Contract
1. Introdução
ANEXO C
CONTRATO DE PROTEÇÃO DE DADOS
Este Contrato de Proteção de Dados (o “DPA”) reflete o acordo entre as Partes em relação ao Processamento de Dados Pessoais da Hitachi pelo Fornecedor, nos termos do MPSA, incluindo quaisquer declarações de trabalho celebradas âmbito de referido contrato (doravante conjuntamente denominados o “MPSA”). Cada Parte concorda que dispõe de habilidade e plena competência para cumprir com suas obrigações nos termos deste DPA.
2. Definições
Salvo se expressamente definido neste DPA, todos os termos iniciados em letra maiúscula terão o mesmo significado previsto no MPSA. Neste DPA, os termos abaixo têm os seguintes significados:
País Adequado: um país, incluindo o Brasil, ou uma organização internacional que a Comissão Europeia, por meio de um ato de execução, determinou que assegura um nível adequado de proteção de dados pessoais, nos termos das Leis de Proteção de Dados, incluindo o Artigo 45 do Regulamento Geral de Proteção de Dados.
Leis de Proteção de Dados: as leis e os regulamentos de proteção de dados em vigor de tempos em tempos em cada jurisdição em que Dados Pessoais são Processados pelo Fornecedor, incluindo, mas não se limitando no Brasil à Lei nº 13.709/2018.
Autoridades de Proteção de Dados: a respectiva autoridade legal em cada jurisdição em que Dados Pessoais são Processados pelo Fornecedor, incluindo, mas não se limitando no Brasil à Autoridade Nacional de Proteção de Dados.
Data de Entrada em Vigor: a data a partir da qual o MPSA entra em vigor.
Medidas Mínimas de Proteção: as medidas técnicas e organizacionais especificadas no Anexo D do MPSA (Requisitos de Segurança da Informação), que têm por objetivo impedir o acesso ou o Processamento não autorizado ou ilegal ou a perda acidental ou a destruição dos Dados Pessoais ou de outras informações confidenciais da Hitachi.
Dados Pessoais: informações relacionadas a uma pessoa natural identificada ou identificável, que são Processadas pelo Fornecedor para ou em nome da Hitachi para o presente Objetivo.
Processamento: qualquer operação ou conjunto de operações realizadas que envolvam Dados Pessoais, seja de forma automática ou não, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Objetivo: cumprimento pelas Partes das obrigações estabelecidas no MPSA.
Venda: venda, aluguel, publicação, divulgação, disseminação, disponibilização, transferência ou comunicação oral, por escrito, por meios eletrônicos ou por outros meios, de informações pessoais a terceiros em troca de remuneração ou outra contrapartida válida.
Cláusulas Contratuais Padrão: modelo apresentado como Anexo 1 a este DPA.
Subprocessador: qualquer terceiro contratado pelo Fornecedor ou qualquer contratado ou agente do Fornecedor que Processe Dados Pessoais da Hitachi para ou em nome do Fornecedor para fins do Objetivo.
Vigência: tem início na Data de Entrada em Vigor e permanecerá vigente até: (i) a rescisão ou expiração do MPSA; (ii) a data em que o Fornecedor não esteja mais autorizado pela Hitachi a Processar Dados Pessoais; ou (iii) a data em que o Fornecedor (ou seu Subprocessador) deixe de Processar Dados Pessoais.
Equipe: significa os diretores, conselheiros, auditores, funcionários, subcontratados e qualquer outro membro da equipe de trabalho de uma Parte.
3. Declarações, Garantias e Obrigações do Fornecedor
(a) O Fornecedor sempre tratará os Dados Pessoais como Informação Confidencial e exigirá que toda a sua Equipe e todos os Subprocessadores com acesso aos Dados Pessoais façam o mesmo.
(b) O Fornecedor sempre cumprirá as Leis de Proteção de Dados na extensão máxima aplicável a tais Dados Pessoais e as obrigações impostas por este DPA.
(c) Conforme acordado entre as Partes, todos os Dados Pessoais e seus derivados, estejam ou não sem identificação, anônimos ou agregados, serão sempre propriedade da Hitachi.
