CONTRATO DE TRATAMENTO DE DADOS PESSOAIS PARA SERVIÇOS PROFISSIONAIS E DE
CONTRATO DE TRATAMENTO DE DADOS PESSOAIS PARA SERVIÇOS PROFISSIONAIS E DE
SUPORTE DA SAP
1. BACKGROUND
1.1 Finalidade e aplicação. Este documento ("DPA") é incorporado ao Contrato e faz parte de um contrato por escrito, inclusive em formulário eletrônico, entre a SAP e o Cliente. Este DPA se aplica aos Dados Pessoais fornecidos pelo Cliente e a cada Controlador de Dados em conexão com o desempenho dos serviços SAP definidos no Contrato aplicável ("SAP Services") ao qual o presente DPA é anexado, que pode incluir:
(a) O Suporte da SAP conforme definido no Contrato de Licença e Suporte de Software; e/ou
(b) Serviços Profissionais conforme descritos no contrato de serviços celebrado entre a SAP e o Cliente ("Contrato de Serviços").
1.2 Estrutura. Os Apêndices 1 e 2 são incorporados e constituem parte deste DPA. Eles definem o tópico acordado, a natureza e a finalidade do tratamento, os tipos de Dados Pessoais, as categorias de dados, os titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
1.3 GDPR. A SAP e o Cliente concordam que constitui responsabilidade das partes analisar e adotar requisitos impostos sobre Controladores e Operadores pelo regulamento General Data Protection Regulation 2016/679 ("GDPR"), especialmente em relação aos Artigos 28 e 32 do GDPR, na medida em que for aplicável aos Dados Pessoais de Clientes/Controladores processados de acordo com o DPA. Para fins de ilustração, o Apêndice 3 lista os requisitos do GDPR aplicáveis e as seções correspondentes neste DPA.
1.4 Governança. A SAP atua como Operador e o Cliente e as empresas que ela permite que incluam Dados Pessoais nos sistemas acessíveis pela SAP ao realizar o SAP Service atuam como Controladores, de acordo com o DPA. O Cliente atua como ponto único de contato e é exclusivamente responsável por obter as autorizações, consentimentos e permissões necessárias para o tratamento de Dados Pessoais de acordo com este DPA, incluindo, quando aplicável, a aprovação por Controladores para usar a SAP como um Operador. As autorizações, o consentimento, as instruções ou as permissões são fornecidas pelo Cliente não somente em seu nome, mas também em nome de qualquer outro Controlador. Quando a SAP informar ou notificar o Cliente, tal informação ou notificação será considerada recebida pelos Controladores autorizados pelo Cliente a incluir Xxxxx Xxxxxxxx, sendo responsabilidade do Cliente encaminhar tais informações e notificações aos respectivos Controladores.
2. SEGURANÇA DO TRATAMENTO
2.1 Medidas técnicas e organizacionais adequadas. A SAP implementou e aplicará as medidas técnicas e organizacionais definidas em Apêndice 2. O Cliente analisou tais medidas e concorda que são apropriadas e levam em consideração a situação, os custos da implementação, a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais.
O Apêndice 2 se aplicará apenas na medida que os SAP Services forem realizados em ou a partir de instalações da SAP. Se a SAP estiver realizando os SAP Services nas instalações do Cliente e a SAP obtiver acesso aos sistemas e dados do Cliente, ela deverá se submeter a condições administrativas, técnicas e físicas adequadas e implementadas pelo Cliente para proteger os dados e evitar acesso não autorizado. Em relação ao acesso ao sistema e aos dados do Cliente, este será responsável por fornecer à equipe da SAP autorizações e senhas de usuário para acesso aos seus sistemas e por revogar tais autorizações e cancelar o acesso, conforme considerar adequado. O Cliente não deverá conceder à SAP acesso a sistemas ou informações pessoais da Licenciada (do Cliente ou de qualquer terceiro) a menos que o acesso seja essencial para a execução dos SAP Services. O Cliente não deve armazenar nenhum Dado Pessoal em ambientes não produtivos.
2.2 Modificações. A SAP aplica as medidas técnicas e organizacionais definidas no Apêndice 2 a toda a base de clientes da SAP recebendo o mesmo SAP Service. A SAP poderá alterar as medidas
definidas no Apêndice 2 a qualquer momento sem notificação, desde que mantenha um nível de segurança comparável ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
3. OBRIGAÇÕES DA SAP
3.1 Instruções do Cliente. A SAP tratará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato (incluindo este DPA) constitui as instruções iniciais e o Cliente deve fornecer mais instruções durante o desempenho do SAP Service. A SAP envidará esforços razoáveis para seguir todas as demais instruções do Cliente, desde que sejam exigidas pela Lei de Proteção aos Dados, tecnicamente viáveis e que não exijam mudanças no desempenho do SAP Service. Se alguma das exceções forem aplicáveis, se a SAP não puder cumprir as instruções ou se julgar que uma instrução fere a Lei de Proteção aos Dados, a SAP notificará o Cliente imediatamente (pode ser por e-mail).
