CONTRATO DE PROCESSAMENTO DE DADOS DA CITRIX
Revisado pela última vez em 21 de março de 2018
CONTRATO DE PROCESSAMENTO DE DADOS DA CITRIX
Termos do Regulamento Geral sobre a Proteção de Dados da União Europeia
O presente Contrato de Processamento de Dados ("Contrato") trata do processamento de informações pessoais de residentes na União Europeia relacionado aos serviços do Citrix Cloud, serviços de suporte técnico ou serviços de consultoria realizados sob um contrato de licença, assinatura ou serviços da Citrix. O presente Contrato é celebrado entre o cliente usuário final ("Você") e a pessoa jurídica contratante Citrix ("Citrix") e é incorporado por referência aos mencionados contratos de serviços. Sua localização determina a pessoa jurídica Citrix, conforme identificação em xxxxx://xxx.xxxxxx.xxx.xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx. As Cláusulas Contratuais Padrão da UE no Anexo 1 são celebradas sempre entre Você e a Citrix Systems Inc., independentemente da sua localização.
Artigo 1. Definições
"Você" significa o cliente final especificado neste Contrato.
"Dados Pessoais" significam dados pessoais, conforme definido no Artigo 4 do GDPR, em seu(s) ambiente(s) de computação ao(s) qual(is) a Citrix tem acesso para fornecer os Serviços previstos neste Contrato.
"Descrição dos Serviços" significa a descrição dos Serviços que a Citrix está fornecendo a Você.
Os termos usados, mas não definidos neste Contrato (por exemplo, "processamento", "controlador", "processador", "titular de dados") terão o mesmo significado estabelecido no Artigo 4 do GDPR.
Artigo 2. Funções e Escopo
1. Estes Termos do GDPR aplicam-se ao processamento de Dados Pessoais pela Citrix.
2. Para os fins destes Termos do GDPR, Você e a Citrix concordam que Você é o controlador e a Citrix é o processador de tais Dados Pessoais, exceto quando Você atua como processador de Dados Pessoais, caso em que a Citrix atuará como subprocessador.
Artigo 3. Escopo, tipo e finalidade do processamento de dados pessoais
1. O escopo e a finalidade da coleta, processamento e/ou uso de Dados Pessoais pela Citrix estão descritos em xxxx://xxx.xxxxxx.xxx.xx/xxxxxxxx/xxx-xxxxxxxx.xxxx e/ou nestes Termos do GDPR.
2. Você determina o escopo dos Dados Pessoais para os quais você fornece acesso à Citrix para executar os serviços. Consequentemente, a coleta, o processamento e/ou o uso de dados pessoais podem estar relacionados às seguintes categorias de dados:
o Informações pessoais: nome, sobrenome, data de nascimento
o Dados de comunicações: telefone, email, endereço postal
o Escopo do Produto: quaisquer outros dados pessoais, conforme definido para o produto ou serviço em xxx.xxxxxx.xxx.xx/xxxxxxxx.
o Outros: outros dados pessoais aos quais Você fornece acesso à Citrix em razão do fornecimento de Produtos ou Serviços.
Você é responsável por fornecer acesso à Citrix apenas a esses Dados Pessoais, conforme necessário para o desempenho dos Serviços.
3. Dependendo do Produto ou dos Serviços fornecidos, Você e a Citrix podem concordar com a localização ou zona de armazenamento de Dados Pessoais.
