CONTRATO DE TRATAMENTO DE DADOS DOS SERVIÇOS SAP CLOUD ("DPA")
CONTRATO DE TRATAMENTO DE DADOS DOS SERVIÇOS SAP CLOUD ("DPA")
1. DEFINIÇÕES
1.1. “Relatórios de Auditoria e Certificações” significa documentos disponíveis em: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx-xxxxxxxxxx/xxxxxxxxxx-xxxxxx.xxxx ou em qualquer site informado ao Cliente.
1.2. “Serviço Cloud” significa qualquer solução especifica, baseada em subscrição, hospedada, suportada e operada sob demanda, conforme definido no Contrato.
1.3. "Controlador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina a finalidade e os meios de tratamento de Dados Pessoais. Para os fins deste DPA, quando o Cliente atuar como um operador para outro controlador, ele deverá ser considerado, em relação à SAP, um Controlador adicional e independente, com os direitos e obrigações aplicáveis aos controladores nos termos deste DPA.
1.4. "Lei de Proteção de Dados" significa a legislação aplicável que protege os direitos e as liberdades fundamentais de pessoas físicas e o direito à privacidade, em relação ao tratamento de Dados Pessoais nos termos do Contrato, incluindo a Lei 13.709 de 14 de agosto de 2018 (“LGPD”).
1.5. "Titular dos Dados" significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção de Dados.
1.6. "EEE" significa o Espaço Econômico Europeu, ou seja, os estados-membros da União Europeia, juntamente com Islândia, Liechtenstein e Noruega.
1.7. "GDPR" significa o Regulamento Geral de Proteção de Dados 2016/679.
1.8. "Lista de Operadores Subcontratados" significa uma compilação do nome, endereço e função de cada Operador Subcontratado que a SAP usa para fornecer os Serviços SAP, normalmente publicado em: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx.xxxx ou em outro site informado ao Cliente.
1.9. "My Trust Center" significa informações disponíveis no portal de suporte da SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou o site de contratos da SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou em qualquer site subsequente disponibilizado pela SAP ao Cliente.
1.10. "Nova Transferência Relevante para SCC" significa uma transferência ou uma transferência posterior para um País Terceiro de Dados Pessoais sujeito ao GDPR ou à Lei de Proteção de Dados aplicável e quando qualquer meio de adequação exigido pelo GDPR ou pela Lei de Proteção de Dados aplicável puder ser cumprido celebrando as Novas Cláusulas Contratuais Padrão.
1.11. "Novas Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão inalteradas, publicadas pela Comissão Europeia (referência 2021/914) ou qualquer versão final subsequente adotada pela SAP. Para evitar dúvidas, os Módulos 2 e 3 devem ser aplicados conforme definido na Cláusula 8.3.
1.12. "Dados Pessoais" significa qualquer informação relacionada a um Titular dos Dados. Para os fins do DPA, incluem somente dados pessoais:
a) tratados pela SAP como parte do Serviço Cloud; ou
b) fornecidos ou acessados pela SAP ou seus Operadores Subcontratados para fornecer suporte de acordo com o Contrato aplicável ou em conexão com os SAP Services.
1.13. "Violação de Dados Pessoais" significa casos confirmados de:
a) destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros aos Xxxxx Xxxxxxxx; ou
b) incidente similar envolvendo Xxxxx Xxxxxxxx, em todos os casos em que um Controlador for obrigado, de acordo com a Lei de Proteção de Dados, a notificar as autoridades competentes de proteção de dados ou os Titulares dos Dados.
1.14. "Operador" significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador, seja diretamente como operador de um controlador ou indiretamente como operador subcontratado de um operador que processa dados pessoais em nome do Controlador.
1.15. "Serviços de Suporte SAP " significa os serviços de suporte definidos no Contrato aplicável.
1.16. "Anexo" significa os Anexos 1 e 2, aplicáveis para fins das Cláusulas Contratuais Padrão (2010), das Novas Cláusulas Contratuais Padrão e das medidas técnicas e organizacionais aplicáveis.
1.17. "Serviços" significa serviços de implementação, serviços de consultoria e/ou outros serviços relacionados definidos no Contrato, podendo ser referidos como "Serviços de Consultoria" ou "Serviços Profissionais".
