Protocolo de processamento de dados
Este Protocolo de Processamento de Dados ("Protocolo") rege a JIA, Inc. ("Processador") e o Cliente ("Controlador"), cada um deles uma "Parte" e, em conjunto, as "Partes". Este Protocolo entra em vigor a partir da data (a "Data de Entrada em Vigor") do Contrato Principal de Serviços (o "Contrato") assinado por ambas as Partes, exceto se o Protocolo puder ser alterado pela JIA.
O presente Protocolo aplica-se aos dados pessoais (conforme definido abaixo) processados (conforme definido abaixo) em relação ao software e/ou serviços fornecidos ao abrigo do Contrato (coletivamente, os "Serviços"). Os Serviços envolvem a utilização de um fornecedor de serviços em nuvem de terceiros (atualmente a Microsoft Corporation, que fornece o Azure) e podem enquadrar-se numa das três categorias designadas no Contrato:
[CENÁRIO UM] O Processador adquire e administra a relação com o fornecedor de serviços de computação em nuvem de terceiros. Neste cenário, o Responsável pelo Tratamento autoriza o Processador a contratar diretamente o fornecedor de serviços de computação em nuvem terceiro em nome e/ou para benefício do Responsável pelo Tratamento, e o fornecedor de serviços de computação em nuvem terceiro é um subcontratado do Processador - divulgado como tal no presente Protocolo.
[CENÁRIO DOIS] O Responsável pelo tratamento de dados adquire a relação com o fornecedor terceiro de serviços de computação em nuvem e o Processador gere a utilização do fornecedor terceiro de serviços de computação em nuvem pelo Responsável pelo tratamento de dados. Neste cenário, o Controlador é responsável por contratar diretamente o fornecedor de serviços de computação em nuvem externo (incluindo, sem limitação, quaisquer acordos de processamento de dados exigidos pela legislação aplicável) e é o único responsável por todas as obrigações relacionadas com esse terceiro. O terceiro fornecedor de serviços de computação em nuvem é um processador do Responsável pelo tratamento. O processador é, neste cenário, um processador apenas para o Controlador.
[CENÁRIO TRÊS] O Responsável pelo tratamento adquire e gere a relação com o fornecedor de serviços de computação em nuvem terceiro. Idêntico ao CENÁRIO DOIS, acima, exceto que - dada a aquisição e gestão pelo Responsável - é possível que o Subcontratante não processe quaisquer dados pessoais em nome do Responsável. No entanto, este protocolo pode ainda ser necessário se o responsável pelo tratamento solicitar que o subcontratante preste apoio, o que pode envolver o tratamento acidental de dados pessoais.
A partir da data de entrada em vigor, o presente Protocolo faz parte integrante do Acordo e está incorporado no mesmo, pelo que as referências ao "Acordo" no Acordo incluirão o presente Protocolo. Com exceção das alterações introduzidas pelo presente Protocolo, o Acordo mantém-se inalterado e em pleno vigor e efeito. Em caso de conflito entre o presente Protocolo e o Acordo, prevalecerá o presente Protocolo.
ANTECEDENTES
(A) O Processador está a prestar, ou irá prestar, Serviços para ou em nome do Responsável pelo Tratamento nos termos do Acordo.
(B) As Partes reconhecem e concordam que os Serviços podem envolver o processamento de dados pessoais nos Estados Unidos, incluindo, sem limitação, a transmissão de dados pessoais de e para os Estados Unidos e o armazenamento de dados pessoais nos Estados Unidos.
(C) O objetivo do presente Protocolo é estabelecer as condições de proteção de dados aplicáveis ao tratamento de dados pessoais, a fim de garantir que os direitos e liberdades das pessoas em matéria de proteção de dados permaneçam protegidos em conformidade com a legislação aplicável em matéria de proteção de dados (tal como definida infra).
FICA ACORDADO:
1. Definições
Neste protocolo:
1.1 "empresa", "consumidor", "responsável pelo tratamento", "subcontratante", "titular dos dados", "dados pessoais", "tratamento" (e "processo"), "prestador de serviços" e "categorias especiais de dados" terão o significado que lhes é atribuído na legislação aplicável em matéria de proteção de dados. A expressão "informações pessoais" (tal como é utilizada na legislação aplicável em matéria de proteção de dados) será incluída na expressão "dados pessoais" e a expressão "consumidor" será incluída na expressão "titular dos dados" utilizada no presente Protocolo.
1.2 "Legislação aplicável em matéria de proteção de dados" significa qualquer legislação em matéria de privacidade ou proteção de dados que se aplique periodicamente às Partes no que respeita ao tratamento de dados pessoais ao abrigo do Acordo, incluindo, entre outros, o RGPD e a CCPA (ambos definidos abaixo).
1.3 "Pessoas autorizadas" significa, relativamente a cada Parte, qualquer pessoa autorizada por essa Parte a processar Dados (incluindo o pessoal, agentes e subcontratantes dessa Parte).
1.4 "CCPA" significa a Lei da Privacidade do Consumidor da Califórnia, Código Civil da Califórnia, Secção 1798.100, et seq., e os respectivos regulamentos de implementação. A partir de 1 de janeiro de 2023, "CCPA" incluirá a Lei dos Direitos de Privacidade da Califórnia e os seus regulamentos de implementação.