Artigo 4. Processamento de Dados
1. É dever da Citrix:
a) processar os Dados Pessoais apenas (i) em instruções documentadas por Você, conforme especificado no Contrato, ou (ii) quando exigido pela legislação da União ou do Estado-Membro à qual a Citrix esteja sujeita, caso em que a Citrix o comunicará disso com antecedência, salvo se proibido por lei;
b) garantir que as pessoas autorizadas a processar os Dados Pessoais tenham se comprometido em manter a confidencialidade ou estejam sob obrigação legal apropriada de confidencialidade;
c) tomar todas as medidas que lhe forem exigidas na qualidade de processador de dados, nos termos do Artigo 32 do GDPR, conforme especificado no Artigo 8 abaixo e no Anexo 2, Anexo de Segurança dos Serviços da Citrix;
d) respeitar as condições mencionadas no Artigo 5 para a contratação de outro processador;
e) prestar a Você a assistência razoável no cumprimento da sua obrigação em responder a pedidos de exercício dos direitos do titular de dados previstos no capítulo III do GDPR;
f) ajudá-lo a garantir a sua conformidade com as obrigações previstas nos artigos 32 a 36 do GDPR, levando em consideração a natureza do processamento e as informações disponíveis para a Citrix;
g) devolver ou fornecer uma oportunidade para Você recuperar todos os Dados Pessoais após o término da prestação de serviços e excluir cópias existentes da seguinte maneira: Você terá 30 (trinta) dias corridos para baixar os seus Dados Pessoais após o término do Contrato e deverá entrar em contato com o suporte técnico da Citrix para obter instruções e acesso ao download. Caso Você não entre em contato com o suporte técnico da Citrix para essa finalidade no prazo de 30 dias após o término da prestação de serviços, a Citrix excluirá seus dados pessoais imediatamente assim que os dados pessoais não estiverem mais acessíveis a Você, exceto para (i) backups seguros excluídos no curso normal e (ii) retenção conforme exigido pela legislação aplicável; no caso de (i) ou (ii), a Citrix continuará a cumprir as disposições relevantes destes Termos do GDPR até que tais dados tenham sido excluídos;
h) disponibilizar a Você as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no artigo 28 do GDPR e permitir e contribuir para as auditorias realizadas por Você ou por seu auditor terceirizado, de acordo com o Artigo 11 abaixo;
i) informá-lo se, na opinião da Citrix, qualquer instrução violar o GDPR ou outras disposições de proteção de dados da União ou do Estado-Membro, desde que a Citrix não tenha qualquer obrigação de inspecionar ou verificar seu uso ou processamento de Dados Pessoais; e
j) informá-lo e fornecer-lhe assistência razoável no cumprimento de suas obrigações em relação a qualquer violação de Dados Pessoais, de acordo com o Artigo 9 abaixo.
2. Quando a Citrix contrata outro processador para realizar atividades de processamento específicas em Seu nome, as mesmas obrigações de proteção de dados estabelecidas nestes Termos do GDPR serão impostas a esse outro processador, conforme aplicável, por contrato ou outro ato legislativo da União ou Estado-Membro, fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal maneira que o processamento atenda aos requisitos aplicáveis do GDPR. Nos casos em que esse outro processador não cumprir suas obrigações de proteção de dados, a Citrix permanecerá responsável pelo desempenho das obrigações desse outro processador.
Artigo 5. Subprocessamento
1. Sujeito aos termos deste Artigo 5, Você consente que a Citrix contrate Subprocessadores para o processamento de Dados Pessoais.
2. A Citrix garantirá que os Subprocessadores estejam vinculados por contratos escritos que exijam que elas forneçam pelo menos o nível de proteção de dados exigido pela Citrix previstos nestes Termos do GDPR.
3. A Citrix permanece responsável em todos os momentos pela conformidade de tais processadores com os presentes Termos do GDPR, conforme aplicável.
4. Os Subprocessadores são estabelecidos na Lista de Subprocessadores que lhe foi disponibilizada. Pelo menos dez (10) dias úteis antes de autorizar qualquer novo Subprocessador a acessar dados pessoais, a Citrix atualizará a Lista de Subprocessadores e fornecerá a Você um mecanismo para obter a notificação dessa atualização. Quando a Citrix é o processador (e não um subprocessador), os seguintes termos se aplicam:
a) Se Você não aprovar um novo Subprocessador, poderá revogar qualquer assinatura do serviço afetado sem qualquer sanção, fornecendo, antes do final do período de aviso prévio, uma notificação por escrito de revogação que inclua uma explicação dos motivos para a não aprovação.
b) Se o serviço afetado fizer parte de um conjunto (ou compra única de serviços semelhante), a revogação será aplicada a todo o pacote.
c) Após a revogação, Você permanecerá obrigado a efetuar todos os pagamentos exigidos em qualquer pedido de compra ou outra obrigação contratual com o Revendedor ELA e/ou a Citrix e não terá direito a qualquer reembolso ou devolução do pagamento do Revendedor ELA e/ou da Citrix.
Artigo 6. Transferência de dados ulterior e internacional
1. A Citrix pode transferir Dados Pessoais para os Estados Unidos e/ou para outros países terceiros onde a Citrix ou seus processadores operam. A Citrix seguirá os requisitos dos presentes Termos do GDPR, independentemente de onde esses Dados Pessoais forem armazenados ou processados.
