ACORDO DE COMPARTILHAMENTO DE DADOS (DADOS DO FORNECEDOR) Data de revisão: 12 de março de 2024

Proprietary

ACORDO DE COMPARTILHAMENTO DE DADOS (DADOS DO FORNECEDOR)

Data de revisão: 12 de março de 2024

Para os fins deste Acordo de Compartilhamento de Dados (“DSA”), a entidade Merck Sharp & Dohme LLC ou afiliada que executa o contrato, ou ainda outra forma de contrato referente a este DSA (o “Contrato”) deve ser denominada “Empresa” e todas as outras partes desse Contrato devem ser denominadas “Fornecedor”. A Empresa e o Fornecedor são cada uma “Parte” e juntos as “Partes”.

Disposições gerais

1. As Partes inseridas e integrantes do Contrato poderão firmar uma ou mais ordens ou tarefas de compra, contratos de projeto, adendos de plano de projeto, declarações de trabalho, ordens de serviço ou outros termos de serviço (cada qual denominados como “Declaração de trabalho”), que regem os serviços nela contemplados (“Finalidade de Compartilhamento de Dados”).

2. As Partes pretendem complementar os termos do Contrato para garantir que todo o compartilhamento de Informações Pessoais relacionado ao Contrato seja realizado em conformidade com a Lei de Proteção de Dados, e identificar cada Parte como controlador independente desses dados.

3. A Parte referida no Contrato como “MSD”, “CONTRATANTE”, “PATROCINADORA” ou “FORNECEDORA” será denominada neste DSA “Empresa”.

4. A Parte referida no Contrato como “CONTRATADA”, “PATROCINADA”, “COMPRADORA” ou “DISTRIBUIDORA” será denominada neste DSA “Fornecedor”.

As Partes concordam que:

1. Atividades de compartilhamento de dados. Quanto às Informações Pessoais Processadas relacionadas ao Contrato, o teor, a natureza, o objetivo e a duração do Compartilhamento, bem como as categorias dos Titulares dos Dados envolvidos e as categorias de Informações Pessoais, estão especificados no Anexo do Contrato intitulado “Detalhes do Processamento de Dados”.

2. Aplicabilidade. Os termos deste DSA se aplicam a cada Declaração de Trabalho de acordo com o Contrato, salvo se especificado o contrário na Declaração de Trabalho correspondente.

3. Obrigações do Fornecedor. Ao processar Informações Pessoais relacionadas ao Contrato, o Fornecedor:

1. deve cumprir a Lei de Proteção de Dados e as obrigações do Fornecedor de acordo com este DSA e, caso o Fornecedor não possa cumprir essas obrigações, deve notificar a Empresa imediatamente e adotar todas as medidas razoáveis e apropriadas consideradas necessárias pela Empresa na remediação em razão do não cumprimento.

2. deve fornecer todos os avisos e obter todos os consentimentos dos Titulares dos Dados, necessários para assegurar à Empresa que está autorizada a utilizar as Informações Pessoais para a Finalidade de Compartilhamento de Dados.

3. deve ser totalmente responsável por todos os atos ou omissões dos seus respectivos funcionários, afiliadas, agentes, subcontratados e outros representantes.

4. deve implementar e manter programas de segurança e privacidade de informações e apropriados, que devem incorporar medidas físicas, técnicas e organizacionais, de acordo com a natureza das Informações Pessoais compartilhadas em conexão com o Contrato, de forma que atendam ou superem as boas práticas do setor (ou padrãosuperior, conforme exigido no Apêndice 1) e que protejam razoavelmente contra uma Violação de Dados Pessoais, incluindo o treinamento de todos os funcionários responsáveis pelo Processamento de Informações Pessoais de maneira a atender suficientemente às exigências deste DSA.

5. deve cumprir todas as medidas razoáveis e adequadas solicitadas pela Empresa, necessárias para que o Fornecedor e a Empresa cumpram suas respectivas obrigações nos termos da Lei de Proteção de Dados e deste DSA.

6. deve reconhecer e concordar que a assinatura deste DSA constitui sua certificação de que entende e se compromete com as restrições dispostas neste DSA e as cumprirá.