1.5 "EEE" significa o Espaço Económico Europeu e, tal como utilizado no presente Protocolo, inclui a Suíça.
1.6 "RGPD" significa o Regulamento Geral sobre a Proteção de Dados, (UE) 2016/679, e, tal como utilizado no presente Protocolo, inclui o RGPD do Reino Unido (no que respeita ao Reino Unido ("RU")) e a Lei Federal sobre a Proteção de Dados (no que respeita à Suíça).
1.7 As referências a "instruções" e termos relacionados significam as instruções escritas do Responsável pelo Tratamento para o tratamento de dados (conforme definido abaixo), que consistem nos termos do Acordo e do presente Protocolo.
1.8 "Cláusulas-tipo" significa, conforme aplicável:
1.8.1 Para as transferências de dados regidas pela legislação do EEE, as cláusulas contratuais-tipo para a transferência de Dados Pessoais para países terceiros a partir do EEE, em conformidade com o RGPD e aprovadas pela Comissão Europeia ao abrigo da Decisão (UE) 2021/914, tal como atualmente estabelecidas em https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en (as "Cláusulas-tipo do EEE").
1.8.2 Para as transferências de dados regidas pela legislação do Reino Unido, as cláusulas-tipo do EEE mais as cláusulas obrigatórias da adenda aprovada emitida pelo Gabinete do Comissário para a Informação do Reino Unido ("ICO"), tal como atualmente estabelecido em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (a "Alteração à Adenda do Reino Unido").
1.8.3 Para as transferências de dados regidas pela Lei Federal sobre a Proteção de Dados (Suíça), aplicar-se-ão as cláusulas-tipo do EEE, desde que sejam alteradas para que essas transferências prevejam a supervisão pelo Comissário Federal Suíço para a Proteção de Dados e a Informação, e que o termo "Estado-Membro" não seja interpretado de forma a excluir as pessoas em causa da Suíça da possibilidade de fazerem valer os seus direitos na Suíça.
1.9 "Finalidade permitida" tem o significado especificado na Secção 3; e
2. Relação entre as partes
O Controlador é o responsável pelo tratamento (e, em alguns casos, um subcontratante) e, pelo presente, nomeia o Subcontratante como subcontratante para tratar os dados pessoais descritos no Anexo 2. Esses dados pessoais são referidos como os "Dados".
3. Limitação da finalidade
3.1 O Processador processará os Dados (e manterá registos dessas actividades de processamento) como processador apenas na medida do necessário para executar os Serviços, e apenas de acordo com as instruções documentadas do Controlador (a "Finalidade Permitida"). Para além disso, na medida do aplicável, as Partes reconhecem que (x) o Responsável pelo Tratamento é uma "empresa" e o Processador é um "prestador de serviços", tal como estes termos são definidos pela CCPA; (y) o processamento de Dados pelo Processador é necessário para a prestação dos Serviços; e (z) o Responsável pelo Tratamento não receberá qualquer contrapartida monetária ou outra contrapartida valiosa do Processador em troca do acesso e processamento de Dados pelo Processador. Se a lei aplicável entrar em conflito com as instruções documentadas do Responsável pelo Tratamento, o Processador informará o Responsável pelo Tratamento desse facto antes do processamento, exceto se essa notificação for proibida por lei. Em qualquer caso, as Partes ajustarão equitativamente as taxas pagas ao Processador se as instruções escritas do Responsável pelo Tratamento impuserem requisitos adicionais ao Processador. Sem limitar o que precede, em caso algum o Processador:
(a) processar os dados para os seus próprios fins ou os de terceiros, incluindo a venda, aluguer, libertação, divulgação, disseminação ou qualquer outra forma de disponibilização desses dados a terceiros;
(b) assumir qualquer responsabilidade pela determinação dos objectivos e da forma como os dados são processados;
(c) divulgar os Dados a terceiros (para além dos seus subcontratantes autorizados) sem o consentimento prévio do Responsável pelo Tratamento, exceto quando e na medida em que a divulgação seja exigida por qualquer lei aplicável ao Subcontratante.
(d) processar os Dados de qualquer forma que possa levar o Controlador a violar qualquer uma das suas obrigações ao abrigo da Lei de Proteção de Dados Aplicável.
3.2 O Responsável pelo Tratamento é responsável por garantir que está a processar legalmente e que possui todos os outros direitos necessários para permitir que o Subcontratante processe os Dados. O Responsável pelo Tratamento não facultará ao Subcontratante o acesso a quaisquer Dados relativamente aos quais o Responsável pelo Tratamento não detenha tais direitos. Sem limitar o que precede, o Responsável pelo tratamento é responsável por garantir que são fornecidos todos os avisos necessários, que são obtidos os consentimentos dos titulares dos dados e por garantir que é mantido um registo desses consentimentos. Se o consentimento for revogado por um titular dos dados, o Responsável pelo Tratamento é responsável por comunicar o facto dessa revogação ao Subcontratante e por prestar assistência ao Subcontratante no que respeita ao tratamento posterior desses Dados.
