Contract

ANEXO DE PRIVACIDADE E PROTEÇÃO DE DADOS

1 de Outubro de 2020

Este Anexo aplica-se às circunstâncias indicadas abaixo. Em caso de inconsistência ou conflito entre este Anexo e a Documentação do Contrato em relação a uma matéria regulada sob este Anexo, prevalecerá o dispositivo que requeira o mais alto nível de proteção para quaisquer Dados Pessoais ou outras informações da GE reguladas por este Anexo. Os requisitos neste Anexo são complementares a quaisquer obrigações de confidencialidade entre a GE e o Fornecedor sob a Documentação do Contrato. Tanto a GE quanto a Afiliada da GE responsável pela proteção de quaisquer Dados Pessoais ou outras informações da GE reguladas por este Anexo poderão exigir o cumprimento deste Anexo. Este Anexo também será aplicável quando uma afiliada de um Fornecedor fornecer bens, serviços e/ou entregáveis sob a Documentação do Contrato diretamente, em seu próprio nome, caso em que a concordância do Fornecedor aos termos deste Anexo também será concedida por conta e ordem da afiliada do Fornecedor; e o Fornecedor garante que tem o poder e a autoridade para fazê-lo por conta e ordem de sua afiliada.

Conforme utilizados neste Anexo, "Fornecedor" significará o Fornecedor e a afiliada do Fornecedor, coletivamente

CLÁUSULA I - DEFINIÇÕES

As seguintes definições e regras de interpretação aplicam-se a este Anexo. Quaisquer palavras seguidas dos termos "inclui", "incluindo", "por exemplo" ou qualquer outra expressão similar são somente para fins ilustrativos.

(i) Documentação do Contrato significa o contrato, acordo, Statement of Work - SOW (especificação de trabalho), pedido de compra (PO) ou outro documento que regule o fornecimento de bens, a prestação de serviços, e/ou entregáveis pelo Fornecedor à GE.

(ii) Dados Controlados são as informações técnicas ou governamentais cujos critérios ou requisitos de distribuição ou manuseio são prescritos por lei ou regulamentação governamental, incluindo, mas sem limitação, informações controladas não classificadas e dados controlados que exijam licença para exportação, que sejam fornecidas pela GE a um Terceiro ou criadas por um Terceiro em relação à execução ou cumprimento da Documentação do Contrato.

(iii) Uso Beneficiário dos Dados é o uso dos dados de maneira lícita para obter lucro, vantagem ou benefício de tal uso.

(iv) Controlador significa a pessoa física ou jurídica, autoridade pública, agência ou outra entidade que, individualmente ou em conjunto com outros, determina os objetivos e meios para tratamento de dados pessoais.

(v) Operador significa a pessoa física ou jurídica, autoridade pública, agência ou outra entidade que trata dados pessoais em nome do controlador.

(vi) Titular dos Dados significa uma pessoa física identificada ou identificável

(vii) GE significa a General Electric Company ou uma Afiliada GE que seja parte de uma Documentação do Contrato com o Fornecedor.

(viii) Afiliada GE significa qualquer empresa que seja direta ou indiretamente controladora, controlada ou sob o controle comum com a GE, quer existente agora ou que seja organizada ou adquirida posteriormente durante o prazo da Documentação do Contrato

(ix) Informação Confidencial da GE é a informação criada, coletada ou modificada pela GE que tem o potencial ou representaria um risco de causar dano à GE caso revelada ou utilizada indevidamente, e que seja fornecida e identificada como tal ao Fornecedor sob a Documentação do Contrato. A Informação Confidencial da GE inclui, mas sem limitação, Informações Altamente Confidenciais, Dados Pessoais de qualquer jurisdição, Dados Controlados ou Dados Pessoais Sensíveis.

(x) Informações Altamente Confidenciais da GE é a Informação Confidencial da GE que a GE identifique como "altamente confidencial" na Documentação do Contrato, ou que a GE identifique como "Restrita", "Altamente Confidencial" ou de forma similar no momento da divulgação.