3. Indenização. Sem limitar quaisquer direitos ou prerrogativas da Empresa, obrigações do Fornecedor nos termos do Contrato ou de outra forma, as Partes concordam que o Fornecedor indenizará a Empresa, suas afiliadas e seus respectivos executivos, diretores, funcionários, contratados, trabalhadores temporários, subcontratados, agentes e outros representantes (denominados “Parte indenizada”) quanto a quaisquer perdas, danos, multas, custos ou despesas (incluindo despesas e gastos jurídicos) incorridos por essa Parte Indenizada resultante da Violação de Dados Pessoais do Fornecedor em relação às Informações Pessoais Processadas pelo Fornecedor em relação ao Contrato. Qualquer responsabilidade abordada nesta seção estará sujeita às limitações ou exclusões de responsabilidade aplicáveis no Contrato, a menos que tal responsabilidade seja resultado da negligência ou ato errado intencionalmente do Fornecedor, caso em que nenhuma limitação ou exclusão de responsabilidade será aplicada.

4. Definições

   1. “Lei de Proteção de Dados” significa qualquer lei aplicável de proteção de dados, segurança ou privacidade de dados, incluindo a Lei Geral de Proteção de Dados (“LGPD”) nº 13.709/18, ou quando aplicável, o Regulamento Geral de Proteção de Dados da UE e qualquer legislação nacional de implementação relacionada, a Lei de Portabilidade e Responsabilidade do Seguro de Saúde, a Lei de Direitos de Privacidade da Califórnia e qualquer outra lei de proteção, privacidade e segurança de dados, a nível municipal, estadual ou federal.

   2. “Informações pessoais” significa quaisquer dados relacionados ao Contrato vinculado a um indivíduo identificado ou identificável, incluindo dados que identificam um indivíduo ou que poderiam ser usados para identificar, localizar, rastrear ou contatar um indivíduo. As Informações Pessoais incluem informações diretamente identificáveis, como nome, número de identificação ou título exclusivo do cargo, e informações indiretamente identificáveis, como data de nascimento, identificador exclusivo de dispositivos móveis ou vestíveis, informações que possam ser usadas para identificar uma residência, número de telefone, dados codificados por chave, identificadores online, como endereços IP ou atividades pessoais, comportamentos ou preferências, e inclui quaisquer dados que constituam “dados pessoais” de acordo com a Lei de Proteção de Dados.

   3. “Processamento” significa realizar qualquer operação ou conjunto de operações em Informações Pessoais ou conjuntos de Informações Pessoais, seja ou não, por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, acesso, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou ainda disponibilização, avaliação, análise, elaboração de relatórios, compartilhamento, alinhamento ou combinação, restrição, eliminação ou destruição.

   4. “Violação de Dados Pessoais” significa uma destruição acidental ou ilegal, perda ou alteração acidentais ou ilícitas, divulgação ou acesso não autorizados de Informações Pessoais, transmitidas, armazenadas ou processadas de outra forma.

   5. “Cláusulas Contratuais Padrão” são cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros que não foram avaliados pela Comissão Europeia como fornecendo um nível adequado de proteção aos dados pessoais, conforme publicado pela Comissão Europeia em 4 de junho de 2021, e que podem ser atualizadas periodicamente.

   6. Caso essas definições restrinjam ou reduzam o escopo das definições relacionadas à Lei de Proteção de Dados, as disposições deverão ser expandidas para corresponder às determinações da Lei de Proteção de Dados.

   7. Na ausência de uma definição nesta Seção, um termo deve ser interpretado de maneira compatível com todas as Leis de Proteção de Dados aplicáveis.

5. Interpretação.

   1. Os termos definidos e usados neste DSA, mas não definidos neste documento, devem ter o significado especificado em outras disposições deste Contrato.