(d) O Fornecedor assegurará que toda a sua Equipe e todos os Subprocessadores que desempenharem funções nos termos deste DPA: (i) sejam obrigados a realizar um treinamento anual sobre proteção de dados e (ii) estejam sujeitos a termos contratuais que protejam os Dados Pessoais tanto quanto os deste DPA.
(e) O Fornecedor assegurará que o acesso aos Dados Pessoais esteja limitado à Equipe ou ao(s) Subprocessador(es) do Fornecedor que precisarem de acesso para o presente Objetivo. O escopo de tal acesso será limitado à quantidade mínima de Dados Pessoais necessários para o presente Objetivo.
(f) O Fornecedor implementará as devidas medidas técnicas e organizacionais para proteger os Dados Pessoais, inclusive contra uma Violação de Segurança, pelo seguinte período: (i) a Vigência deste DPA; ou (ii) qualquer período durante o qual o Fornecedor Processe, controle ou possua Dados Pessoais. Tais medidas protegerão ao menos tanto quanto as Medidas Mínimas de Proteção.
(g) O Fornecedor não divulgará, não tornará público, nem revelará, direta ou indiretamente, os Dados Xxxxxxxx a nenhum terceiro, a não ser que tenha obtido o consentimento expresso e por escrito da Hitachi. Na extensão permitida pelas leis aplicáveis, a Hitachi se reserva o direito, a seu exclusivo critério, de condicionar tal consentimento à aceitação de termos adicionais pelo Fornecedor.
(h) O Fornecedor não receberá nem transferirá nenhum Dado Pessoal fora do EEE (Espaço Econômico Europeu), a não ser que:
(i) o território receptor seja um País Adequado; (ii) o Fornecedor tenha aderido a suficientes Cláusulas Contratuais Padrão para permitir tal transferência; ou (iii) a Parte receptora tenha suficientes regras corporativas vinculantes.
(i) O Fornecedor notificará a Hitachi, sem atrasos injustificados, mediante a Detecção de que o Fornecedor ou seu Subprocessador descumpriram ou não poderão cumprir uma ou mais de suas obrigações oriundas deste DPA. Neste caso e sem limitar nenhuma outra medida judicial disponível à Hitachi oriunda deste DPA ou das leis aplicáveis, a Hitachi poderá instruir o Fornecedor a deixar de Processar os Dados Pessoais, e o Fornecedor cumprirá as instruções razoáveis da Hitachi em relação aos Dados Xxxxxxxx em sua posse ou sob seu controle.
(j) O Fornecedor notificará prontamente a Hitachi e, no caso de qualquer eventualidade, em até 48 (quarenta e oito) horas a partir da Detecção pelo Fornecedor, sobre quaisquer inquéritos, investigações, queixas e reclamações por terceiros (inclusive por Autoridades de Proteção de Dados) relacionados aos Dados Pessoais. O Fornecedor envidará esforços de cooperação razoáveis, conforme necessário, para que a Hitachi possa responder a tais terceiros.
(k) O Fornecedor cumprirá as decisões proferidas pelas Autoridades de Proteção de Xxxxx, pelos árbitros ou pelos órgãos judiciais no tocante ao Processamento dos Dados Pessoais.
(l) O Fornecedor compromete-se a não: (i) vender os Dados Pessoais; (ii) reter, usar ou divulgar os Dados Pessoais com nenhum propósito, comercial ou não, que não seja o de cumprir suas obrigações oriundas do MPSA; ou (iii) reter, usar, ou divulgar os Dados Pessoais fora da relação comercial direta entre a Hitachi e o Fornecedor. Ao celebrar o MPSA, o Fornecedor declara que compreende e cumprirá os termos desta Seção 3(n).
(m) O Fornecedor permitirá que suas instalações, procedimentos e documentação relativos ao Processamento de Dados Pessoais sejam submetidos a análise da Hitachi, com o objetivo de verificar o cumprimento deste DPA e do MPSA.
(n) O Fornecedor deverá fornecer à Hitachi os relatórios ou certificações de auditoria anuais que verifiquem (a) a segurança das instalações, arquivos, documentação e operações de dados do Fornecedor em relação aos Dados Pessoais; e (b) a conformidade do Fornecedor com os termos deste DPA e com as instruções da Hitachi.