1.18. "Cláusulas Contratuais Padrão (2010)" significa as Cláusulas Contratuais Padrão (operadores) publicadas pela Comissão Europeia, referência 2010/87/EU.
1.19. "Operador Subcontratado" significa as Afiliadas SAP, a SAP SE, as Afiliadas SAP SE e os terceiros envolvidos pela SAP, pela SAP SE ou pelas Afiliadas SAP SE em conexão com os Serviços SAP e que tratam os Dados Pessoais de acordo com esse DPA.
1.20. "Medidas Técnicas e Organizacionais" significa as medidas técnicas e organizacionais para o Serviço Cloud publicadas no My Trust Center (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx- center/agreements/cloud/cloud-services.html?search=Technical%20Organizational%20Measures).
1.21. "País Terceiro" significa qualquer país, organização ou território não reconhecido pela União Europeia nos termos do Artigo 45 do GDPR como país seguro com nível adequado de proteção de dados.
2. BACKGROUND
2.1. Finalidade e aplicação
2.1.1. Este documento ("DPA") é incorporado e integra o Contrato entre a SAP e o Cliente sobre os Serviços SAP. Para os fins deste DPA, os Serviços SAP são definidos como Serviço Cloud, Serviços ou SAP Support no Contrato e estão sujeitos a estes termos.
2.1.2. Este DPA define os termos e condições relacionados ao tratamento de Dados Pessoais pela SAP e seus Operadores Subcontratados em conexão com a entrega dos Serviços SAP.
2.1.3. Este DPA não se aplicará a ambientes não produtivos dos Serviços SAP disponibilizados pela SAP. O Cliente não deve armazenar Dados Pessoais em ambientes não produtivos.
2.2. Estrutura
Os Anexos 1 e 2 são incorporados a este DPA. Eles definem o tópico acordado, a natureza e a finalidade do tratamento, os tipos de Dados Pessoais, as categorias dos titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
2.3. Governança
2.3.1. A SAP atua como Operador e Cliente e as empresas que o Cliente autoriza a usar os Serviços SAP atuam como Controladores nos termos do DPA.
2.3.2. O Cliente atua como ponto único de contato e deverá obter as autorizações, consentimentos e permissões necessárias para o tratamento de Dados Pessoais de acordo com este DPA, incluindo, quando aplicável, a aprovação por Controladores para usar a SAP como um Operador. As autorizações, o consentimento, as instruções ou as permissões são fornecidas pelo Cliente não somente em seu nome, mas também em nome de qualquer outro Controlador. Quando a SAP informar ou notificar o Cliente, tal informação ou notificação será considerada recebida pelos Controladores autorizados pelo Cliente a usar os Serviços SAP ou a fornecer Dados Pessoais. O Cliente deverá encaminhar tais informações e notificações aos Controladores relevantes.
3. SEGURANÇA DO TRATAMENTO
3.1. Aplicabilidade das Medidas Técnicas e Organizacionais
A SAP implementou e aplicará as Medidas Técnicas e Organizacionais. O Cliente analisou a adequação de tais medidas antes de assinar o Contrato que incorpora este DPA.
3.2. Alterações
3.2.1. A SAP aplica as Medidas Técnicas e Organizacionais a toda a base de clientes da SAP hospedada no mesmo centro de dados ou recebendo os mesmos Serviços SAP. A SAP revisará as Medidas Técnicas e Organizacionais conforme a necessidade e poderá alterá-las a qualquer momento independente de notificação, desde que mantenha um nível similar ou superior de segurança. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança de proteção dos Dados Pessoais.
3.2.2. A SAP publicará versões atualizadas das Medidas Técnicas e Organizacionais no My Trust Center e, quando disponível, o Cliente poderá assinar e receber notificação por e-mail das versões atualizadas.
4. OBRIGAÇÕES DA SAP
4.1. Instruções do Cliente
A SAP tratará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato, incluindo este DPA, representa estas instruções documentadas. A SAP envidará esforços razoáveis para seguir as instruções adicionais do Cliente, deste que tecnicamente viáveis. Se a SAP não puder cumprir as instruções ou se julgar que uma instrução fere a Lei de Proteção de Dados, a SAP notificará o Cliente imediatamente (pode ser por e-mail).