2. O Anexo 1 é a "Cláusula Contratual Padrão ("Processador")" especificada na Decisão da Comissão Europeia de 5 de fevereiro de 2010 sobre cláusulas contratuais padrão para a transferência de dados para processadores estabelecidos em países terceiros nos termos da Diretiva Europeia de Proteção de Dados. Quando Você fornecer Dados Pessoais regidos pelo Regulamento Geral sobre a Proteção de Dados e não houver outra base legítima para a transferência internacional de tais Dados Pessoais, as "Cláusulas Contratuais Padrão ("Processador")" especificadas em tal Decisão serão aplicáveis. Nesse caso, o Artigo 1 do Anexo 2 (Anexo de Segurança dos Serviços da Citrix) constituirá o Anexo II das Cláusulas Contratuais Padrão (descrição de medidas de segurança técnicas e organizacionais). No caso de tal decisão ser considerada inválida, as partes concordam em negociar de maneira oportuna e de boa fé quaisquer termos de substituição que possam ser necessários para a transferência internacional de tais Dados Pessoais. Para obter mais informações sobre as auditorias realizadas sob as Cláusulas Contratuais Padrão, consulte o Artigo 11, Auditorias, abaixo.
3. Além disso, a Citrix também pode processar e divulgar os Dados Pessoais (a) para entidades afiliadas, para fins consistentes com o Contrato; (b) em razão de fusão, aquisição, venda, falência ou outra reorganização prevista ou real de alguns ou de todos os seus negócios, sujeita à obrigação de proteger os Dados Pessoais de acordo com os termos do Contrato; ou (c) para fins legais, incluindo o cumprimento de seus direitos, a detecção e prevenção de fraude, a proteção contra danos aos direitos ou à propriedade da Citrix, da Citrix ou dos seus Usuários, ou do público; e (c) conforme exigido por lei, inclusive em resposta a uma intimação, ordem judicial ou administrativa, ou outro instrumento vinculativo ("Demanda"). Xxxxx quando a lei proibir, a Citrix notificará imediatamente Você sobre qualquer Demanda e fornecer-lhe-á a assistência razoavelmente necessária para facilitar Sua resposta à Demanda em tempo hábil.
Artigo 7. Assistência para sua Resposta a Solicitações dos Titulares dos Dados
1. A Citrix disponibilizará a Você os Dados Pessoais de Seus titulares dos dados e a capacidade de atender às solicitações dos titulares dos dados de exercer um ou mais direitos previstos no GDPR de maneira consistente com a funcionalidade do Produto e com a função da Citrix como processador. A Citrix deve atender a solicitações razoáveis para ajudá-lo em Sua resposta.
2. Se a Citrix receber uma solicitação de Seu titular dos dados para exercer um ou mais de seus direitos previstos no GDPR, a Citrix redirecionará o titular dos dados para fazer a solicitação diretamente a você.
Artigo 8. Termos de Segurança Específicos
A Citrix deve manter medidas e práticas de segurança para a proteção de Dados Pessoais, conforme estabelecido no Anexo 2 deste Contrato (Anexo de Segurança dos Serviços da Citrix). A Citrix pode atualizar as práticas especificadas neste Anexo 2, desde que as medidas fornecidas durante qualquer período de Serviço não forneçam, em hipótese alguma, proteção menor do que aquelas incluídas na data de efetivação de tal termo.
Artigo 9. Violação de Dados Pessoais
A Citrix deverá notificá-lo sem atrasos indevidos após tomar conhecimento de uma violação de dados relacionada a Dados Pessoais. Essa notificação deve, pelo menos:
a) descrever a natureza da violação dos Dados Pessoais, incluindo, sempre que possível, as categorias e o número aproximado dos Seus titulares dos dados envolvidos e as categorias e o número aproximado dos registros de Dados Pessoais envolvidos;
b) fornecer o nome e os detalhes de contato do responsável pela proteção de dados ou outro contato do qual mais informações possam ser obtidas; e
c) descrever as medidas adotadas ou propostas a serem adotadas para tratar da violação dos Dados Xxxxxxxx, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
Artigo 10. Registros de Atividades de Processamento
A Citrix deve manter todos os registros das atividades de processamento exigidos pelo Artigo 30(2) do GDPR.