3.2 Tratamento determinado por lei. A SAP também pode tratar Dados Pessoais quando for obrigada por lei. Nesse caso, a SAP informará ao Cliente sobre a exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos relevantes de interesse público.
3.3 Pessoal. Para tratar Xxxxx Xxxxxxxx, a SAP e seus Operadores Subcontratados devem garantir acesso a pessoal autorizado, comprometido com a confidencialidade. A SAP e os Operadores Subcontratados devem treinar regularmente a equipe que tem acesso a Dados Pessoais em segurança de dados e medidas de privacidade de dados.
3.4 Cooperação. Mediante solicitação do Cliente, a SAP deve cooperar com o Cliente e com os Controladores para lidar com as solicitações feitas pelos Titulares dos Dados ou pelas autoridades regulatórias em relação ao tratamento de Dados Pessoais ou a qualquer Violação de Dados Pessoais. A SAP deve notificar o Cliente o mais rapidamente possível sobre qualquer solicitação que venha a receber de um Titular dos Dados em relação ao tratamento de Dados Pessoais, sem responder a tal solicitação sem as devidas instruções do Cliente, se aplicável. A SAP deve corrigir ou remover todos os Dados Pessoais em posse da SAP, se houver, ou restringir seu tratamento, de acordo com instruções do Cliente e com a Lei de Proteção aos Dados.
3.5 Notificação de violação de Xxxxx Xxxxxxxx. A SAP deve notificar o Cliente tão logo tome conhecimento sobre qualquer Violação aos Dados Xxxxxxxx, bem como fornecer as informações que tiver para auxiliar o Cliente a cumprir sua obrigação de informar sobre a Violação aos Dados Pessoais nos ternos da Lei de Proteção aos Dados. A SAP pode fornecer tais informações em fases à medida que se tornarem disponíveis. Tal notificação não pode ser interpretada como uma admissão de culpa ou de responsabilidade pela SAP.
3.6 Avaliação de impacto de proteção aos dados. Se, de acordo com a Lei de Proteção aos Dados, o Cliente ou seus Controladores forem obrigados a realizar uma avaliação de impacto da proteção aos dados ou consulta prévia com um regulador, mediante solicitação do Cliente, a SAP fornecerá tais documentos normalmente disponíveis para o SAP Service (por exemplo, este DPA, o Contrato, os relatórios ou certificados de auditoria). Toda assistência adicional deve ser acordada mutuamente entre as Partes.
4. EXCLUSÃO DE DADOS
Por este instrumento, o Cliente instrui a SAP a excluir os Dados Pessoais remanescentes da SAP, se houver, dentro de um período de tempo razoável e de acordo com a Lei de Proteção aos Dados, em até seis meses, quando os Dados Pessoais não forem mais necessários para a celebração do Contrato, salvo se a lei exigir retenção.
5. CERTIFICAÇÕES E AUDITORIAS
5.1 Auditoria do Cliente. O Cliente ou seu auditor independente aceito pela SAP (não sendo permitido incluir auditores concorrentes da SAP nem auditores não qualificados ou não
independentes) podem realizar auditoria nos centros de entrega de suporte e serviços da SAP e nas práticas de segurança de TI da SAP aplicáveis aos Dados Pessoais processados pela SAP somente se:
(a) A SAP não possuir provas suficientes de sua conformidade com as medidas técnicas e organizacionais mediante o fornecimento de uma certificação de conformidade com a norma ISO 27001 ou com outras normas (conforme escopo definido no certificado). As certificações estão disponíveis em: xxxxx://xxx.xxx.xxx/xxxxxxxxx/xx/xxxxxxx/xxxxxxx.xxxx#xxxxxxxxxxxx ou mediante solicitação se a certificação não estiver disponível online; ou
(b) Se tiver ocorrido uma Violação de Dados Pessoais;ou
(c) Uma auditoria foi solicitada formalmente pela autoridade de proteção aos dados do Cliente ou
(d) A Lei de Proteção aos Dados conceda ao Cliente direito de auditoria e, desde que o Cliente realize a auditoria uma vez a cada período de doze meses, salvo se a Lei de Proteção aos Dados exigir auditorias mais frequentes.
