TERMO DE PROCESSAMENTO DE DADOS (DPA) (GLOBAL)
TERMO DE PROCESSAMENTO DE DADOS (DPA) (GLOBAL)
Este Termo de Processamento de Dados ("DPA") complementa qualquer Contrato (incluindo, mas não se limitando a escopos de trabalho (SOW), anexos, cronogramas) entre a "Avaya" e o Cliente e é aplicável para a compra de "Serviços" e/ou "Produtos" e/ou outras soluções tecnológicas da Avaya pelo Cliente, na medida em que a Avaya processe Dados Pessoais em nome do Cliente (denominado simplesmente "Contrato").
Este DPA se aplica a todas as atividades relacionadas ao Contrato e nas quais funcionários da Avaya ou de terceiros contratados pela Avaya possam Processar Dados Pessoais em nome do Cliente. Estão aqui descritas, em conjunto com o Contrato, as instruções documentadas para o Processamento de Dados Pessoais, bem como o objeto, a duração, a natureza, a finalidade do Processamento, de modo a reger os direitos e obrigações das Partes em conexão com o Processamento de Dados Pessoais.
1. Definições
1.1. Para os fins deste DPA (i) "Avaya" significa a entidade Avaya que assina este DPA e / ou os respectivos afiliados da Avaya que processam dados pessoais em nome do Cliente, conforme o Contrato; (ii) “Cliente” significa a entidade do cliente que assina este DPA e / ou os respectivos Afiliados do Cliente em nome do(s) qual(is) a Avaya está processando dados pessoais conforme o Contrato;
(iii) "Afiliado" significa, com relação a qualquer das partes, uma entidade que está direta ou indiretamente controlando, controlada por ou sob controle comum com um signatário deste DPA. Para os fins desta definição, “controle” significa o poder de dirigir a administração e as políticas de tal parte, direta ou indiretamente, seja através da propriedade de títulos com direito a voto, por contrato ou de outra forma; e o termo "controlado" tem o significado correlativo ao anterior. Mediante solicitação, cada uma das partes fornecerá à outra parte uma lista de todos os respectivos Afiliados relevantes para este DPA; (iv) “Controlador de Dados” significa a pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e os meios do processamento de Dados Pessoais; (v) “Processador de Dados” significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro organismo que processa Dados Pessoais em nome do Controlador de Dados; (vi) "Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável ("Titular dos Dados") ou a seu domicílio; uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos de natureza física, fisiológica, identidade genética, mental, econômica, cultural ou social dessa pessoa natural; (vii) “Processamento”, “Processo”, “Processado” significa qualquer operação ou conjunto de operações executadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição; viii) "Venda" significa qualquer compartilhamento ou divulgação de Dados Pessoais a terceiros em troca de um benefício econômico ou outra consideração valiosa; (ix) “Transferência” significa o processo técnico de disponibilizar Dados Pessoais do Controlador de Dados para o Processador de Dados ou do Processador de Dados para o Subprocessador de Dados.
2. Processamento de Dados Pessoais em nome do Cliente
2.1. Qualquer processamento de dados pessoais pela Avaya sob este DPA deve ocorrer apenas:
2.1.1 em nome do Cliente (incluindo quando o Processamento é iniciado pelos usuários do Cliente); e
2.1.2 de acordo com o Contrato; e
2.1.3 para fins de cumprimento das instruções do Cliente.
2.2 Sem limitar a generalidade das Seções 2.1.1 a 2.1.3, a Avaya concorda que não deve: (i) Vender os Dados Pessoais; (ii) reter, usar ou divulgar os Dados Pessoais para qualquer finalidade que não seja a finalidade específica de executar funções sob o Contrato, incluindo reter, usar ou divulgar os Dados Pessoais para uma finalidade comercial que não seja a execução de funções sob o Contrato;
(iii) reter, usar ou divulgar os Dados Pessoais fora do relacionamento comercial direto entre a Avaya e o Cliente. A Avaya certifica que entende as restrições estabelecidas nesta Seção 2.2 e as cumprirá.
2.3 As instruções do cliente para o processamento de dados pessoais devem cumprir as leis e regulamentos de proteção de dados aplicáveis. O Cliente será o único responsável pela legitimidade, adequação e precisão dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu ou coletou os Dados Pessoais. Se a Avaya considerar que uma instrução do Cliente pode violar os regulamentos de proteção de dados aplicáveis, notificará o Cliente, sem demora injustificada. Esta subseção 2.3 não cria uma obrigação da Avaya de monitorar ativamente as instruções do Cliente quanto à conformidade legal.