   2. As palavras “incluir” e “incluindo” devem ser interpretadas como incluindo, entre outros.

   3. Em relação à Finalidade de Compartilhamento de Dados nos termos do Contrato, o fornecedor pode processar as Informações Pessoais de uma ou mais das afiliadas da Empresa. Nesse caso, qualquer uma dessas afiliadas da Empresa será considerada um “Controlador” de Informações Pessoais e um terceiro beneficiário deste DSA terá o direito de confiar e fazer cumprir todos os direitos e proteções concedidos à Empresa nos termos deste DSA, independentemente da afiliada ser nomeada como parte do Contrato ou do DSA.

   4. Este DSA é incorporado e faz parte do Contrato.

   5. No caso e na medida em que houver qualquer conflito entre os termos do Contrato e este DSA, os termos deste DSA prevalecerão, exceto se os termos do Contrato garantirem mais proteção às Informações Pessoais Processadas no escopo do Contrato. Neste caso, os termos mais protetores do Contrato prevalecerão.

   6. Na hipótese de qualquer conflito entre os termos deste DSA e as Cláusulas Contratuais Padrão, os termos da Cláusulas Contratuais Padrão prevalecerão.

   7. Salvo expressamente alterado neste documento, os termos do Contrato permanecerão em pleno vigor e efeito.

   8. Se este DSA for redigido em inglês e em um idioma estrangeiro, no caso de diferenças entre o texto em inglês e o texto no idioma estrangeiro, o texto em inglês prevalecerá.

   9. As cláusulas e outros títulos neste DSA são somente para conveniência de referência e não devem constituir uma parte ou de outra forma afetar o significado ou a interpretação deste DSA.

   10. Os Anexos e Apêndices a este DSA devem ser considerados parte integrante deste DSA na mesma medida como se tivessem sido transcritos expressamente neste DSA.

   11. As disposições deste DSA são separáveis. Se qualquer frase, cláusula ou disposição for inválida ou inexequível no todo ou em parte, tal invalidade ou inexequibilidade afetará somente essa frase, cláusula ou disposição e o restante deste DSA permanecerá em pleno vigor e efeito.

   12. Este DSA rege qualquer Processamento de Informações Pessoais relacionadas à Finalidade de Compartilhamento de Dados e complementa os termos do Contrato aplicável à essa Finalidade, exceto quando Empresa e o Fornecedor celebraram outro DSA aplicável para garantir a Finalidade de Compartilhamento de Dados.

13. Este DSA pode ser celebrado em qualquer número de vias que, em conjunto, constituirão um mesmo contrato. Qualquer Parte pode celebrar este DSA firmando tal via.

14. Este DSA constitui o acordo integral entre as Partes em relação ao assunto deste DSA e (na medida permitida por lei) e substitui todas as representações anteriores ou acordos orais ou escritos entre as Partes em relação a este assunto, desde que nada neste DSA e nenhuma das Partes esteja tentando excluir qualquer responsabilidade por declarações fraudulentas.

15. As disposições de lei e jurisdição aplicáveis do Contrato serão aplicáveis a este DSA.

3. Limites em atualizações.

1. Quando as Partes renovarem, alterarem, emitirem uma nova Declaração de Trabalho sob, ou de qualquer forma modificarem o Acordo ou qualquer Declaração de Trabalho sob o Acordo (um "Evento Gatilho"), o documento mais recente sob "Data Sharing Addendum (Supplier Data)" localizado em xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ irá substituir e sobrepor os termos deste DSA até o próximo Evento Gatilho, a menos que uma objeção seja apresentada dentro de 30 dias após a ocorrência do evento gatilho. Não obstante o exposto, pode haver situações que exijam uma alteração imediata dos termos deste DSA, o que só ocorrerá por motivos articulados em 7(b), e só será feito de boa fé e após garantir que os novos termos ou termos modificados se limitem àqueles necessários para cumprir com a nova Lei de Proteção de Dados aplicável, jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes.

2. No evento de qualquer um dos seguintes cenários ocorrer, as Partes concordam imediatamente com os termos mais recentes postados no endereço acima, a menos que uma objeção seja apresentada dentro de 30 dias após o aviso da Empresa sobre os novos termos fornecidos a todas as entidades que solicitaram receber aviso em xxxxxxx_xxxxxxx@xxx.xxx:

1. a Lei de Proteção de Dados aplicável foi atualizada de maneira que os termos contratuais existentes deste DSA sejam inadequados para satisfazer os requisitos da lei atualizada,

2. há uma mudança na Lei de Proteção de Dados aplicável e as Partes têm um interesse razoável e legítimo em alterar esses termos devido à mudança da lei, por exemplo e sem limitação, removendo requisitos que não são mais necessários, ou

3. há nova jurisprudência ou orientações emitidas pelas autoridades de proteção de dados relevantes que têm um efeito comparável a uma mudança na lei descrita em (i) ou (ii) acima.

3. Aplicabilidade dos apêndices. As Cláusulas Contratuais Padrão aqui anexadas como Apêndice 2 e os anexos no Apêndice 3 só devem ser aplicáveis na medida em que forem exigidos pela Lei de Proteção de Dados aplicável. As Partes concordam em cumprir tais cláusulas e adendos unicamente na medida em que estejam alinhados e sejam exigidos pelos requisitos da Lei de Proteção de Dados aplicável em cada respectiva jurisdição.

4. Notificação. Notificações fornecidas nos termos deste DSA (cada uma, “Notificação”) devem ser feitas por escrito. As notificações fornecidas neste DSA devem ser fornecidas de acordo com as disposições de notificação do Contrato aplicável, juntamente com cópia(s) enviadas por e-mail à Empresa, para xxx_xxxxxxx_xxxxxx@xxx.xxx, com uma linha de assunto “DSA Notificação do Fornecedor” ou no caso de uma Violação de Dados Pessoais “Urgente: Notificação de Violação de Dados Pessoais”.

APÊNDICE 1 – Medidas de Segurança da Tecnologia da Informação

1. Segurança de Rede - O Fornecedor cumprirá com políticas, procedimentos, sistemas segurança de rede e conduzirá atividades e segurança de rede e atividades consistentes com as melhores práticas do setor do Fornecedor, mas que deverá, ao menos, incluir, mas não limitado a: avaliações de vulnerabilidade de firewall de rede, detecção de invasões e avaliações regulares de vulnerabilidade (não menos que uma vez por ano em qualquer caso). Em nenhuma circunstância o disposto acima aplicado às Informações Pessoais da Empresa será menos rigoroso e protetor do que aqueles aplicados pelo Fornecedor para a proteção dos seus próprios dados e sistemas de natureza semelhante.

2. Segurança de Aplicativos - O Fornecedor fornecerá, manterá e prestará suporte a qualquer um de seus softwares e sistemas fornecidos ou usados em conexão com os serviços ou produtos nos termos do Contrato e atualizações, upgrades e correções de bugs de forma a torná-los e mantê-los seguros de vulnerabilidades, utilizando práticas ou padrões do setor reconhecidos e comparáveis, conforme estabelecido no parágrafo 9 abaixo.

3. Segurança de Dados - Sem limitar as obrigações de confidencialidade do Fornecedor ou outras obrigações para proteger dados e outras informações da Empresa ou de suas Afiliadas, incluindo qualquer Informação Pessoal, nos termos do Contrato ou deste DSA, o Fornecedor deve armazenar todas as Informações Pessoais de acordo com as melhores práticas do setor e em conformidade com todas as leis aplicáveis, bem como usar as medidas de segurança, incluindo, entre outras, a criptografia e firewalls, para proteger essas Informações Pessoais da divulgação ou uso não autorizados. Essas medidas não serão menos rigorosas do que as medidas mantidas pelo Fornecedor para seus próprios dados de natureza semelhante. Quando o Fornecedor armazenar Informações Pessoais em uma instalação de terceiros, o Fornecedor deverá ter cumprido os termos deste DSA relacionados à divulgação de Informações Pessoais a terceiros ou de outra forma à subcontratação de serviços ou produtos para terceiros e somente utilizará instalações de armazenamento externas de terceiros, que seja razoavelmente aceitável para a Empresa, sem limitar o disposto acima, a instalação de um terceiro que esteja em total conformidade com todas as disposições deste Apêndice.

