CONTRATO DE TRATAMENTO DE DADOS PESSOAIS DOS SERVIÇOS SAP CLOUD
CONTRATO DE TRATAMENTO DE DADOS PESSOAIS DOS SERVIÇOS SAP CLOUD
1. BACKGROUND
1.1 Finalidade e aplicação. Este documento ("DPA") é incorporado ao Contrato e faz parte de um contrato por escrito, inclusive em formulário eletrônico, entre a SAP e o Cliente. Este DPA se aplica a Dados Pessoais tratados pela SAP e por seus Operadores Subcontratados em conexão com o fornecimento do Serviço Cloud. Este DPA não se aplicará a ambientes não produtivos do Serviço Cloud se esses ambientes forem disponibilizados pela SAP, e o Cliente não pode armazenar Dados Pessoais em tais ambientes.
1.2 Estrutura. Os Apêndices 1 e 2 são incorporados e constituem parte deste DPA. Eles definem o tópico acordado, a natureza e a finalidade do tratamento, os tipos de Dados Pessoais, as categorias dos titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
1.3 GDPR. A SAP e o Cliente concordam que constitui responsabilidade das partes analisar e adotar requisitos impostos sobre Controladores e Processadores pelo regulamento General Data Protection Regulation 2016/679 ("GDPR"), especialmente em relação aos Artigos 28 e 32 do GDPR, na medida em que for aplicável aos Dados Pessoais de Clientes/Controladores processados de acordo com o DPA. Para fins de ilustração, o Apêndice 3 lista os requisitos do GDPR aplicáveis e as cláusulas correspondentes neste DPA.
1.4 Governança. A SAP atua como um Operador e o Cliente e as empresas que ela autoriza a usar o Serviço Cloud atuam como Controladores nos termos do DPA. O Cliente atua como ponto único de contato e é exclusivamente responsável por obter as autorizações, consentimentos e permissões necessárias para o tratamento de Dados Pessoais de acordo com este DPA, incluindo, quando aplicável, a aprovação por Controladores para usar a SAP como um Operador. As autorizações, o consentimento, as instruções ou as permissões são fornecidas pelo Cliente não somente em seu nome, mas também em nome de qualquer outro Controlador que usa o Serviço Cloud. Quando a SAP informar ou notificar o Cliente, tal informação ou notificação será considerada recebida pelos Controladores autorizados pelo Cliente a usar o Serviço Cloud, sendo responsabilidade do Cliente encaminhar tais informações e notificações aos respectivos Controladores.
2. SEGURANÇA DO TRATAMENTO
2.1 Medidas técnicas e organizacionais adequadas. A SAP implementou e aplicará as medidas técnicas e organizacionais definidas no Apêndice 2. O Cliente analisou tais medidas e concorda que em relação ao Serviço Cloud selecionado no Formulário de Pedido, as medidas são apropriadas e levam em consideração a situação, os custos da implementação, a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais.
2.2 Modificações. A SAP aplica as medidas técnicas e organizacionais definidas no Apêndice 2 a toda a base de clientes da SAP hospedada no mesmo Centro de Dados e recebendo o mesmo Serviço Cloud. A SAP poderá alterar as medidas definidas no Apêndice 2 a qualquer momento sem notificação, desde que mantenha um nível de segurança comparável ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
3. OBRIGAÇÕES DA SAP
3.1 Instruções do Cliente. A SAP tratará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato, incluindo este DPA, constitui tais instruções iniciais registradas, e cada uso do Serviço Cloud constitui instruções posteriores. A SAP envidará esforços razoáveis para seguir todas as demais instruções do Cliente, desde que sejam exigidas pela Lei de Proteção aos Dados, seja tecnicamente viável e não exija mudanças no Serviço Cloud. Se alguma das mencionadas exceções for aplicável ou se a SAP não puder cumprir as instruções ou
se julgar que uma instrução fere a Lei de Proteção aos Dados, a SAP notificará o Cliente imediatamente (pode ser por e-mail).
3.2 Tratamento determinado por lei. A SAP também pode tratar Dados Pessoais quando for obrigada por lei. Nesse caso, a SAP informará ao Cliente sobre a exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos relevantes de interesse público.
3.3 Pessoal. Para tratar Xxxxx Xxxxxxxx, a SAP e seus Operadores Subcontratados devem garantir acesso a pessoal autorizado, comprometido com a confidencialidade. A SAP e os Operadores Subcontratados devem treinar regularmente a equipe que tem acesso a Dados Pessoais em segurança de dados e medidas de privacidade de dados.