(xi) Sistema(s) de Informação da GE significa quaisquer sistemas e/ou computadores gerenciados pela GE, incluindo

laptops e dispositivos de rede.

(xii) Dispositivos Móveis significa tablets, smartphones e dispositivos similares que operem sistemas operacionais móveis. Laptops não são considerados Dispositivos Móveis.

(xiii) Lei de Privacidade Compreensiva significa uma lei nacional de privacidade compreensiva que defina e reconheça partes como Controladores e Operadores (ou apliquem conceitos similares como denominação diferente, como por exemplo o GDPR ou a LGPD).

(xiv) Dado Pessoal significa qualquer informação relacionada a uma pessoa física identificada ou identificável (Titular dos Dados) em ou de qualquer jurisdição, conforme definido pelas leis aplicáveis, que seja Tratado em relação a uma Documentação de Contrato. Pessoas jurídicas serão Titulares dos Dados quando exigido por lei. Dados Pessoais serão, no mínimo, Informação Confidencial da GE.

(xv) Tratar(Tratamento) significa a realização de qualquer operação ou conjunto de operações com Informações Confidenciais da GE, quer por meios automatizados ou não, incluindo, mas sem limitação, a coleta, gravação, organização, armazenamento, adaptação ou alteração, recuperação, acesso, consulta, uso, divulgação por transmissão, disseminação, ou disponibilização de qualquer outra forma, alinhamento ou combinação, bloqueio, exclusão ou destruição.

(xvi) Incidente de Segurança significa qualquer evento em que uma Informação Confidencial da GE seja ou tenha suspeita

de ter sido perdida, roubada, alterada indevidamente, destruída indevidamente, usada para uma finalidade não

permitida sob a Documentação do Contrato ou este Anexo, ou acessada por qualquer pessoa que não os Funcionários do Fornecedor de acordo com a Documentação do Contrato ou este Anexo.

(xvii) Dado Pessoal Sensível é uma categoria de Dados Pessoais considerada como especialmente sensível, e inclui dados médicos e outras informações pessoais de saúde, incluindo informação de saúde protegida, conforme definido e sujeito à Lei Norte-Americana de Seguro de Saúde e Portabilidade de 1996, quando aplicável, dados de conta bancária pessoal, informações de cartões de pagamento, identificadores nacionais, e categorias especiais de dados sob a legislação aplicável (tais como dados de origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, informação sobre filiação sindical, dados genéticos e biométricos, dados sobre a vida particular e orientação sexual). Em algumas jurisdições, "Dados Pessoais Sensíveis" são um termo definido. Quando alguma lei ou regulamentação que contiver tal definição para uma jurisdição for aplicável, a expressão "Dado Pessoal Sensível" conforme definida neste Anexo será interpretada de forma a incluir, sem limitação, todas as categorias de dados ou informações contidos na definição de tal legislação da jurisdição aplicável.

(xviii) Fornecedor é a empresa que fornece bens, serviços e/ou entregáveis à GE de acordo com a Documentação do Contrato. Um Fornecedor também pode ser referido como um Terceiro.

(xix) Sistema(s) de Informação do Fornecedor significa quaisquer sistemas e/ou computadores do Fornecedor utilizados para Tratar, armazenar, transmitir e/ou acessar Informação Confidencial da GE de acordo com uma Documentação do Contrato, incluindo laptops e dispositivos de rede.

(xx) Funcionários do Fornecedor significa todas as pessoas ou entidades que prestem serviços e/ou entregáveis sob a

Documentação do Contrato, incluindo os empregados do Fornecedor, afiliadas e terceiros aprovados (for exemplo, fornecedores, contratados, subcontratados e agentes), bem como qualquer terceiro que seja direta ou indiretamente empregado, contratado ou esteja agindo em nome de qualquer um deles.

(xxi) Conexão de Rede de Terceiro Confiável é um segmento fisicamente isolado de uma rede de Terceiro conectado à rede interna da GE de maneira idêntica a um escritório padrão da GE.

CLÁUSULA II– REQUISITOS DE SEGURANÇA DA INFORMAÇÃO. Esta Cláusula II aplica-se sempre que um Fornecedor e/ou Funcionários do Fornecedor Tratarem Informações Confidenciais da GE, tenham acesso a Sistemas de Informação da GE em relação a uma Documentação do Contrato, ou forneçam determinados serviços à GE.A exceção é quando o Fornecedor Tratar da Informação Confidencial da GE que for limitada a Dado Pessoal; e quando para fins deste Anexo tanto a GE quanto o Fornecedor forem Controladores independentes; em tais circunstâncias, somente o disposto na Cláusula I e na Cláusula III(B)(2) será aplicável aos Dados Pessoais Tratados pelo Fornecedor. Para fins de esclarecimento, esta Cláusula II será aplicável a qualquer Informação Confidencial da GE que não seja Dado Pessoal tratado pelo Fornecedor/Controlador, tais como informações técnicas ou de financeiras do negócio. Os termos grafados em maiúscula utilizados nesta Cláusula II e não definidos neste Anexo terão o significado atribuído a eles no documento Requisitos de Segurança da Informação para Terceiros da GE referenciado neste instrumento.

Parte A: Controles de Segurança

O Fornecedor deverá cumprir com os Requisitos de Segurança da Informação para Terceiros da GE (disponível em xxxx://xxx.xxxxxxxxxx.xxx/xxxx/XXXxxxxxxx.xxx), conforme aplicável aos serviços, produtos e/ou entregáveis fornecidos pelo Fornecedor sob a Documentação do Contrato, se o Fornecedor for:

1. tratar Informação Confidencial da GE, inclusive se for hospedar aplicativos ou fornecer uma plataforma de computação na nuvem,

2. ter acesso a um Sistema de Informação da GE ou a uma Conexão de Rede de Terceiro Confiável,

3. desenvolver software para a GE

4. fornecer serviços de data center,

5. prestar suporte a uma ou múltiplas funções de negócio críticas conforme definidas pela GE,

6. fornecer requisitos de alta disponibilidade ou serviços ou aplicações de Terceiros que tenham requisitos de alta disponibilidade conforme definidos pela GE,

7. usar a virtualização, for responsável pelo gerenciamento de hipervisor ou imagem de máquina virtual, e Tratar Informações Altamente Confidenciais da GE, Informações Confidenciais, Dados Controlados, ou Dados Pessoais Sensíveis, e/ou,

8. fornecer um produto que inclua um código binário executável.

Parte B: Incidentes de Segurança

1. O Fornecedor notificará a GE sem atraso não justificado, e em prazo não superior do que 72 horas após a descoberta, ou antes se exigido pela legislação aplicável, de qualquer Incidente de Segurança do Fornecedor ou de seus sub-operadores. O Fornecedor reportará o Incidente de Segurança para o Time de Resposta a Incidentes de Cyber- segurança da GE no endereço de e-mail xxxxxxxx@xx.xxx. O Fornecedor cooperará com a GE na investigação de um Incidente de Segurança,

e fornecerá à GE uma descrição detalhada do Incidente de Segurança, os tipos de dados que foram objeto do Incidente de

Segurança, a identidade de cada pessoa afetada, a identidade de cada pessoa afetada, e qualquer outra informação que a GE possa razoavelmente solicitar, tão logo referida informação possa ser coletada ou de outro modo se torne disponível.

2. A menos que proibido por lei, o Fornecedor fornecerá à GE notificação razoável, e a oportunidade de comentar e aprovar o conteúdo de qualquer comunicação ou notificação relativa a um Incidente de Segurança anteriormente à publicação ou comunicação a qualquer terceiro, ressalvado todavia que a GE não poderá recusar o conteúdo de um comunicado de segurança que deva ser incluído para atender ao disposto na legislação aplicável.