4. Solicitação do Titular dos Dados Pessoais
(a) Na eventualidade de o Fornecedor receber uma solicitação do titular dos dados relacionada aos Dados Pessoais, o Fornecedor encaminhará todos os detalhes relacionados a tal solicitação ao e-mail xxxxxxx@xxxxxxxxxxxxxx.xxx da Hitachi, em até 48 (quarenta e oito) horas a partir do recebimento. O Fornecedor não responderá diretamente às solicitações do titular dos dados relacionadas aos Dados Pessoais.
(b) A menos que de outra forma acordado por escrito entre as Partes, o Fornecedor cumprirá, sem nenhum custo adicional, as solicitações razoáveis da Hitachi em relação à conformidade com as Leis de Proteção de Dados aplicáveis e ao tratamento das solicitações do titular dos dados relativas aos Dados Pessoais. Isso inclui, mas sem limitação, a cooperação do Fornecedor com a Hitachi para resolver queixas relativas à privacidade e atender a solicitações individuais legítimas dos titulares dos dados relacionadas aos Dados Pessoais, as quais poderão envolver a alteração, correção, exclusão ou inclusão de Dados Pessoais, de modo a garantir que estes sejam precisos e completos, mediante pedido e de acordo com as instruções da Hitachi.
5. Subprocessamento
(a) O Fornecedor tem autorização da Hitachi para a contratação de Subprocessadores. O Fornecedor deverá informar a Hitachi por escrito sobre quaisquer alterações na nomeação de Subprocessadores enviando uma Solicitação de Subprocessador, conforme determinado na Cláusula 5(b) deste DPA. Os Subprocessadores listados no Anexo 1 deste DPA são considerados aprovados pela Hitachi a partir da Data de Vigência.
(b) No prazo mínimo de 30 (trinta) dias antes da contratação de um novo Subprocessador, o Fornecedor enviará à Hitachi uma “Solicitação de Subprocessador”, descrevendo em detalhes (i) o Subprocessador pretendido, (ii) o escopo dos serviços e as obrigações a serem subcontratadas, (iii) as categorias dos Dados Pessoais a serem Processadas pelo Subprocessador pretendido; e (iv) o método utilizado pelo subprocessador pretendido para acessar ou receber os Dados Pessoais. O Fornecedor responderá prontamente a qualquer solicitação pela Hitachi de informações adicionais sobre o Subprocessador pretendido.
(b) A Hitachi pode, no período de 30 (trinta) dias a partir do recebimento de tal Solicitação de Subprocessador, notificar o Fornecedor sobre sua objeção à contratação do novo Subprocessador. A objeção à contratação de qualquer novo Subprocessador poderá ser exercida a exclusivo critério da Hitachi, sem necessidade de justificativa. Se a Hitachi fizer objeção à contratação de um novo Subprocessador, as Partes, de boa-fé, tentarão encontrar uma resolução mutuamente aceitável em até 30 (trinta) dias a partir da objeção. Se a Hitachi não se opuser à contratação do novo Subprocessador no período de 30 (trinta) dias descrito nesta Seção, o Fornecedor poderá considerar que a Hitachi não tem nenhuma objeção à contratação do novo Subprocessador.
(b) O Fornecedor contratará Subprocessadores somente por meio de um contrato por escrito, sob condições que não sejam menos restritivas para o Subprocessador do que as impostas ao Fornecedor nos termos deste DPA. O Fornecedor permanecerá sempre totalmente responsável perante a Hitachi pelo desempenho do Subprocessador.
(c) Salvo disposição em contrário neste DPA, o Fornecedor concorda que não nomeará nenhum Subprocessador como seu subcontratado se não estiver convencido, por motivos razoáveis, de que o Subprocessador proteja os Dados Pessoais seguindo medidas de segurança técnicas e organizacionais com no mínimo o mesmo nível de proteção que as Medidas Mínimas de Proteção. O Fornecedor envidará esforços para assegurar que tais medidas de segurança técnicas e organizacionais sejam empregadas pelo Subprocessador durante o Processamento dos Dados Pessoais.
6. Rescisão
(a) O Fornecedor, a critério razoável da Xxxxxxx, devolverá ou destruirá prontamente os Dados Pessoais Processados em nome da Hitachi ao final da Vigência. Se a Hitachi solicitar que o Fornecedor destrua os Dados Pessoais, este deverá certificar por escrito, em até 30 (trinta) dias a partir da solicitação da Hitachi: (i) a destruição dos Dados Pessoais, de modo a torná-los ilegíveis; e (ii) a confirmação de que seus Subprocessadores fizeram o mesmo, se aplicável.
(b) A menos que de outra forma acordado por escrito entre as Partes, tal devolução ou destruição serão realizadas em até 10 (dez) dias após o término da Vigência.
7. Disposições Gerais
(a) A invalidade ou nulidade de qualquer parte deste DPA, quaisquer que sejam os motivos, não afetarão a validade ou a executoriedade das demais disposições deste DPA.
(b) Salvo na extensão permitida pela Cláusula 5 deste DPA, o Fornecedor não transferirá ou cederá suas obrigações oriundas deste DPA sem o consentimento prévio e por escrito Xxxxxxx.
(c) Este DPA, juntamente com o MPSA, constitui o acordo e o entendimento integral entre as Partes no tocante ao seu objeto e substitui todos os acordos e entendimentos anteriores entre as Partes relativos a tal objeto. Na eventualidade de qualquer conflito ou inconsistência entre os termos deste DPA e os do MPSA, os termos deste DPA prevalecerão na resolução do conflito. Este DPA não pode ser modificado, salvo se celebrado por escrito por ambas as Partes.
(d) Este DPA é celebrado em benefício dos indivíduos cujos Dados Pessoais são Processados pelo Fornecedor, e qualquer um desses indivíduos tem, por meio deste DPA, o direito de executar este DPA como um terceiro beneficiário.
(e) Este DPA será regido pelas leis do Brasil e ambas as Partes concordam irrevogavelmente que o Foro da Comarca de São Paulo, Estado de São Paulo, será a jurisdição exclusiva para decidir sobre quaisquer disputas ou reivindicações decorrentes ou relacionadas a este DPA ou ao seu objeto e à sua constituição (incluindo disputas ou reivindicações extracontratuais), com exclusão de qualquer outro, por mais privilegiado que seja ou venha a ser.
(f) As Partes envidarão esforços comercialmente razoáveis para assegurar que executivos qualificados de suas respectivas organizações se encontrem e tentem resolver uma disputa relacionada a este DPA de boa-fé. Se essas pessoas não puderem resolver o conflito dentro de 30 (trinta) dias, as Partes podem concordar em recorrer à resolução alternativa de disputa, como mediação ou arbitragem (se ambas as Partes concordarem) ou, de outro modo, qualquer das Partes pode buscar a tutela jurisdicional. Ambas as Partes poderão buscar uma medida cautelar ou medida urgente equiparável, a qualquer momento.
ANEXO 1
DO CONTRATO DE PROTEÇÃO DE DADOS CLÁUSULAS CONTRATUAIS PADRÃO
(controlador-para-processador)
SEÇÃO 1 CLÁUSULA 1
Objetivo e escopo
(a) O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e a livre circulação desses dados (Regulamento Geral de Proteção de Dados) para a transferência de dados pessoais para um país terceiro.
(b) As Partes:
(i) a(s) pessoa(s) singular(es) ou coletiva(s), autoridade(s) pública(s) , agência(s) ou outro(s) organismo (s) (doravante 'entidade(s) que transferem os dados pessoais, conforme listado no Anexo IA (doravante cada 'exportador de dados'), e
(ii) a(s) entidade(s) em um terceiro país que recebe os dados pessoais do exportador de dados, direta ou indiretamente por meio de outra entidade, também considerada “Parte”, conforme listado no Anexo I.A. (doravante denominado “importador de dados”), concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”).
(c) Estas Cláusulas aplicam-se à transferência de dados pessoais conforme especificado no Anexo I.B.
(d) O Anexo a estas Cláusulas contendo os Anexos nelas referidos faz parte integrante destas Cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
(a) Estas Cláusulas estabelecem as garantias apropriadas, incluindo direitos aplicáveis aos titulares de dados e recursos legais efetivos, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações em o Anexo. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou garantias adicionais, desde que não contrariem, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos fundamentais ou liberdades dos titulares dos dados.