3.4 Cooperação. Mediante solicitação do Cliente, a SAP deve cooperar com o Cliente e com os Controladores para lidar com as solicitações feitas pelos Titulares dos Dados ou pelas autoridades regulatórias em relação ao tratamento de Dados Pessoais ou a qualquer Violação de Dados Pessoais. A SAP deve notificar o Cliente o mais rapidamente possível sobre qualquer solicitação que venha a receber de um Titular dos Dados em relação ao tratamento de Dados Pessoais, sem responder a tal solicitação sem as devidas instruções do Cliente, se aplicável. A SAP deverá fornecer recursos que suportem a capacidade do Cliente de corrigir ou remover Dados Pessoais do Serviço Cloud, ou de restringir seu tratamento de acordo com a Lei de Proteção aos Dados. Quando essa funcionalidade não for fornecida, a SAP corrigirá ou removerá os Dados Pessoais, ou restringirá seu tratamento de acordo com as instruções do Cliente e com a Lei de Proteção aos Dados.
3.5 Notificação de violação de Xxxxx Xxxxxxxx. Ao tomar conhecimento sobre qualquer Violação aos Dados Xxxxxxxx, a SAP deverá notificar o Cliente tão logo possível, fornecendo as informações que tiver para auxiliar o Cliente a cumprir sua obrigação de informar sobre a Violação aos Dados Pessoais nos termos da Lei de Proteção aos Dados. A SAP pode fornecer tais informações em fases à medida que se tornarem disponíveis. Tal notificação não pode ser interpretada como uma admissão de culpa ou de responsabilidade pela SAP.
3.6 Avaliação de impacto de proteção aos dados. Se, de acordo com a Lei de Proteção aos Dados, o Cliente ou seus Controladores forem obrigados a realizar uma avaliação de impacto da proteção aos dados ou consulta prévia com um regulador, mediante solicitação do Cliente, a SAP fornecerá tais documentos normalmente disponíveis para o Serviço Cloud (por exemplo, este DPA, o Contrato, os relatórios ou certificados de auditoria). Toda assistência adicional deve ser acordada mutuamente entre as Partes.
4. EXPORTAÇÃO E EXCLUSÃO DE DADOS
4.1 Exportação e recuperação pelo Cliente. Durante o Prazo de Subscrição e sujeito aos termos do Contrato, o Cliente pode acessar seus Dados Pessoais a qualquer momento. O Cliente pode exportar e recuperar seus Dados Pessoais em um formato padrão. A exportação e a recuperação podem estar sujeitas a limitações técnicas, situação em que a SAP e o Cliente devem encontrar um método razoável para permitir que o Cliente acesse os Dados Pessoais.
4.2 Exclusão. Antes do término do Prazo de Subscrição, o Cliente pode usar as ferramentas de exportação da SAP, conforme disponíveis, para realizar uma exportação final dos Dados Pessoais a partir do Serviço Cloud, o que configura uma devolução de Dados Pessoais. Ao final do Prazo de Subscrição, o Cliente desde já instrui a SAP a excluir os Dados Pessoais remanescentes nos servidores que hospedam o Serviço Cloud dentro de um período de tempo razoável, de acordo com a Lei de Proteção aos Dados (não superior a seis meses), exceto se a legislação aplicável exigir a retenção.
5. CERTIFICAÇÕES E AUDITORIAS
5.1 Auditoria do Cliente. O Cliente ou seu auditor independente aceito pela SAP (contanto que não sejam auditores concorrentes da SAP nem auditores não qualificados e sejam independentes)
podem realizar auditoria no ambiente de controle e nas práticas de segurança da SAP aplicáveis aos Dados Pessoais processados pela SAP somente se:
(a) A SAP não tiver fornecido evidências suficientes sobre sua conformidade com as medidas técnicas e organizacionais que protegem os sistemas produtivos do Serviço Cloud através de: (i) uma certificação sobre conformidade com ISO 27001 ou outros padrões (escopo definido no certificado); ou (ii) um ISAE3402 e/ou ISAE3000 válidos ou outro relatório de certificação SOC1-3. Mediante solicitação do Cliente, relatórios de auditoria ou certificações ISO estão disponíveis através do auditor ou da SAP;
(b) Ocorreu uma Violação de Dados Pessoais;
(c) Uma auditoria foi solicitada formalmente pela autoridade de proteção aos dados do Cliente ou
(d) A Lei de Proteção aos Dados conceda ao Cliente direito de auditoria e, desde que o Cliente realize a auditoria uma vez a cada período de doze meses, salvo se a Lei de Proteção aos Dados exigir auditorias mais frequentes.
5.2 Outra auditoria de controlador. Qualquer outro Controlador pode auditar o ambiente de controle da SAP e as práticas de segurança aplicáveis a Dados Pessoais processados pela SAP de acordo com a Cláusula 5.1 somente se qualquer das situações previstas na referida cláusula se aplicarem ao outro Controlador. Tal auditoria deve ser realizada através do Cliente e por ele, conforme definido na Cláusula 5.1, a não ser que a auditoria seja realizada pelo outro Controlador em si, nos termos da Lei de Proteção aos Dados. Se diversos Controladores cujos Dados Pessoais sejam processados pela SAP com base no Contrato exigirem um auditoria, o Cliente deverá envidar todos os esforços razoáveis para combinar as auditorias e evitar múltiplas auditorias.