4.2. Tratamento determinado por lei
A SAP também pode tratar Dados Pessoais quando for obrigada por lei. Nesse caso, a SAP informará ao Cliente sobre a exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos relevantes de interesse público.
4.3. Equipe
Para tratar Dados Xxxxxxxx, a SAP e seus Operadores Subcontratados deverão garantir acesso apenas a pessoal autorizado, comprometido com a confidencialidade. A SAP e os Operadores Subcontratados devem treinar regularmente a equipe que tem acesso a Dados Pessoais em segurança de dados e medidas de privacidade de dados.
4.4. Cooperação
4.4.1. Mediante solicitação do Cliente, a SAP irá cooperar com o Cliente e com os Controladores para lidar com as solicitações feitas pelos Titulares dos Dados ou pelas autoridades regulatórias em relação ao tratamento de Dados Pessoais ou a qualquer Violação de Dados Pessoais. Se a SAP receber uma solicitação de um Titular dos Dados em relação ao tratamento de Dados Pessoais aqui previsto, a SAP notificará imediatamente o Cliente (onde o Titular dos Dados forneceu informações para identificar o Cliente) por e-mail e não responderá à solicitação em si, mas solicitará ao Titular dos Dados que redirecione sua solicitação ao Cliente.
4.4.2. Em caso de disputa com um Titular dos Dados em relação ao tratamento de Dados Pessoais pela SAP de acordo com este DPA, as Partes deverão manter-se mutuamente informadas e, quando apropriado, cooperar razoavelmente com o objetivo de resolver amigavelmente a disputa com o Titular dos Dados.
4.4.3. A SAP deverá fornecer recursos para os sistemas de produção que suportem a capacidade do Cliente de corrigir, excluir ou anonimizar Dados Pessoais de um Serviço Cloud, ou de restringir seu tratamento de acordo com a Lei de Proteção de Dados. Quando essa funcionalidade não for fornecida, a SAP irá corrigir, excluir ou anonimizar os Dados Xxxxxxxx, ou restringirá seu tratamento de acordo com as instruções do Cliente e com a Lei de Proteção de Dados.
4.5. Notificação de violação de Xxxxx Xxxxxxxx
A SAP irá notificar o Cliente tão logo tome conhecimento sobre qualquer Violação de Xxxxx Xxxxxxxx, bem como fornecer as informações que tiver para auxiliar o Cliente a cumprir sua obrigação de informar sobre a Violação de Dados Pessoais nos termos da Lei de Proteção de Dados. A SAP poderá fornecer tais informações em fases, à medida que estiverem disponíveis. Tal notificação não pode ser interpretada como uma admissão de culpa ou de responsabilidade pela SAP.
4.6. Avaliação de impacto de proteção aos dados
Se, de acordo com a Lei de Proteção de Dados, o Cliente ou seus Controladores forem obrigados a realizar uma avaliação de impacto da proteção de dados ou consulta prévia com um regulador, mediante solicitação do Cliente, a SAP fornecerá tais documentos normalmente disponíveis para os Serviços SAP (por exemplo, este DPA, o Contrato, os Relatórios ou Certificados de Auditoria). Toda assistência adicional deve ser acordada mutuamente entre as Partes.
5. EXPORTAÇÃO E EXCLUSÃO DE DADOS
5.1. Exportação e recuperação
Se a SAP hospedar Dados Pessoais em um Serviço Cloud, durante o Prazo de Subscrição do Serviço Cloud e sujeito ao Contrato, o Cliente poderá acessar seus Dados Pessoais a qualquer momento. O Cliente pode usar as ferramentas de exportação de autosserviço da SAP e recuperar seus Dados Pessoais em um formato estruturado, comumente usado e passível de leitura por máquina.
5.2. Exclusão
5.2.1. Antes de o Prazo de Subscrição do Serviço Cloud expirar, o Cliente deve realizar uma exportação final de dados que constitui um retorno final dos Dados Pessoais a partir do Serviço Cloud.