5.2 Outra auditoria de controlador. Qualquer outro Controlador pode aditar o ambiente de controle da SAP e as práticas de segurança aplicáveis a Dados Pessoais processados pela SAP em linhas com a Cláusula 5.1 somente se qualquer das situações previstas na referida cláusula 5.1 se aplicarem ao outro Controlador. Tal auditoria deve ser realizada através do Cliente e por ele, conforme definido na Cláusula 5.1, a não ser que a auditoria seja realizada pelo outro Controlador em si, nos termos da Lei de Proteção aos Dados. Se diversos Controladores cujos Dados Pessoais sejam processados pela SAP com base no Contrato exigirem um auditoria, o Cliente deverá envidar todos os esforços razoáveis para combinar as auditorias e evitar múltiplas auditorias.
5.3 Escopo da auditoria. O Cliente deve fornecer notificação com antecedência mínima de sessenta dias sobre qualquer auditoria, salvo se a Lei de Proteção aos Dados ou uma autoridade de proteção de dados exigir prazo menor. A frequência, o período e o escopo das auditorias devem ser acordados mutuamente entre as partes, atuando de maneira razoável e de boa-fé. As auditorias do Cliente devem ser limitadas a auditorias remotas sempre que possível. Se for obrigatória a auditoria no local, ela não deverá exceder um dia útil. Além de tais restrições, as partes irão usar as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O Cliente deve fornecer os resultados de qualquer auditoria à SAP.
5.4 Custo das auditorias. O Cliente deve arcar com os custos de qualquer auditoria, salvo se tal auditoria revelar violação material deste DPA pela SAP, situação em que a SAP deverá arcar com as suas despesas relacionadas a uma auditoria. Se uma auditoria determinar que a SAP violou suas obrigações nos termos do DPA, a SAP deverá sanar imediatamente a violação, às suas custas.
6. OPERADORES SUBCONTRATADOS
6.1 Uso Autorizado. A SAP recebe uma autorização geral para subcontratar o tratamento de Dados Pessoais para Operadores Subcontratados, desde que:
(a) A SAP ou a SAP SE, em seu nome, celebre um contrato por escrito com os Operadores Subcontratados (inclusive em formato eletrônico) consistente com os termos deste DPA em relação ao tratamento de Dados Pessoais pelo Operador Subcontratado. A SAP será responsabilizada por violações cometidas pelo Operador Subcontratado de acordo com os termos do Contrato;
(b) A SAP avaliará a segurança, a privacidade e a confidencialidade de um Operador Subcontratado antes de selecioná-lo, para verificar se ele é capaz de fornecer o nível de proteção aos Dados Xxxxxxxx exigidos pelo presente DPA;
(c) Para o Suporte da SAP, a lista de Operadores Subcontratados da SAP em vigor na data de início de vigência do Contrato será publicada pela SAP (em xxxxx://xxxxxxx.xxx.xxx/xx/xx- support/subprocessors.html) ou a SAP disponibilizará a lista ao Cliente mediante
solicitação, incluindo o nome, endereço e a função de cada Operador Subcontratado que a SAP usa para fornecer o SAP Service; e
(d) Para os Serviços Profissionais, a SAP, mediante solicitação pelo Cliente, disponibilizará uma lista ou identificará tais operadores subcontratados antes do início dos SAP Services aplicáveis.
6.2 Novos Operadores Subcontratados. O uso de Operadores Subcontratados pela SAP fica a seu próprio critério, desde que:
(a) A SAP deve informar previamente ao Cliente sobre todas as inclusões ou substituições pretendidas para a lista de Operadores Subcontratados, incluindo nome, endereço e função do novo Operador Subcontratado (i) para o Suporte da SAP, publicando no SAP Support Portal ou por e-mail, mediante registro do Cliente no SAP Portal e (ii) para os Serviços Profissionais, mediante publicação similar no SAP Support Portal, por e-mail ou qualquer outra forma escrita;
(b) O Cliente poderá se opor a tais modificações, conforme definido nesta Cláusula 6.3.
6.3 Objeções a novos Operadores Subcontratados.
(a) Suporte da SAP: Se o Cliente tiver razão legítima de acordo com a Lei de Proteção aos Dados para se opor ao novo tratamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá rescindir o Suporte da SAP mediante notificação por escrito à SAP. Tal notificação deve ser fornecida à SAP em até trinta dias a partir da data que a SAP informar ao Cliente sobre o novo Operador Subcontratado. Se o Cliente não fornecer à SAP uma notificação de rescisão no período de trinta dias, o Cliente terá aceito tacitamente o novo Operador Subcontratado. Dentro do período de trinta dias a partir da data que a SAP informar ao Cliente sobre o novo Operador Subcontratado, o Cliente poderá solicitar que as partes se reúnam para discutir uma solução quanto à objeção. Tais discussões não devem extrapolar o prazo para envio de notificação de rescisão à SAP e não afetam o direito da SAP de usar o novo Operador Subcontratado após o período de trinta dias.