2.4 Este DPA e o Contrato são instruções completas e finais do Cliente no momento da assinatura deste DPA na Avaya para o Processamento de Dados Pessoais. No entanto, essas instruções podem ser alteradas, complementadas ou substituídas pelo Cliente em formato documentado a qualquer momento (nova instrução). Se essas novas instruções do Cliente excederem o escopo do Contrato, serão consideradas como solicitação de alteração do Contrato e as partes iniciarão, de boa-fé, negociações sobre essa solicitação de alteração.
2.5 Se, por qualquer motivo, a Avaya não puder cumprir as instruções acordadas, a Avaya informará tal fato ao Cliente, assim que possível. O Cliente poderá então suspender a transferência de Dados Pessoais para a Avaya, restringir o acesso a eles, solicitar que todos os Dados Pessoais sejam devolvidos ao Cliente e / ou rescindir o Contrato conforme os termos do Contrato.
2.6 O Cliente, como Controlador de Dados, é responsável pelo cumprimento das leis e regulamentos de proteção de dados aplicáveis, a menos que as leis e regulamentos aplicáveis imponham especificamente uma obrigação à Avaya (atuando como Processador de Dados).
2.7 A Avaya processará os Dados Pessoais conforme necessário para executar os serviços e / ou fornecer produtos e / ou outras soluções de tecnologia de acordo com o Contrato e conforme instruído pelo Cliente no uso dos itens acima.
2.8 A Avaya processará os Dados Pessoais durante a vigência do Contrato, a menos que acordado de outra forma por escrito ou exigido pela legislação aplicável.
2.9 As categorias de titulares de dados afetadas pelo Processamento de Dados Pessoais em nome do Cliente no âmbito deste DPA resultam do Contrato e, em particular, do uso individual de serviços / produtos / ou outras soluções tecnológicas fornecidas pela Avaya. Eles geralmente incluem: funcionários, agentes, consultores, freelancers e parceiros de negócios do Cliente (que são pessoas naturais); pessoas naturais (funcionários etc.) de clientes e possíveis clientes do Cliente, bem como clientes do cliente, etc.
2.10 Os tipos de Dados Pessoais afetados pelo Processamento em nome do Cliente, no escopo deste DPA, resultam do Contrato e, em particular, do uso individual do Cliente (e entrada em) nos serviços / produtos / ou outras soluções de tecnologia fornecidas pela Avaya. Eles normalmente incluem: nome, informações de contato (empresa, cargo / posição, endereço de e-mail, número de telefone, endereço físico), dados de conexão, dados de localização, dados de vídeo / chamada (gravações) e metadados deles derivados, etc.
3. Colaboradores da Avaya
3.1. Avaya deverá:
3.1.1 garantir que todos os funcionários envolvidos no processamento de dados pessoais em nome do Cliente tenham se comprometido com a confidencialidade por escrito ou estejam sob uma obrigação legal apropriada de confidencialidade; que sejam proibidos de processar dados pessoais sem autorização e que tenham recebido treinamento adequado sobre suas responsabilidades;
3.1.2 nomear um encarregado de proteção de dados no país / global, na extensão exigida pela lei aplicável, e publicar os detalhes do contato.
4. Segurança do processamento
4.1 A Avaya implementou e deve manter medidas de segurança técnicas e organizacionais apropriadas com relação ao processamento de dados pessoais realizado em nome do Cliente. A Avaya deve garantir um nível de segurança adequado ao risco de probabilidade e severidade variadas para os direitos e liberdades das pessoas naturais e verificar regularmente seu cumprimento.
4.2 A Avaya terá o direito de modificar suas medidas técnicas e organizacionais, desde que seja mantido um nível de segurança pelo menos equivalente, adequado ao risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas naturais. As medidas técnicas e organizacionais atuais da Avaya podem ser revisadas e acessadas em xxxxx://xxx.xxxxx.xxx/xx/xxxxxxx-xxxx- customers-24778. Medidas técnicas e organizacionais adicionais e informações relativas a essas medidas podem ser especificadas no Contrato.
5. Subprocessadores e transferências internacionais de Dados Pessoais
5.1. A Avaya pode contratar subprocessadores para processar dados pessoais em nome do Cliente e deve cumprir todas as leis de privacidade de dados aplicáveis em relação ao envolvimento e supervisão de subprocessadores.
5.2. A Avaya deve se certificar de que pelo menos obrigações de proteção de dados equivalentes, conforme estabelecido neste DPA, sejam impostas a todos os Subprocessadores que processam dados pessoais em nome do Espaço Econômico Europeu ou de empresas baseadas na Suíça ("EEA / CH") por meio de contrato ou outro ato jurídico, em particular fornecendo garantias suficientes para implementar as medidas técnicas e organizacionais adequadas.