5.2.2. Ao final do Contrato, o Cliente desde já instrui a SAP a excluir os Dados Pessoais remanescentes dentro de um período de tempo razoável, de acordo com a Lei de Proteção de Dados, (não superior a 6 meses) exceto se a legislação aplicável exigir a retenção.
6. CERTIFICAÇÕES E AUDITORIAS
6.1. Recursos SAP
A SAP fornece Relatórios de Auditoria e Certificações gratuitamente, online ou mediante solicitação. Verificações adicionais que exigem recursos da SAP são limitadas e sujeitas às seguintes Cláusulas.
6.2. Limitações
6.2.1. O Cliente ou seus auditores independentes, razoavelmente aceitáveis para a SAP e excluindo os concorrentes da SAP ou os não qualificados o suficiente, podem ser autorizados a realizar uma auditoria nos termos das Cláusulas 6.3 ou 6.4. O Cliente deve fornecer notificação com antecedência mínima de 60 dias sobre qualquer auditoria, salvo se a Lei de Proteção de Dados ou uma autoridade de proteção de dados exigir prazo menor.
6.2.2. A frequência (máxima de uma vez a cada 12 meses), o prazo e o escopo das auditorias deve ser acordado mutuamente entre as partes, de modo razoável e com base na boa-fé. As auditorias do Cliente devem ser limitadas a auditorias remotas sempre que possível. O Cliente deve fornecer os resultados de qualquer auditoria à SAP. O Cliente deve arcar com os custos de qualquer auditoria à qual der início, salvo se tal auditoria revelar violação material deste DPA pela SAP, situação em que a SAP deverá arcar com as suas despesas relacionadas a uma auditoria. Se uma auditoria determinar que a SAP violou suas obrigações nos termos do DPA, a SAP deverá sanar imediatamente a violação, às suas custas.
6.3. Auditoria de Cliente dos Serviços Cloud
6.3.1. O Cliente pode auditar o ambiente de controle da SAP e as práticas de segurança de TI aplicáveis aos Dados Pessoais tratados pela SAP, que exigem recursos equivalentes a no máximo 3 (três) dias úteis se:
a) A SAP não forneceu provas suficientes do cumprimento das Medidas Técnicas e Organizacionais através de certificação de conformidade com o padrão ISO 27001 ou outras normas (escopo definido no
certificado), como SSAE18/ISAE3402 e/ou ISAE3000 (p. ex., SOC2 ou C5), ou uma certificação ou atestado regional ou local igualmente aceito; ou
b) se tiver ocorrido uma Violação de Dados Pessoais; ou
c) uma auditoria for solicitada formalmente pela autoridade de proteção aos dados do Cliente ou se for fornecida de acordo com a Lei de Proteção de Dados.
6.4. Serviços de Suporte SAP e Auditoria de Serviços pelo Cliente
O Cliente pode auditar os centros de entrega de serviços e suporte da SAP e as práticas de segurança de TI aplicáveis aos Dados Pessoais tratados pela SAP, que exigem recursos equivalentes a no máximo 1 (um) dia útil se:
a) a SAP não fornecer provas suficientes de sua conformidade com as Medidas Técnicas e Organizacionais mediante o fornecimento de uma certificação de conformidade com a norma ISO 27001 ou com outras normas (conforme escopo definido no certificado); ou
b) se tiver ocorrido uma Violação de Dados Pessoais; ou
c) uma auditoria for solicitada formalmente pela autoridade de proteção aos dados do Cliente ou se for fornecida de acordo com a Lei de Proteção de Dados.
6.5. Outra auditoria de controlador
Qualquer outro Controlador pode assumir os direitos do Cliente previstos nesta Cláusula 6 somente se aplicável diretamente ao Controlador e se a auditoria for permitida e coordenada pelo Cliente. O Cliente deve envidar esforços razoáveis para combinar auditorias de diversos outros Controladores para evitar auditorias múltiplas.
