CONTRATO DE TRATAMENTO DE DADOS PARA SERVIÇOS PROFISSIONAIS E DE SUPORTE DA SAP
CONTRATO DE TRATAMENTO DE DADOS PARA SERVIÇOS PROFISSIONAIS E DE SUPORTE DA SAP
1. DEFINIÇÕES
1.1. "Usuários Autorizados" significa qualquer pessoa física a quem o Cliente conceda autorização de acesso em conformidade com uma licença de software licenciado pela SAP para usar o SAP Service que seja funcionário, agente, contratado ou representante
a) do Cliente;
b) de Afiliadas do Cliente; ou
c) de Parceiros de Negócios do Cliente e das Afiliadas do Cliente, conforme definido no Contrato de Licenciamento de Software e Suporte.
1.2. “Controlador” significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina a finalidade e os meios de tratamento de Dados Pessoais; para os fins deste DPA. Quando o Cliente atuar como um Operador para outro Controlador, ele deverá ser considerado, em relação à SAP, um Controlador adicional e independente, com os direitos e obrigações aplicáveis aos controladores nos termos deste DPA.
1.3. “Lei de Proteção de Dados” significa a legislação aplicável que protege os direitos e as liberdades fundamentais de pessoas e o direito à privacidade, em relação ao tratamento de Dados Pessoais nos termos do Contrato, incluindo a Lei 13.709 de 14 de agosto de 2018 (“LGPD”).
1.4. “Titular dos Dados” significa uma pessoa física identificada ou identificável, conforme definido pela Lei de Proteção de Dados.
1.5. "My Trust Center" significa informações disponíveis no portal de suporte da SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou no site de contratos da SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou em qualquer site subsequente disponibilizado pela SAP ao Cliente.
1.6. "Nova Transferência Relevante para SCC" significa uma transferência ou uma transferência posterior para um País Terceiro de Dados Pessoais sujeito ao GDPR ou à Lei de Proteção de Dados aplicável e quando qualquer meio de adequação exigido pelo GDPR ou pela Lei de Proteção de Dados aplicável puder ser cumprido celebrando as Novas Cláusulas Contratuais Padrão.
1.7. “Novas Cláusulas Contratuais Padrão” significa as cláusulas contratuais padrão inalteradas, publicadas pela Comissão Europeia (referência 2021/914) ou qualquer versão final subsequente, que deverá ser aplicada automaticamente. Para evitar dúvidas, os Módulos 2 e 3 (das Novas Cláusulas Contratuais Padrão) devem ser aplicados conforme definido na Cláusula 8.
1.8. “Dados Pessoais” significa informações relacionadas a um Titular dos Dados protegido pela Lei de Proteção de Dados. Para os fins deste DPA, estão incluídos somente dados pessoais fornecidos ou acessados pela SAP ou por seus Operadores Subcontratados para fornecer os Serviços de Suporte ou Profissionais da SAP de acordo com o Contrato.
1.9. "Violação de Dados Pessoais" significa:
a) destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado de terceiros aos Xxxxx Xxxxxxxx; ou
b) incidente similar envolvendo Xxxxx Xxxxxxxx, em todos os casos em que um Controlador for obrigado, de acordo com a Lei de Proteção de Dados, a notificar as autoridades competentes de proteção de dados ou os Titulares dos Dados.
1.10. “Serviços Profissionais” significa serviços de implementação, serviços de consultoria ou serviços como SAP Premium Engagement Support Services, Innovative Business Solutions Development Services, Innovative Business Solutions Development Support Services.
1.11. “Operador” significa pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome do Controlador, seja diretamente como Operador de um Controlador ou
indiretamente como Operador Subcontratado de um Operador que processa Dados Pessoais em nome do Controlador.
1.12. "Anexo" significa o Apêndice numerado em relação às Cláusulas Contratuais Padrão (2010) e o Anexo numerado em relação às Novas Cláusulas Contratuais Padrão.