5.3. Aplicável apenas a clientes baseados no EEE / CH: Uma lista de subprocessadores que podem ser contratados pela Avaya para processar dados pessoais em nome de clientes baseados no EEE / CH pode ser acessada em xxxxx://xxx.xxxxx.xxx/xx/xxxxxxx- subcontractors. Pelo menos vinte (20) dias corridos antes da Avaya contratar qualquer novo subprocessador, a Avaya atualizará o diretório no site acima. O Cliente tem o direito de se opor ao uso de novos subprocessadores para qualquer Processamento de Dados Pessoais em seu nome dentro de dez (10) dias úteis após a listagem desses novos subprocessadores no site mencionado acima. Essa objeção deve ser enviada por e-mail para xxxxxxxxxxx@xxxxx.xxx (i) referenciando o nome legal completo (e outras credenciais) do Cliente e o Contrato afetado, (ii) incluindo a cópia do respectivo pedido de compra e (iii) ), fornecendo o motivo da objeção. Se o Cliente exercer seu direito de objeção, a Avaya, a seu critério e a seu exclusivo critério:
5.3.1 abster-se de usar o subprocessador objetado para processar dados pessoais em nome do cliente e confirmá-lo por escrito ou
5.3.2 entrar em contato com o Cliente e procurar um acordo sobre a mitigação do motivo da objeção. Se for alcançado um acordo entre as partes, o Cliente revogará a objeção ou
5.3.3 terá o direito de rescindir o Contrato, total ou exclusivamente, com relação ao Processamento em nome do Cliente, para o qual o novo subprocessador contestado deverá ser contratado.
5.4 A Avaya deve cumprir com qualquer lei de privacidade de dados aplicável a transferências internacionais de dados pessoais.
5.4.1. Para qualquer transferência de Dados Pessoais para um país fora do Espaço Econômico Europeu ou Suíça ("EEA / CH") os requisitos do Capítulo V do Regulamento Geral Europeu sobre Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016) ("GDPR") deverão ser cumpridos
5.4.1.1 As transferências de dados pessoais entre os afiliados da Avaya serão regidas pelas regras corporativas vinculativas da Avaya. A política de regras corporativas (processador) da Avaya está disponível em xxx.xxxxx.xxx/xxxxxxx-XXXxxxxxxxxx e é incorporada aqui por referência.
5.4.1.2 Se a Avaya transferir dados pessoais originários do EEA / CH para subprocessadores de terceiros (ou seja, subcontratados da Avaya que não são afiliados da Avaya) localizados em países fora do EEA / CH que não tenham recebido uma decisão de adequação obrigatória pela Comissão Europeia, essas transferências estarão sujeitas (i) aos termos das Cláusulas Contratuais Padrão (conforme Decisão 2010/87 / UE da Comissão Europeia); ou (ii) outros mecanismos de transferência adequados que forneçam um nível adequado de proteção em conformidade com a GDPR.
6. Solicitações do Titular de Dados
6.1. A Avaya deverá, de acordo com as leis aplicáveis, notificar imediatamente o Cliente se a Avaya receber uma solicitação do Titular dos Dados para exercer seus direitos, tais como: direito de acesso, direito de retificação, restrição de Processamento, exclusão ("direito de ser esquecido"), portabilidade de dados, objeção ao Processamento ou direito de não estar sujeito a uma tomada de decisão individual automatizada, etc. Levando em consideração a natureza do Processamento, a Avaya deve auxiliar o Cliente por meio de medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Cliente de responder à solicitação do Titular dos Dados de acordo com as leis e regulamentos de proteção de dados aplicáveis, incluindo o cumprimento de uma solicitação de exclusão de Dados Pessoais, se exigido por lei. Além disso, na medida em que o Cliente, em seu uso dos serviços e / ou produtos e / ou outras soluções de tecnologia fornecidos pela Avaya, não tenha a capacidade de atender à Solicitação do Titular dos Dados, a Avaya deve, mediante solicitação do Cliente, ajudar o Cliente a responder a tais Solicitação do Titular dos Dados, na medida em que a Avaya tenha permissão legal para fazê-lo e a resposta a tal solicitação do Titular dos Dados seja exigida pelas leis e regulamentos de proteção de dados aplicáveis. Na medida do legalmente permitido, o Cliente será responsável por quaisquer custos decorrentes do fornecimento de tal assistência pela Avaya.