7. OPERADORES SUBCONTRATADOS
7.1. Uso autorizado
A SAP recebe uma autorização geral para subcontratar o tratamento de Dados Pessoais para Operadores Subcontratados, desde que:
a) a SAP ou a SAP SE, em seu nome, celebre um contrato por escrito com os Operadores Subcontratados (inclusive em formato eletrônico) consistente com os termos deste DPA em relação ao tratamento de Dados Pessoais pelo Operador Subcontratado r; a SAP seja responsabilizada por violações cometidas pelo Operador Subcontratado de acordo com os termos do Contrato;
b) a SAP avalie a segurança, a privacidade e a confidencialidade de um Operador Subcontratado antes de selecioná-lo, para verificar se ele é capaz de fornecer o nível de proteção dos Dados Pessoais exigidos pelo presente DPA; e
c) a SAP forneça ao Cliente uma Lista de Operadores Subcontratados publicada no My Trust Center ou por escrito, podendo ser enviada por e-mail, mediante solicitação por escrito do Cliente.
7.2. Novos Operadores Subcontratados
O uso de Operadores Subcontratados pela SAP fica a seu próprio critério, ficando estabelecido que:
a) a SAP informará ao Cliente antecipadamente (por e-mail ou publicando no My Trust Center) qualquer inclusão ou substituição à lista de Operadores Subcontratados, incluindo nome, endereço e função no novo Operador Subcontratado; o Cliente concorda em se cadastrar no My Trust Center e se inscrever para sua Lista de Operadores Subcontratados aplicável e disponível; se o Cliente não se opuser isso será interpretado como aceitação do novo Operador Subcontratado;
b) o Cliente pode se opor a um novo Operador Subcontratado notificando a SAP por escrito em até 5 dias úteis após a informação pela SAP e, no caso de SAP Support e dos Serviços Cloud, dentro de 30 dias corridos e explicando a justificativa para sua objeção;
c) se o Cliente se opuser, a SAP pode optar por: (i) não usar Operador Subcontratado ou (ii) adotar medidas razoáveis para solucionar as queixas da objeção pelo Cliente e usar o Operador Subcontratado ou (iii) se isso não for possível, usar o Operador Subcontratado. Caso o Cliente continue a ter objeções
legítimas, ele poderá rescindir o Serviço da SAP afetado usando o novo Operador Subcontratado, porém a rescisão dos Serviços de Suporte SAP também deverá cumprir as hipóteses de rescisão do contrato de Serviços de Suporte SAP aplicável. A rescisão entrará em vigor no momento determinado pelo Cliente em sua notificação de rescisão enviada por escrito pelo Cliente, desde que ele aceite o uso do Operador Subcontratado proposto durante o restante do Contrato até a data da efetiva rescisão.
d) se o Cliente se opuser, mas nenhuma das opções previstas no item 7.2 (c) (i) ou (ii) for exercida e se a SAP não receber nenhuma notificação de rescisão isso será interpretado como aceitação pelo Cliente do novo Operador Subcontratado.
e) qualquer cancelamento nos termos desta Cláusula será considerado sem culpa por qualquer uma das partes e estará sujeito aos termos do Contrato.
7.3. Substituição de Emergência
8. TRATAMENTO INTERNACIONAL
8.1. Condições para o Tratamento Internacional
De acordo com este DPA, a SAP terá o direito de tratar Dados Pessoais, inclusive através do uso de Operadores Subcontratados, fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção de Dados.
8.2. Aplicabilidade das Cláusulas Contratuais Padrão (2010).
a) se aplicável, a SAP e o Cliente assinam as Cláusulas Contratuais Padrão (2010);
b) o Cliente deve aderir às Cláusulas Contratuais Padrão (2010) celebradas entre a SAP ou a SAP SE e o Operador Subcontratado como parte independente, titular de direitos e obrigações; ou
c) outros controladores cujo uso dos Serviços SAP foram autorizados pelo Cliente nos termos do Contrato aplicável também podem celebrar as Cláusulas Contratuais Padrão (2010) com a SAP ou com os Operadores Subcontratados do mesmo modo que o Cliente, de acordo com as Cláusulas 8.2.1 (a) e (b) acima.
8.2.2. As Cláusulas Contratuais Padrão (2010) são regidas pela legislação do país em que o Controlador é constituído.
8.3. Aplicabilidade das Novas Cláusulas Contratuais Padrão
8.3.1. O disposto a seguir é aplicável a partir de 27 de setembro de 2021 e só se aplica em relação às Novas Transferências Aplicáveis às SCC:
8.3.1.1. Quando a SAP não está localizada em um País Terceiro e atua como exportadora de dados, a SAP (ou a SAP SE em seu nome) celebrou as Novas Cláusulas Contratuais Padrão com cada Operador Subcontratado como importador de dados. O Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão será aplicável às Novas Transferências Aplicáveis às SCCs.