(b) Estas Cláusulas não prejudicam as obrigações a que o exportador de dados esteja sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3 Terceiros beneficiários
(a) Os titulares dos dados podem invocar e fazer valer estas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:
(eu) | Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7; |
(ii) | Cláusula 8 – Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); |
(iii) | Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); |
(4) | Cláusula 12 – Módulo Dois: Cláusula 12(a), (d) e (f); |
(v) | Cláusula 13; |
(vi) | Cláusula 15.1(c), (d) e (e); |
(vii) | Cláusula 16(e); |
(viii) | Cláusula 18 – Módulo Dois: Cláusula 18(a) e (b). |
(b) A alínea (a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4 Interpretação
(a) Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que naquele Regulamento.
(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) Estas Cláusulas não devem ser interpretadas de forma conflitante com direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5 Hierarquia
No caso de uma contradição entre estas Cláusulas e as disposições dos contratos relacionados entre as Partes, existentes no
momento em que essas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência(s)
Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos, são especificados no Anexo I.B.
Cláusula 7 Adesão
(a) Uma entidade que não seja Parte destas Cláusulas pode, mediante acordo entre Partes, aderir a estas Cláusulas a qualquer momento, seja como exportadora de dados ou importadora de dados, preenchendo o Anexo e assinando o Anexo I.A.
(b) Uma vez preenchido o Anexo e assinado o Anexo I.A., a entidade aderente se tornará Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.
A entidade aderente não terá quaisquer direitos ou obrigações decorrentes destas Cláusulas no tocante ao período anterior à sua adesão.
SEÇÃO II - OBRIGAÇÕES DAS PARTES
Cláusula 8 Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações sob estas Cláusulas.
8.1 Instruções
(a) O importador de dados deve processar os dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante toda a vigência do contrato.
(b) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2 Limitação de propósitos
O importador de dados deve processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo I.B., salvo instruções adicionais do exportador de dados.
8.3 Transparência
Mediante solicitação, o exportador de dados deverá disponibilizar gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Anexo conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Anexo destas Cláusulas antes de compartilhar uma cópia, mas deve fornecer um resumo onde o titular dos dados não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das alterações, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados ao abrigo dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
8.4 Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou desatualizados, deve informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.
8.5 Duração do processamento e apagamento ou devolução de dados
O processamento pelo importador de dados deve ocorrer apenas pelo período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deve, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome dos dados exportador e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados
sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais, aplicáveis ao importador de dados, que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e só o processará na medida e pelo tempo exigido por essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados nos termos da Cláusula 14(e) notifique o exportador de dados durante a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas não está de acordo com os requisitos da Cláusula 14(a).
8.6 Segurança de processamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante 'violação de dados pessoais'). Ao avaliar o nível de segurança apropriado, as Partes devem levar em devida consideração o estado da arte, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados. As Partes devem, em particular, considerar o recurso à encriptação ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa maneira. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. No cumprimento das suas obrigações ao abrigo do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível de segurança adequado.
(b) O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
(c) Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar as medidas apropriadas para resolver a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada após tomar conhecimento da violação. Essa notificação deve conter os dados de um ponto de contacto onde podem ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas prováveis consequências e a medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Sempre que, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais, à medida que estiverem disponíveis, serão fornecidas posteriormente sem demora injustificada.
(d) O importador de dados deverá cooperar e ajudar o exportador de dados para permitir que o exportador de dados cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, nomeadamente notificar a autoridade de controlo competente e os titulares de dados afetados, tendo em conta a natureza do processamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa ou orientação sexual, ou dados relativos a condenações criminais e infrações (doravante 'dados sensíveis'), o importador de dados deve aplicar as restrições específicas e/ou garantias adicionais descritas no Anexo I.B.
8.8 Transferências posteriores
O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante 'transferência posterior') se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, no Módulo apropriado, ou se:
(i) a transferência subsequente é para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
(ii) o terceiro garante de outra forma as garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;
(iii) a transferência subsequente for necessária para a instauração, exercício ou defesa de ações judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
(iv) a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.
Qualquer transferência posterior está sujeita ao cumprimento por parte do importador de dados de todas as outras garantias previstas nestas Cláusulas, em particular a limitação de finalidade.
