POLÍTICA DE PRIVACIDADE DE DADOS ENTRE CONTROLADOR/OPERADOR X OPERADOR/SUBOPERADOR
POLÍTICA DE PRIVACIDADE DE DADOS ENTRE CONTROLADOR/OPERADOR X OPERADOR/SUBOPERADOR
PROTEÇÃO DE DADOS PESSOAIS
Caso a execução do Contrato requeira que a CONTRATADA efetue qualquer tratamento de Xxxxx Xxxxxxxx, que estejam sobre controle da CONTRATANTE, aplicar-se-á a presente Cláusula.
1. Definições
(a) "Controlador", "Operador", "Titular dos dados", "Dados Pessoais", "Tratamento" terão os significados definidos na Lei Geral de Proteção de Dados; e
(b) “Lei de Proteção de Dados” significa o conjunto de todas as leis, normas e regulamentos que regem o tratamento de Dados Pessoais, especificamente a Lei Geral de Proteção de Dados – Lei nº 13.709 de 14/08/2018 (“LGPD”), assim como as normas e regulamentos adotados pelas autoridadesde proteção de dados brasileiras.
(c) CONTRATANTE: será sempre a Campana Contábil, que poderá assumir, dependendo do contexto de suas atividades com seus clientes, a figura de Controlador ou Operador.
(d) CONTRATADO(A): sempre sempre as empresas contratadas pela Campana Contábil, as quais receberão dados dela para fins de tratamento, podendo assumir o papel de Operador ou SubOperador.
(e) A Campana Contábil, diante de suas atividades, poderá assumir a posição de Controlador de Dados Pessoais, quando assim receber instruções diretamente de pessoas físicas (clientes/colaboradores), bem como será considerada Operadora, ao passo que ela poderá, na posição de Contratada, receber Dados Pessoais de seus clientes pessoas jurídicas (controlador), os quais repassarão Dados Pessoais de sua posse para a Campana Contábil e, essa última poderá manter relação de negócios com empresas terceiras para viabilizar os serviços. Neste último caso, os terceiros com relação de negócios com a Campana Contábil assumirão a posição de Operador/SubOperador.
2. Relacionamento das partes
2.1 A CONTRATANTE atuará como “Controlador/Operador” dos Dados Pessoais. A CONTRATADA
atuará como “Operador/SubOperador” dos Dados Pessoais.
2.2 Os Dados Pessoais somente serão tratados nos casos seguintes casos: (i) para o cumprimento de obrigação legal ou regulatória pelo Controlador; e/ou (ii) quando necessário para a execução do Contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; e/ou (iii) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e/ou (iv) quando necessário para atender aos interesses legítimos do Controlador ou de terceiros; e/ou (v) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente; e/ou (vi) mediante o fornecimento de consentimento, por escrito, pelo Titular, caso o tratamento não seja realizado para as hipóteses previstas nos itens acima (“Finalidades Permitidas”).
3. Conformidade das Partes
3.1 O CONTRATADO processará os Dados Pessoais do Controlador somente de acordo com as instruções escritas fornecidas por este. Ademais, caso o CONTRATADO considere que não possui informações suficientes para o tratamento dos Dados Pessoais de acordo com o Contrato ou, ainda, que uma instrução infringe a Lei de Proteção de Dados, o CONTRATADO notificará o Controlador e aguardará novas instruções.
3.2 O CONTRATADO se certificará que seus empregados, representantes, prepostos ou subcontratados autorizados agirão de acordo com este Contrato, a Lei de Proteção de Xxxxx e as instruções transmitidas pelo Controlador. Ademais, o CONTRATADO se certificará que as pessoas autorizadas a tratar os Dados Xxxxxxxx assumam um compromisso de confidencialidade que sejam, pelo menos, tão rigorosos quanto as obrigações de confidencialidade do CONTRATADO nos termos desteContrato ou estejam sujeitas a adequadas obrigações legais de confidencialidade.