8.3.1.2. Quando a SAP está localizada em um País Terceiro:
A SAP e o Cliente, por meio deste instrumento, celebram as Novas Cláusulas Contratuais Padrão com o Cliente como exportador de dados e a SAP como importador de dados, que se aplica da seguinte forma:
a) o Módulo 2 (Controlador para Operador) será aplicado quando o Cliente for um Controlador; e
b) o Módulo 3 (Operador para Operador) será aplicado quando o Cliente for um Operador. Quando o Cliente atuar como Operador no Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão, a SAP reconhecerá que o Cliente atua como Operador de acordo com as instruções de seus Controladores.
Outros Controladores ou Operadores cujo uso dos Serviços Cloud tenha sido autorizado pelo Cliente nos termos do Contrato também poderão celebrar as Novas Cláusulas Contratuais Padrão com a SAP da mesma maneira que o Cliente, de acordo com a Cláusula (b) acima. Nesse caso, o Cliente celebrará as Novas Cláusulas Contratuais Padrão em nome de outros Controladores ou Operadores.
8.3.2. Em relação a uma Nova Transferência Aplicável às SCCs, mediante solicitação de um Titular dos Dados para o Cliente, o Cliente pode disponibilizar uma cópia do Módulo 2 ou 3 das Novas Cláusulas Contratuais Padrão celebradas entre o Cliente e a SAP (incluindo os Anexos aplicáveis), para os Titulares dos Dados.
8.3.3. A legislação aplicável às Novas Cláusulas Contratuais Padrão será a da Alemanha.
8.4. Relação das Cláusulas Contratuais Padrão com o Contrato
Nenhum dispositivo do Contrato prevalecerá sobre qualquer Cláusula conflitante das Cláusulas Contratuais Padrão (2010) nem sobre as Novas Cláusulas Contratuais Padrão. As regras de auditoria e de Operador Subcontratado previstas neste DPA também são aplicáveis em relação às Cláusulas Contratuais Padrão (2010) e às Novas Cláusulas Contratuais Padrão.
8.5. Direitos de Terceiros Beneficiários previstos nas Novas Cláusulas Contratuais Padrão
Quando o Cliente estiver localizado em um País Terceiro e estiver atuando como importador de dados no Módulo 2 ou Módulo 3 das Novas Cláusulas Contratuais Padrão e a SAP estiver atuando como Operador Subcontratado do Cliente nos termos do Módulo aplicável, o respectivo exportador de dados terá o seguinte direito como terceiro beneficiário: caso o Cliente deixe de existir ou se torne insolvente (em todos os casos sem uma empresa sucessora que tenha assumido as obrigações legais do Cliente por contrato ou por força de lei), o exportador de dados aplicável terá o direito de cancelar o Serviço SAP afetado somente na medida em que os Dados Pessoais do exportador de dados sejam tratados. Nesse caso, o respectivo exportador de dados também instruirá a SAP sobre apagar ou devolver os Dados Pessoais.
9. DOCUMENTAÇÃO; REGISTROS DE TRATAMENTO
Cada parte é responsável pela conformidade com seus requisitos de documentação, em especial quanto à manutenção de registros de tratamento onde exigido pela Lei de Proteção aos Dados. As partes devem auxiliar umas às outras no que se refere à documentação exigida. O Cliente deve fornecer e manter informações sobre todos os Controladores (por exemplo, nome e endereço) usando os Serviços SAP em formato eletrônico (por exemplo, no Formulário de Pedido), conforme solicitado pela SAP, para permitir que a SAP cumpra todas as obrigações relacionadas à manutenção de registros de tratamento.
Anexo 1 Descrição do tratamento
Este Anexo 1 se aplica para descrever o Tratamento de Dados Pessoais para os fins das Cláusulas Contratuais Padrão (2010), Novas Cláusulas Contratuais Padrão e Lei de Proteção de Dados aplicável.