3.3 O Responsável pelo tratamento é responsável pela exatidão e qualidade dos dados.
3.4 O Responsável pelo Tratamento envidará os seus melhores esforços para determinar se os Serviços envolvem o processamento de quaisquer dados pessoais com origem na Austrália, no Brasil, no EEE, no Reino Unido ou na Argentina e, em caso afirmativo, notificará imediatamente o Processador. Além disso, o Responsável pelo Tratamento deve notificar o Processador se os Dados estiverem sujeitos a qualquer Lei de Proteção de Dados Aplicável que não seja a CCPA ou o RGPD, de modo a que as partes possam tomar medidas para celebrar disposições contratuais adicionais (se existirem) necessárias para cumprir essa Lei.
3.5 Se os dados incluírem quaisquer dados pessoais com origem no EEE ou no Reino Unido, ao celebrarem o presente Protocolo, o Subcontratante e o Responsável pelo Tratamento também assinam, celebram e incorporam no presente Protocolo as Cláusulas-tipo aplicáveis referidas na Secção 11, abaixo.
3.6 Se um mecanismo de transferência de dados utilizado pelas Partes for posteriormente modificado, revogado ou considerado inválido por uma autoridade reguladora competente ou outra autoridade governamental, o Responsável pelo Tratamento e o Subcontratante cooperarão de boa fé para pôr termo às transferências efectuadas ao abrigo desse mecanismo ou procurar um mecanismo alternativo adequado.
4. Confidencialidade do tratamento
O Processador assegurará que todas as Pessoas Autorizadas estarão sujeitas a um dever de confidencialidade (contratual, estatutário ou outro) e não permitirá que qualquer pessoa que não esteja sujeita a esse dever de confidencialidade processe os Dados. O Processador assegurará que todas as Pessoas Autorizadas processem os Dados apenas na medida do necessário para a Finalidade Permitida.
5. Segurança
5.1 O Processador implementará e manterá medidas de segurança técnicas e organizacionais adequadas para proteger os Dados contra violações de segurança não autorizadas ou ilegais que conduzam à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados sob o controlo do Processador ("Incidente de Segurança"). As medidas de segurança técnicas e organizacionais do Processador estão definidas no Anexo 3 e podem ser actualizadas periodicamente.
5.2 O Responsável pelo Tratamento é responsável por analisar as informações disponibilizadas pelo Subcontratante relativamente à segurança dos dados e por determinar de forma independente se as medidas de segurança do Subcontratante cumprem os requisitos do Responsável pelo Tratamento e as obrigações legais ao abrigo da Lei de Proteção de Dados Aplicável.
6. Subcontratação
O Processador não subcontratará qualquer processamento dos Dados a um subcontratante terceiro sem o consentimento prévio por escrito do Responsável pelo Tratamento, consentimento esse que não será injustificadamente retido, condicionado ou atrasado. O Responsável pelo Tratamento consente que o Processador contrate as suas filiais e outros terceiros subcontratados para processar os Dados, desde que: (i) o Processador forneça um aviso prévio de pelo menos 10 dias sobre a adição ou remoção de qualquer subcontratado (incluindo detalhes sobre o processamento que realiza ou realizará), aviso esse que pode ser enviado ao Controlador por e-mail sobre essa adição ou remoção; (ii) o Processador imponha termos de proteção de dados a qualquer subcontratado que nomeie que protejam os Dados substancialmente de acordo com o mesmo padrão previsto neste Protocolo; e (iii) o Processador permaneça totalmente responsável por qualquer violação deste Protocolo que seja causada por um ato, erro ou omissão do seu subcontratado. Os subcontratantes a partir da Data Efectiva estão definidos no Anexo 4.
7. Cooperação e direitos dos titulares dos dados
Tendo em conta a natureza do tratamento, o Subcontratante, na medida do possível, notificará prontamente o Responsável pelo Tratamento e prestará assistência razoável ao Responsável pelo Tratamento (a expensas do Responsável pelo Tratamento) para permitir que este responda a: (i) qualquer pedido de um titular de dados para exercer qualquer um dos seus direitos ao abrigo da Lei de Proteção de Dados Aplicável (incluindo, sem limitação, os seus direitos de acesso, correção, objeção, apagamento e portabilidade de dados, conforme aplicável); e (ii) qualquer outra correspondência, inquérito ou reclamação recebida de um titular de dados, regulador ou outro terceiro em relação ao processamento dos Dados. O Processador não será responsável por responder diretamente a qualquer pedido, correspondência, inquérito ou reclamação, a menos que seja exigido por lei.
8. Incidentes de segurança
8.1 Ao tomar conhecimento de qualquer Incidente de Segurança, o Processador informará o Controlador sem atrasos indevidos. O Processador envidará esforços razoáveis para identificar a causa de tal Incidente de Segurança e tomará as medidas que considerar necessárias e razoáveis para remediar a causa de tal Incidente de Segurança, na medida em que a remediação esteja sob o controlo do Processador; desde que o Processador não tenha tal obrigação se o Incidente de Segurança for causado pelo Controlador ou por qualquer terceiro contratado em ligação com os Serviços.