1.13. “Cláusulas Contratuais Padrão (2010)” significa as Cláusulas Contratuais Padrão (operadores) publicadas pela Comissão Europeia, referência 2010/87/EU.
1.14. “Operador Subcontratado” ou “operador subcontratado” significa as Afiliadas SAP, a SAP SE, as Afiliadas SAP SE e os terceiros envolvidos pela SAP, pela SAP SE ou pelas Afiliadas SAP SE em conexão com o SAP Service e que processam os Dados Pessoais de acordo com esse DPA.
1.15. "Medidas Técnicas e Organizacionais" significa as medidas técnicas e organizacionais para o Serviço de Suporte ou Profissional da SAP publicadas no My Trust Center.
1.16. "País Terceiro" significa qualquer país, organização ou território não reconhecido pela União Europeia nos termos do Artigo 45 do GDPR como país seguro com nível adequado de proteção de dados.
2. BACKGROUND
2.1. Finalidade e aplicação
Este documento ("DPA") é incorporado ao Contrato e faz parte de um contrato por escrito, inclusive em formulário eletrônico, entre a SAP e o Cliente. Este DPA se aplica aos Dados Pessoais fornecidos pelo Cliente e a cada Controlador em conexão com o desempenho dos serviços da SAP definidos no Contrato aplicável ("SAP Services") ao qual o presente DPA é anexado, que pode incluir:
a) o Suporte da SAP conforme definido no Contrato de Licença e Suporte de Software; ou
b) Serviços Profissionais conforme descritos no contrato de serviços celebrado entre a SAP e o Cliente ("Contrato de Serviços").
2.2. Estrutura
Os Anexos 1 e 2 são incorporados e constituem parte deste DPA. Eles definem o tópico acordado, a natureza e a finalidade do tratamento, os tipos de Dados Pessoais, as categorias de dados, os titulares dos dados e as medidas técnicas e organizacionais aplicáveis.
2.3. Governança
2.3.1. A SAP atua como Operador e o Cliente e as empresas que ela autoriza a usar os Serviços de Suporte e Profissionais da SAP atuam como Controladores nos termos do DPA.
2.3.2. O Cliente atua como ponto único de contato e deverá obter as autorizações, consentimentos e permissões necessárias para o tratamento de Dados Pessoais de acordo com este DPA, incluindo, quando aplicável, a aprovação por Controladores para usar a SAP como um Operador. As autorizações, o consentimento, as instruções ou as permissões são fornecidas pelo Cliente não somente em seu nome, mas também em nome de qualquer outro Controlador. Quando a SAP informar ou notificar o Cliente, tais informações ou notificações serão consideradas recebidas pelos Controladores autorizados pelo Cliente a incluir Xxxxx Xxxxxxxx. O Cliente deverá encaminhar tais informações e notificações aos Controladores relevantes.
3. SEGURANÇA DO TRATAMENTO
3.1. Aplicabilidade das Medidas Técnicas e Organizacionais
3.1.1. A SAP implementou e aplicará as Medidas Técnicas e Organizacionais. O Cliente analisou tais medidas e concorda que são apropriadas e levam em consideração a situação, os custos da implementação, a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais.
3.1.2. O Anexo 2 se aplicará apenas na medida que os SAP Services forem realizados em ou a partir de instalações da SAP. Se a SAP estiver realizando os SAP Services nas instalações do Cliente e a SAP obtiver acesso aos sistemas e dados do Cliente, ela deverá se submeter a condições administrativas, técnicas e físicas adequadas e implementadas pelo Cliente para proteger os dados e evitar acesso não autorizado. Em relação
ao acesso ao sistema e aos dados do Cliente, este será responsável por fornecer à equipe da SAP autorizações e senhas de usuário para acesso aos seus sistemas e por revogar tais autorizações e cancelar o acesso, conforme considerar adequado. O Cliente não deverá conceder à SAP acesso a sistemas ou informações pessoais da Licenciada (do Cliente ou de qualquer terceiro) a menos que o acesso seja essencial para a execução dos SAP Services. O Cliente não deve armazenar nenhum Dado Pessoal em ambientes não produtivos.
