessoas físicas e, em particular, seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-membro em que o exportador de dados está estabelecido;
f) "medidas de segurança técnicas e organizacionais" são as medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda, alteração, divulgação acidental ou acesso não autorizado, especialmente quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1 que é parte integrante das Cláusulas.
Cláusula 3
Cláusula do terceiro beneficiário
1. O titular dos dados pode fazer valer contra o exportador de dados esta cláusula, a cláusula 4(b) a (i), a cláusula 5(a) a (e), e (g) a (j), a cláusula 6(1) e (2), a cláusula 7, a cláusula 8(2), e as cláusulas 9 a 12 como terceiro beneficiário.
O titular dos dados pode fazer valer contra o importador de dados esta cláusula, a cláusula 5(a) a (e) e (g), a cláusula 6, a cláusula 7, a cláusula 8(2), e as cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou tenha deixado de existir em lei, a menos que uma entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei e, consequentemente, tenha assumido os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode fazê-las valer contra tal entidade.
3. O titular dos dados pode fazer valer contra o subprocessador esta cláusula, a cláusula 5(a) a
(e) e (g), a cláusula 6, a cláusula 7, a cláusula 8(2), e as cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir em lei ou se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados por contrato ou por força da lei e, consequentemente, tenha assumido os direitos e obrigações do exportador de dados, caso em que o sujeito dos dados pode fazer valer seus direitos e obrigações de tal entidade. Tal responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
4. As partes não se opõem à representação pelo titular dos dados por uma associação ou outro órgão caso o titular dos dados assim o deseje expressamente e caso permitido pela legislação nacional.
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante:
a) Que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as disposições pertinentes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-membro onde o exportador de dados está estabelecido) e não viola as disposições pertinentes daquele Estado;
b) Que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;
c) Que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste contrato;
d) Que, após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança serão apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda, alteração, divulgação acidental ou acesso não autorizado, especialmente quando o processamento envolver a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o estado da arte e o custo de sua implementação;
e) Que garantirá o cumprimento das medidas de segurança;
f) Que, se a transferência envolver categorias especiais de dados, o envolvido foi ou será informado antes, ou logo que possível após a transferência, de que seus dados poderiam ser transmitidos a um país terceiro que não oferece proteção adequada na acepção da Diretiva 95/46/CE;
(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador conforme a cláusula 5(b) e a cláusula 8(3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar a suspensão;
(h) disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deva ser elaborado de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais;
(i) que, em caso de subprocessamento, a atividade de processamento será realizada de acordo com a Cláusula 11 por um subprocessador que ofereça pelo menos o mesmo nível de proteção para os dados pessoais e direitos do titular dos dados que o importador de dados nos termos das Cláusulas; e
(j) que assegurará o cumprimento da Cláusula 4(a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados concorda e garante:
a) que irá processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e as cláusulas; caso o importador de dados não possa cumprir tais instruções e cláusulas por qualquer motivo, ele concorda em informar imediatamente ao exportador de dados sobre sua incapacidade de cumprimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) que não tem motivos para acreditar que a legislação a ele aplicável o impede de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma mudança nesta legislação que possa ter um efeito adverso relevante nas garantias e obrigações previstas nas cláusulas, notificará imediatamente a mudança ao exportador de dados assim que tomar conhecimento desta, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;
(d) que notificará imediatamente o exportador de dados sobre:
(i) qualquer pedido legalmente vinculante de divulgação dos dados pessoais por uma autoridade de aplicação da lei, a menos que seja proibido de outra forma, como por exemplo, por proibição no direito penal de preservar a confidencialidade de uma investigação de aplicação da lei;
(ii) qualquer acesso acidental ou não autorizado; e
(iii) qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido de outra forma autorizado a fazê-lo;
e) tratar pronta e adequadamente todas as consultas feitas pelo exportador de dados relativas ao seu processamento dos dados pessoais sujeitos à transferência e seguir o conselho da autoridade supervisora no que diz respeito ao processamento dos dados transferidos;
f) a pedido do exportador de dados, que disponibilizará suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas, que serão realizadas pelo exportador de dados ou por um órgão de inspeção composto por membros independentes e com a as qualificações profissionais exigidas, vinculado a um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;
(g) que colocará à disposição do titular dos dados, mediante solicitação, uma cópia das cláusulas, ou de qualquer contrato existente para subprocessamento, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção do Apêndice 2 que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados;
h) que, em caso de subprocessamento, informou previamente ao exportador de dados e obteve o seu consentimento prévio por escrito;
(i) que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;
(j) que enviará imediatamente uma cópia de qualquer acordo de subprocessador que firmar sob as Xxxxxxxxx ao exportador de dados.