5.3 Escopo da auditoria. O Cliente deve fornecer notificação com antecedência mínima de sessenta dias sobre qualquer auditoria, salvo se a Lei de Proteção aos Dados ou uma autoridade de proteção de dados exigir prazo menor. A frequência e o escopo das auditorias devem ser acordados mutuamente entre as partes, atuando de maneira razoável e de boa-fé. O tempo de duração das auditorias do Cliente deve ser limitado a no máximo três dias úteis. Além de tais restrições, as partes irão usar as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O Cliente deve fornecer os resultados de qualquer auditoria à SAP.
5.4 Custo das auditorias. O Cliente deve arcar com os custos de qualquer auditoria, salvo se tal auditoria revelar violação material deste DPA pela SAP, situação em que a SAP deverá arcar com as suas despesas relacionadas a uma auditoria. Se uma auditoria determinar que a SAP violou suas obrigações nos termos do DPA, a SAP deverá sanar a violação assim que possível, e às suas custas.
6. OPERADORES SUBCONTRATADOS
6.1 Uso Autorizado. A SAP recebe uma autorização geral para subcontratar o tratamento de Dados Pessoais para Operadores Subcontratados, desde que:
(a) A SAP ou a SAP SE, em seu nome, celebre um contrato por escrito com os Operadores Subcontratados (inclusive em formato eletrônico) consistente com os termos deste DPA em relação ao tratamento de Dados Pessoais pelo Operador Subcontratado. A SAP será responsabilizada por violações pelo Operador Subcontratado de acordo com os termos deste Contrato;
(b) A SAP avaliará a segurança, a privacidade e a confidencialidade de um Operador Subcontratado antes de selecioná-lo, para verificar se ele é capaz de fornecer o nível de proteção aos Dados Pessoais exigidos pelo presente DPA; e
(c) A lista de Operadores Subcontratados da SAP em vigor na data de início de vigência do Contrato será publicada pela SAP ou a SAP disponibilizará a lista ao Cliente mediante solicitação, incluindo o nome, endereço e a função de cada Operador Subcontratado que a SAP usa para fornecer o Serviço Cloud.
6.2 Novos Operadores Subcontratados. O uso de Operadores Subcontratados pela SAP fica a seu próprio critério, desde que:
(a) A SAP informe ao Cliente antecipadamente (por e-mail ou publicando no portal de suporte disponível através do Suporte da SAP) sobre qualquer inclusão ou substituição à lista de Operadores Subcontratados, incluindo nome, endereço e função no novo Operador Subcontratado; e
(b) O Cliente poderá se opor a tais modificações, conforme definido nesta Seção 6.3.
6.3 Objeções a novos Operadores Subcontratados.
(a) Se o Cliente possuir uma razão legítima, de acordo com a Lei de Proteção aos Dados, para se opor ao tratamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá rescindir o Contrato (limitado ao Serviço Cloud para o qual o novo Operador Subcontratado seria usado) mediante notificação por escrito à SAP. Tal rescisão entrará em vigor no momento determinado pelo Cliente, que não pode ser superior a trinta dias a partir da data da notificação da SAP ao Cliente informando sobre o novo Operador Subcontratado. Se o Cliente não rescindir o contrato dentro deste período de trinta dias, o Cliente terá aceito tacitamente o novo Operador Subcontratado.
(b) Dentro do período de trinta dias a partir da data de notificação da SAP ao Cliente informando sobre o novo Operador Subcontratado, o Cliente poderá solicitar que as partes se reúnam para discutir uma solução quanto à objeção. Tais discussões não devem extrapolar o prazo para rescisão e não afetam o direito da SAP de usar o novo Operador Subcontratado após o período de trinta dias.
(c) As rescisões previstas nesta Cláusula 6.3 não são consideradas como culposas e estão sujeitas aos termos do Contrato.
6.4 Substituição de Emergência. A SAP poderá substituir um Operador Subcontratado sem notificação prévia quando a justificativa para a alteração estiver fora do controle razoável da SAP e uma substituição imediata for necessária para a segurança ou para outros motivos urgentes. Nesse caso, a SAP informará ao Cliente sobre a substituição do Operador Subcontratado assim que possível após sua indicação. A Cláusula 6.3 é aplicável.
7. TRATAMENTO INTERNACIONAL
7.1 Condições para o Tratamento Internacional. De acordo com este DPA, a SAP terá o direito de tratar Dados Pessoais, inclusive através do uso de Operadores Subcontratados, fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção aos Dados.