1. A. LISTA DE PARTES
1.1. De acordo com as Cláusulas Contratuais Padrão (2010)
1.1.1. Exportador de Dados
O exportador de dados é o Cliente que celebrou o Contrato com a SAP para o fornecimento dos Serviços SAP, conforme descrito no Contrato aplicável. O exportador de dados permite que outros Controladores usem o Serviço SAP, esses outros Controladores também serão exportadores de dados.
1.1.2. Importador de Dados
1.1.2.1. Em relação aos Serviços Cloud
A SAP e seus Operadores Subcontratados que fornecem e suportam o Serviço Cloud são importadores de dados de acordo com as Cláusulas Contratuais Padrão (2010).
1.1.2.2. Em relação a outros Serviços SAP
A SAP e seus Operadores Subcontratados são importadores de dados quando fornecem o Serviço SAP conforme definido no respectivo Contrato celebrado com o exportador de dados, também incluídas as Cláusulas Contratuais Padrão (2010).
1.2. De acordo com as Novas Cláusulas Contratuais Padrão
1.2.1. Módulo 2: Transferência de Controlador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será o Controlador e a SAP será o Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
1.2.2. Módulo 3: Transferência Operador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será um Operador e a SAP será um Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
2. B. DESCRIÇÃO DA TRANSFERÊNCIA
2.1. Titulares dos Dados
Salvo se de outra forma previsto pelo exportador de dados, os Dados Pessoais transferidos são relativos às seguintes categorias de Titulares dos Dados: funcionários, terceirizados, Parceiros de Negócio ou outros indivíduos que possuem Dados Pessoais armazenados, transmitidos, disponibilizados, acessados ou de outra forma tratados pelo importador de dados.
2.2. Categorias de Dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente determina as categorias de dados e/ou campos de dados que podem ser transferidos de acordo com o Serviço SAP conforme definido no Contrato aplicável. Nos Serviços Cloud o Cliente pode configurar os campos de dados durante a implementação do Serviço Cloud ou conforme definido pelo Serviço Cloud. Os Dados Pessoais transferidos normalmente se referem às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, dados de endereço, dados de acesso / uso / autorização do sistema, nome de empresa, dados de contrato, dados de fatura, além de dados específicos de aplicativo, transferidos ou inseridos no Serviço SAP pelos Usuários Autorizados, podendo incluir dados financeiros como conta bancária, de cartão de crédito ou débito.
2.3. Categorias de Dados Especiais (se acordado)
2.3.1. Os Dados Xxxxxxxx transferidos podem abranger categorias especiais de dados pessoais definidas no Contrato ("Dados Confidenciais"). A SAP adotou Medidas Técnicas e Organizacionais conforme definido no Anexo 2 para garantir um nível de segurança adequado a fim de proteger também os Dados Confidenciais.
2.3.2. A transferência de Dados Confidenciais pode acionar a aplicação das seguintes restrições ou proteções adicionais, se necessário, para levar em consideração a natureza dos dados e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, se aplicável:
a) treinamento de pessoal;
b) criptografia dos dados em trânsito e em repouso;
c) registro em log de acesso ao sistema e registro em log de acesso a dados gerais.
2.3.3. Além disso, os Serviços Cloud fornecem medidas para o tratamento de Dados Confidenciais conforme descrito na Documentação.
2.4. Objetivos da transferência de dados e continuação do tratamento; tipo do tratamento
2.4.1. Nos Serviços Cloud
2.4.1.1. Os Dados Xxxxxxxx transferidos estão sujeitos às seguintes atividades básicas de tratamento:
a) uso de Dados Pessoais para configurar, operar, monitorar e fornecer o Serviço Cloud (inclusive Suporte operacional e técnico);
b) melhoria contínua dos recursos e funcionalidades de serviço fornecidos como parte do Serviço Cloud incluindo automação, tratamento de transações e machine learning;
c) fornecimento de Serviços de Consultoria;
d) comunicação para Usuários Autorizados;
e) armazenamento de Dados Pessoais em Centros de Dados especializados (arquitetura multitenant);
f) lançamento, desenvolvimento e carregamento (upload) de consertos (fixes) e upgrades para o Serviço Cloud;
g) backup e restauração de Dados de Cliente armazenados no Serviço Cloud;
h) computação de Dados Pessoais, incluindo transmissão de dados, recuperação de dados e acesso aos dados;
i) acesso à rede para transferência de Dados Pessoais;
j) monitoramento, solução de problemas e administração da infraestrutura e banco de dados básicos do Serviço Cloud;
k) monitoramento de segurança, suporte à detecção de invasão de rede, testes de penetração; e
l) execução de instruções do Cliente de acordo com o Contrato.