8.9 Documentação e conformidade
(a) O importador de dados deve lidar imediata e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
(b) As Partes poderão demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter a documentação adequada sobre as atividades de processamento realizadas em nome do exportador de dados.
(c) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de descumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em consideração as certificações relevantes detidas pelo importador de dados.
(d) O exportador de dados pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com antecedência razoável.
(e) As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.
Cláusula 9
Uso de subprocessadores
(a) O importador de dados não deve subcontratar nenhuma de suas atividades de processamento realizadas em nome do exportador de dados sob estas Cláusulas para um subprocessador sem autorização prévia por escrito específica do exportador de dados. O importador de dados deve apresentar o pedido de autorização específica pelo menos 14 dias antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subprocessadores já autorizados pelo exportador de dados pode ser encontrada no Anexo III. As Partes manterão o Anexo III atualizado.
(b) Quando o importador de dados contrata um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deve fazê-lo por meio de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados sob estas Cláusulas, inclusive em termos de direitos de beneficiários de terceiros para titulares de dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
(c) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.
(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador sob seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subprocessador em cumprir suas obrigações sob esse contrato.
(e) O importador de dados deve acordar uma cláusula de terceiro beneficiário com o subprocessador segundo a qual – no caso de o importador de dados ter desaparecido de fato, deixado de existir legalmente ou se tornado insolvente – o exportador de dados terá o direito de rescindir o subprocessador. contrato do processador e instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do titular dos dados
(a) O importador de dados deve notificar imediatamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados. Não deve responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
(b) O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento pelo qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
(c) Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11 Reparação
(a) O importador de dados deve informar os titulares de dados de forma transparente e de fácil acesso, através de aviso individual ou no seu site, sobre um ponto de contacto autorizado a tratar reclamações. Deve lidar prontamente com quaisquer reclamações que receber de um titular de dados.
(b) Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito ao cumprimento destas Cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e atempada. As Partes devem manter- se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.
(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:
(i) apresentar uma reclamação à autoridade de controlo do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos do artigo 13.º;
(ii) remeter o litígio aos tribunais competentes na acepção da Cláusula 18.
(d) organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
(e) O importador de dados deve cumprir uma decisão que seja vinculativa de acordo com a legislação aplicável da UE ou do Estado-Membro.
(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar recursos de acordo com as leis aplicáveis.
Cláusula 12 Responsabilidade
(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais que o importador de dados ou seu subprocessador cause ao titular dos dados por violação dos direitos de terceiro beneficiário sob estas Cláusulas.
(c) Não obstante o parágrafo (b), acima, o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais do exportador de dados ou do importador de dados (ou seu subprocessador) causa o titular dos dados ao violar os direitos de terceiros beneficiários sob estas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
(d) As Partes concordam que, se o exportador de dados for responsabilizado nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar de volta do importador de dados parte da compensação correspondente à responsabilidade do importador de dados pelos danos.
(e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Cláusulas. Partes.
(f) As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar de volta da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
(g) O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.
Cláusula 13 Supervisão
(a) Caso a Hitachi Vantara LLC seja a entidade signatária destas Cláusulas Contratuais Padrão, o seguinte se aplicará:
i. A autoridade de controlo do Estado-Membro em que está estabelecido o representante do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, conforme indicado no anexo IC, atua como autoridade de controlo competente.
Caso a entidade Hitachi Vantara signatária destas Cláusulas Contratuais Padrão esteja sediada no Espaço Econômico Europeu, será aplicado o seguinte:
ii. A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo IC, atua como autoridade supervisora competente.
(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos destinados a garantir o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora,
incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.
SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afetam o cumprimento das Cláusulas
(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso se baseia no entendimento de que leis e práticas que respeitem a essência dos direitos e liberdades fundamentais e não excedam o que é necessário e proporcionado em uma sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.
(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), levaram em devida consideração, em particular, os seguintes elementos:
(i) as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino – incluindo aquelas que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência e as limitações e garantias aplicáveis;
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas sob estas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao realizar a avaliação de acordo com o parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará cooperando com o exportador de dados para garantir o cumprimento destas Cláusulas.