4. Armazenamento de Dados - Todas as Informações Pessoais serão armazenadas, processadas e mantidas exclusivamente nos recursos de computação e armazenamento designados pelo Fornecedor e nenhuma das Informações Pessoais será, em nenhum momento, processada ou transferida para qualquer dispostivo de computação portátil ou laptop ou qualquer meio de armazenamento portátil, a menos que esse dispositivo ou meio de armazenamento esteja em uso como parte dos processos de backup e recuperação designados pelo Fornecedor e criptografado de acordo com o parágrafo 6 abaixo. O Fornecedor armazenará todas as cópias de backup de Informações Pessoais como parte de seus processos de backup e recuperação.

5. Transmissão de Dados - Toda e qualquer transmissão ou troca eletrônica de Informações Pessoais com a Empresa e/ou quaisquer terceiros deve ocorrer por meios seguros (usando HTTPS, SFTP ou equivalentes) e exclusivamente de acordo com o parágrafo 6 abaixo.

6. Criptografia de Dados - O Fornecedor concorda que todas as Informações Pessoais armazenadas em qualquer dispositivo, laptop ou qualquer meio de armazenamento portátil, inclusive todos os dados de backup da empresa, devem ser mantidos em formato criptografado, por meio de uma solução de criptografia com suporte comercial. As soluções de criptografia serão implementadas com no mínimo uma chave criptográfica de 128-bits para criptografia simétrica e uma chave com comprimento de 2.048-bits (ou mais) para criptografia assimétrica.

7. Reutilização de Dados - Exceto quando necessário para fornecer os serviços ou produtos nos termos do Contrato ou conforme permitido de outra forma por este DSA, o Fornecedor não distribuirá, reaproveitará ou compartilhará quaisquer Informações Pessoais com outros aplicativos, ambientes ou unidades de negócios do Fornecedor.

8. Notificação de Violação de Segurança - No caso de uma violação de dados pessoais ou violação de quaisquer obrigações de segurança do Fornecedor, além de suas obrigações decorrentes do Contrato ou do DSA, o Fornecedor deve notificar a Empresa sobre tal ocorrência dentro de 24 (vinte e quatro) horas da descoberta no seguinte número de telefone e endereço de e-mail:

N.º de telefone para Notificação de Violação de segurança: 000-000-0000

Centro de Operações Globais da Merck (“GOC”) (Selecione a opção “interrupção do serviço de TI” (Esta opção é atualmente a nº 1. O GOC pode enviar um page para a Equipe de Resposta à Violação de Dados Pessoais MSD Cyber.)

E-mail de Notificação de Violação de segurança: XXX@Xxxxx.xxx

9. Padrões do Setor - Conforme aplicável aos serviços ou produtos nos termos do Contrato, os padrões da indústria geralmente reconhecidos incluem, entre outros, os padrões atuais e os padrões de referência estabelecidos e mantidos pelas seguintes entidades:

   1. Centro de segurança da Internet [Center for Internet Security] - consulte xxxx://xxx.xxxxxxxxxx.xxx

   2. Padrão de segurança de dados do setor de cartões de pagamento (PCI/DSS) [Payment Card Industry/Data Security Standards] - consulte xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

   3. Instituto Nacional de Padrões e Tecnologia [National Institute for Standards and Technology] - consulte xxxx://xxxx.xxxx.xxx

   4. Lei Federal de Gerenciamento da Segurança da Informação (FISMA) [Federal Information Security Management Act] - consulte xxxx://xxxx.xxxx.xxx

   5. Normas ISO/IEC 27000 - consulte xxxx://xxx.xxx00000xxxxxxxx.xxx/

   6. Organização para o Avanço de Padrões em informação Estruturada (OASIS) [Organization for the Advancement of Structured Information Standards] - consulte xxxx://xxx.xxxxx-xxxx.xxx/

   7. Projeto Aberto de Segurança de Aplicações Web (OWASP) [Open Web Application Security Project] “Projeto Top Ten” - consulte xxxx://xxx.xxxxx.xxx

   8. A CWE (Enumeração de Fraquezas Comuns) [Common Weakness Enumeration] - consulte xxxx://xxx.xxxxx.xxx ou CWE/SANS 25 principais erros de programação - xxxx://xxx.xxxxx.xxx/xxx00/