8.2 O Responsável pelo Tratamento suportará as perdas e despesas (incluindo honorários razoáveis de advogados) associadas a um Incidente de Segurança resultante de acções ou omissões negligentes do Responsável pelo Tratamento (ou de terceiros) ou da violação do presente Protocolo, incluindo, sem limitação, quaisquer custos: (a) de notificação de um Incidente de Segurança aos indivíduos afectados e às entidades reguladoras; e (b) de reparação e atenuação de quaisquer danos ou prejuízos reais ou potenciais do Incidente de Segurança, incluindo, sem limitação, a criação de centros de atendimento telefónico e a prestação de serviços de monitorização ou recuperação de crédito.
9. Transferência, eliminação ou devolução de dados
Mediante pedido e a expensas do Responsável pelo Tratamento, o Responsável pelo Tratamento terá direito a receber do Subcontratante uma cópia de todos os Dados que estejam na posse do Subcontratante. O Subcontratante prestará, a expensas do Responsável pelo Tratamento, qualquer assistência adicional razoavelmente solicitada pelo Responsável pelo Tratamento relativamente à transferência segura de quaisquer Dados para terceiros. O Subcontratante compromete-se igualmente, a pedido do Responsável pelo Tratamento e a expensas deste, a apagar ou destruir de forma segura todos os Dados que se encontrem na sua posse (incluindo, sem limitação, quaisquer Dados na posse de subcontratantes). Estes requisitos não se aplicarão na medida em que o Processador seja obrigado por qualquer lei aplicável a reter alguns ou todos os Dados, caso em que o Processador isolará e protegerá os Dados de qualquer processamento adicional, exceto na medida exigida por essa lei e, em seguida, devolverá ou destruirá de forma segura os Dados assim que possível.
10. Auditoria
O Processador disponibilizará ao Controlador, mediante pedido e a intervalos razoáveis, e se exigido pela Lei de Proteção de Dados Aplicável, todas as informações necessárias para demonstrar o cumprimento das obrigações dessa Lei; desde que as Partes envidem os melhores esforços para cumprir todas as obrigações de auditoria através de questionários escritos e cópias de relatórios ou certificações. Se o resultado da auditoria não puder ser obtido através de informação escrita, é também permitida uma inspeção. O Responsável pelo Tratamento pode (salvo disposição em contrário da legislação aplicável em matéria de proteção de dados) solicitar auditorias ao abrigo da presente secção apenas uma vez por ano civil. Todas as auditorias e outras produções de documentos e informações serão efectuadas a expensas do Responsável pelo Tratamento e estarão sujeitas às disposições de confidencialidade do Contrato. O Subcontratante pode condicionar o seu cumprimento ao abrigo da presente Secção ao facto de todos os terceiros que recebam informações se comprometerem por escrito a tratar todas as informações como confidenciais.
11. Mecanismo de transferência de dados
11.1 Se, na execução dos Serviços, os Dados sujeitos ao RGPD ou a qualquer outra lei relativa à proteção ou privacidade de indivíduos aplicável no EEE ou no Reino Unido forem transferidos para fora do EEE ou do Reino Unido para países, como os Estados Unidos, que não assegurem um nível adequado de proteção de dados na aceção da Lei de Proteção de Dados Aplicável, o(s) mecanismo(s) de transferência abaixo indicado(s) aplicar-se-á(ão) a essas transferências e pode(m) ser diretamente aplicado(s) pelas Partes (na medida do permitido pela Lei de Proteção de Dados Aplicável):
11.1.1 Para as transferências no EEE em que o Responsável pelo Tratamento actua na qualidade de responsável pelo tratamento e o Subcontratante actua na qualidade de subcontratante, o Módulo Dois das Cláusulas-tipo do EEE (Responsável pelo Tratamento a Subcontratante) - sujeito aos termos do Apêndice 1 do presente Protocolo;
11.1.2 Para as transferências do EEE em que o Responsável pelo Tratamento actua na qualidade de subcontratante e o Subcontratante actua na qualidade de subcontratante do Responsável pelo Tratamento, o Módulo Três das Cláusulas-tipo do EEE (Subcontratante a Subcontratante) - sujeito aos termos do Anexo 1 do presente Protocolo;
11.1.3 Relativamente às transferências para o Reino Unido, o Módulo 2 ou o Módulo 3 das cláusulas-tipo do EEE (consoante o caso), acrescido da Adenda ao Reino Unido, sob reserva das condições previstas no Apêndice 1 do presente Protocolo.
11.1.4 Para as transferências de dados da Suíça, o Módulo Dois ou o Módulo Três das Cláusulas-tipo do EEE (consoante o caso) - sob reserva das condições previstas no Apêndice 1 do presente Protocolo.
12. Limitação da responsabilidade
A responsabilidade agregada do Processador e das suas afiliadas decorrente ou relacionada com este Protocolo está sujeita às limitações de responsabilidade, limitações de garantia, isenções de responsabilidade e outras exclusões de garantia e responsabilidade estabelecidas no Contrato. O que precede aplica-se independentemente da natureza da reclamação - seja por contrato, ato ilícito ou outra teoria de responsabilidade.
13. Indemnização
O Responsável pelo Tratamento defenderá, indemnizará e isentará o Processador, as suas filiais, subcontratantes e cada um dos seus respectivos proprietários, directores, administradores, gestores, membros, funcionários, contratantes e agentes de toda e qualquer responsabilidade, perda, dano ou despesa (incluindo honorários de advogados) na medida em que seja causada ou resulte de (a) negligência, conduta dolosa ou fraude do Responsável pelo Tratamento ou dos seus agentes (incluindo, sem limitação, terceiros contratados no âmbito dos Serviços); (b) instruções fornecidas pelo Responsável pelo Tratamento; ou (c) uma violação das obrigações do Responsável pelo Tratamento ao abrigo do presente Protocolo.
14. Diversos
14.1 Os títulos das secções e outros títulos do presente Protocolo destinam-se apenas a facilitar a referência e não constituem parte integrante do mesmo nem afectam o seu significado ou interpretação.
14.2 As disposições do presente Protocolo são separáveis. Se qualquer termo ou disposição for inválido ou inaplicável, no todo ou em parte, essa invalidade ou inaplicabilidade afectará apenas esse termo ou disposição, mantendo-se o resto do presente Protocolo em pleno vigor e efeito.
14.3 Qualquer notificação, carta ou outra comunicação prevista no presente Protocolo deve ser efectuada nos termos do Acordo.
14.4 As disposições do presente Protocolo reverterão em benefício e serão vinculativas para as Partes e para os seus respectivos sucessores e cessionários.
14.5 O presente Protocolo será regido e interpretado em todos os aspectos de acordo com a legislação aplicável e as disposições em matéria de jurisdição estabelecidas no Acordo, salvo disposição em contrário da legislação aplicável em matéria de proteção de dados.
Calendário 1
Mecanismos de transferência para transferências de dados do EEE, Reino Unido e Suíça
Para efeitos do Módulo Dois das Cláusulas-tipo (Responsável pelo tratamento de dados a Subcontratante) e do Módulo Três das Cláusulas-tipo (Subcontratante a Subcontratante), o Responsável pelo tratamento é o exportador de dados e o Subcontratante é o importador de dados, e as Partes acordam no seguinte. Sempre que o presente Anexo 1 não mencionar explicitamente qual o Módulo aplicável, aplica-se a ambos.
1. Referências às cláusulas-tipo e à alteração da adenda do Reino Unido. As disposições relevantes contidas no Módulo Dois e no Módulo Três das cláusulas-tipo são incorporadas por referência e fazem parte integrante do presente Protocolo. A Adenda ao Reino Unido é igualmente incorporada por referência e faz parte integrante do presente Protocolo. As informações exigidas para o apêndice às cláusulas-tipo e para a adenda ao Reino Unido constam do Apêndice 2.
2. Cláusula de ancoragem. As Partes optam por suprimir a cláusula de acoplamento facultativa prevista nas cláusulas-tipo (cláusula 7).
3. Instruções. O presente Protocolo e o Acordo constituem as instruções completas e finais documentadas do Responsável pelo Tratamento no momento da assinatura do Acordo ao Subcontratante para o tratamento de dados pessoais. Quaisquer instruções adicionais ou alternativas devem ser coerentes com os termos do presente Protocolo e do Acordo. Para efeitos da cláusula 8.1(a) das Cláusulas Modelo, as instruções do Responsável pelo Tratamento para o tratamento de dados pessoais incluem transferências subsequentes para terceiros localizados fora do EEE e do Reino Unido para efeitos de execução dos Serviços.
Nos casos em que o Responsável pelo tratamento actua como subcontratante, o Cliente declara e garante que as suas instruções de tratamento, tal como definidas no Acordo e no presente Protocolo, incluindo as suas autorizações ao Subcontratante para a nomeação de subcontratantes em conformidade com o presente Protocolo, foram autorizadas pelo responsável pelo tratamento relevante. O Responsável pelo Tratamento será o único responsável pelo encaminhamento de quaisquer notificações recebidas do Subcontratante para o responsável pelo tratamento relevante, quando apropriado.
4. Segurança do processamento. Para efeitos da cláusula 8.6(a) das Cláusulas Modelo, o Responsável pelo Tratamento é o único responsável por determinar de forma independente se as medidas técnicas e organizacionais estabelecidas no Anexo 3 satisfazem os requisitos do Responsável pelo Tratamento e concorda que (tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento dos seus dados pessoais, bem como os riscos para os indivíduos) as medidas de segurança implementadas e mantidas pelo Subcontratante proporcionam um nível de segurança adequado ao risco relativamente a esses dados pessoais. Para efeitos da cláusula 8.6(c) das Cláusulas Modelo, as violações de dados pessoais serão tratadas em conformidade com a secção 8 do Protocolo.
5. Auditorias ao abrigo das cláusulas-tipo. As Partes acordam que as auditorias descritas na cláusula 8.9 das cláusulas-tipo serão realizadas em conformidade com a secção 10 do Protocolo.
6. Autorização geral para utilização de subcontratantes. As Partes elegem a opção 2 ao abrigo da cláusula 9 das Cláusulas Modelo. Para efeitos da cláusula 9(a), o Processador tem a autorização geral do Controlador para contratar subprocessadores, de acordo com a secção 6 do Protocolo. O Subcontratante disponibilizará ao Cliente a lista actualizada de subcontratantes, em conformidade com a secção 6 do presente Protocolo (sendo os subcontratantes referidos como "subcontratados"). Quando o Processador celebra o Módulo Três das Cláusulas Modelo (Processador-para-Processador) com um subprocessador em relação à prestação dos Serviços, o Responsável pelo Tratamento concede pelo presente ao Processador e às suas filiais autoridade para fornecer uma autorização geral em nome do Responsável pelo Tratamento para a contratação de subprocessadores por subprocessadores envolvidos na prestação dos Serviços, bem como autoridade de decisão e aprovação para a adição ou substituição de quaisquer desses subprocessadores.
7. Reclamações - Reparação. As Partes optam por eliminar a redação facultativa da cláusula 11 das Cláusulas Modelo. Para efeitos do restante texto da cláusula 11, e sujeito à secção 7 do Protocolo, o Subcontratante informará os titulares dos dados no seu sítio Web de um ponto de contacto para reclamações. O Subcontratante informará o Responsável pelo Tratamento se receber uma queixa de um titular de dados relativamente a dados pessoais tratados ao abrigo do Acordo, e o Subcontratante comunicará sem demora injustificada a queixa ao Responsável pelo Tratamento. O Processador não terá qualquer outra obrigação de tratar o pedido (exceto se exigido por lei ou acordado com o Controlador).
8. Responsabilidade. Para além das outras limitações estabelecidas no Acordo e Protocolo, a responsabilidade do Processador ao abrigo da cláusula 12 das Cláusulas Modelo será limitada apenas aos danos causados pelo seu processamento quando não tiver cumprido as suas obrigações ao abrigo da Lei de Proteção de Dados Aplicável especificamente dirigida aos processadores, ou quando tiver agido fora ou contrariamente às instruções legais fornecidas pelo Controlador - tal como especificado no Artigo 82 do RGPD.
9. Supervisão. A cláusula 13 das cláusulas-modelo aplicar-se-á da seguinte forma:
a. Se o Responsável pelo Tratamento estiver estabelecido num Estado-Membro da UE, a autoridade de controlo responsável por assegurar o cumprimento do RGPD pelo Responsável pelo Tratamento no que respeita à transferência de dados actuará como autoridade de controlo competente.
b. Se o Responsável pelo Tratamento não estiver estabelecido num Estado-Membro da UE, mas estiver abrangido pelo âmbito de aplicação territorial do RGPD, em conformidade com o n.º 2 do artigo 3.º, e tiver nomeado um representante nos termos do n.º 1 do artigo 27.º do RGPD, a autoridade de controlo do Estado-Membro em que o representante, na aceção do n.º 1 do artigo 27.
c. Se o Responsável pelo Tratamento não estiver estabelecido num Estado-Membro da UE, mas estiver abrangido pelo âmbito territorial de aplicação do RGPD, em conformidade com o seu artigo 3.º, n.º 2, sem ter de designar um representante nos termos do artigo 27.º, n.º 2, do RGPD, a autoridade de controlo de um dos Estados-Membros em que se encontram as pessoas cujos dados pessoais são transferidos ou cujo comportamento é controlado actuará como autoridade de controlo competente.
d. Quando o Responsável pelo Tratamento estiver estabelecido no Reino Unido ou estiver abrangido pelo âmbito territorial de aplicação do RGPD do Reino Unido, o ICO actuará como autoridade de controlo competente.
e. Se o Responsável pelo Tratamento estiver estabelecido na Suíça ou for abrangido pelo âmbito territorial de aplicação da Lei Federal sobre a Proteção de Dados (Suíça), o Comissário Federal Suíço para a Proteção de Dados e a Informação actuará como autoridade de controlo competente, na medida em que a transferência de dados relevante seja regida pela Lei Federal sobre a Proteção de Dados.
10. Notificação de pedidos de acesso governamentais. Para efeitos da cláusula 15.1(a) das Cláusulas Modelo, o Subcontratante notificará o Responsável pelo Tratamento (apenas) e não o(s) titular(es) dos dados em caso de pedidos de acesso governamentais. O Responsável pelo Tratamento será o único responsável por notificar prontamente o(s) titular(es) dos dados, se necessário.
11. Lei aplicável. Na medida máxima permitida por lei, a lei aplicável para efeitos da cláusula 17 das Cláusulas-tipo será a lei designada na secção Lei aplicável do Contrato. Caso contrário, as Cláusulas Modelo do EEE serão regidas por (a) no que respeita ao EEE (exceto a Suíça), as leis da Bélgica; (b) no que respeita ao Reino Unido, as leis de Inglaterra e do País de Gales; e (c) no que respeita à Suíça, as leis da Suíça.
12. Escolha do foro e jurisdição. Na medida máxima permitida por lei, os tribunais com jurisdição exclusiva ao abrigo da cláusula 18 das Cláusulas-tipo serão os designados na secção Local do Acordo. Caso contrário, o foro com jurisdição exclusiva para resolver qualquer litígio ou ação judicial resultante de ou relacionado com as Cláusulas-tipo serão os tribunais de (a) no que diz respeito a transferências de dados que envolvam titulares de dados do EEE (exceto titulares de dados suíços), os tribunais da Bélgica; (b) no que diz respeito a transferências de dados que envolvam titulares de dados do Reino Unido, os tribunais de Inglaterra e do País de Gales, e (c) no que diz respeito a transferências de dados que envolvam titulares de dados suíços, os tribunais da Suíça.