(d) As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente mediante solicitação.
(e) O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou ficou sujeito a leis ou práticas não alinhadas com os requisitos do parágrafo (a), inclusive após uma mudança nas leis do país terceiro ou uma medida (como um pedido de divulgação) que indique uma aplicação dessas leis na prática que não esteja em conformidade com os requisitos do parágrafo (a).
(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deve identificar imediatamente as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir segurança e confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para tal transferência, ou se instruído pela autoridade supervisora competente para fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, as Xxxxxxxxx 16(d) e (e) serão aplicáveis.
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
(a) O importador de dados concorda em notificar imediatamente o exportador de dados e, sempre que possível, o titular dos dados (se necessário com a ajuda do exportador de dados) se:
(i) recebe uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal do pedido e a resposta fornecida; ou
(ii) toma conhecimento de qualquer acesso direto por autoridades públicas aos dados pessoais transferidos de acordo com estas Cláusulas de acordo com as leis do país de destino; essa notificação incluirá todas as informações de que o importador disponha.
(b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia à proibição, com o objetivo de comunicar o máximo possível informações o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.
(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) requerente(s) , se os pedidos foram contestados e o resultado de tais contestações, etc.).
(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados de acordo com a Cláusula 14(e) e a Cláusula 16 de informar imediatamente o exportador de dados quando não puder cumprir estas Cláusulas.
15.2 Revisão da legalidade e minimização de dados
(a) O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se continua dentro dos poderes conferidos à autoridade pública requerente, e contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, obrigações aplicáveis sob a lei internacional e princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, buscar possibilidades de recurso. Ao impugnar um pedido, o importador de dados deverá buscar medidas cautelares com vistas a suspender os efeitos do pedido até que a autoridade judiciária competente decida sobre o seu mérito. Não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados de acordo com a Cláusula 14(e).
(b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-lo à autoridade de controlo competente, mediante pedido.
(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.
SEÇÃO IV - DISPOSIÇÕES FINAIS
Cláusula 16
Não cumprimento das Cláusulas e rescisão
(a) O importador de dados deverá informar prontamente ao exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.
(b) No caso de o importador de dados violar estas Cláusulas ou incapaz de cumprir estas Cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isso sem prejuízo da Cláusula 14(f).
(c) O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas, quando:
(iii) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados de acordo com o parágrafo (b) e o cumprimento destas Cláusulas não foi restaurado dentro de um prazo razoável e, em qualquer caso, dentro de um mês de suspensão;
(iv) o importador de dados está em violação substancial ou persistente destas Cláusulas; ou
(v) o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou autoridade supervisora sobre suas obrigações sob estas Cláusulas.
Nesses casos, deve informar a autoridade de controlo competente desse incumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
(d) Os dados pessoais que foram transferidos antes da rescisão do contrato de acordo com o parágrafo (c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento dessas Cláusulas e processará os dados apenas na medida e pelo tempo que exigido por essa lei local.
(e) Qualquer uma das Partes pode revogar o seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abrange a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 passa a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17 Lei aplicável
(a) Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de terceiros beneficiários.
(b) As Partes concordam que esta será a lei brasileira.
Cláusula 18 Escolha do foro e jurisdição
(a) Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.
(b) As Partes concordam que esses serão os tribunais em Dublin, República da Irlanda.
(c) Um titular de dados pode também intentar ações judiciais contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.
(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.
A. LISTA DE PARTES
ANEXO I ÀS CLÁUSULAS CONTRATUAIS PADRÃO
(Controlador para Processador)
Exportador de dados:
Nome: Hitachi Vantara LLC, em seu nome e em nome de suas subsidiárias estabelecidas no Espaço Econômico Europeu, Reino Unido e Suíça
Endereço: A entidade Hitachi Vantara Parte da MPSA ou no caso de Hitachi Vantara LLC ser a Parte, o seguinte endereço: 0000 Xxxxxxxxx Xxxxx, Xxxxx Xxxxx, XX 00000 XXX
Nome, cargo e detalhes de contato da pessoa de contato: Xxxxx Xxx Xxxxxx, Diretora de Proteção de Dados Global xxxxxxx@xxxxxxxxxxxxxx.xxx .