7.2 Cláusulas Contratuais Padrão. Onde (i) Dados Pessoais de um Controlador baseado no EEE ou na Suíça são processados em país fora do EEE, da Suíça e em qualquer país, organização ou território reconhecidos pela União Europeia como um país seguro, com um nível adequado de proteção aos dados, de acordo com o Art. 45 do GDPR, ou em que (ii) Dados Pessoais de outro Controlador são processados internacionalmente e exigem um meio adequado, nos termos das leis do país do Controlador e os meios de adequação exigidos podem ser cumpridos mediante adesão às Cláusulas Contratuais Padrão, a:
(a) A SAP e o Cliente assinam as Cláusulas Contratuais Padrão;
(b) O Cliente acorda as Cláusulas Contratuais Padrão com cada Operador Subcontratado, da seguinte maneira: (i) o Cliente adere às Cláusulas Contratuais Padrão acordadas entre a SAP ou a SAP SE e o Operador Subcontratado como um sujeito independente de direitos e obrigações (Modelo de Ascensão") ou, (ii) o Operador Subcontratado (representado pela SAP) celebra as Cláusulas Contratuais Padrão com o Cliente ("Modelo de Representação"). O Modelo de Representação será aplicado quando a SAP confirmar que um Operador Subcontratado é elegível, através da lista de Operadores Subcontratados fornecida nos termos da Cláusula 6.1(c), ou mediante envio de notificação ao Cliente; e/ou
(c) Outros controladores cujo uso dos Serviços Cloud foram autorizados pelo Cliente nos termos do Contrato também podem celebrar as Cláusulas Contratuais Padrão com a SAP e/ou com
os Operadores Subcontratados do mesmo modo que o Cliente, de acordo com as Xxxxxxxxx
7.2 (a) e (b) acima. Nesse caso, o Cliente celebrará as Cláusulas Contratuais Padrão em nome de outros Controladores.
7.3 Relação das Cláusulas Contratuais Padrão com o Contrato. Nenhuma disposição do Contrato deve prevalecer sobre qualquer cláusula conflitante das Cláusulas Contratuais Padrão. Para evitar dúvidas, onde este DPA especifica regras de auditoria e de operadores subcontratados nas cláusulas 5 e 6, tais especificações também se aplicam em relação às Cláusulas Contratuais Padrão.
7.4 Legislação aplicável às Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão são regidas pela legislação do país em que o Controlador é constituído.
8. DOCUMENTAÇÃO; REGISTROS DE TRATAMENTO
Cada parte é responsável pela conformidade com seus requisitos de documentação, em especial quanto à manutenção de registros de tratamento onde exigido pela Lei de Proteção aos Dados. As partes devem se auxiliar em relação às solicitações de documentação, inclusive fornecendo informações que a outra parte necessite conforme solicitado de forma razoável (uso de sistema eletrônico, por exemplo), para permitir que a outra parte cumpra as obrigações relacionadas à manutenção de registros de tratamento.
9. ACESSO NA UNIÃO EUROPEIA
9.1 Serviço opcional. O Acesso na União Europeia (UE) é um serviço opcional que pode ser oferecido pela SAP. Se acordado no Formulário de Pedido para o Serviço Cloud elegível expressamente identificado como sujeito ao Acesso na UE, a SAP pode fornecer o Serviço Cloud exclusivamente para instâncias de produção de acordo com esta Cláusula 9. Quando o Acesso na UE não for acordado no Formulário de Pedido, esta Cláusula 9 não se aplicará.
9.2 Acesso na UE. A SAP utilizará somente Operadores Subcontratados Europeus para fornecer suporte que necessite de acesso a Dados Pessoais no Serviço Cloud, sendo que a SAP não poderá exportar os Dados Pessoais para fora do EEE ou da Suíça, salvo se expressamente autorizado por escrito (inclusive por e-mail) com base em cada caso; ou se excluído conforme a Cláusula 9.4.
9.3 Localização do Centro de Dados. Na data de início de vigência do Contrato, os Centros de Dados usados para hospedar Dados Pessoais no Serviço Cloud estão localizados no EEE ou na Suíça. A SAP não migrará a instância do Cliente para um Centro de Dados fora do EEE ou da Suíça sem autorização prévia por escrito (sendo aceita autorização por e-mail) do Cliente. Se a SAP planejar migrar a instância do Cliente para um Centro de Dados dentro do EEE ou da Suíça, ela deverá enviar notificação ao Cliente por escrito (pode ser por e-mail), com no mínimo trinta dias de antecedência à migração planejada.
9.4 Exclusões. Os seguintes Dados Pessoais não estão sujeitos às Cláusulas 9.2 e 9.3:
(a) Detalhes de contato do remetente de um ticket de suporte; e
(b) Qualquer outro Xxxx Xxxxxxx enviado pelo Cliente quando do arquivamento de um ticket de suporte. O Cliente poderá optar por não transmitir Dados Pessoais quando do arquivamento de um ticket de suporte. Se esses dados forem necessários para o processo de gerenciamento de incidentes, o Cliente poderá optar por anonimizar os Dados Pessoais antes de qualquer transmissão da mensagem de incidente para a SAP.
10. DEFINIÇÕES
Os termos grafados com as iniciais maiúsculas não definidos neste instrumento possuem o significado a eles atribuídos no Contrato.
10.1 "Controlador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina a finalidade e os meios de tratamento de Dados Pessoais; para os fins deste DPA, onde o Cliente atua como um operador para outro controlador,
ele deve ser considerado, em relação à SAP, um Controlador adicional e independente, com os direitos e obrigações aplicáveis aos controladores nos termos deste DPA.
10.2 "Centro de Dados" significa o local onde a instância produtiva do Serviço Cloud é hospedada para o Cliente em sua região, conforme publicado em: xxxx://xxx.xxx.xxx/xxxxxxxxx- en/about/our-company/policies/data-privacy-and-security/location-of-data-center.html ou notificado ao Cliente, ou de outra forma acordado em um Formulário de Pedido.
10.3 "Lei de Proteção aos Dados" significa a legislação aplicável que protege os direitos e liberdades fundamentais das pessoas e seu direito à privacidade em relação ao tratamento de Dados Pessoais de acordo com o Contrato (e inclui, no que se refere ao relacionamento entre as partes quanto ao tratamento de Dados Pessoais pela SAP em nome do Cliente, o GDPR como um padrão mínimo, independentemente se os Dados Pessoais estiverem sujeitos ao GDPR ou não, contanto que o tratamento de Dados Pessoais ocorra na União Europeia e (ii) as outras leis de proteção de dados do Brasil, incluindo mas não limitado a Lei 13.709 de 14 de agosto de 2018, seus decretos e regulamentos, dependendo da jurisdição a qual está sujeito o Titular dos Dados).
10.4 "Titular dos Dados" significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção aos Dados.
10.5 "EEE" significa o Espaço Econômico Europeu, ou seja, os estados membros da União Europeia, juntamente com a Islândia, Liechtenstein e Noruega.
10.6 "Operador Subcontratado Europeu" significa um Operador Subcontratado que fisicamente processa os Dados Pessoais no EEE ou na Suíça.
10.7 "Dados Pessoais" significa informações relacionadas a um Titular dos Dados protegido pela Lei de Proteção aos Dados. Para os fins deste DPA, inclui somente os dados pessoais (i) inseridos pelo Cliente ou por seus Usuários Autorizados no Serviço Cloud ou derivados do seu uso, (ii) fornecido a ou acessado pela SAP ou por seus Operadores Subcontratados para oferecer suporte nos termos do Contrato. Os Dados Pessoais são um subconjunto dos Dados do Cliente (conforme definido no Contrato).
10.8 "Violação de Dados Pessoais” significa destruição (1) acidental ou dolosa, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros aos Dados Pessoais ou (2) incidente similar envolvendo Xxxxx Xxxxxxxx, ficando o Controlador obrigado a enviar notificação às autoridades de proteção aos dados ou aos Titulares dos Dados.
10.9 "Operador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador, seja diretamente como operador de um controlador ou indiretamente como operador subcontratado de um operador que processa dados pessoais em nome do controlador.
10.10 "Cláusulas Contratuais Padrão" (às vezes denominadas "Cláusulas Modelo da UE” (processadores das Cláusulas Contratuais Padrão)) ou qualquer versão subsequente do mesmo publicada pela Comissão Europeia, aplicável automaticamente.
10.11 " Operador Subcontratado" significa as Afiliadas da SAP, a SAP SE, as Afiliadas da SAP SE e os terceiros envolvidos pela SAP, pela SAP SE ou pelas Afiliadas da SAP SE em conexão com o Serviço Cloud e que processa os Dados Pessoais de acordo com esse DPA.
Apêndice 1 do DPA e, se aplicável, às Cláusulas Contratuais Padrão
Exportador de Dados
O Exportador de Dados é o Cliente que assina um Serviço Cloud que permite aos Usuários Autorizados inserir, aditar, usar, excluir ou de outra forma tratar Dados Pessoais. Quando o Cliente permite que outros Controladores usem o Serviço Cloud, esses outros Controladores também são Exportadores de Dados.
Importador de Dados
A SAP e seus Operadores Subcontratados fornecerão o Serviço Cloud que inclui o seguinte suporte:
As Afiliadas da SAP SE suportam os centros de dados do Serviço Cloud remotamente a partir das instalações da SAP em St. Leon/Rot (Alemanha), Índia e de outros locais de onde a SAP emprega pessoal na função de Operações/Entrega do Serviço Cloud. O suporte inclui:
• Monitoramento do Serviço Cloud
• Backup e restauração de Dados de Cliente armazenados no Serviço Cloud
• Lançamento e desenvolvimento de consertos e upgrades para o Serviço Cloud
• Monitoramento, solução de problemas e administração da infraestrutura e banco de dados básicos do Serviço Cloud
• Monitoramento de segurança, suporte à detecção de invasão de rede, testes de penetração
As Afiliadas da SAP SE fornecem suporte quando um Cliente envia um ticket de suporte, pois o Serviço Cloud não está disponível ou não está funcionando conforme o esperado para alguns ou para todos os Usuários Autorizados. A SAP atende telefonemas, realiza solução de problemas básicos e manuseia tickets de suporte em um sistema de rastreamento separado da instância de produção do Serviço Cloud.
Titulares dos dados
Salvo se de outra forma informado pelo Exportador de Dados, Xxxxx Xxxxxxxx transferidos se referem às seguintes categorias de Titulares dos Dados: funcionários, contratados, parceiros de negócio ou outros indivíduos que possuem Dados Pessoais armazenados no Serviço Cloud.
Categorias de dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente deve determinar as categorias de dados por Serviço Cloud assinado. O Cliente pode configurar os campos de dados durante a implementação do Serviço Cloud ou conforme definido pelo Serviço Cloud. Os Dados Pessoais transferidos normalmente se referem às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, fuso horário, dados de endereço, dados de acesso / uso / autorização do sistema, nome de empresa, dados de contrato, dados de fatura, além de dados específicos de aplicativo, inseridos pelos Usuários Autorizados no Serviço Cloud, podendo incluir dados de conta bancária, de cartão de crédito ou débito.
Categorias de dados especiais (se apropriado)
Os Dados Xxxxxxxx transferidos se referem às seguintes categorias especiais de dados: Conforme definido no Contrato, inclusive no Formulário de Pedido, se for o caso.
Operações/finalidades de tratamento
Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades básicas de tratamento:
• uso de Dados Pessoais para configurar, operar, monitorar e fornecer o Serviço Cloud (inclusive Suporte Operacional e Técnico);
• fornecimento de Serviços de Consultoria;
• comunicação para Usuários Autorizados;
• armazenamento de Dados Pessoais em Centros de Dados especializados (arquitetura multilocatária);
• carregamento de consertos ou upgrades do Serviço Cloud;
• cópia reserva de Dados Pessoais;
• Computação de Dados Pessoais, inclusive transmissão de dados, recuperação de dados e acesso aos dados.
• acesso à rede para transferência de Dados Pessoais, se necessário
• execução de instruções do Cliente de acordo com o Contrato.
Apêndice 2 do DPA e, se aplicável, das Cláusulas Contratuais Padrão – Medidas técnicas e organizacionais
1. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
As cláusulas a seguir definem as medidas técnicas e organizacionais atuais da SAP. A SAP pode alterar essas medidas a qualquer momento sem notificação prévia desde que mantenha um nível de segurança equivalente ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
1.1 Controle do acesso físico. Pessoas não autorizadas são impedidas de ter acesso físico a instalações, edifícios ou salas em que estão localizados os sistemas de tratamento de dados que processam e/ou usam os Dados Pessoais.
Medidas:
• A SAP protege seus ativos e instalações usando os meios adequados com base na Política de Segurança da SAP
• Em geral, os edifícios são protegidos por sistemas de controle de acesso (por exemplo, por cartão eletrônico).
• Como requisito mínimo, a delimitação de pontos de entrada do edifício deve ser monitorada por sistema de certificação por chave, inclusive por gerenciamento avançado de chave ativa.
• Dependendo da classificação de segurança, edifícios, áreas específicas e instalações ao redor podem ser mais protegidos por medidas adicionais. Isso inclui perfis de acesso específicos, vigilância por vídeo, sistemas de alarme contra invasões e sistemas biométricos de controle de acesso.
• Os direitos de acesso são concedidos a pessoas autorizadas individualmente de acordo com as medidas de Controle de Acesso ao Sistema e aos Dados (veja as Cláusulas 1.2 e 1.3 abaixo). Medidas essas aplicáveis inclusive ao acesso de visitantes. Convidados e visitantes nos edifícios da SAP devem ser registrados na recepção e acompanhados de pessoal autorizado da SAP.
• Os funcionários da SAP e colaboradores externos devem sempre portar cartões de identificação em todos os locais da SAP.