3.2. Alterações
3.2.1. A SAP aplica as Medidas Técnicas e Organizacionais a toda a base de clientes da SAP recebendo o mesmo SAP Service. A SAP pode alterar as Medidas Técnicas e Organizacionais a qualquer momento sem notificação prévia desde que mantenha um nível de segurança equivalente ou superior. As medidas individuais podem ser substituídas por novas medidas que sirvam ao mesmo propósito sem reduzir o nível de segurança protegendo os Dados Pessoais.
3.2.2. A SAP publicará versões atualizadas das Medidas Técnicas e Organizacionais no My Trust Center e, quando disponível, o Cliente poderá optar por e receber notificações por e-mail das versões atualizadas.
4. OBRIGAÇÕES DA SAP
4.1. Instruções do Cliente
4.1.1. A SAP tratará os Dados Pessoais somente de acordo com as instruções documentadas do Cliente. O Contrato (incluindo este DPA) constitui as instruções iniciais e o Cliente deve fornecer mais instruções durante o desempenho do SAP Service.
4.1.2. A SAP envidará esforços razoáveis para seguir todas as demais instruções do Cliente, desde que sejam exigidas pela Lei de Proteção de Dados, tecnicamente viáveis e que não exijam mudanças no desempenho do SAP Service. Se alguma das exceções for aplicável, se a SAP não puder cumprir as instruções ou se julgar que uma instrução fere a Lei de Proteção de Dados, a SAP notificará o Cliente imediatamente (pode ser por e-mail).
4.2. Tratamento determinado por lei
A SAP também pode tratar Dados Pessoais quando for obrigada por lei. Nesse caso, a SAP informará ao Cliente sobre a exigência legal antes do tratamento, salvo se a lei proibir tal informação por motivos relevantes de interesse público.
4.3. Equipe
Para tratar Dados Xxxxxxxx, a SAP e seus Operadores Subcontratados deverão garantir acesso apenas a pessoal autorizado, comprometido com a confidencialidade. A SAP e os Operadores Subcontratados devem treinar regularmente a equipe que tem acesso a Dados Pessoais em segurança de dados e medidas de privacidade de dados.
4.4. Cooperação
4.4.1. Mediante solicitação do Cliente, a SAP irá cooperar com o Cliente e com os Controladores para lidar com as solicitações feitas pelos Titulares dos Dados ou pelas autoridades regulatórias em relação ao tratamento de Dados Pessoais ou a qualquer Violação de Dados Pessoais. Se a SAP receber uma solicitação de um Titular dos Dados em relação ao tratamento de Dados Pessoais aqui previsto, a SAP notificará imediatamente o Cliente (onde o Titular dos Dados forneceu informações para identificar o Cliente) por e-mail e não responderá à solicitação em si, mas solicitará ao Titular dos Dados que redirecione sua solicitação ao Cliente.
4.4.2. Em caso de disputa com um Titular dos Dados em relação ao tratamento de Dados Pessoais pela SAP de acordo com este DPA, as Partes deverão manter-se mutuamente informadas e, quando apropriado, cooperar razoavelmente com o objetivo de resolver amigavelmente a disputa com o Titular dos Dados. A SAP irá corrigir, excluir ou anonimizar todos os Dados Xxxxxxxx em posse da SAP, se houver, ou restringir seu tratamento, de acordo com instruções do Cliente e com a Lei de Proteção de Dados.
4.5. Notificação de violação de Xxxxx Xxxxxxxx
A SAP irá notificar o Cliente tão logo tome conhecimento sobre qualquer Violação de Xxxxx Xxxxxxxx, bem como fornecer as informações que tiver para auxiliar o Cliente a cumprir sua obrigação de informar sobre a Violação de Dados Pessoais nos ternos da Lei de Proteção de Dados. A SAP pode fornecer tais informações em fases à medida que se tornarem disponíveis. Tal notificação não pode ser interpretada como uma admissão de culpa ou de responsabilidade pela SAP.