   9. A SANS Institute - consulte xxxx://xxx.xxxx.xxx

   10. Erros de software mais perigosos [Most Dangerous Software Errors] xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/

APÊNDICE 2

Caso o Fornecedor esteja exportando Informações Pessoais de forma que o Módulo 1 das Cláusulas Contratuais Padrão seja necessário, os seguintes termos se aplicam:

O texto localizado no corpo do Módulo 1 (Controlador para Controlador) das Cláusulas Contratuais Padrão anexadas à Decisão de implementação da Comissão (UE) 2021/914 de 4 de junho de 2021 são incorporados por referência. Os aspectos opcionais são descritos abaixo:

1. Cláusula 7 (cláusula de ancoragem) omitida.

2. Para a Cláusula 11, o texto opcional foi omitido.

3. Para a Cláusula 17, a opção 1 foi escolhida, sendo os Países Baixos o Estado-membro.

4. Para a Cláusula 18, a escolha do Foro foi os Países Baixos.

ANEXO 1 ao APÊNDICE 2

A. LISTA DE PARTES

Consulte o Contrato

B. DESCRIÇÃO DA TRANSFERÊNCIA

Consulte o Anexo do contrato intitulado “Detalhes do Processamento de Dados”.

C. AUTORIDADE SUPERVISORA COMPETENTE

Commission Nationale de l'Informatique et des Libertés - CNIL
0 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/

ANEXO 2 AO APÊNDICE 2 – MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Consulte o Apêndice 1 do DSA ao qual essas Cláusulas estão anexadas. Além disso, o importador de dados deve garantir que todos os Dados Pessoais sejam pseudonimizados e criptografados quando apropriado. Além disso, ao receber uma solicitação de uma autoridade governamental relativa aos Dados Pessoais objetos dessas Cláusulas, os Importadores de Dados e suas Afiliadas garantem que (i) as demandas de acesso por serviços de inteligência ou autoridades semelhantes nos EUA ou em outros lugares, e (ii) qualquer “dever de divulgação”, os dados pessoais descritos no Anexo 1B serão contestados pelo importador de Dados e suas Afiliadas de acordo com as leis e regulamentos aplicáveis antes da extração.

APÊNDICE 3

Requisitos legais adicionais de estado, país, região e província

ADENDO DO REINO UNIDO: Lei de Proteção de dados de 2018

O Apêndice 3 deste documento se incorpora, por referência, ao Adendo de Transferência de Dados Internacionais às Cláusulas Contratuais Padrão da Comissão da UE, versão B1.0, em vigor desde 21 de março de 2022, e deve ser considerado integralmente executado por todas as partes do Contrato, abrangendo todas as transferências aplicáveis, de acordo com o DSA, e incluindo todas as Cláusulas Obrigatórias da Parte 2.

ADENDO DA SUÍÇA: FADP

1. Na medida em que as transferências de dados descritas no Apêndice 2 estão sujeitas ao FADP, as referências ao GDPR devem ser entendidas como referências à Lei Federal Suíça sobre Proteção de Dados (“FADP”).

2. Durante o período exigido pela FADP, os dados pessoais das entidades jurídicas devem ser protegidos de acordo com essas Cláusulas da mesma maneira que são configuradas as proteções para os titulares dos dados.

3. Cláusula 13: Supervisão paralela

   1. Quando a transferência de dados for regida pela FADP: A Comissão Federal de Proteção e Informações de Dados (“FDPIC”) é o órgão supervisor competente;

   2. Quando a transferência de dados for regida pela GDPR: Os critérios da Cláusula 13(a) devem ser aplicados.

4. Cláusula 18(c): Escolha do Foro e jurisdição: Um titular dos dados, que tem sua residência habitual na Suíça, também pode acionar processos legais contra o exportador de dados e/ou importador de dados para os tribunais da Suíça.

ADENDO DO CANADÁ: Lei de Quebec 25

1. Se for necessário coletar o consentimento em conexão aos termos deste DSA, o Fornecedor também deverá reter a evidência de todos os consentimentos por três (3) anos após o término do Contrato.