3.3 Se o titular dos dados, autoridade de proteção de dados, ou terceiros solicitarem informações para o CONTRATADO relativas ao tratamento de Xxxxx Xxxxxxxx, o CONTRATADO submeterá esse pedido à apreciação do Controlador. O CONTRATADO não poderá, sem instruções prévias do Controlador, transferir ou, de qualquer outra forma, compartilhar e/ou garantir acesso aos Dados Pessoais ou a quaisquer outras informações relativas ao tratamento de Dados Pessoais a qualquer terceiro.
4. Subcontratação
4.1 O CONTRATADO não poderá transferir Dados Pessoais para fora do território nacional, nem terceirizar, para uma subcontratada, o tratamento de Dados Pessoais sem a prévia autorização do Controlador, por escrito.
4.2 Se for aprovada a contratação de subcontratadas, o CONTRATADO assegurará que tais subcontratadas assumam contratualmente o cumprimento de obrigações correspondentes às obrigações contidas neste Contrato. Nos casos em que uma subcontratada deixar de cumprir sua obrigação de proteger os dados, o CONTRATADO será responsável perante o Controlador pelo cumprimento das obrigações da subcontratada.
4.3 Se o Controlador aprovar a utilização de subcontratadas, o CONTRATADO, prontamente, informará o Controlador, por escrito, de quaisquer mudanças pretendidas relativas à adição ou substituição dessas subcontratadas, dando ao Controlador, dessa forma, a oportunidade de impugnar essas mudanças. Caso o Controlador venha a impugnar essas mudanças, o CONTRATADO não procederá com a utilização das subcontratadas.
4.4 Em todo o caso de subcontratação, o CONTRATADO permanecerá integral e solidariamente responsável perante o Controlador pelos atos, erros e omissões de qualquer subcontratado que ele indicar para processar os Dados Pessoais do Controlador. Ademais, antes de uma subcontratação, o CONTRATADO deve realizar as devidas diligências para garantir que a subcontratada seja capaz de fornecer o nível de proteção para os Dados Pessoais do Controlador exigidos pelo Contrato e pela Lei de Proteção de Dados.
5. Transferências internacionais de Dados Pessoais
5.1 Se os Dados Pessoais vierem a ser transferidos para uma subcontratada localizada fora do território nacional, o CONTRATADO assegurará que cláusula semelhante à deste Contrato faça parte do contrato celebrado com a subcontratada ou assegurará que essa transferência seja, de outra forma, permitida pela Lei de Proteção de Dados.
6. Segurança
6.1 Durante todo o prazo do Contrato e em todos os momentos de sua execução, e levando em consideração as técnicas razoáveis, os custos de implementação e a natureza, escopo, contexto e finalidades do tratamento dos Dados Pessoais do Controlador, bem como o risco de probabilidade e severidade variáveis para os direitos e liberdades das pessoas físicas, o CONTRATADO, em relação aos Dados Pessoais do Controlador, implementará e manterá medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco.
6.2 Ao avaliar o nível apropriado de segurança, o CONTRATADO deve levar em conta, em particular, os riscos apresentados pelo processamento de Dados Pessoais do Controlador, em particular, qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração ou divulgação não autorizada ou acesso a essas informações (uma "Violação de Dados").
7. Violações de Dados Pessoais
7.1 Após o CONTRATADO ou qualquer um de seus subcontratados tomar conhecimento de uma violação de dados, o CONTRATADO notificará o Controlador, no mais tardar em vinte e quatro (24) horas após tomar conhecimento de uma Violação de Xxxxx, fornecendo ao Controlador informações suficientes para permitir que ele cumpra todas as obrigações de relatar ou informar os Titulares dos Dados da Violação de Dados. Essa notificação deve conter, no mínimo: (i) descrição da natureza da violação de dados, as categorias e os números dos titulares de dados envolvidos, bem como as categorias e o número aproximado de Dados Pessoais do Controlador implicados; (ii) o nome e os detalhes de contato do responsável pela proteção de dados do CONTRATADO ou outro contato relevantepara que mais informações possam ser obtidas; (iii) descrição das prováveis consequências da violação de dados; e (iv) descrição das medidas adotadas ou propostas de serem adotadas para solucionar a violação de dados, incluindo medidas para mitigar seus possíveis efeitos adversos.