Medidas adicionais para Centros de Dados:
• Todos os Centros de Dados seguem procedimentos rígidos de segurança aplicados por seguranças, câmeras de vigilância, sensores de movimento, mecanismos de controle de acesso e outras medidas para impedir o comprometimento das instalações de equipamentos e Centro de Dados. Somente representantes autorizados têm acesso a sistemas e infraestrutura dentro das instalações de Centro de Dados. Para proteger o devido funcionamento, os equipamentos físicos de segurança (por exemplo, sensores de movimento, câmeras etc.) passam por manutenção regularmente.
• A SAP e todos os terceiros provedores de Centro de Dados registram o nome e os horários das pessoas autorizadas que ingressam nas áreas particulares dos Centros de Dados.
1.2 Controle de acesso ao sistema. Os sistemas de tratamento de dados usados para fornecer o Serviço Cloud só podem ser usados com a devida autorização.
Medidas:
• Vários níveis de autorização são usados na concessão de acesso a sistemas confidenciais, inclusive a sistemas de armazenamento e tratamento de Dados Pessoais. As autorizações são gerenciadas através dos processos definidos de acordo com a Política de Segurança da SAP
• Toda a equipe acessa os sistemas da SAP com um identificador exclusivo (ID de Usuário).
• A SAP possui procedimentos implementados para que as modificações de autorização solicitadas sejam implementadas somente de acordo com a Política de Segurança da SAP (por exemplo, nenhum direito é concedido sem autorização). Caso a pessoa deixe de trabalhar na empresa, seus direitos de acesso são revogados.
• A SAP estabeleceu uma política de senhas que proíbe o compartilhamento de senhas, estabelece as medidas em caso de divulgação de alguma senha, exige a alteração constante de senhas e a
troca de senhas padrão. Para autenticação, são atribuídos IDs de usuário personalizados. Todas as senhas devem ter requisitos mínimos e ser armazenadas de forma criptografada. Em caso de senhas de domínio, o sistema obriga a alteração de senhas a cada seis meses em conformidade com os requisitos para senhas complexas. Cada computador possui um protetor de tela com senha.
• A rede da empresa é protegida da rede pública por firewalls.
• A SAP usa softwares antivírus atualizados nos pontos de acesso à rede da empresa (para contas de e-mail), bem como em todos os servidores de arquivo e todas as estações de trabalho.
• O gerenciamento de patch de segurança está instalado para fornecer implementação periódica e regular sobre as atualizações de segurança aplicáveis. O acesso remoto integral à rede corporativa e infraestrutura principal da SAP é protegido por autenticação forte.
1.3 Controle de Acesso aos Dados. As pessoas autorizadas a usar os sistemas de tratamento de dados só terão acesso a Dados Pessoais a que têm direito de acesso, não sendo permitido ler, copiar, modificar ou remover sem autorização os Dados Pessoais durante o tratamento, uso e armazenamento.
Medidas:
• Como parte da Política de Segurança da SAP, os Dados Pessoais exigem no mínimo o mesmo nível de proteção de informações "confidenciais" de acordo com o padrão de Classificação de Informações da SAP.
• O Acesso aos Dados Pessoais é garantido com base na necessidade de conhecimento. A equipe tem acesso às informações necessárias para realizar suas funções. A SAP usa conceitos de autorização que registram processos e funções atribuídos por conta (ID de usuário). Todos os Dados do Cliente são protegidos de acordo com a Política de Segurança da SAP.
• Todos os serviços de produção são operados em Centros de Dados ou em salas de servidor seguras. As medidas de segurança que protegem as aplicações que processam Dados Pessoais são verificadas regularmente. Para isso, a SAP realiza verificação interna e externa de segurança e testes de penetração em seus sistemas de TI.
• A SAP não permite a instalação de software não aprovado por ela.
• Um padrão de segurança da SAP define como os dados e os transportadores de dados são excluídos ou destruídos quando deixam de ser necessários.
1.4 Controle de transmissão de dados. Exceto quando necessário para o fornecimento dos Serviços Cloud de acordo com o Contrato, os Dados Pessoais não podem ser lidos, copiados, modificados ou removidos sem autorização durante a transferência. Quando os portadores de dados são fisicamente transportados, as devidas medidas são implementadas na SAP para fornecer os níveis de serviço acordados (por exemplo, criptografia e contêineres de chumbo).
Medidas:
• Os Dados Pessoais em transferência para as redes internas da SAP são protegidos de acordo com a Política de Segurança da SAP.
• Quando dados são transferidos entre a SAP e os seus clientes, as medidas de proteção dos Dados Xxxxxxxx transferidos são acordadas mutuamente e passam a constituir o contrato aplicável. Essa condição se aplica às transferências de dados físicas e baseadas em rede. Em todos os casos o Cliente assume a responsabilidade por qualquer transferência de dados que esteja fora dos sistemas controlados pela SAP (por exemplo, dados transmitidos fora do firewall do Centro de Dados da SAP).