4.6. Avaliação de impacto de proteção aos dados
Se, de acordo com a Lei de Proteção de Dados, o Cliente ou seus Controladores forem obrigados a realizar uma avaliação de impacto da proteção de dados ou consulta prévia com um regulador, mediante solicitação do Cliente, a SAP fornecerá tais documentos normalmente disponíveis para o SAP Service (por exemplo, este DPA, o Contrato, os Relatórios ou Certificados de Auditoria). Toda assistência adicional deve ser acordada mutuamente entre as Partes.
5. EXCLUSÃO DE DADOS
Por este instrumento, o Cliente instrui a SAP a excluir os Dados Pessoais remanescentes da SAP, se houver, dentro de um período de tempo razoável e de acordo com a Lei de Proteção de Dados, em até seis meses, quando os Dados Pessoais não forem mais necessários para a celebração do Contrato, salvo se a lei exigir retenção.
6. CERTIFICAÇÕES E AUDITORIAS
O Cliente ou seu auditor independente aceito pela SAP (não sendo permitido incluir auditores concorrentes da SAP nem auditores não qualificados ou não independentes) pode realizar auditoria nos centros de entrega de suporte e serviços da SAP e nas práticas de segurança de TI da SAP aplicáveis aos Dados Pessoais tratados pela SAP somente se:
a) a SAP não dispor de provas suficientes de sua conformidade com as Medidas Técnicas e Organizacionais mediante o fornecimento de uma certificação de conformidade com a norma ISO 27001 ou com outras normas (conforme escopo definido no certificado). As certificações estão disponíveis em My Trust Center oumediante solicitação se não estiver disponível online; ou
b) se tiver ocorrido uma Violação de Dados Pessoais; ou
c) uma auditoria tiver sido solicitada formalmente pela autoridade de proteção de dados do Cliente; ou
d) a Lei de Proteção de Dados assegurar ao Cliente direito de auditoria e, sendo certo que o Cliente só pode realizar a auditoria uma vez a cada período de doze meses, salvo se a Lei de Proteção de Dados exigir auditorias mais frequentes.
6.2. Outra auditoria de controlador
Qualquer outro Controlador pode auditar o ambiente de controle da SAP e as práticas de segurança aplicáveis a Dados Pessoais tratados pela SAP de acordo com o permitido na Cláusula 6.1 se aplicável diretamente ao outro Controlador. Tal auditoria deve ser realizada através do Cliente e por ele, a não ser que a auditoria seja realizada pelo outro Controlador em si, nos termos da Lei de Proteção de Dados. Se diversos Controladores cujos Dados Pessoais sejam tratados pela SAP com base no Contrato exigirem uma auditoria, o Cliente deverá envidar todos os esforços razoáveis para combinar as auditorias e evitar múltiplas auditorias.
6.3. Escopo da auditoria
O Cliente deve fornecer notificação com antecedência mínima de 60 dias sobre qualquer auditoria, salvo se a Lei de Proteção de Dados ou uma autoridade de proteção de dados exigir prazo menor. A frequência, o período e o escopo das auditorias devem ser acordados mutuamente entre as partes, atuando de maneira razoável e de boa-fé. As auditorias do Cliente devem ser limitadas a auditorias remotas sempre que possível. Se for obrigatória a auditoria no local, ela não deverá exceder 1 dia útil. Além de tais restrições, as partes irão usar as certificações atuais ou outros relatórios de auditoria para evitar ou minimizar auditorias repetitivas. O Cliente deve fornecer os resultados de qualquer auditoria à SAP.
6.4. Custo das auditorias
O Cliente deve arcar com os custos de qualquer auditoria, salvo se tal auditoria revelar violação material deste DPA pela SAP, situação em que a SAP deverá arcar com as suas despesas relacionadas a uma auditoria. Se uma auditoria determinar que a SAP violou suas obrigações nos termos do DPA, a SAP deverá sanar imediatamente a violação, às suas custas.