7.2 O CONTRATADO deve cooperar com o Controlador e tomar as medidas razoáveis, conforme as instruções do Controlador, para auxiliar na investigação, mitigação e correção de cada violação de dados.
8. Direitos de Cooperação e dos Titulares dos Dados
8.1 O CONTRATADO, prontamente, prestará assistência ao Controlador, assegurando o cumprimentoda obrigação de responder às solicitações dos titulares de dados, incluindo pedidos de acesso, retificação, bloqueio, restrição, apagamento, portabilidade de dados, ou o exercício de quaisquer outros direitos dos titulares de dados com base na Lei de Proteção de Dados. O CONTRATADO também assistirá o Controlador, por meio da implementação das devidas medidas técnicas e organizacionais sugeridas por este, para que o Controlador possa cumprir suas obrigações de responder a tais pedidos.
8.2 O CONTRATADO prestará assistência ao Controlador no cumprimento de suas outras obrigações, de acordo com a Lei de Proteção de Dados, nos casos em que estiver implícita a assistência do CONTRATADO e/ou nos casos em que for necessária a assistência do CONTRATADO para que o Controlador cumpra suas obrigações, incluindo aquelas relativas à segurança do tratamento, violações de Dados Pessoais, avaliação de impacto de proteção de dados, e consulta prévia a autoridades de proteçãode dados.
9. Avaliação de impacto na proteção de dados e consulta prévia
9.1 O CONTRATADO deve fornecer assistência razoável ao Controlador em todas as avaliações de impacto na proteção de dados e consultas prévias com as autoridades de supervisão ou outras autoridades competentes de privacidade de dados, as quais o Controlador razoavelmente considerar, conforme exigidos pela Lei de Proteção de Dados.
10. Exclusão ou devolução de Dados Pessoais do Controlador
10.1 Após o término ou rescisão do Contrato, o CONTRATADO (mediante solicitação do Controlador) destruirá ou devolverá ao Controlador, a critério deste, todos os Dados Pessoais do Controlador em sua posse ou controle.
11. Direitos de auditoria
11.1 O CONTRATADO disponibilizará ao Controlador, mediante solicitação, todas as informações razoáveis e necessárias para demonstrar a conformidade com o Contrato e permitirá e contribuirá para auditorias, incluindo inspeções, pelo Controlador ou por um auditor mandatado, em relação ao processamento dos Dados Pessoais do Controlador.
12. Responsabilidade das Partes
12.1 As Partes serão responsabilizadas por quaisquer multas impostas por autoridades de proteção de dados, como multa ao Controlador ou ao CONTRATADO por violarem a Lei de Proteção de Dados.
12.2 A Parte culpada pela violação indenizará a Parte inocente, suas afiliadas, e seus respectivos diretores, conselheiros, empregados, prepostos, clientes e representantes contra qualquer responsabilidade, dano, prejuízo, custo e despesas, incluindo, mas não se limitando aos devidos honorários advocatícios, as multas, penalidades ou custos investigativos relativos a demandas contra a Parte inocente que surgirem em razão do não cumprimento por parte da Parte culpada.
13. Ordem de precedência
13.1 Com relação a esta cláusula, no caso de inconsistências entre as disposições desta e quaisquer outras partes do Contrato, as disposições desta Cláusula prevalecerão.
14. Contato
14.1 Direcione as suas dúvidas e solicitações para o “Encarregado pelo tratamento de dados
pessoais da CAMPANA CONTÁBIL (“DPO”)” por meio do e-mail: xxxx@xxxxxxxxxxxxxxx.xxx.xx.