Artigo 11. Direito de Auditoria
Você pode realizar auditorias do processamento de Seus Dados Pessoais realizado pela Citrix, conforme exigido por lei. Qualquer auditoria desse tipo deverá ser realizada às Suas próprias custas, durante o horário comercial normal, sem interromper os negócios da Citrix e de acordo com as regras e os requisitos de segurança da Citrix. Antes de qualquer auditoria, a Citrix compromete-se a fornecer-lhe informações e provas correlatas, razoavelmente solicitadas para satisfazer suas obrigações de auditoria, e Você se compromete a revisar essas informações antes de realizar qualquer auditoria independente.
Você pode usar um auditor terceirizado com o contrato da Citrix, que não deve ser negado sem motivo. Antes de qualquer auditoria por terceiros, esse auditor deve assinar um contrato de confidencialidade apropriado com a Citrix.
Artigo 12. Modificação, Suplementação e Termo
1. A Citrix pode modificar ou suplementar os presentes Termos do GDPR, avisando-o disso previamente, (i) se solicitado por uma autoridade fiscalizadora ou outro governo ou entidade reguladora, (ii) se necessário para cumprir a legislação aplicável, (iii) para implementar cláusulas contratuais estabelecidas pela Comissão Europeia ou (iv) para cumprir um código de conduta aprovado ou mecanismo de certificação aprovado ou certificado de acordo com os Artigos 40 e 42 do GDPR.
2. Sem prejuízo a estes Termos do GDPR, a Citrix pode fornecer periodicamente informações adicionais e detalhes sobre como executará estes Termos do GDPR em sua documentação técnica, de privacidade ou de políticas específica do produto.
3. Os presentes Termos do GDPR entrarão em vigor após a vigência do GDPR.
Para Você Nome: Função: Assinatura Autorizada | Para a Citrix Nome: Xxxxxxx Xxxxx Função: Vice-Presidente Sênior e Conselho Geral Assinatura Autorizada |
Anexo 1: Cláusulas Contratuais Padrão ("Processador")
Cláusulas contratuais padrão da Comissão da UE para a transferência de dados pessoais para processadores
estabelecidos em países terceiros
Para efeitos do Artigo 26(2) da Diretiva 95/46/EC, relativa à transferência de dados pessoais para processadores estabelecidas em países terceiros que não garantam um nível adequado de proteção de dados
Você
(o exportador de dados)
E
Nome da organização do importador de dados:
Citrix Systems, Inc. (incluindo suas Afiliadas)
Endereço: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000
Tel.: x0 000 000 0000; fax: + 0 000 000 0000; email: xxxxxxxxxxxx@xxxxxx.xxx
Individualmente uma "parte"; juntos, "as partes",
(o importador de dados)
TÊM ENTRE SI, JUSTO E CONTRATADO, as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar medidas adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência dos dados pessoais especificados no Apêndice 1 pelo exportador de dados para o importador de dados.
Cláusula 1
Definições
Para efeitos das presentes Cláusulas:
(a) | "dados pessoais", "categorias especiais de dados", "processo/processamento", "controlador", "processador", "titular dos dados" e "autoridade de supervisão" têm o mesmo significado que na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativo à proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (1); |
(b)"o exportador de dados" significa o controlador que transfere os dados pessoais;
(c) | "o importador de dados" significa o processador que aceita receber do exportador de dados os dados pessoais destinados a processamento em seu nome após a transferência, em conformidade com as suas instruções e os termos das Cláusulas, e que não estão sujeitos à proteção adequada do sistema de um país terceiro, na acepção do Artigo 25(1) da Diretiva 95/46/EC; |
(d) | "o subprocessador" significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber do importador de dados ou de qualquer outro subprocessador os dados pessoais do importador de dados destinados exclusivamente ao processamento de atividades a serem executadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito; |
(e) | "a legislação aplicável de proteção de dados" significa a legislação que protege os direitos e as liberdades fundamentais dos indivíduos e, em particular, o seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicáveis a um controlador de dados no Estado-Membro no qual o exportador está estabelecido; |
(f) | "medidas de segurança técnicas e organizacionais" significam as medidas destinadas a proteger dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em especial quando o processamento envolve a transmissão de dados por uma rede, e contra todas as outras formas ilegais de processamento. |
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, especificamente, das categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que é parte integrante das Cláusulas.