13. Apêndice. O Apêndice das Cláusulas-tipo do EEE será completado da seguinte forma:
a. O conteúdo da secção 1 do Esquema 2 constituirá o Anexo I.A das Cláusulas Modelo do EEE.
b. O conteúdo da secção 2 do Esquema 2 constituirá o Anexo I.B das Cláusulas Modelo do EEE.
c. O conteúdo da secção 3 do Esquema 2 constituirá o Anexo I.C das Cláusulas Modelo do EEE.
d. O conteúdo da secção 4 do Esquema 2 constituirá o Anexo II das Cláusulas Modelo do EEE.
14. Exportação de dados do Reino Unido. As informações exigidas para os quadros 1 a 3 da Parte I da Adenda ao Reino Unido constam do Apêndice 2. Para efeitos do Quadro 4 da Parte I da Adenda ao Reino Unido, nenhuma das partes pode pôr termo à Adenda ao Reino Unido quando esta é alterada.
15. Exportação de dados da Suíça. No que diz respeito às transferências de dados da Suíça, as cláusulas-tipo do EEE também se aplicam à transferência de informações relativas a uma entidade jurídica identificada ou identificável, sempre que essas informações sejam protegidas de forma semelhante aos dados pessoais ao abrigo da legislação da Suíça - até que essa legislação seja alterada para deixar de se aplicar a uma entidade jurídica. Além disso, o termo "Estado-Membro" não será interpretado de forma a excluir as pessoas em causa da Suíça da possibilidade de fazerem valer os seus direitos na Suíça.
16. Conflito. As Cláusulas-tipo estão sujeitas ao Protocolo. No entanto, se as cláusulas-tipo forem aplicáveis a uma situação específica e houver um conflito entre as cláusulas-tipo e o Protocolo, as cláusulas-tipo prevalecerão e regerão.
Calendário 2
Descrição do serviço
1. PARTES
Exportador(es) de dados: Identidade e dados de contacto do(s) exportador(es) de dados e, se for caso disso, do seu responsável pela proteção de dados e/ou representante na União Europeia (e/ou no Reino Unido ou na Suíça)
Nome: Cliente (tal como este termo é definido no parágrafo inicial do Contrato Principal de Serviços) ("Responsável pelo Tratamento")
Endereço: Tal como estabelecido no parágrafo inicial do contrato-quadro de serviços
Nome, cargo e dados de contacto da pessoa a contactar: Tal como estabelecido na secção 6 do contrato-quadro de serviços
Actividades relevantes para os dados transferidos ao abrigo destas cláusulas: execução dos serviços ao abrigo do Acordo.
Função: Para efeitos das Cláusulas Modelo do Módulo Dois (Controlador-para-Processador), o Controlador é um controlador. Para efeitos das Cláusulas Modelo do Módulo Três (Processador a Processador), o Controlador é um processador.
Importador(es) de dados: Identidade e dados de contacto do(s) importador(es) de dados, incluindo qualquer pessoa de contacto responsável pela proteção de dados
Nome: JIA, Inc. ("Processador")
Endereço: 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 Estados Unidos
Nome, cargo e contactos da pessoa a contactar: Glenn Batson (glenn.batson@jenkon.com)
Actividades relevantes para os dados transferidos ao abrigo destas cláusulas: execução dos serviços ao abrigo do Acordo.
Função: processador
2. DESCRIÇÃO DA TRANSFERÊNCIA
a. CATEGORIAS DE TITULARES DE DADOS CUJOS DADOS PESSOAIS SÃO TRANSFERIDOS
O Responsável pelo Tratamento pode submeter dados pessoais aos Serviços, cuja extensão é determinada e controlada pelo Responsável pelo Tratamento, a seu exclusivo critério, e que pode incluir, mas não se limita a, dados pessoais relativos às seguintes categorias de titulares de dados:
- Força de vendas independente (por exemplo, representantes, consultores, filiais), potenciais clientes, clientes, parceiros comerciais, vendedores e funcionários do responsável pelo tratamento (que são pessoas singulares)
- Utilizadores autorizados pelo Controlador a utilizar os Serviços
b. CATEGORIAS DE DADOS PESSOAIS TRANSFERIDOS
O Responsável pelo Tratamento pode enviar dados pessoais para os Serviços, cuja extensão é determinada e controlada pelo Responsável pelo Tratamento, a seu exclusivo critério, e que pode incluir, mas não se limita às seguintes categorias de dados pessoais:
- Identificadores de base (ou seja, nome, passaporte, NIF, etc.)
- Informações de contacto
- Informações demográficas
- Informações financeiras
- Identificadores em linha (ou seja, endereços IP, cookies, etc.)
- Conteúdo gerado pelo utilizador (ou seja, conteúdo de redes sociais, sítio Web pessoal, etc.)
c. DADOS SENSÍVEIS TRANSFERIDOS (SE APLICÁVEL)
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em conta a natureza dos dados e os riscos envolvidos, como, por exemplo, a limitação estrita da finalidade, as restrições de acesso (incluindo o acesso apenas por parte de pessoal que tenha seguido uma formação especializada), a manutenção de um registo do acesso aos dados, as restrições às transferências posteriores ou medidas de segurança adicionais.