2.4.1.2. A finalidade da transferência é fornecer e dar suporte ao Serviço Cloud. A SAP e seus Operadores Subcontratados podem prestar serviços de suporte remotamente os centros de dados do Serviço Cloud. A SAP e seus Operadores Subcontratados fornecem suporte quando o Cliente envia um ticket de suporte nos termos detalhados no Contrato.
2.4.2. Para outros Serviços SAP
Os Dados Pessoais transferidos estão sujeitos a atividades de tratamento básico conforme definido no Contrato, que podem incluir:
a) acesso a sistemas contendo Dados Pessoais para fornecer Serviços de Suporte SAP e Serviços SAP;
b) uso de Dados Pessoais para fornecer o Serviço SAP;
c) melhoria contínua dos recursos e funcionalidades de serviço fornecidos como parte do Serviço SAP incluindo automação, tratamento de transações e machine learning;
d) armazenamento de Xxxxx Xxxxxxxx;
e) tratamento computadorizado de Dados Pessoais para transmissão de dados;
f) execução de instruções do Cliente de acordo com o Contrato.
2.4.3. Nos Serviços de Suporte SAP: a SAP ou seus Operadores Subcontratados fornecem suporte quando um Cliente envia um ticket de suporte quando o Software não está disponível ou não funciona conforme o esperado. Eles atendem chamadas telefônicas, realizam soluções de problemas simples e processam tickets de suporte em um sistema de rastreamento.
2.4.4. Nos Serviços: a SAP ou seus Operadores Subcontratados fornecem Serviços sujeitos aos Serviços do Formulário de Pedido e ao Documento de Definição de Escopo aplicável.
2.5. A finalidade da transferência é fornecer e dar suporte ao SAP Service. A SAP e seus Operadores Subcontratados podem fornecer ou dar suporte remoto ao Serviço SAP.
2.6. A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua): Os Dados Pessoais serão transferidos continuamente durante a vigência do Contrato.
2.7. O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período:
Os Dados Pessoais serão retidos pela SAP conforme definido na Cláusula 5 acima.
2.8. Para transferências para operadores(subcontratados), indique também o assunto, a natureza e a duração do tratamento:
A SAP transferirá Dados Pessoais para Operadores Subcontratados conforme definido na Lista de Operadores Subcontratados aplicável durante a vigência do Contrato.
3. C. AUTORIDADE SUPERVISORA COMPETENTE
3.1. Em relação às Novas Cláusulas Contratuais Padrão:
3.1.1. Módulo 2: Transferência Controlador para Operador
3.1.2. Módulo 3: Transferência Operador para Operador
3.2. Quando o Cliente for o exportador de dados, a autoridade supervisora será aquela que supervisiona o Cliente de acordo com a Cláusula 13 das Novas Cláusulas Contratuais Padrão.
Anexo 2 - Medidas Técnicas e Organizacionais
Este Anexo 2 se aplica para descrever as medidas técnicas e organizacionais aplicáveis para os fins das Cláusulas Contratuais Padrão (2010), das Novas Cláusulas Contratuais Padrão e da Lei de Proteção de Dados aplicável.
A SAP aplicará e manterá as Medidas Técnicas e Organizacionais.
Na medida em que o fornecimento do Serviço Cloud abrange Novas Transferências Aplicáveis às SCCs, as Medidas Técnicas e Organizacionais definidas no Anexo 2 descrevem as medidas e proteções que foram tomadas para levar em consideração integralmente a natureza dos dados pessoais e os riscos envolvidos. Se as leis locais puderem afetar o cumprimento das cláusulas, isso poderá acionar a aplicação de proteções adicionais aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino (se aplicável: criptografia dos dados em trânsito, criptografia dos dados em repouso, anonimização, pseudonimização).