Cláusula 3
Cláusula de terceiro beneficiário
1. | O titular dos dados pode aplicar contra o exportador de dados a presente Xxxxxxxx, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e) e (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 como terceiro beneficiário. |
2. | O titular dos dados pode aplicar contra o importador de dados a presente Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha efetivamente desaparecido ou deixado de existir legalmente, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, em decorrência da qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode aplicá-los contra essa entidade. |
3. | O titular dos dados pode aplicar contra o subprocessador a presente Xxxxxxxx, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o exportador de dados e o importador de dados tenham efetivamente desaparecido ou deixado de existir legalmente, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, em decorrência da qual assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados pode aplicá-los contra essa entidade. Tal responsabilidade de terceiros do subprocessador deve ser limitada às suas próprias operações de processamento previstas nas Cláusulas. |
4. | As partes não se oporão que um titular dos dados seja representado por uma associação ou outro organismo se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional. |
Cláusula 4
Obrigações do exportador de dados
O exportador de dados concorda e garante:
(a) | que o processamento, incluindo a própria transferência, dos dados pessoais, tenha sido e continuará a ser |
realizado em conformidade com as disposições pertinentes da legislação aplicável de proteção de dados (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro no qual o exportador de dados está estabelecido) e não viole as disposições pertinentes deste Estado;
(b) | que instruiu e, por toda a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a legislação de proteção de dados e as Cláusulas aplicáveis; |
(c) | que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste contrato; |
(d) | que, após a avaliação dos requisitos da legislação de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, principalmente quando o processamento envolver a transmissão de dados por uma rede, e contra todas as outras formas ilegais de processamento, e que estas medidas asseguram um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, levando em consideração o avanço da tecnologia e o custo de sua implementação; |
(e)que garantirá o cumprimento das medidas de segurança;
(f) | que, se a transferência envolver categorias especiais de dados, o titular dos dados foi ou será informado antes ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não forneça proteção adequada na acepção da Diretiva 95/46/EC; |
(g) | que encaminhará toda e qualquer notificação recebida do importador de dados ou de qualquer subprocessador nos termos da Cláusula 5(b) e da Cláusula 8(3) para a autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou cancelar a suspensão; |
(h) | em disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma descrição sumária das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que tenha sido firmado de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, em cujo caso tais informações comerciais podem ser removidas; |
(i) | que, no caso de subprocessamento, a atividade de processamento será realizada de acordo com a Cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e direitos do titular dos dados que o importador de dados previsto nas Cláusulas; e |
(j)que garantirá a conformidade com a Cláusula 4(a) a (i).
Cláusula 5
Obrigações do importador de dados (2)
O importador de dados concorda e garante:
(a) | em processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e Cláusulas; se não puder fornecer essa conformidade por qualquer motivo, ele concordará em informar prontamente ao exportador de dados sua incapacidade em cumpri-la, caso em que o exportador de dados terá o direito de suspender a transferência de dados e/ou resolver o contrato; |
(b) | que não haja motivos para crer que a legislação que lhe for aplicável o impeça de cumprir as instruções recebidas do exportador de dados e suas obrigações contratuais e que, caso essa legislação seja alterada e possa ter efeito adverso significativo sobre as garantias e obrigações fornecidas pelas Cláusulas, ele notificará imediatamente o exportador de dados sobre a alteração pertinente, assim que dela tiver conhecimento, caso em que o exportador de dados terá o direito de suspender a transferência de dados e/ou resolver o contrato; |
(c) | que tenha implementado as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos; |
(d) | que notificará imediatamente o exportador de dados sobre: |
(i) | qualquer solicitação legalmente obrigatória de divulgação dos dados pessoais por uma autoridade legal, salvo disposição em contrário, tal como a proibição para preservar a confidencialidade de uma investigação criminal; |
(ii)qualquer acesso acidental ou não autorizado; e
(iii) | qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo; |
(e) | em tratar pronta e adequadamente todas as perguntas do exportador de dados relacionadas ao seu processamento dos dados pessoais sujeitos à transferência e em cumprir o parecer da autoridade fiscalizadora em relação ao processamento dos dados transferidos; |