7. OPERADORES SUBCONTRATADOS
7.1. Uso autorizado
A SAP recebe uma autorização geral para subcontratar o processamento de Dados Pessoais para Operadores Subcontratados, desde que:
a) a SAP ou a SAP SE, em seu nome, celebre um contrato por escrito com os Operadores Subcontratados (inclusive em formato eletrônico) consistente com os termos deste DPA em relação ao processamento de Dados Pessoais pelo Operador Subcontratado. A SAP será responsabilizada por violações pelo Operador Subcontratado de acordo com os termos deste Contrato;
b) a SAP avalie a segurança, a privacidade e a confidencialidade de um Operador Subcontratado antes de selecioná-lo, para verificar se ele é capaz de fornecer o nível de proteção aos Dados Pessoais exigidos pelo presente DPA;
c) para o Suporte da SAP, a lista de Operadores Subcontratados da SAP em vigor na data de início de vigência do Contrato seja publicada pela SAP no My Trust Center ou a SAP disponibilize a lista ao Cliente mediante solicitação, incluindo o nome, o endereço e a função de cada Operador Subcontratado que a SAP usa para fornecer o SAP Service; e
d) Para os Serviços Profissionais, a SAP, mediante solicitação do Cliente, disponibilize uma lista ou identifique tais operador subcontratados antes do início dos SAP Services aplicáveis.
7.2. Novos Operadores Subcontratados
7.2.1. O uso de Operadores Subcontratados pela SAP fica a seu próprio critério, ficando estabelecido que:
a) a SAP deve informar previamente ao Cliente sobre todas as inclusões ou substituições pretendidas para a lista de Operadores Subcontratados, incluindo nome, endereço e função do novo Operador Subcontratado (i) para o Suporte da SAP, publicando no My Trust Center ou por e-mail, mediante registro do Cliente no SAP Portal e (ii) para os Serviços Profissionais, mediante publicação similar no My Trust Center, por e-mail ou qualquer outra forma escrita;
b) o Cliente poderá se opor a tais modificações, conforme definido nesta Seção 7.2.2.
7.2.2. Objeções a novos Operadores Subcontratados
7.2.2.1. Suporte da SAP
Se o Cliente tiver razão legítima de acordo com a Lei de Proteção de Dados para se opor ao novo processamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá cancelar o Suporte da SAP mediante notificação por escrito à SAP. Tal notificação deverá ser fornecida à SAP em até 30 dias a partir da data que a SAP informar ao Cliente sobre o novo Operador Subcontratado. Se o Cliente não fornecer à SAP uma notificação de cancelamento no período de 30 dias, o Cliente terá aceito tacitamente o novo Operador Subcontratado. Dentro do período de 30 dias a partir da data que a SAP informar ao Cliente sobre o novo Operador Subcontratado, o Cliente poderá solicitar que as partes se reúnam para discutir, de boa-fé, uma solução quanto à objeção. Tais discussões não devem extrapolar o prazo para envio de notificação de cancelamento à SAP e não afetam o direito da SAP de usar o novo Operador Subcontratado após o período de 30 dias.
7.2.2.2. Serviços Profissionais
Se o Cliente tiver uma razão legítima, de acordo com a Lei de Proteção de Dados, relativa ao tratamento de Dados Pessoais pelo Operador Subcontratado, o Cliente poderá se opor ao uso de um Operador Subcontratado pela SAP mediante notificação por escrito à SAP em até 5 dias úteis após a informação pela SAP. Se o Cliente se opuser ao uso do Operador Subcontratado as partes deverão discutir, de boa-fé, uma solução. A SAP pode optar por: (i) não usar o Operador Subcontratado, (ii) adotar as medidas corretivas
sugeridas pelo Cliente ao se opor e usar o Operador Subcontratado ou (iii) se não for possível, usar o Operador Subcontratado. Se nenhuma dessas opções for razoavelmente possível e o Cliente continuar se opondo mediante justificativa legítima, as partes poderão cancelar o serviço aplicável mediante notificação por escrito com antecedência de 5 dias. Se o Cliente não se opuser dentro de 5 dias do recebimento da notificação, o Operador Subcontratado será considerado aceito pelo Cliente. Se a objeção do Cliente permanecer não solucionada até 30 dias após ser apontada e se a SAP não receber nenhum tipo de notificação de cancelamento, o Operador Subcontratado será considerado aceito pelo Cliente.