Cláusula 6
Responsabilidade
1. As partes concordam que qualquer titular dos dados, que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador, tem o direito de receber indenização do exportador de dados pelos danos sofridos.
2. Se um titular dos dados não puder mover uma ação indenizatória de acordo com o parágrafo 1 contra o exportador de dados, em virtude da violação pelo importador de dados ou por seu sub processador de qualquer uma de suas obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir em lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode mover uma ação contra o importador de dados como se fosse o exportador de dados, a menos que uma entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer seus direitos contra tal entidade.
O importador de dados não pode confiar na violação de suas obrigações por um subprocessador para evitar suas próprias responsabilidades.
3. Se o envolvido não puder mover uma ação indenizatória contra o exportador ou o importador de dados referidos nos parágrafos 1 e 2, em virtude da violação pelo subprocessador de qualquer uma de suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram de fato ou deixaram de existir em lei ou se tornaram insolventes, o subprocessador concorda que o titular dos dados pode mover uma ação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento sob as cláusulas como se fosse o exportador ou o importador de dados, a menos que uma entidade sucessora tenha assumido todas as obrigações legais titular dos dados exportador ou importador de dados por contrato ou por força da lei, caso em que o envolvido pode fazer valer seus direitos contra tal entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
Cláusula 7
Mediação e jurisdição
1 O importador de dados concorda que se o titular dos dados invocar contra si direitos de terceiros beneficiários e/ou pedir indenização sob as Xxxxxxxxx, o importador de dados aceitará a decisão do titular dos dados:
a) de encaminhar a disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
b) de remeter a disputa aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.
As partes concordam que a escolha feita pela pessoa em questão não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições de direito nacional ou internacional.
Cláusula 8
Cooperação com as autoridades de supervisão
1. O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisora se ela assim o solicitar ou se tal depósito for exigido nos termos da lei de proteção de dados aplicável.
2 As partes concordam que a autoridade supervisora tem o direito de conduzir uma auditoria do importador de dados, e de qualquer subprocessador, que tem o mesmo escopo e está sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados sob a lei de proteção de dados aplicável.
3. O importador de dados deverá informar imediatamente ao exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Neste caso, o exportador de dados terá o direito de tomar as medidas previstas na cláusula 5(b).
Cláusula 9
Lei regente
As Xxxxxxxxx serão regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.
Cláusula 10
Variação do contrato
As partes se comprometem a não variar ou modificar as Cláusulas. Isto não impede que as partes acrescentem cláusulas sobre questões relacionadas aos negócios, quando necessário, desde que não contradigam a Cláusula.
Cláusula 11
Subprocessamento
1. O importador de dados não deverá subcontratar nenhuma de suas operações de processamento realizadas em nome do exportador de dados sob as cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, ele só o fará mediante acordo por escrito com o subprocessador que imponha ao subprocessador as mesmas obrigações que são impostas ao importador de dados nos termos das Cláusulas. Se o subcontratado não cumprir suas obrigações de proteção de dados sob tal acordo por escrito, o importador de dados
permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratado sob tal acordo.
2. O acordo prévio escrito entre o importador de dados e o subprocessador também deverá prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder mover a ação indenizatória referida no parágrafo 1 da Cláusula 6 contra o exportador ou o importador de dados por terem desaparecido de fato ou terem deixado de existir em lei ou por terem se tornado insolventes e sem ter havido a assunção por uma entidade sucessora de todas as obrigações legais do exportador ou do importador de dados por contrato ou por força da lei. Tal responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
3. As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referidas no parágrafo 1 serão regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.
4 O exportador de dados deverá manter uma lista de acordos de subprocessamento concluídos sob as cláusulas e notificados pelo importador de dados de acordo com a cláusula 5(j), que deverá ser atualizada pelo menos uma vez por ano. A lista estará disponível para a autoridade de supervisão de proteção de dados do exportador de dados.
Cláusula 12
Obrigação após o término dos serviços de processamento de dados pessoais
1. As partes concordam que ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador de dados deverão, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar sua destruição ao exportador de dados, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante manter a confidencialidade dos dados pessoais transferidos e não mais processar ativamente os dados pessoais transferidos.
2. O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de supervisão, submeterão suas instalações de processamento de dados à auditoria das medidas referidas no parágrafo 1.