(f) | a pedido do exportador de dados, em submeter suas instalações de processamento de dados a uma auditoria de atividades de processamento abrangidas pelas Cláusulas, que deverá ser realizada pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e detentor das qualificações profissionais necessárias e obrigados ao dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade fiscalizadora; |
(g) | em disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou qualquer contrato existente para subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que tais informações comerciais poderão ser removidas, com exceção do Apêndice 2, que deverá ser substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não possa obter uma cópia do exportador de dados; |
(h) | que, no caso de subprocessamento, tenha informado previamente o exportador de dados e obtido seu consentimento prévio por escrito; |
(i) | que os serviços de processamento pelo subprocessador serão prestados de acordo com a Cláusula 11; |
(j) | em enviar imediatamente para o exportador de dados uma cópia de qualquer contrato de subprocessador firmado nos termos da Cláusulas. |
Cláusula 6
Responsabilidade
1. | As partes concordam que qualquer titular dos dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou subprocessador, tem direito a receber uma compensação do exportador de dados pelo dano sofrido. |
2. | Se o titular dos dados não puder apresentar um pedido de indenização, nos termos do parágrafo 1, contra o exportador de dados, resultante de uma violação, pelo importador de dados ou por seu subprocessador, de qualquer das suas obrigações mencionadas na Cláusula 3 ou na Cláusula 11, devido ao exportador de dados ter desaparecido de fato, deixado de existir legalmente ou ter se tornado insolvente, o importador de dados concordará que o titular dos dados pode fazer um pedido de indenização contra o importador de dados como se este fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados, por contrato ou por força da legislação, caso em que o titular dos dados poderá fazer valer os seus direitos contra essa entidade. O importador de dados não pode invocar que a violação foi praticada por um subprocessador de suas obrigações a fim de elidir suas próprias responsabilidades. |
3. | Se o titular dos dados não puder apresentar um pedido de indenização contra o exportador de dados ou o importador de dados mencionado nos parágrafos 1 e 2, decorrente de uma violação, praticada pelo subprocessador, de qualquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados e o importador de dados desapareceram, deixaram de existir legalmente ou se tornaram insolventes, o subprocessador concordará que o titular dos dados poderá fazer um pedido de indenização contra o |
subprocessador de dados com relação às suas próprias operações de processamento nos termos das Cláusulas, como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou do importador de dados por contrato ou por força de lei, caso em que o titular de dados poderá fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador deve ser limitada às suas próprias operações de processamento previstas nas Cláusulas.
Cláusula 7
Mediação e jurisdição
1.O importador de dados concorda que, se o titular dos dados invocar direitos de terceiro beneficiário e/ou pedir a indenização de danos previstos nas Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
(a) | para remeter a disputa à mediação, por pessoa independente ou, quando aplicável, pela autoridade fiscalizadora; |
(b) | para remeter a disputa aos tribunais do Estado-Membro no qual o exportador de dados está estabelecido. |
2. | As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos materiais ou processuais de buscar soluções em conformidade com outras disposições da legislação nacional ou internacional. |
Cláusula 8
Cooperação com as autoridades fiscalizadoras
1. | O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade fiscalizadora, se assim for solicitado ou se tal depósito for exigido pela legislação aplicável de proteção de dados. |
2. | As partes concordam que a autoridade fiscalizadora tem o direito de realizar uma auditoria do importador de dados e de qualquer subprocessador, que terá o mesmo escopo e estará sujeita às mesmas condições aplicáveis a uma auditoria do exportador de dados sob a legislação aplicável de proteção de dados. |
3. | O importador de dados deve informar prontamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados ou de qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b). |
Cláusula 9
Legislação vigente
As Cláusulas serão regidas pela legislação do Estado-Membro no qual o exportador de dados está estabelecido.
Cláusula 10
Variação do contrato
As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões comerciais, quando necessário, desde que não contradigam a Cláusula.
Cláusula 11
Subprocessamento
1. | O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados de acordo as Cláusulas sem o consentimento prévio por escrito do exportador de dados. |
Quando o importador de dados subcontratar suas obrigações previstas nas Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador, impondo a este as mesmas obrigações impostas ao importador de dados previstas nas Cláusulas (3). Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados previstas no contrato escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador previstas naquele contrato.