(b) Serviços Professionais: se o Cliente possuir uma razão legítima, de acordo com a Lei de Proteção aos Dados, relativa ao tratamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá se opor ao uso de um Operador Subcontratado pela SAP mediante notificação por escrito à SAP em até cinco dias úteis após a informação pela SAP, nos termos da Cláusula 6.2. Se o Cliente se opuser ao uso do Operador Subcontratado as partes se reunirão para discutir uma solução. A SAP pode optar por: (i) não utilizar o Operador Subcontratado ou (ii) adotar medidas corretivas sugeridas pelo Cliente ao se opor e ao uso do Operador Subcontratado. Se nenhuma dessas opções for razoavelmente possível e o Cliente continuar se opondo a uma razão legítima, as partes poderão rescindir o serviço aplicável mediante notificação por escrito com antecedência de cinco dias. Se o Cliente não se opuser dentro de cinco dias do recebimento da notificação, o Operador Subcontratado será considerado aceito pelo Cliente. Se a objeção do Cliente permanecer não solucionada até trinta dias após ser apontada e se a SAP não receber nenhum tipo de notificação de rescisão, o Operador Subcontratado será considerado aceito pelo Cliente.
(c) As Partes não serão responsabilizadas pelas rescisões previstas nesta Cláusula 6.3 e estão sujeitas aos termos do Contrato.
6.4 Substituição de Emergência. A SAP poderá substituir um Operador Subcontratado sem notificação prévia quando a justificativa para a alteração estiver fora do controle razoável da SAP e uma substituição imediata for necessária para a segurança ou para outros motivos urgentes. Nesse caso, a SAP informará ao Cliente sobre a substituição do Operador Subcontratado assim que possível após sua indicação. A Cláusula 6.3 é aplicável.
7. TRATAMENTO INTERNACIONAL
7.1 Condições para o Tratamento Internacional De acordo com este DPA, a SAP terá o direito de tratar Dados Pessoais, inclusive através do uso de Operadores Subcontratados, fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção aos Dados.
7.2 Cláusulas Contratuais Padrão. Onde (i) Dados Pessoais de um Controlador baseado no EEE ou na Suíça são processados em país fora do EEE, da Suíça e em qualquer país, organização ou território reconhecidos pela União Europeia como um país seguro, com um nível adequado de proteção aos dados, de acordo com o Art. 45 do GDPR, ou em que (ii) Dados Pessoais de outro Controlador são processados internacionalmente e exigem um meio adequado, nos termos das leis do país do Controlador e os meios de adequação exigidos podem ser cumpridos mediante adesão às Cláusulas Contratuais Padrão, a:
(a) A SAP e o Cliente assinam as Cláusulas Contratuais Padrão;
(b) O Cliente acorda as Cláusulas Contratuais Padrão com cada Operador Subcontratado, da seguinte maneira: (i) o Cliente adere às Cláusulas Contratuais Padrão acordadas entre a SAP ou a SAP SE e o Operador Subcontratado como um proprietário independente de direitos e obrigações (Modelo de Ascensão") ou, (ii) o Operador Subcontratado (representado pela SAP) celebra as Cláusulas Contratuais Padrão com o Cliente ("Modelo de Representação"). O Modelo de Representação será aplicado quando a SAP confirmar que um Operador Subcontratado é elegível, através da lista de Operadores Subcontratados fornecida nos termos da Cláusula 6.1(c) ou (d), mediante envio de notificação ao Cliente; e/ou
(c) Outros Controladores autorizados pelo Cliente a incluir Dados Pessoais, nos termos do Contrato, também podem celebrar as Cláusulas Contratuais Padrão com a SAP e/ou com os Operadores Subcontratados do mesmo modo que o Cliente, de acordo com as Cláusulas
7.2 (a) e (b) acima. Nesse caso, o Cliente celebrará as Cláusulas Contratuais Padrão em nome de outros Controladores.
7.3 Relação das Cláusulas Contratuais Padrão com o Contrato. Nenhuma disposição do Contrato deve prevalecer sobre qualquer cláusula conflitante das Cláusulas Contratuais Padrão. Para evitar dúvidas, onde este DPA especifica regras de auditoria e de operadores subcontratados nas cláusulas 5 e Error! Reference source not found., tais especificações também se aplicam em relação às Cláusulas Contratuais Padrão.
7.4 Legislação aplicável às Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão são regidas pela legislação do país em que o Controlador é constituído.
8. DOCUMENTAÇÃO; REGISTROS DE TRATAMENTO
Cada parte é responsável pela conformidade com seus requisitos de documentação, em especial quanto à manutenção de registros de tratamento onde exigido pela Lei de Proteção aos Dados. As partes devem se auxiliar em relação às solicitações de documentação, inclusive fornecendo informações que a outra parte necessite conforme solicitado de forma razoável (uso de sistema eletrônico, por exemplo), para permitir que a outra parte cumpra as obrigações relacionadas à manutenção de registros de tratamento.
9. DEFINIÇÕES
Os termos grafados com as iniciais maiúsculas não definidos neste instrumento possuem o significado a eles atribuídos no Contrato.
9.1 "Usuários Autorizados" significa qualquer indivíduo para o qual o Cliente concede autorização de acesso em conformidade com uma licença de software da SAP para uso do SAP Service que seja um funcionário, agente, contratado ou representante (i) do Cliente, (ii) das Afiliadas do
Cliente e/ou (iii) dos Parceiros de Negócio do Cliente ou de suas Afiliadas, conforme definido no Contrato de Licenciamento de Software e Suporte).
9.2 "Controlador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina a finalidade e os meios de tratamento de Dados Pessoais; para os fins deste DPA. Quando o Cliente atuar como um Processador para outro Controlador, ele deverá ser considerado, em relação à SAP, um Controlador adicional e independente, com os direitos e obrigações aplicáveis aos controladores nos termos deste DPA.
9.3 "Lei de Proteção aos Dados" significa a legislação aplicável que protege os direitos e liberdades fundamentais das pessoas e seu direito à privacidade em relação ao tratamento de Dados Pessoais de acordo com o Contrato (e inclui, no que se refere ao relacionamento entre as partes quanto ao tratamento de Dados Pessoais pela SAP em nome do Cliente, o GDPR como um padrão mínimo, independentemente se os Dados Pessoais estiverem sujeitos ao GDPR ou não, contanto que o tratamento de Dados Pessoais ocorra na União Europeia e (ii) as outras leis de proteção de dados do Brasil, incluindo mas não limitado a Lei 13.709 de 14 de agosto de 2018, seus decretos e regulamentos, dependendo da jurisdição a qual está sujeito o Titular dos Dados).
9.4 "Titular dos Dados" significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção aos Dados.
9.5 "Dados Pessoais" significa informações relacionadas a um Titular dos Dados protegido pela Lei de Proteção aos Dados. Para os fins deste DPA, estão incluídos somente dados pessoais fornecidos ou acessados pela SAP ou por seus Operadores Subcontratados para fornecer o SAP Service de acordo com o Contrato.
9.6 "Violação de Dados Pessoais” significa destruição (1) acidental ou dolosa, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros aos Dados Pessoais ou (2) incidente similar envolvendo Xxxxx Xxxxxxxx, ficando o Controlador obrigado a enviar notificação às autoridades de proteção aos dados ou aos Titulares dos Dados.
9.7 "Serviços Professionais" significa serviços de implementação, serviços de consultoria e/ou serviços como os Serviços de Suporte ao Premium Engagement, Serviços de Desenvolvimento do Innovative Business Solutions, Serviços de Suporte ao Desenvolvimento do Innovative Business Solutions da SAP.
9.8 "Processador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome do Controlador, seja diretamente como Processador de um Controlador ou indiretamente como Operador Subcontratado de um Processador que processa Xxxxx Xxxxxxxx em nome do Controlador.
9.9 "Cláusulas Contratuais Padrão" (às vezes denominadas "Cláusulas Modelo da UE” ((processadores) das Cláusulas Contratuais Padrão) ou qualquer versão subsequente do mesmo publicada pela Comissão Europeia, aplicável automaticamente.
9.10 "Operador Subcontratado" significa as Afiliadas da SAP, a SAP SE, as Afiliadas da SAP SE e os terceiros envolvidos pela SAP, pela SAP SE ou pelas Afiliadas da SAP SE em conexão com o SAP Service e que processam os Dados Pessoais de acordo com esse DPA.
Apêndice 1 do DPA e, se aplicável, às Cláusulas Contratuais Padrão
Exportador de Dados
O Exportador de Dados é o Cliente que celebrou uma Licença de Software e um Contrato de Suporte e/ou um Contrato de Serviços com a SAP sob o qual ele se beneficia do SAP Service conforme descrito no Contrato aplicável. O Exportador de Dados permite que outros Controladores usem o SAP Service, esses outros Controladores também são Exportadores de Dados.
Importador de Dados
A SAP e seus Operadores Subcontratados fornecem o SAP Service definido no Contrato relevante celebrado pelo Exportador de Dados, que inclui o seguinte SAP Service:
- De acordo com o Contrato de Licenciamento de Software e Suporte: a SAP e/ou seus Operadores Subcontratados fornecem suporte quando um Cliente envia um ticket de suporte quando o Software não está disponível ou não funciona conforme o esperado. Eles atendem chamadas telefônicas, realizam soluções de problemas simples e processam tickets de suporte em um sistema de rastreamento.