Nenhum.
d. FREQUÊNCIA DA TRANSFERÊNCIA
A frequência da transferência (por exemplo, se os dados são transferidos numa base pontual ou contínua).
De forma contínua, a pedido do Responsável pelo Tratamento no âmbito dos Serviços.
e. NATUREZA DO TRATAMENTO
A natureza do tratamento é a execução dos serviços ao abrigo do acordo.
f. OBJECTIVO DO TRATAMENTO, TRANSFERÊNCIA DE DADOS E TRATAMENTO POSTERIOR
O Subcontratante tratará os dados pessoais na medida do necessário para executar os Serviços ao abrigo do Contrato e de acordo com as instruções do Responsável pelo Tratamento na sua utilização dos Serviços.
g. DURAÇÃO DO TRATAMENTO
O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período.
Sem prejuízo do disposto na secção 9 do Protocolo, o Subcontratante tratará os dados pessoais durante a vigência do Acordo, salvo acordo escrito em contrário.
h. TRANSFERÊNCIASPARA SUB-PROCESSORES
No caso de transferências para (sub)processadores, especificar também o objeto, a natureza e a duração do tratamento:
Em conformidade com o tratamento do Subcontratante, tal como referido na alínea f) da subsecção 2 supra, os subcontratantes processarão os dados pessoais na medida do necessário para executar os serviços nos termos do Acordo. Sob reserva da secção 6 do Protocolo, o subcontratante ulterior tratará os dados pessoais durante o período de vigência do Acordo, salvo acordo escrito em contrário.
As identidades dos subcontratantes ulteriores atualmente utilizados para a prestação dos serviços e o seu país de localização constam do Anexo 4. Os subcontratantes ulteriores podem ser actualizados como indicado na secção 6 do Protocolo.
3. AUTORIDADE DE CONTROLO COMPETENTE
Identificar a(s) autoridade(s) de controlo competente(s) em conformidade com a cláusula 13.
Ver secção 9 do Apêndice 1 do presente Protocolo.
4. MEDIDAS TÉCNICAS E ORGANIZATIVAS
O Processador manterá salvaguardas administrativas, técnicas e físicas para proteger a segurança, a confidencialidade e a integridade dos dados pessoais processados em ligação com os Serviços, tal como descrito no Anexo 3 ou de outra forma disponibilizado de forma razoável pelo Processador.
Calendário 3
Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados
Descrição das medidas técnicas e organizacionais implementadas pelo Subcontratante para garantir um nível de segurança adequado, tendo em conta a natureza, o âmbito, o contexto e a finalidade do processamento, bem como os riscos para os direitos e liberdades das pessoas singulares.
O Subcontratante utiliza salvaguardas administrativas, técnicas e físicas razoáveis, incluindo, sem limitação, encriptação, palavras-passe robustas e controlos de acesso para limitar o acesso às informações pessoais apenas aos indivíduos que têm necessidade de conhecer essas informações para cumprir as obrigações do Subcontratante ao abrigo do Acordo. O Processador também mantém um registo sobre quem acedeu às informações pessoais. O pessoal do Processador com acesso a informações pessoais recebe formação sobre salvaguardas e acesso adequado a informações pessoais. Quando o Processador tem necessidade de transferir informações pessoais para fora do ambiente de produção do exportador de dados, os dados são primeiro removidos ou codificados através de um processo de "Scrub Script" fornecido e mantido pelo Processador. Depois de o script ser executado, os dados podem ser transferidos através de um protocolo seguro de transferência de ficheiros.
Se o exportador de dados solicitar que o Processador aceda ao ambiente de produção do exportador de dados, o Processador acede apenas ao que é solicitado pelo exportador de dados - e esse acesso é sempre gerido pelo exportador de dados e está sujeito a quaisquer políticas ou procedimentos que o exportador de dados possa fornecer nesse momento.
Conforme descrito acima, a Microsoft fornece serviços de armazenamento em nuvem para o Processador de acordo com um contrato entre a Microsoft e o Processador. Os pormenores relativos às medidas técnicas e organizacionais da Microsoft podem ser consultados aqui: https://docs.microsoft.com/en-us/azure/compliance/. O formulário atual da Adenda de Proteção de Dados da Microsoft está disponível aqui: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
Outras medidas incluem:
- Pseudonimização e encriptação de dados pessoais
- Garantir a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de processamento
- Testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas destinadas a garantir a segurança do tratamento
- Identificação e autorização do utilizador
- Proteção dos dados durante a transmissão
- Proteção dos dados durante o armazenamento
- Registo de eventos
- Retenção limitada de dados
Calendário 4
LISTA DE SUBCONTRATANTES
Os seguintes subcontratantes são utilizados pelo importador de dados para tratar dados pessoais ao abrigo do Acordo:
Nome da entidade | Actividades de subtransformação | Entidade País |
Microsoft Corporation (Azure) | Fornecedor de serviços em nuvem de terceiros | Estados Unidos e outros países onde o Locatário do Azure possa estar alojado, conforme designado no Contrato. |
Atlassian | Fornecedor de aplicações HelpDesk | Estados Unidos |
Afiliados do importador de dados:
Nome da entidade | Entidade País |
Jenkon México S DE RL DE CV | México |
INFORMAÇÃO SOBRE O SÍTIO