2. | O contrato prévio, por escrito, entre o importador de dados e o subprocessador deve igualmente prever uma cláusula de terceiro beneficiário, conforme previsto na Cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de indenização mencionado no parágrafo 1 da Cláusula 6 contra o exportador ou importador de dados porque eles desapareceram, deixaram de existir legalmente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador ou importador de dados por contrato ou por força de lei. Tal responsabilidade de terceiros do subprocessador deve ser limitada às suas próprias operações de processamento previstas nas Cláusulas. |
3. | As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato mencionado no parágrafo 1 são regidas pela legislação do Estado-Membro no qual o exportador de dados está estabelecido, ou seja,… |
4. | O exportador de dados deve manter uma lista dos contratos de subprocessamento firmados nos termos das Cláusulas e notificados pelo importador de dados, de acordo com a Cláusula 5(j), que deve ser atualizada pelo menos uma vez ao ano. A lista deve estar disponível para a autoridade fiscalizadora da proteção de dados do exportador de dados. |
Cláusula 12
Obrigação após a conclusão dos serviços de processamento de dados pessoais
1. | As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e certificar ao exportador de dados de que o fez, a menos que a legislação aplicável ao importador de dados a impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados deverá garantir a confidencialidade dos dados pessoais transferidos e assegurar que não processará mais ativamente os dados pessoais transferidos. |
2. | O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade fiscalizadora, submeterão suas instalações de processamento de dados a uma auditoria das medidas mencionadas no parágrafo 1. |
Em nome do exportador de dados:
Nome (completo): … Função: …
Endereço: …
Outras informações necessárias para que o contrato seja vinculativo (se houver):
Assinatura: ...
Em nome do importador de dados:
Nome (completo): Xxxxxxx Xxxxx
Função: Vice-Presidente Sênior e Conselho Geral
Endereço: 000 Xxxx Xxxxxxx Xxxx - Xx. Xxxxxxxxxx, XX 00000 (EUA)
Outras informações necessárias para que o contrato seja vinculativo (se houver):
Assinatura: ...
(1) As Partes poderão reproduzir as definições e os significados contidos na Diretiva 95/46/EC nesta Cláusula se julgarem melhor que o contrato seja autônomo.
(2) Os requisitos obrigatórios da legislação nacional aplicável ao importador de dados que não excedam o necessário em uma sociedade democrática, com base em um dos interesses enumerados no Artigo 13(1) da Diretiva 95/46/EC, isto é, se eles constituírem uma medida necessária para proteger a segurança nacional, a defesa, a segurança pública, a prevenção, a investigação, a detecção e a acusação de infrações penais ou violações da ética das profissões regulamentadas, de um interesse econômico ou financeiro importante do Estado ou da proteção do titular dos dados ou dos direitos e liberdades de terceiros, não contradizem as cláusulas contratuais padrão. Alguns exemplos de tais requisitos obrigatórios que não excedam o necessário em uma sociedade democrática são, por exemplo, sanções internacionalmente reconhecidas, requisitos de declaração de tributos ou requisitos de declarações para o combate à lavagem de dinheiro.
(3) Este requisito pode ser atendido pela assinatura conjunta do contrato pelos subprocessadores, celebrado entre o exportador de dados e o importador de dados ao abrigo da presente Decisão.
Apêndice 1 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.
Os Estados-Membros podem completar ou especificar, de acordo com os respectivos procedimentos nacionais, quaisquer informações adicionais necessárias que figurem neste Apêndice.
Exportador de dados
O exportador de dados está (especifique brevemente suas atividades relevantes à transferência):
Usando produtos, serviços e soluções de TI da Citrix, conforme indicado na Descrição dos Serviços da Citrix.
Importador de dados
O importador de dados está (especifique brevemente as atividades relevantes à transferência): Fornecendo produtos, serviços e soluções de TI, conforme indicado na Descrição dos Serviços da Citrix.
Titulares dos dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares dos dados: (especifique): Conforme descrito no Artigo 3 do Contrato.
Categorias de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especifique): Conforme descrito no Artigo 3 do Contrato.
Categorias especiais de dados (se apropriado)
Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados: (especifique): Conforme descrito no Artigo 3 do Contrato.
Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento: (especifique): Conforme descrito na Descrição do Serviço.
EXPORTADOR DE DADOS Nome: Função: Assinatura Autorizada | IMPORTADOR DE DADOS Nome: Xxxxxxx Xxxxx Função: Vice-Presidente Sênior e Conselho Geral Assinatura Autorizada |
Apêndice 2 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.
Descrição das medidas técnicas e organizacionais de proteção implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação em anexo):
As medidas de segurança técnicas e organizacionais são descritas no Anexo de Segurança dos Serviços da Citrix (Anexo 2 do Contrato)
EXPORTADOR DE DADOS Nome: Função: Assinatura Autorizada | IMPORTADOR DE DADOS Nome: Xxxxxxx Xxxxx Função: Vice-Presidente Sênior e Conselho Geral Assinatura Autorizada |