- De acordo com o Contrato de Serviços para os Serviços Profissionais: a SAP e/ou seus Operadores Subcontratados fornecem Serviços sujeitos aos Serviços do Formulário de Pedido e ao Documento de Definição de Escopo aplicável.
Titulares dos dados
Salvo se de outra forma previsto pelo Exportador de Dados, os Dados Xxxxxxxx transferidos são relativos às seguintes categorias de Pessoas em Causa: funcionários, contratados, Parceiros de Negócio ou outros indivíduos que possuem Dados Pessoais transmitidos, disponibilizados ou acessados pelo Importador de Dados.
Categorias de dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente determina as categorias de dados e/ou campos de dados que podem ser transferidos de acordo com o SAP Service conforme definido no Contrato aplicável. Os Dados Pessoais transferidos normalmente se referem às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, fuso horário, dados de endereço, dados de acesso / uso / autorização do sistema, nome de empresa, dados de contrato, dados de fatura, além de dados específicos de aplicativo, transferidos pelos Usuários Autorizados, podendo incluir dados financeiros como conta bancária, de cartão de crédito ou débito.
Categorias Especiais de dados especiais (se aplicável)
Os Dados Xxxxxxxx transferidos se referem às seguintes categorias especiais de dados: Conforme definido no Contrato, inclusive no Formulário de Pedido, se for o caso.
Operações/finalidades de tratamento
Os Dados Pessoais transferidos estão sujeitos a atividades de tratamento básico conforme definido no Contrato, que podem incluir:
• Uso de Dados Pessoais para fornecer o Serviço SAP
• armazenamento de Dados Pessoais
• tratamento computadorizado de Dados Pessoais para transmissão de dados
• execução de instruções do Cliente de acordo com o Contrato.
Apêndice 2 do DPA e, se aplicável, das Cláusulas Contratuais Padrão – Medidas técnicas e organizacionais
1. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
As seções a seguir definem as medidas técnicas e organizacionais atuais da SAP. A SAP pode alterar essas medidas a qualquer momento sem notificação prévia desde que mantenha um nível de segurança equivalente ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
1.1 Controle do acesso físico. Pessoas não autorizadas são impedidas de ter acesso físico a instalações, edifícios ou salas em que estão localizados os sistemas de tratamento de dados que processam e/ou usam os Dados Pessoais.
Medidas:
• A SAP protege seus ativos e instalações usando os meios adequados com base na Política de Segurança da SAP
• Em geral, os edifícios são protegidos por sistemas de controle de acesso (por exemplo, por cartão eletrônico).
• Como requisito mínimo, a delimitação de pontos de entrada do edifício deve ser monitorada por sistema de certificação por chave, inclusive por gerenciamento avançado de chave ativa.
• Dependendo da classificação de segurança, edifícios, áreas específicas e instalações ao redor podem ser mais protegidos por medidas adicionais. Isso inclui perfis de acesso específicos, vigilância por vídeo, sistemas de alarme contra invasões e sistemas biométricos de controle de acesso.
• Os direitos de acesso são concedidos a pessoas autorizadas individualmente de acordo com as medidas de Controle de Acesso ao Sistema e aos Dados (veja as Cláusulas 1.2 e 1.3 abaixo). Medidas essas aplicáveis inclusive ao acesso de visitantes. Convidados e visitantes nos edifícios da SAP devem ser registrados na recepção e acompanhados de pessoal autorizado da SAP.
• Os funcionários da SAP e colaboradores externos devem sempre portar cartões de identificação em todos os locais da SAP.
Medidas adicionais para Centros de Dados:
• Todos os Centros de Dados seguem procedimentos rígidos de segurança aplicados por seguranças, câmeras de vigilância, sensores de movimento, mecanismos de controle de acesso e outras medidas para impedir o comprometimento das instalações de equipamentos e Centro de Dados. Somente representantes autorizados têm acesso a sistemas e infraestrutura dentro das instalações de Centro de Dados. Para proteger o devido funcionamento, os equipamentos físicos de segurança (por exemplo, sensores de movimento, câmeras etc.) passam por manutenção regularmente.
• A SAP e todos os terceiros provedores de Centro de Dados registram o nome e os horários das pessoas autorizadas que ingressam nas áreas particulares dos Centros de Dados.
1.2 Controle de acesso ao sistema. Os sistemas de tratamento de dados usados para fornecer o SAP Service só podem ser usados com a devida autorização.
Medidas:
• Vários níveis de autorização são usados na concessão de acesso a sistemas confidenciais, inclusive a sistemas de armazenamento e tratamento de Dados Pessoais. As autorizações são gerenciadas através dos processos definidos de acordo com a Política de Segurança da SAP
• Toda a equipe acessa os sistemas da SAP com um identificador exclusivo (ID de Usuário).
• A SAP possui procedimentos implementados para que as modificações de autorização solicitadas sejam implementadas somente de acordo com a Política de Segurança da SAP (por exemplo, nenhum direito é concedido sem autorização). Caso a pessoa deixe de trabalhar na empresa, seus direitos de acesso são revogados.
• A SAP estabeleceu uma política de senhas que proíbe o compartilhamento de senhas, estabelece as medidas em caso de divulgação de alguma senha, exige a alteração constante de senhas e a troca de senhas padrão. Para autenticação, são atribuídos IDs de usuário personalizados. Todas as senhas devem ter requisitos mínimos e ser armazenadas de forma criptografada. Em caso de senhas de domínio, o sistema obriga a alteração de senhas a cada seis meses em conformidade com os requisitos para senhas complexas. Cada computador possui um protetor de tela com senha.
• A rede da empresa é protegida da rede pública por firewalls.
• A SAP usa softwares antivírus atualizados nos pontos de acesso à rede da empresa (para contas de e-mail), bem como em todos os servidores de arquivo e todas as estações de trabalho.
• O gerenciamento de patch de segurança está instalado para fornecer implementação periódica e regular sobre as atualizações de segurança aplicáveis. O acesso remoto integral à rede corporativa e infraestrutura principal da SAP é protegido por autenticação forte.
1.3 Controle de Acesso aos Dados. As pessoas autorizadas a usar os sistemas de tratamento de dados só terão acesso a Dados Pessoais a que têm direito de acesso, não sendo permitido ler, copiar, modificar ou remover sem autorização os Dados Pessoais durante o tratamento, uso e armazenamento.
Medidas:
• Como parte da Política de Segurança da SAP, os Dados Pessoais exigem no mínimo o mesmo nível de proteção de informações "confidenciais" de acordo com o padrão de Classificação de Informações da SAP.
• O Acesso aos Dados Pessoais é garantido com base na necessidade de conhecimento. A equipe tem acesso às informações necessárias para realizar suas funções. A SAP usa conceitos de autorização que registram processos e funções atribuídos por conta (ID de usuário). Todos os Dados do Cliente são protegidos de acordo com a Política de Segurança da SAP.
• Todos os serviços de produção são operados em Centros de Dados ou em salas de servidor seguras. As medidas de segurança que protegem as aplicações que processam Dados Pessoais são verificadas regularmente. Para isso, a SAP realiza verificação interna e externa de segurança e testes de penetração em seus sistemas de TI.
• A SAP não permite a instalação de software não aprovado por ela.
• Um padrão de segurança da SAP define como os dados e os transportadores de dados são excluídos ou destruídos quando deixam de ser necessários.
1.4 Controle de transmissão de dados. Salvo quando necessário para o fornecimento dos SAP Services de acordo com o Contrato aplicável, os Dados Pessoais não devem ser lidos, copiados, modificados nem removidos sem autorização durante a transferência. Quando os portadores de dados são fisicamente transportados, as devidas medidas são implementadas na SAP para fornecer os níveis de serviço acordados (por exemplo, criptografia e contêineres de chumbo).
Medidas:
• Os Dados Pessoais em transferência para as redes internas da SAP são protegidos de acordo com a Política de Segurança da SAP.
• Quando dados são transferidos entre a SAP e seus clientes, as medidas de proteção necessárias para a transferência de dados são aqui acordadas mutuamente entre a SAP e seu cliente e incluídas como parte do Contrato. Essa condição se aplica às transferências de dados físicas e baseadas em rede. Em todos os casos, o Cliente assume a responsabilidade por qualquer transferência de dados que esteja fora dos sistemas controlados pela SAP (por exemplo, dados transmitidos fora do firewall do Centro de Dados da SAP).
1.5 Controle de entrada de dados. Será possível examinar retrospectivamente e estabelecer se e por quem os Dados Pessoais foram inseridos, modificados ou removidos dos sistemas de tratamento de dados da SAP.
Medidas:
• A SAP permite somente que pessoas autorizadas acessem os Dados Pessoais, conforme exigido para o exercício de suas funções.
• A SAP implementou um sistema de registros de entrada, modificação e exclusão ou bloqueio de Dados Pessoais pela SAP ou por seus operadores subcontratados dentro do SAP Service, na medida do possível tecnicamente.