Atividades relevantes para os dados transferidos sob estas Cláusulas: Atividades de acordo com o cumprimento das obrigações do Importador de Dados sob o MPSA.
Assinatura e data: Função: Controlador
Importador(es) de dados: [Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato responsável pela proteção de dados]
Nome:
Endereço:
Nome da pessoa de contato, cargo e detalhes de contato:
Atividades relevantes para os dados transferidos sob estas Cláusulas: Atividades de acordo com o cumprimento das obrigações do Importador de Dados sob o MPSA.
Assinatura e data :
Função: Processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Assunto e duração do Processamento | O assunto e a duração do Processamento de Dados Pessoais da Hitachi Vantara estão estabelecidos no Contrato de Serviços e neste Anexo 1. | |||
Natureza e finalidade do Processamento | fornecedor fornece [ insira o tipo de serviço que o fornecedor fornece e a natureza do processamento de dados, por exemplo , coleta, análise, armazenamento etc. ] | |||
Categorias de Dados Pessoais sendo Processados | Por favor, selecione o tipo de Dados Pessoais processados abaixo: Dados pessoais não confidenciais: Informações de identificação (nome, endereço, cargo, data de nascimento) Dados de contato (número de telefone, número de celular, endereço de e-mail) Credenciais de acesso; dados de registro e uso Outro: [descrever] Nenhuma das acima Dados pessoais sensíveis: | |||
Etnia e/ou raça | ||||
Opiniões políticas | ||||
Crença religiosa ou filosófica | ||||
Filiação ao sindicato | ||||
Dados biométricos ou genéticos | ||||
Dados de saúde | ||||
Orientação sexual | ||||
Histórico criminal | ||||
Nenhuma das acima | ||||
Categorias de Titulares de Dados | Selecione as categorias de titulares de dados afetadas pelo processamento abaixo: | |||
Funcionários antigos e atuais; | ||||
Candidatos a emprego e ex-candidatos a emprego; alunos; | ||||
Fornecedores; consultores; consultores profissionais; provedores de serviço; | ||||
Trabalhadores de agência atuais e antigos, trabalhadores temporários ou ocasionais e contratados, trabalhadores temporários. | ||||
Pessoas interessadas nos produtos e serviços da empresa que solicitaram informações; | ||||
Clientes, parceiros, leads e prospects da Hitachi. | ||||
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Identifique a(s) autoridade(s) de supervisão competente(s) de acordo com a Cláusula 13:
a. Caso a entidade Hitachi Vantara signatária destas Cláusulas Contratuais Padrão esteja sediada no Espaço Econômico Europeu, será aplicado o seguinte:
A autoridade supervisora com jurisdição no país onde a entidade Xxxxxxx Xxxxxxx signatária está localizada, de acordo com a seguinte indicação no site do Conselho Europeu de Proteção de Dados.
link: xxxxx://xxxx.xxxxxx.xx/xxxxx-xxxx/xxxxx-xxxx/xxxxxxx_xx
b. Caso a Hitachi Vantara LLC seja a entidade signatária destas Cláusulas Contratuais Padrão, o seguinte se aplicará:
COMISSÃO DE PROTEÇÃO DE DADOS 21 FITZWILLIAM QUADRADO SUL DUBLIN 2
D02 RD28 IRLANDA
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO TÉCNICAS E ORGANIZACIONAIS MEDIDAS PARA GARANTIR A SEGURANÇA DOS DADOS
Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, escopo, contexto e finalidade do processamento e os riscos para os direitos e liberdades das pessoas físicas.
Medidas técnicas e organizacionais do importador de dados abrangem as medidas descritas no Anexo D “Requisitos de Segurança da Informação” do MPSA.
ANEXO III
LISTA DE SUBPROCESSADORES
O controlador autorizou o uso dos seguintes subprocessadores:
Subprocessadores | [INSERIR NOME DO SUBPROCESSADOR, ENDEREÇO E LOCAL QUE FORAM APROVADOS PELA HITACHI, (SE HOUVER). Caso contrário, INSERIR “NENHUM ”] | ||||||
Nome do Subprocessador | Localização e detalhes de contato | Objeto do processamento | Natureza do Processamento | Duração do Processamento | |||