3. Caso a GE decida enviar uma Notificação de Segurança em relação a um Incidente de Segurança, o Fornecedor deverá fornecer informações, de forma razoável e tempestiva, em relação ao conteúdo e distribuição de referida Notificação de Segurança conforme permitido pela legislação aplicável ou regulamentação de acordo com a Notificação de Segurança.

4. Exceto em relação a Notificações de Segurança aprovadas, ou em relação a autoridades governamentais ou de outra forma exigida pela legislação aplicável, o Fornecedor não poderá fazer quaisquer declarações públicas em relação ao envolvimento da GE com um Incidente de Segurança a quaisquer terceiros sem a autorização expressa e por escrito do Departamento Jurídico da GE.

Parte C: Direitos de Auditoria da GE

1. A GE reserva-se o direito de conduzir uma auditoria, mediante notificação com antecedência de 30 dias, em relação ao cumprimento pelo Fornecedor com os requisitos deste Anexo, incluindo, mas sem limitação, em relação à: (i) revisão das políticas, processos e procedimentos aplicáveis do Fornecedor; (ii) revisão dos resultados da avaliação de vulnerabilidade do Fornecedor mais recentes, e os respectivos planos de remediação; e (iii) avaliações presenciais no local (on site) durante o horário comercial regular do Fornecedor em relação aos arranjos de segurança física e aos Sistemas de Informação do Fornecedor. A GE reserva-se o Direito de conduzir uma Avaliação de Vulnerabilidade de um Aplicativo caso as avaliações de vulnerabilidade do Fornecedor não atendam ou excedam aos requisitos de segurança de aplicações da GE. Referido direito permanecerá em vigor após o término ou rescisão da Documentação do Contrato por qualquer motivo, por todo o prazo em que o Fornecedor Tratar Informações Confidenciais da GE.

2. Sujeito às obrigações de Confidencialidade da Documentação do Contrato, a GE ou seus representantes poderão revisar, auditar, monitorar, interceptar, acessar ou revelar quaisquer informações fornecidas pelo Fornecedor que sejam Tratadas ou armazenadas nos Sistemas de Informação da GE ou em Dispositivos Móveis da Ge que acessem a rede da

GE.

Parte D: Requisitos Regulatórios Adicionais

Caso um Fornecedor Trate Informações Confidencias da GE que estejam sujeitas a requisitos adicionais regulatórios, ou de uma maneira que possa estar sujeita a requisitos regulatórios adicionais, o Fornecedor concorda em cooperar com a GE para o cumprimento pela GE com referidos requisitos. Tal cooperação poderá incluir, mas sem limitação, a assinatura de acordos adicionais conforme exigido pela legislação aplicável (p.ex., as Cláusulas Padrão Contratuais da União Europeia, o Acordo sobre Informações de Saúde Protegidas dos Estados Unidos), e cumprimento com requisitos adicionais de segurança, completar e a conclusão de petições e pedidos de registro regulatórios aplicáveis ao Fornecedor, e a participação em auditorias regulatórias.

Parte E: Funcionários do Fornecedor

O Fornecedor é responsável pelo cumprimento deste Anexo por todos os Funcionários do Fornecedor. Antes de fornecer qualquer acesso a qualquer Informação Confidencial da GE a qualquer Funcionário do Fornecedor, o Fornecedor deverá obrigar-se a cumprir com os requisitos aplicáveis da Documentação do Contrato e este Anexo. O Fornecedor tomará as medidas razoáveis para garantir a continuidade do cumprimento dos requisitos pelos Funcionários do Fornecedor. O Fornecedor não poderá nomear qualquer terceiro na prestação dos serviços e/ou dos entregáveis sob a Documentação do Contrato sem o consentimento prévio e por escrito da GE. Caso referido consentimento tenha sido dado, qualquer modificação de tal terceiro exigirá aprovação prévia e por escrito da GE. O Fornecedor deverá fornecer à GE uma lista dos sub-operadores, e tem a obrigação contínua de atualizar

referida lista.

Parte F: Uso Beneficiário dos Dados

O Uso Beneficiário dos Dados da GE é definido somente pela GE. Os usos pelo Fornecedor dos dados da GE é limitado exclusivamente aos usos que sejam explicitamente acordados sob este instrumento, ou de outro modo autorizados por escrito

pela GE.

Parte G: Devolução da Informação Confidencial da GE e Rescisão ou Término

O Fornecedor, em até 30 (trinta) dias após o término ou rescisão da Documentação do Contrato, ou se solicitado pela GE durante o prazo da Documentação do Contrato, deverá cessar todo o Tratamento da Informação Confidencial da GE e devolver à GE todas as cópias da Informação Confidencial da GE. Como alternativa à devolução das cópias, a GE poderá, a seu exclusivo critério, requerer que o Fornecedor destrua todas as cópias da Informação Confidencial da GE, utilizando métodos acordados para garantir que a Informação Confidencial da GE não seja recuperável, e certificar que concluiu referida destruição. O Fornecedor poderá continuar a reter a Informação Confidencial da GE para além do prazo prescrito nesta cláusula somente quando exigido por lei, ou de acordo com a Documentação do Contrato e/ou padrões regulatórios ou de indústria aplicáveis, desde que (i) o Fornecedor

notifique a GE anteriormente ao término ou rescisão da Documentação do Contrato quanto a referida obrigação, incluindo as

razões específicas para tal retenção; (ii) o Fornecedor tenha um período de retenção e um procedimento para a exclusão segura de referidas cópias documentados, com cópias de back-up retidas somente até o final do período de retenção exigido por lei;

(iii) após tal período, todas as cópias e cópias de back-up sejam excluídas de modo que não sejam recuperáveis; (iv) o Fornecedor não realize qualquer Tratamento da Informação Confidencial da GE exceto aquele necessário para reter ou apagar as cópias relevantes; e (v) o Fornecedor continue a cumprir com todos os requisitos deste Anexo em relação à Informação Confidencial da GE retida até que esta seja apagada de forma segura. A rescisão ou término da Documentação do Contrato por qualquer motivo não isentará o Fornecedor de suas obrigações de continuar a proteger a Informação Confidencial da GE de acordo com os termos da Documentação do Contrato e com este Anexo.

CLÁUSULA III – PRIVACIDADE & PROTEÇÃO DE DADOS PESSOAIS

Parte A. Privacidade & Proteção de Dados Pessoais - Disposições Gerais. Esta Parte A aplica-se sempre que um Fornecedor e/ou os Funcionários do Fornecedor Tratarem Dados Pessoais em relação a uma Documentação do Contrato, exceto quando, para os fins deste Anexo: tanto a GE quanto o Fornecedor forem Controladores de Dados, conforme definido neste Anexo ou na legislação de privacidade aplicável; e desde que as únicas Informações Confidenciais da GE que o Fornecedor Tratar forem Dados Pessoais; em tais circunstâncias, somente o disposto na Cláusula I e na Cláusula III(B)(2) será aplicável.

1. Tratamento. O Fornecedor deverá, e deverá garantir que todos os Funcionários do Fornecedor também o façam:

(a) Somente Tratar Dados Pessoais mediante e em estrito cumprimento às instruções por escrito da GE contidas em uma Documentação do Contrato, e conforme sejam emitidas de tempos em tempos. Caso o Fornecedor acredite que qualquer instrução da GE viole os termos da Documentação do Contrato ou a legislação aplicável, exceto se o Fornecedor for proibido de fazê-lo nos termos da legislação aplicável, o Fornecedor deverá prontamente informar a GE antes de cumprir tal instrução

(b) Tratar todos os Dados Pessoais de forma justa e nos termos da lei, e sempre de acordo com todas as leis aplicáveis às atividades do Fornecedor relativas a Dados Pessoais regidas por este Anexo; e

(c) somente coletar Dados Pessoais diretamente se a GE tiver fornecido sua aprovação prévia e por escrito para referida coleta direta (incluindo quando expressamente previsto em uma Documentação do Contrato), e, quando referida coleta direta tiver sido aprovada pela GE, cumprir com todas as leis e regulamentações de proteção de dados e privacidade, incluindo as obrigações relativas a avisos, consentimento, acesso e correção/exclusão; quaisquer avisos a serem fornecidos e quaisquer linguagens de consentimentos a serem utilizadas quando tais informações forem coletadas diretamente dos Titulares dos Dados estarão sujeitos à aprovação prévia e por escrito da GE.

2. Transferências Internacionais & Locais de Hospedagem. O Fornecedor deverá receber aprovação da GE antes de (i) mover quaisquer Dados Pessoais de jurisdições de hospedagem identificadas na Documentação do Contrato para uma jurisdição de hospedagem diferente; ou (ii) providenciar o acesso remoto a referidos Dados Pessoais a partir de qualquer localidade que não as jurisdições de hospedagem identificadas na Documentação do Contrato; caso a GE aprove, tal aprovação deverá ser condicionada na assinatura de contratos adicionais para facilitar o cumprimento da legislação aplicável.

3. Requisições. A menos que proibido por lei, o Fornecedor deverá notificar prontamente a GE e somente agir mediante instruções da GE em relação a quaisquer requisições por quaisquer terceiros para a divulgação de Dados Pessoais ou para o fornecimento de informações relativas ao Tratamento pelo Fornecedor de Dados Pessoais

4. Confidencialidade & Segurança da Informação. O Fornecedor deverá cumprir com a Cláusula II acima caso o Fornecedor Trate Dados Pessoais em relação à Documentação do Contrato. O Fornecedor deverá limitar a divulgação ou o acesso a Dados Pessoais aos Funcionários do Fornecedor que tenham uma necessidade legítima de negócio de ter acesso em relação à Documentação do Contrato, e que tenham recebido treinamento e instruções adequados em relação aos requisitos da Documentação do Contrato (tais como requisitos de confidencialidade) e este Anexo.

5. Dados Pessoais do Fornecedor. A GE poderá requerer que o Fornecedor forneça determinados Dados Pessoais tais como o nome, endereço, número de telefone, e o endereço de e-mail dos representantes do Fornecedor para facilitar o cumprimento da Documentação do Contrato, e a GE e seus contratados poderão armazenar referidos dados em bases de dados localizadas e acessíveis globalmente por sua equipe global, e usar tais dados para finalidades necessárias em relação ao cumprimento da Documentação do Contrato, incluindo, mas sem limitação, a administração de pagamentos ao Fornecedor. A GE será o Controlador de referidos dados para fins legais, e concorda em empregar medidas técnicas e organizacionais razoáveis para garantir que tais informações sejam tratadas em conformidade com as leis de proteção de dados aplicáveis. O Fornecedor poderá obterá uma cópia das informações pessoais do Fornecedor mediante solicitação por escrito, ou enviar atualizações e correções mediante notificação por escrito à GE. A GE cumprirá a todo tempo a política de privacidade postada em seu website. Caso o Fornecedor requeira Dados Pessoais da GE para satisfazer o cumprimento das obrigações contratuais do Fornecedor, os termos deste parágrafo serão recíprocos.

Parte B. – Jurisdições com Legislações de Proteção de Dados e Privacidade Compreensivas. Esta Parte B aplica-se sempre que o Tratamento de Dados Pessoais pelo Fornecedor e/ou os Funcionários do Fornecedor em relação à Documentação do Contrato

entre no escopo de uma Lei de Privacidade Compreensiva. Além de outras cláusulas aplicáveis deste Anexo, para cumprir com

os requisitos de uma Lei de Privacidade Compreensiva aplicável, o Fornecedor concorda com as seguintes disposições (as quais prevalecerão em caso de conflito com outras disposições deste Anexo).

1. Caso o Fornecedor seja um Operador, conforme definido pela Lei de Privacidade Compreensiva aplicável, em relação à Documentação do Contrato:

a. O Fornecedor deverá prestar assistência em relação ao cumprimento das obrigações da GE sob a legislação aplicável, incluindo:

i. preparação de Relatórios de Impacto à Proteção de Dados Pessoais (quando necessário);

ii. respostas a direitos de acesso dos Titulares dos Dados; e

iii. quaisquer notificações de incidentes necessárias para Autoridades de Proteção de Dados e Titulares de Dados.

b. O Fornecedor deverá fornecer à GE as informações ou dados necessários para responder aos direitos de acesso dos Titulares dos Dados em até no máximo 10 (dez) dias.

c. Caso o Fornecedor receba diretamente quaisquer requisições de direitos de acesso de Titulares de Dados , ou ainda se o Fornecedor for contatado por um Titular dos Dados com perguntas em relação a qualquer Tratamento de Dados Pessoais para a GE, o Fornecedor não deverá responder a tal solicitação de direito de acesso a menos que exigido pela legislação aplicável, deverá prontamente notificar por escrito a GE sobre a requisição, e deverá direcionar o Titular dos Dados à GE.

d.O Fornecedor deverá prestar assistência à GE na obtenção de aprovação para o Tratamento das Autoridades de Proteção de Dados quando necessário.

e. O Fornecedor deverá, caso a GE assim escolha, ou devolver ou destruir os Dados Pessoais mediante o término ou rescisão da Documentação do Contrato (exceto conforme seja exigido pela legislação aplicável).

f. Mediante solicitação, o Fornecedor deverá fornecer à GE todas as informações necessárias para demonstrar o cumprimento pelo Fornecedor da legislação aplicável.

g. Caso o Tratamento de Dados Pessoais tanto pela GE quanto pelo Fornecedor esteja localizado na União Europeia (UE), Espaço Econômico Europeu (EEE), Reino Unido, Suíça, ou qualquer outra jurisdição em que uma Lei de Privacidade Compreensiva seja aplicável, ou o Tratamento pelo Fornecedor ocorra fora da UE, EEE e/ou Reino Unido ou Suíça, e as transferências internacionais relacionadas estejam sujeitas a um mecanismo de transferência que não as Cláusulas Contratuais Padrão da EU ou outro mecanismo de transferência reconhecido (p.ex., adequação, normas corporativas globais (BCRs) do Fornecedor como Operador, ou o Privacy Shield da EU/Suíça para os Estados Unidos), as categorias de Dados Pessoais dos Titulares dos Dados Tratados e os tipos de tais Dados Pessoais Tratados poderão envolver o seguinte:

Categorias de Titulares dos Dados

Empregados, estagiários, trainees, candidatos; trabalhadores autônomos ou temporários; diretores e outros cujas informações pessoais sejam compartilhadas com a GE no contexto de uma relação de emprego; fornecedores; distribuidores e agentes; parceiros; potenciais clientes; e clientes (os quais, no caso da GE Healthcare, poderão incluir pacientes).

Tipos de Dados Pessoais

Dados de identificação (nome, sobrenome, endereço, endereço de email, data e outras informações de identificação); dados de identificação profissional (CV, status profissional, formação, prêmios, descrição do cargo, posição hierárquica, níveis de performance); informações financeiras e econômicas (dados bancários, salário); dados de log no sistema; outros dados pessoais que possam estar contidos em comunicações relacionadas ao negócio e demais interações, sistemas internos e dados de log; e dados pessoais sensíveis, incluindo informações sobre dados de origem racial ou étnica, opiniões políticas, religiosas ou filosóficas, filiação a sindicato, vida sexual, dados de saúde ou médicos e dados criminais.

2. Caso tanto a GE quanto o Fornecedor sejam Controladores independentes, conforme definido por uma Lei de Privacidade Compreensiva em relação a uma Documentação do Contrato:

a. Tanto a GE quanto o Fornecedor deverão cumprir com as suas respectivas obrigações sob a Lei de Privacidade Compreensiva aplicável no Tratamento de tais Dados Pessoais, e deverão Tratar referidos Dados Pessoais de acordo com suas respectivas obrigações como Controladores, o que inclui os requisitos para:

i. Tratar os Dados Pessoais de forma justa e legal, de acordo com a Lei de Privacidade Compreensiva aplicável;

ii. Estabelecer uma base legal para Tratamento de acordo com a Lei de Privacidade Compreensiva aplicável;

iii. Cumprir com a Lei de Privacidade Compreensiva aplicável e fornecer aos Titulares dos Dados informações claras e suficientes sobre as finalidades e bases legais aplicáveis ao Tratamento dos Dados Pessoais, e quaisquer outras informações requeridas pela Lei de Privacidade Compreensiva aplicável.

b. O Fornecedor deverá Tratar os Dados Pessoais somente na medida e na duração necessárias para fornecedor os bens, serviços e/ou entregáveis à GE estabelecidos na Documentação do Contrato, e não deverá Tratar Dados Pessoais para quaisquer outras finalidades ou de qualquer outra maneira a menos que exigido a fazê-lo nos termos da Lei de Privacidade Compreensiva aplicável.

c. Como um Controlador de Dados Pessoais, a GE e o Fornecedor declaram o seguinte:

i. Eles implementaram medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado ao risco do Tratamento dos Dados Pessoais pelo Fornecedor;

ii. Além de cumprir com quaisquer requisitos de auditoria de segurança da informação aplicáveis nos termos deste Anexo (por exemplo, caso Informações Confidenciais da GE que não Dados Pessoais sejam Tratados pelo Fornecedor), o Fornecedor cooperará com a GE para completar os questionários de segurança da informação da GE ou revisões similares em termos mutuamente acordados;

iii. O Fornecedor cumprirá com os requisitos da Lei de Privacidade Compreensiva aplicável em relação a transferências internacionais de Dados Pessoais;

iv. O Fornecedor cooperará com a GE para o cumprimento pela GE de quaisquer requisitos adicionais de Leis de Privacidade Compreensivas aplicáveis ao Tratamento de Dados Pessoais pelo Fornecedor (p.ex., Cláusulas Contratuais Padrão da EU União Europeia – UE para Controladores ou equivalente, caso o Fornecedor seja um importados dos dados);

v. O Fornecedor cumprirá com a Lei de Privacidade Compreensiva aplicável em relação à retenção e exclusão segura de Dados Pessoais.

d. Como Controladores de Dados Pessoais, a GE e o Fornecedor deverão notificar um ao outro sem atraso não justificado após tomarem ciência de qualquer Incidente de Segurança envolvendo o Tratamento de Dados Pessoais que se inclua no escopo deste Anexo. O Fornecedor deverá reportar Incidentes de Segurança ao Time de Resposta a Incidentes Cibernéticos da GE no e-mail xxxxxxxx@xx.xxx. O Fornecedor permanecerá responsável por quaisquer custos associados à investigação e notificações exigidas (p.ex. para Titulares dos Dados) de tais Incidentes de Segurança que ocorram quando o Fornecedor assumir o papel de Controlador. Exceto em relação a Avisos de Segurança aprovados, ou avisos para autoridades competentes ou conforme exigido por lei, o Fornecedor não poderá fazer quaisquer declarações públicas em relação ao envolvimento da GE com um Incidente de Segurança a quaisquer terceiros sem a autorização prévia, por escrito e explícita do Departamento Jurídico da GE.

e. Como Controladores dos Dados Pessoais, a GE e o Fornecedor ainda concordam em cooperar para assistir um ao outro no cumprimento de suas respectivas obrigações sob as Leis de Privacidade Compreensivas aplicáveis, incluindo:

a. Preparação de Relatórios de Impacto à Proteção de Dados Pessoais (quando necessário);

b. Obter aprovação para o Tratamento das Autoridades de Proteção de Dados (quando necessário);

c. Respostas ao exercício do direitos de acesso pelos Titulares dos Dados e outros cumprimentos dos direitos dos Titulares dos Dados; e

d. quaisquer notificações de incidentes necessárias para Autoridades de Proteção de Dados e Titulares de Dados.