1.5 Controle de entrada de dados. Será possível examinar retrospectivamente e estabelecer se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de tratamento de dados da SAP.
Medidas:
• A SAP permite somente que pessoas autorizadas acessem os Dados Pessoais, conforme exigido para o exercício de suas funções.
• A SAP implementou um sistema de registros de entrada, modificação e exclusão ou bloqueio de Dados Pessoais pela SAP ou por seus operadores subcontratados dentro do Serviço Cloud, na medida do possível tecnicamente.
1.6 Controle de tarefas. Dados Pessoais sendo processados em comissão (ou seja, Dados Pessoais processados em nome de um cliente) processados somente de acordo com o Contrato e com as instruções relacionadas do cliente.
Medidas:
• A SAP usa controles e processos para monitorar o cumprimento dos contratos firmados entre a SAP e seus clientes, operadores subcontratados ou outros prestadores de serviço.
• Como parte da Política de Segurança da SAP, os Dados Pessoais exigem no mínimo o mesmo nível de proteção de informações "confidenciais" de acordo com o padrão de Classificação de Informações da SAP.
• Todos os funcionários e operadores subcontratados contratuais da SAP ou outros prestadores de serviço são contratualmente obrigados a respeitar a confidencialidade de todas as informações sigilosas, inclusive segredos comerciais de clientes e parceiros da SAP.
1.7 Controle de disponibilidade. Os Dados Xxxxxxxx serão protegidos contra destruição ou perda acidental ou não autorizada.
Medidas:
• A SAP emprega processos regulares de backup para fornecer restauração de sistemas essenciais, conforme a necessidade.
• A SAP usa fontes de energia sem interrupção (por exemplo: UPS, baterias, geradores etc.) para proteger a disponibilidade de energia para os Centros de Dados.
• A SAP definiu planos de contingência para processos de negócio essenciais e pode oferecer estratégia de recuperação de desastres para Serviços essenciais, conforme definidos na Documentação ou incorporados ao Formulário de Pedido aplicável ao Serviço Cloud.
• Os processos e sistemas de emergência são regularmente testados.
1.8 Controle de Separação de Dados. Os Dados Pessoais coletados para diferentes finalidades podem ser processados separadamente.
Medidas:
• A SAP usa capacidades técnicas do software instalado (por exemplo: estruturas de sistema multilocatárias ou separadas) para a separação de Dados Pessoais originados de diversos clientes.
• O Cliente e seus Controladores possuem acesso a seus próprios dados.
• Se os Dados Pessoais forem necessários para tratar um incidente de suporte a partir de um Cliente, os dados serão atribuídos àquela mensagem específica e usados somente para tratar aquela mensagem, eles não serão acessados para tratar outras mensagens. Estes dados serão armazenados em sistemas de suporte exclusivos.
1.9 Controle de Integridade de Dados. Os Dados Pessoais permanecerão intactos, completos e atualizados durante as atividades de tratamento.
Medidas:
A SAP implementou uma estratégia de defesa multinível como uma proteção contra modificações não autorizadas.
Em particular, a SAP utiliza o disposto a seguir para implementar as cláusulas de controle e medida descritas acima. Especialmente:
• Firewalls;
• Centro de Monitoramento de Segurança;
• Software antivírus;
• Backup e recuperação;
• Teste de penetração externa e interna;
• Auditorias externas regulares para comprovar medidas de segurança.
Apêndice 3 do DPA e, se aplicável, das Cláusulas Contratuais Padrão
A tabela a seguir define os Artigos do GDPR e os termos correspondentes do DPA para fins de ilustração.
Artigo do GDPR | Seção do DPA | Clique no link para ver a Cláusula |
28(1) | 2 e o Apêndice 2 | |
28(2), 28(3) (d) e 28 (4) | 6 | OPERADORES SUBCONTRATADOS |
28 (3) sentença 1 | 1.1 e o Apêndice | |
28(3) (a) e 29 | ||
28(3) (b) | Pessoal. | |
28(3) (c) e 32 | 2 e o Apêndice 2 | |
28(3) (e) | ||
28(3) (f) e 32-36 | 2 e o Apêndice 2, | Segurança do e o Apêndice 2, Medidas Técnicas e Organizacionais. Notificação de violação de Xxxxx Xxxxxxxx. Avaliação de impacto de proteção aos dados. |
28(3) (g) | ||
28(3) (h) | ||
28 (4) | 6 | OPERADORES SUBCONTRATADOS |
30 | ||
46(2) (c) | Cláusulas Contratuais Padrão. |
Apêndice 4
CLÁUSULAS CONTRATUAIS PADRÃO (OPERADORES)
As Cláusulas Contratuais Padrão mencionadas neste instrumento estão disponíveis no seguinte endereço eletrônico:
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx%0X00000X0000
intencionalmente deixado em branco