1.6 Controle de Tarefas. O Controle de Tarefas é necessário para assegurar que dados pessoais processados em nome de outros sejam processados estritamente em conformidade com as instruções do Cliente.
Medidas:
A SAP usa controles e processos para monitorar o cumprimento dos contratos firmados entre a SAP e seus clientes, operadores subcontratados ou outros prestadores de serviço.
Como parte da Política de Segurança da SAP, os Dados Pessoais exigem no mínimo o mesmo nível de proteção de informações "confidenciais" de acordo com o padrão de Classificação de Informações da SAP.
• Todos os funcionários e operadores subcontratados contratuais da SAP ou outros prestadores de serviço são contratualmente obrigados a respeitar a confidencialidade de todas as informações sigilosas, inclusive segredos comerciais de clientes e parceiros da SAP.
No Suporte da SAP, os clientes SAP têm controle sobre as conexões de suporte remoto em todos os momentos. Os funcionários da SAP não podem acessar o sistema de um cliente sem o conhecimento e a participação do cliente. Para o Suporte da SAP, a SAP oferece um ticket de suporte em que a SAP disponibiliza uma área especial de segurança monitorada e com acesso controlado para transferência de dados e senhas de acesso. Os clientes possuem controle sobre as conexões de suporte remoto em todos os momentos. Os funcionários da SAP não podem acessar um sistema on-premise de um cliente sem o conhecimento e a participação do cliente.
1.7 Controle de disponibilidade. Os Dados Xxxxxxxx serão protegidos contra destruição ou perda acidental ou não autorizada.
Medidas:
• A SAP emprega processos regulares de backup para fornecer restauração de sistemas essenciais, conforme a necessidade.
• A SAP usa fontes de energia sem interrupção (por exemplo: UPS, baterias, geradores etc.) para proteger a disponibilidade de energia para os Centros de Dados.
• A SAP definiu planos de continuidade de negócios para processos empresariais críticos;
• Os processos e sistemas de emergência são testados regularmente.
1.8 Controle de Separação de Dados. Os Dados Pessoais coletados para diferentes finalidades podem ser processados separadamente.
Medidas:
• A SAP usa controles técnicos apropriados para alcançar a separação de Dados de Cliente a todo momento.
• O Cliente, incluindo seus Controladores aprovados, terão acesso somente a seus próprios Dados com base em autenticação e autorização segura.
• Se os Dados Pessoais forem necessários para tratar um incidente de suporte a partir de um Cliente, os dados serão atribuídos àquela mensagem específica e usados somente para tratar aquela mensagem, eles não serão acessados para tratar outras mensagens. Estes dados serão armazenados em sistemas de suporte exclusivos.
1.9 Controle de Integridade de Dados. Os Dados Pessoais permanecerão intactos, completos e atualizados durante as atividades de tratamento.
Medidas:
A SAP implementou uma estratégia de defesa multinível como uma proteção contra modificações não autorizadas.
Em particular, a SAP utiliza o disposto a seguir para implementar as seções de controle e medida descritas acima. Especialmente:
• Firewalls;
• Centro de Monitoramento de Segurança;
• Software antivírus;
• Backup e recuperação;
• Teste de penetração externa e interna;
• Auditorias externas regulares para comprovar medidas de segurança.
Apêndice 3 do DPA
A tabela a seguir define os Artigos do GDPR e os termos correspondentes do DPA para fins de ilustração.
Artigo do GDPR | Artigo do DPA | Clique no link para ver a Cláusula |
28(1) | 2 e o Apêndice 2 | Segurança do e o Apêndice 2, Medidas Técnicas e |
28(2), 28(3) (d) e 28 (4) | 6 | OPERADORES SUBCONTRATADOS |
28 (3) sentença 1 | Finalidade e Aplicação. Estrutura | |
28(3) (a) e 29 | ||
28(3) (b) | Pessoal. | |
28(3) (c) e 32 | 2 e o Apêndice 2 | Segurança do e o Apêndice 2, Medidas Técnicas e |
28(3) (e) | ||
28(3) (f) e 32-36 | 2 e o Apêndice 2, 3.5, | Segurança do e o Apêndice 2, Medidas Técnicas e Organizacionais. Notificação de violação de Xxxxx Xxxxxxxx. Avaliação de impacto de proteção aos dados. |
28(3) (g) | ||
28(3) (h) | ||
28 (4) | 6 | Operadores Subcontratados |
30 | ||
46(2) (c) | Cláusulas Contratuais Padrão. |
Apêndice 4
CLÁUSULAS CONTRATUAIS PADRÃO (PROCESSADORES)
1
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxxxxxx%0X00000X0000
intencionalmente deixado em branco
1 Nos termos da Decisão da Comissão datada de 5 de fevereiro de 2010 (2010/87/EU)