7.2.3. Qualquer cancelamento nos termos desta Cláusula será considerado sem culpa por qualquer uma das partes e estará sujeito aos termos do Contrato.
7.3. Substituição de Emergência
8. TRATAMENTO INTERNACIONAL
8.1. Condições para o Tratamento Internacional
De acordo com este DPA, a SAP terá o direito de tratar Dados Pessoais, inclusive através do uso de Operadores Subcontratados, fora do país em que o Cliente está localizado, conforme permitido pela Lei de Proteção de Dados.
8.2. Aplicabilidade das Cláusulas Contratuais Padrão (2010).
a) a SAP e o Cliente assinam as Cláusulas Contratuais Padrão (2010);
c) outros Controladores autorizados pelo Cliente a incluir Dados Pessoais, nos termos do Contrato, também podem celebrar as Cláusulas Contratuais Padrão (2010) com a SAP e/ou com os Operadores Subcontratados do mesmo modo que o Cliente, de acordo com as Cláusulas 8.2.1 a) e b) acima. Nesse caso, o Cliente celebrará as Cláusulas Contratuais Padrão (2010) em nome de outros Controladores.
8.2.2. As Cláusulas Contratuais Padrão (2010) são regidas pela legislação do país em que o Controlador é constituído.
8.3. Aplicabilidade das Novas Cláusulas Contratuais Padrão
8.3.1. O disposto a seguir é aplicável a partir de 27 de setembro de 2021 e só se aplica em relação às Novas Transferências Aplicáveis às SCCs.
8.3.1.1. Quando a SAP não está localizada em um País Terceiro e atuar como exportadora de dados, a SAP (ou a SAP SE em seu nome) celebrou as Novas Cláusulas Contratuais Padrão com cada Operador Subcontratado como importador de dados. O Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão será aplicável às Novas Transferências Aplicáveis às SCCs.
8.3.1.2. Quando a SAP está localizada em um País Terceiro:
A SAP e o Cliente, por meio deste instrumento, celebram as Novas Cláusulas Contratuais Padrão com o Cliente como exportador de dados e a SAP como importador de dados, que se aplica da seguinte forma:
a) o Módulo 2 (Controlador para Operador) será aplicado quando o Cliente for um Controlador; e
b) o Módulo 3 (Operador para Operador) será aplicado quando o Cliente for um Operador. Quando o Cliente atua como Operador no Módulo 3 (Operador para Operador) das Novas Cláusulas Contratuais Padrão, a SAP reconhece que o Cliente atua como Operador de acordo com as instruções de seus Controladores.
8.3.2. Outros Controladores ou Operadores cujo uso dos Serviços de Suporte ou dos Serviços Profissionais da SAP tenha sido autorizado pelo Cliente nos termos do Contrato também podem celebrar as Novas Cláusulas Contratuais Padrão com a SAP da mesma maneira que o Cliente, de acordo com a Cláusula 8.3.1.2 8.3.1.2 acima. Nesse caso, o Cliente celebrará as Novas Cláusulas Contratuais Padrão em nome de outros Controladores ou Operadores.
8.3.3. Em relação a uma Nova Transferência Aplicável às SCCs, mediante solicitação de um Titular dos Dados para o Cliente, o Cliente pode disponibilizar uma cópia do Módulo 2 ou 3 das Novas Cláusulas Contratuais Padrão celebradas entre o Cliente e a SAP (incluindo os Anexos aplicáveis), para os Titulares dos Dados.
8.3.4. A legislação aplicável às Novas Cláusulas Contratuais Padrão será a da Alemanha.
8.4. Relação das Cláusulas Contratuais Padrão com o Contrato
Nenhum dispositivo do Contrato prevalecerá sobre qualquer Cláusula conflitante das Cláusulas Contratuais Padrão (2010) nem sobre as Novas Cláusulas Contratuais Padrão. As regras de auditoria e de Operador Subcontratado previstas neste DPA também são aplicáveis em relação às Cláusulas Contratuais Padrão (2010) e às Novas Cláusulas Contratuais Padrão.
8.5. Direitos de Terceiros Beneficiários previstos nas Novas Cláusulas Contratuais Padrão
8.5.1. Quando o Cliente estiver localizado em um País Terceiro e estiver atuando como importador de dados no Módulo 2 ou Módulo 3 das Novas Cláusulas Contratuais Padrão e a SAP estiver atuando como operador subcontratado do Cliente nos termos do Módulo aplicável, o respectivo exportador de dados terá o seguinte direito como terceiro beneficiário:
8.5.2. Caso o Cliente deixe de existir ou se torne insolvente (em todos os casos sem uma empresa sucessora que tenha assumido as obrigações legais do Cliente por contrato ou por força de lei), o exportador de dados aplicável terá o direito de cancelar o Serviço afetado somente na medida em que os Dados Pessoais do exportador de dados sejam tratados. Nesse caso, o respectivo exportador de dados também instruirá a SAP sobre apagar ou devolver os Dados Pessoais.
9. DOCUMENTAÇÃO; REGISTROS DE TRATAMENTO
Cada parte é responsável pela conformidade com seus requisitos de documentação, em especial quanto à manutenção de registros de tratamento onde exigido pela Lei de Proteção de Dados. As partes devem se auxiliar em relação às solicitações de documentação, inclusive fornecendo informações que a outra parte necessite conforme solicitado de forma razoável (uso de sistema eletrônico, por exemplo), para permitir que a outra parte cumpra as obrigações relacionadas à manutenção de registros de tratamento.
Anexo 1 Descrição do tratamento
Este Anexo 1 se aplica para descrever o Tratamento de Dados Pessoais para os fins das Cláusulas Contratuais Padrão (2010), Novas Cláusulas Contratuais Padrão e Lei de Proteção de Dados aplicável.
1. A. LISTA DE PARTES
1.1. De acordo com as Cláusulas Contratuais Padrão (2010)
1.1.1. Exportador de Dados
O exportador de dados é o Cliente que celebrou uma Licença de Software e um Contrato de Suporte e/ou um Contrato de Serviços com a SAP sob o qual ele se beneficia do SAP Service conforme descrito no
Contrato aplicável. O exportador de dados permite que outros Controladores usem o SAP Service, esses outros Controladores também serão exportadores de dados.
1.1.2. Importador de Dados
A SAP e seus Operadores Subcontratados fornecem o SAP Service definido no Contrato relevante celebrado pelo exportador de dados, que inclui as Cláusulas Contratuais Padrão (2010).
1.2. Sob as novas cláusulas contratuais padrão
1.2.1. Módulo 2: Transferência Controlador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será o Controlador e a SAP será o Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
1.2.2. Módulo 3: Transferência Operador para Operador
Quando a SAP estiver localizada em um País Terceiro, o Cliente será um Operador e a SAP será um Operador, o Cliente será o exportador de dados e a SAP será o importador de dados.
2. B. DESCRIÇÃO DA TRANSFERÊNCIA
2.1. Titulares dos Dados
Salvo se de outra forma previsto pelo exportador de dados, os Dados Pessoais transferidos são relativos às seguintes categorias de Titulares dos Dados: funcionários, contratados, Parceiros de Negócio ou outros indivíduos que possuem Dados Pessoais armazenados, transmitidos, disponibilizados, acessados ou de outra forma tratados pelo importador de dados.
2.2. Categorias de Dados
Os Dados Xxxxxxxx transferidos referem-se às seguintes categorias de dados:
O Cliente determina as categorias de dados e/ou campos de dados que podem ser transferidos de acordo com o SAP Service conforme definido no Contrato aplicável. Os Dados Pessoais transferidos normalmente se referem às seguintes categorias de dados: nome, números de telefone, endereço de e-mail, dados de endereço, dados de acesso/uso/autorização do sistema, nome de empresa, dados de contrato, dados de fatura, além de dados específicos de aplicativo, transferidos pelos Usuários Autorizados, podendo incluir dados financeiros como conta bancária, de cartão de crédito ou débito.
2.3. Categorias de Dados Especiais (se apropriado)
2.3.1. Os Dados Xxxxxxxx transferidos podem abranger categorias especiais de dados pessoais definidas no Contrato ("Dados Confidenciais"). A SAP adotou Medidas Técnicas e Organizacionais conforme definido no Anexo 2 para garantir um nível de segurança adequado a fim de proteger também os Dados Confidenciais.
2.3.2. A transferência de Dados Confidenciais pode acionar a aplicação das seguintes restrições adicionais ou proteções, se necessário, para levar em consideração a natureza dos dados e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, se aplicável:
a) treinamento de pessoal;
b) criptografia dos dados em trânsito e em repouso;
c) registro em log de acesso ao sistema e registro em log de acesso a dados gerais.
2.4. Objetivos da transferência de dados e continuação do tratamento; tipo do tratamento
2.4.1. Os Dados Pessoais transferidos estão sujeitos a atividades de tratamento básico conforme definido no Contrato, que podem incluir:
a) uso de Dados Pessoais para fornecer o SAP Service;
b) armazenamento de Dados Pessoais;
c) tratamento computadorizado de Dados Pessoais para transmissão de dados;
d) melhoria contínua dos recursos e funcionalidades de serviço fornecidos como parte do Serviço de Suporte ou Profissional da SAP incluindo automação, tratamento de transações e machine learning; e
e) execução de instruções do Cliente de acordo com o Contrato.
2.4.2. De acordo com o Contrato de Licenciamento de Software e Suporte: a SAP ou seus Operadores Subcontratados fornecem suporte quando o Cliente envia um ticket de suporte devido ao Software não estar disponível ou não funcionar conforme o esperado. Eles atendem chamadas telefônicas, realizam soluções de problemas simples e processam tickets de suporte em um sistema de rastreamento.
2.4.3. De acordo com o Contrato de Serviços para os Serviços Profissionais: a SAP e/ou seus Operadores Subcontratados fornecem Serviços sujeitos aos Serviços do Formulário de Pedido e ao Documento de Definição de Escopo aplicável.
2.5. Descrição adicional em relação às Novas Cláusulas Contratuais Padrão Módulos aplicáveis das Novas Cláusulas Contratuais Padrão
a) Módulo 2: Transferência Controlador para Operador
b) Módulo 3: Transferência Operador para Operador
2.6. A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua): As transferências devem ser feitas continuamente.
2.7. O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período:
Os Dados Pessoais devem ser retidos durante o prazo de vigência do Contrato, sujeito à Cláusula 5 do DPA.
2.8. Para transferências para (sub) operadores, indique também o assunto, a natureza e a duração do tratamento:
Em relação às Novas Cláusulas Contratuais Padrão, as transferências para Operadores Subcontratados serão as mesmas estabelecidas no DPA.
3. C. AUTORIDADE SUPERVISORA COMPETENTE
3.1. Em relação às Novas Cláusulas Contratuais Padrão:
3.1.1. Módulo 2: Transferência Controlador para Operador
3.1.2. Módulo 3: Transferência Operador para Operador
3.2. Quando o Cliente for o exportador de dados, a autoridade supervisora será aquela que supervisiona o Cliente de acordo com a Cláusula 13 das Novas Cláusulas Contratuais Padrão.
Anexo 2 - Medidas Técnicas e Organizacionais
Este Anexo 2 se aplica para descrever as medidas técnicas e organizacionais aplicáveis para os fins das Cláusulas Contratuais Padrão (2010), das Novas Cláusulas Contratuais Padrão e da Lei de Proteção de Dados aplicável.
A SAP aplicará e manterá as Medidas Técnicas e Organizacionais.