7. Notificação e Incidentes
7.1. Avaya deverá:
7.1.1 Notificar o Cliente sobre qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma ("Violação de Dados Pessoais") sem demora indevida após a ciente disso;
7.1.2 Prestar prontamente ao Cliente total cooperação e assistência em relação a qualquer violação de dados pessoais e todas as informações de posse da Avaya relativas à violação de dados pessoais, incluindo o seguinte: (i) as possíveis causas e consequências da violação; (ii) as categorias de dados pessoais envolvidos; (iii) um resumo das possíveis consequências para os titulares dos dados relevantes; (iv) um resumo dos destinatários não autorizados de Xxxxx Xxxxxxxx; e (v) as medidas adotadas pela Avaya para mitigar qualquer risco e / ou perda ou dano relacionado (perda ou dano potencial);
7.1.3 Não fazer nenhum anúncio, publicar ou autorizar qualquer transmissão de qualquer aviso ou informação sobre uma violação de dados pessoais (o "Aviso de violação") sem o consentimento prévio por escrito do Cliente; e aprovação prévia por escrito do Cliente do conteúdo, mídia e época do Aviso de Violação, a menos que tal Aviso de violação seja obrigatório sob a lei aplicável.
8. Assistência ao Cliente
8.1. Mediante solicitação por escrito do Cliente e, sujeito a uma remuneração razoável, objeto de uma negociação apartada, a Avaya, levando em consideração a natureza do processamento e as informações disponibilizadas a esta, deverá dar assistência ao Cliente visando o cumprimento das obrigações decorrentes das leis de privacidade aplicáveis e regulamentos, como segurança de processamento, avaliação do impacto da proteção de dados, consulta prévia com autoridades de proteção de dados, etc.
9. Devolução e exclusão de dados pessoais do cliente
9.1 Os dados pessoais (incluindo qualquer cópia deles) não devem ser mantidos por mais tempo do que o necessário para os fins de processamento, a menos que (i) um período de retenção mais longo seja exigido pela lei aplicável ou (ii) o Cliente instrua a Avaya por escrito (a) para manter determinados dados pessoais por mais tempo e a Avaya concorda em seguir essas instruções ou (b) retornar ou excluir determinados dados pessoais anteriormente.
9.2 A devolução de qualquer suporte de armazenamento de dados fornecido pelo Cliente à Avaya deve ser realizada sem demora injustificada (i) após o término / expiração da atividade de Processamento ou (ii) antes disso, mediante instruções do Cliente.
10. Auditoria
10.1. Mediante solicitação prévia por escrito do Cliente, a Avaya fornecerá ao Cliente todas as informações necessárias para efetivamente realizar uma auditoria sobre a conformidade da Avaya com os termos deste DPA.
10.2 Mediante notificação prévia por escrito e dentro de um prazo razoável, a Avaya concederá ao Cliente acesso a suas instalações de processamento de dados, arquivos e documentação de dados relevantes para as atividades de processamento durante seu horário comercial normal, sem perturbações no curso normal das operações, com o objetivo de auditar a conformidade da Avaya com os termos deste DPA. Para fins de clareza, a Avaya não tem a obrigação de fornecer ao Cliente acesso aos seus sistemas que processam dados pessoais de outros clientes / parceiros da Avaya (controladores de dados). A contratação de um auditor externo para conduzir a auditoria em nome do Cliente estará sujeita ao consentimento prévio por escrito da Avaya, que só poderá ser recusado por justa causa, e a um contrato de confidencialidade por escrito entre o auditor externo, o Cliente e a Avaya. O Cliente fornecerá à Avaya qualquer relatório de auditoria gerado em conexão com qualquer auditoria nos termos desta Seção 10.2. O Cliente pode usar o (s) relatório (s) de auditoria apenas com a finalidade de atender aos seus requisitos regulamentares de auditoria e / ou confirmar a conformidade com os requisitos deste DPA. O (s) relatório (s) de auditoria constituirão informações confidenciais das partes nos termos do Contrato. Esse direito de auditoria pode ser exercido uma vez por ano, a menos que qualquer causa específica exija auditorias adicionais excepcionais.
11. Disposições Gerais
11.1. A versão mais atual da Política de Privacidade Global da Avaya está disponível em xxxxx://xxx.xxxxx.xxx/xx/xxxxxxx/xxxxxx/.
11.2. O prazo deste DPA corresponde ao prazo do Contrato. Os termos que, por sua natureza, se destinam a sobreviver à rescisão ou expiração deste DPA, continuarão e sobreviverão a qualquer rescisão ou expiração deste DPA.
11.3. Não obstante qualquer disposição em contrário no Contrato, em caso de conflito entre os termos deste DPA e os termos do Contrato, os termos deste DPA prevalecerão.
11.4. A data efetiva deste DPA é a data em que a última parte assinou este DPA.
“CLIENTE”. Assinando por si e em nome de sua(s) Afiliada(s):
Denominação: Endereço: E-mail de contato: Assinatura: Nome: Cargo: Data de assinatura:
“AVAYA”. Avaya Brasil Ltda.:
Assinatura: Nome: Cargo: Data de assinatura: