Regulamento Geral de Proteção de Dados da União Europeia e Adendo sobre
Transferências de Dados

Choose your language

Esta versão traduzida é incluída apenas como conveniência. Em caso de qualquer diferença de significado ou interpretação entre esta versão traduzida e a versão em inglês, a versão em inglês prevalecerá.

Regulamento Geral de Proteção de Dados da União Europeia e Adendo sobre
Transferências de Dados

Este Adendo ao Processamento de Dados (Adendo) é parte e modifica os Termos e Condições de Guidepoint Advisors entre a Guidepoint Global, LLC e o Conselheiro (doravante Contrato ou oContrato”). Este Adendo é feito entre a Guidepoint Global, LLC, sediada na 730 Third Avenue, Nova York, NY 10017 (Processador e/ouImportador de Dados), por um lado, e Advisor (“Controlador” e/ou “Exportador de Dados”), por outro lado, tendo sido este último considerado parte do Adendo por ter tido conhecimento do conteúdo e por ter decidido não se opor tempestivamente. Este Adendo é realizado e celebrado ou a partir da data do Contrato ou no dia 25 de maio de 2018, qualquer data que for mais posterior (Data Efetiva). O Controlador e o Processador são às vezes referidos individualmente como Parte e coletivamente como Partes.

 

Para os fins deste Adendo e salvo indicação em contrário, os termos em letras maiúsculas aqui terão o mesmo significado que as definições usadas no Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”) ou nas Cláusulas Contratuais Padrão para a Transferência de Dados Pessoais para Processadores de dados estabelecidos em países terceiros, contidos no anexo à “Decisão 2010/87/EC da Comissão Europeia de 5 de fevereiro de 2010 sobre cláusulas contratuais padrões para a transferência de dados pessoais para processadores estabelecidos em países terceiros” (Cláusulas contratuais padrão ou Cláusulas aqui anexadas como Anexo 1).

 

Este Adendo se aplica a Dados Pessoais coletados ou fornecidos por Titulares dos Dados na União Europeia. Este Adendo também se aplica, na parte relevante, a quaisquer Dados Pessoais que sejam processados na UE.

 

CONSIDERANDOS

 

CONSIDERANDO QUE, de acordo com a prestação de serviços do Processador nos termos do Contrato, o Processador poderá receber custódia ou armazenar, processar ou obter acesso a determinados arquivos de dados que possam conter Dados Pessoais, conforme definido pelo GDPR, conforme descrito no Apêndice 1; e

CONSIDERANDO QUE as Partes desejam assegurar que as salvaguardas adequadas estejam em vigor com relação à proteção da privacidade dos Titulares dos Dados em conformidade com o GDPR e, portanto, desejam alterar o Acordo de acordo com os termos e condições estabelecidos neste documento; e

CONSIDERANDO QUE, as leis europeias de proteção de dados exigem que os exportadores de dados nos países da UE/EEE ofereçam proteção adequada para transferências de Dados Pessoais para países fora da UE/EEE, e essa proteção pode ser obtida exigindo que os importadores de dados entrem na Norma Cláusulas contratuais para a transferência de dados pessoais para países terceiros nos termos da Decisão da Comissão 2004/915/CE de 27 de dezembro de 2004 (conforme alterada ou substituída de tempos em tempos).

AGORA, PORTANTO, por e em consideração das promessas e acordos mútuos aqui contidos, e outras considerações boas e valiosas, cujo recebimento e suficiência sejam aqui reconhecidos, as Partes aqui por meio deste acordam o seguinte:

 

ALTERAÇÕES AO ACORDO

1. ALTERAÇÕES AO ACORDO
1.1 Alteração. As Partes concordam que o Contrato será alterado, adicionando este Adendo ao Contrato.

 

1.2 Efeito do Adendo. Todas as disposições do Contrato de Serviços não especificamente alteradas por este instrumento permanecerão em pleno vigor e efeito. No caso de qualquer conflito irreconciliável entre as disposições deste Adendo e quaisquer disposições do Contrato de Serviços, as disposições deste Adendo prevalecerão. Caso uma disposição deste Adendo seja ou se torne inválida, a validade das outras disposições deste Adendo permanecerá inalterada, e cada termo e disposição deste instrumento será válido e cumprido em toda a extensão da lei.

 

1.3 Outras alterações. As disposições do Acordo, inclusive as disposições desta cláusula, não podem ser alteradas, modificadas ou complementadas, e as renúncias ou consentimentos em afastar-se das disposições do Contrato não podem ser concedidas, sem o consentimento prévio por escrito do representante autorizado de cada Parte. . Nenhuma renúncia por qualquer das partes de qualquer omissão, deturpação ou violação da garantia ou cláusula contratual, seja intencional ou não, será considerada como estendida a qualquer falha, violação ou declaração anterior ou posterior, ou afetará de alguma forma quaisquer direitos que surjam em virtude de qualquer ocorrência anterior ou posterior.
2. PROCESSAMENTO DE DADOS

 

2.1 Instruções do Controlador. O Processador processará os Dados Pessoais do Controlador somente em nome e para o benefício do Controlador e de acordo com as instruções documentadas do Controlador. As Partes concordam expressamente e estipulam que o Contrato, inclusive os acordos de nível de serviço aplicáveis ou documentos equivalentes, constituirão instruções escritas do Controlador ao Processador. Quaisquer instruções adicionais de processamento deverão ser mutuamente acordadas por escrito pelas Partes. O Processador informará imediatamente ao Controlador, se, na opinião do Processador, uma instrução violar a Lei Aplicável.
2.2 Autoridade para transferir ao Processador. O Controlador representa e garante que o Controlador tem a autoridade e o direito, inclusive o consentimento quando necessário, de transferir legalmente ao Processador todos os Dados Pessoais e quaisquer outros dados ou informações relacionados ao acesso do Controlador ou uso dos Serviços.
2.3 Conformidade com as leis aplicáveis. O Controlador representa e garante que deverá cumprir (i) as leis, regras, regulamentos, diretivas e exigências governamentais internacionais, federais, estaduais e locais aplicáveis atualmente em vigor e que se tornem efetivas, relacionadas de alguma forma à privacidade, confidencialidade, e/ou segurança de Dados Pessoais, inclusive, mas não se limitando a, GDPR; (ii) padrões aplicáveis do setor referentes à privacidade, proteção de dados, confidencialidade ou segurança da informação, inclusive, sem limitação, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (“PCI DSS”); e (iii) disposições aplicáveis dos requisitos por escrito do Processador atualmente em vigor e que se tornem efetivas relativas à privacidade, confidencialidade e/ou segurança dos Dados Pessoais ou políticas de privacidade aplicáveis, declarações ou avisos fornecidos ao Controllador ao Processador, por escrito (coletivamente, Lei Aplicável).
3. SUB-PROCESSADORES

 

3.1 Envolvimento de sub-processadores. O Controlador reconhece expressamente e concorda que (a) o Processador poderá reter qualquer entidade que seja controlada por, controle ou esteja em controle comum com o Processador (Afiliados) em conexão com a prestação dos Serviços; e (b) Processador e Afiliadas do Processador, respectivamente, poderão contratar outros processadores de terceiros em conexão com a prestação dos Serviços (coletivamente, “Sub-processadores”).
3.2 Obrigações dos sub-processadores. Todos os Sub-processadores poderão processar Dados Pessoais apenas conforme necessário para prestar serviços para os quais o Processador os reteve, e tais Sub-processadores estão proibidos de processar Dados Pessoais para qualquer outra finalidade. Esses sub-processadores prestarão serviços de acordo com um contrato por escrito, que conterá as mesmas obrigações de proteção de dados, conforme estabelecido neste documento. O Processador será responsável perante o Controlador pelos atos e omissões dos Sub-processadores na mesma extensão em que o Controlador seria responsável se executasse os serviços de cada Sub-processador diretamente de acordo com os termos deste Adendo, exceto conforme estabelecido em contrário no Contrato.
3.3 Lista de sub-processadores. Sob solicitação do Controlador, o Processador deverá disponibilizar ao Controlador uma lista atual de Sub-processadores para os respectivos Serviços com as identidades desses Sub-processadores (“Lista de Subprocessadores”).
4. CONFIDENCIALIDADE
4.1 Confidencialidade. O Processador tratará os dados pessoais do Controlador como sigilosos. O Processador garantirá que o pessoal envolvido no processamento dos Dados Pessoais do Controlador será informado sobre a natureza sigilosa dos Dados Pessoais, tenha recebido treinamento adequado sobre as responsabilidades e estará sujeito a obrigações de confidencialidade e que tais obrigações sobrevivam à rescisão do envolvimento das pessoas com o Processador.
5. SEGURANÇA

 

5.1 Medidas de segurança. O processador deverá implementar medidas técnicas e organizacionais apropriadas para proteger a segurança, a confidencialidade, a integridade e a disponibilidade dos Dados Pessoais do Controlador, conforme detalhado no Apêndice 2.
5.2 Notificação de violação de dados. O Processador deverá notificar imediatamente ao Controlador de qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Controlador (Violação de Dados) após tomar conhecimento de tal Violação de Dados. A(s) notificação(ões) de Violações de Dados, se houver(em), será(ão) entregue(s) ao contato designado do Controlador por meios, conforme acordado pelas Partes. It is Controller’s sole responsibility to ensure it maintains accurate contact information for purposes of such notification.
6. ASSISTÊNCIA AO CONTROLADOR

 

6.1 Direitos de Assuntos de Dados. Sempre que possível, e tendo em conta a natureza do processamento, o Processador prestará assistência comercialmente razoável ao Controlador para o cumprimento da obrigação do Controlador de responder a pedidos para o exercício dos direitos dos titulares de dados conforme estabelecido no GDPR, Artigos 12-23.
6.2 Avaliações de impacto de segurança e proteção de dados. O Processador prestará assistência comercialmente razoável ao Controlador para o cumprimento das obrigações do Controlador de acordo com os termos do GDPR, Artigo 32 (segurança do processamento) e Artigo 36 (consulta prévia), conforme apropriado e viável com relação à natureza do processamento e informações disponíveis ao Processador.
6.3 Auditorias e Inspeções. Sujeito a restrições associadas à segurança dos sistemas ou à integridade dos arquivos de dados relacionados às operações do Processador, o Processador deverá disponibilizar às informações do Controlador necessárias para demonstrar o cumprimento das obrigações estabelecidas no Artigo 28 do GDPR. O Processador deverá permitir e contribuir para auditorias, inclusive inspeções, realizadas pelo Controlador ou outro auditor autorizado pelo Controlador. O Controlador deverá reembolsar o Processador para qualquer tempo dispendido para qualquer tal auditoria no local às taxas de serviços profissionais então atual do processador, que devem ser disponibilizados ao Controlador mediante pedido. Antes do início de qualquer auditoria no local, o Processador e o Controlador deverão concordar mutuamente sobre o escopo, o prazo e a duração da auditoria, além da taxa de reembolso pela qual o Controlador será responsável. As Partes trabalharão em boa-fé para agendar a auditoria em um momento que for mutuamente benéfico, e de modo a evitar operações de negócios do Processador com perturbações não razoáveis. Todas as taxas de reembolso deverão ser razoáveis, levando em conta os recursos gastos pelo Processador. A menos que de outra forma acordado por escrito pelas Partes, o Controlador arcará com os custos associados à realização de auditorias do Processador realizadas de acordo com esta disposição. O Controlador deverá notificar imediatamente o Processador sobre informações sobre qualquer não-conformidade descoberta durante o curso de uma auditoria relevante para os Serviços ou este Contrato.
7. TRANSFERÊNCIAS DE DADOS

 

7.1 Transferência aos Estados Unidos. Controller expressly acknowledges that some or all of the Services may be provided and/or hosted from within the United States, a jurisdiction deemed by the European Union to have inadequate legal protections for Personal Data. O Controlador consente expressamente a transferência dos Dados Pessoais do Controlador para os Estados Unidos para fins do Processador que fornece os Serviços e cumpre suas obrigações de acordo com o Contrato. Tais transferências serão realizadas de acordo com este Contrato, incluindo o Anexo 1 (Cláusulas Contratuais Padrão).
8. EXCLUSÃO DE DADOS PESSOAIS

 

8.1 Exclusão ou Retorno de Dados Pessoais do Controlador. A menos que for exigido por lei ou a menos que for permitido pelas melhores práticas aplicáveis do setor para a mitigação apropriada do risco legal ou para memorizar a intenção do Controlador quanto às instruções escritas, o Processador excluirá ou devolverá Dados Pessoais do Controlador dentro de um período de tempo razoável mediante: (i) o fim da prestação de serviços relacionados ao processamento, ou (ii) a solicitação legal por escrito do controlador.
8.2 Certificação. As Partes concordam que a certificação de exclusão de Dados Pessoais descrita na Cláusula 12 (1) do Anexo 1 (Cláusulas Contratuais Padrão) será realizada pelo Processador ao Controlador mediante solicitação do Controlador e conforme permitido por lei.
9. INDENIZAÇÃO

 

9.1 Indenização. O Controlador concorda em indenizar e isentar o Processador e empresas afiliadas, respectivos oficiais antigos e atuais, futuros, funcionários, diretores, agentes, sucessores e cessionários (coletivamente, “Processadores indemnizados”) de qualquer responsabilidade e, à opção do Processador defender, todas e quaisquer perdas (conforme definido abaixo) que os Indenizados do Processador podem incorrer, na medida em que essas perdas decorrem, ou podem ser de alguma maneira atribuídas a: (i) qualquer infração deste Adendo; e (ii) negligência, negligência grave, má-fé, atos ou omissões fraudulentos ou conduta indevida intencional ou intencional da Controladora ou do pessoal em relação às obrigações estabelecidas neste Adendo. Para fins deste Adendo, “Perdas” significam todos os julgamentos, liquidações, prêmios, danos, perdas, encargos, responsabilidades, penalidades, reclamações de juros (inclusive impostos e todos os juros e penalidades incorridos diretamente com respeito aos mesmos), e todos os custos razoáveis relacionados, despesas e outros encargos (inclusive todos os honorários advocatícios razoáveis e custos internos e externos razoáveis de investigações, litígios, audiências, procedimentos, produção de documentos e dados e descoberta, solução, julgamento, concessão, juros e multas).
10. DIVERSOS

 

10.1 Homólogos. Este Adendo poderá ser executado em partes homólogas, cada uma das quais será considerada original e todas juntas constituirão um e o mesmo documento.

 

10.2 Duração e Rescisão. Todos os avisos para rescisão deverão ser por escrito e cumprir os procedimentos para rescisão estabelecidos no Contrato. Salvo acordo em contrário por escrito entre as Partes, este Adendo permanecerá em vigor até a expiração do Acordo.

 

10.3 Sobrevivência de termos. Os direitos e obrigações de qualquer uma das Partes que, por sua natureza, continuariam além do término ou expiração deste Adendo, incluindo, mas não se limitando a, obrigações de confidencialidade, sobreviverão ao término ou expiração deste Adendo.

 

10.4 Totalidade do Acordo. Este Adendo (que será incorporado ao Contrato e fará parte integrante do mesmo) constitui o acordo integral e entendimento entre as Partes e substitui todas as negociações verbais e escritas anteriores e contemporâneas, acordos e entendimentos, se houver alguma, sobre o assunto específico deste Adendo, e este Adendo não poderá ser modificado, exceto de acordo com os termos de um acordo por escrito, assinado por um representante autorizado de cada Parte.
10.5 Divisibilidade. No caso de qualquer provisão neste Adendo ser inválida, ilegal ou inexequível em qualquer jurisdição, tal provisão deverá, em relação a tal jurisdição, ser ineficaz na medida de tal invalidade, ilegalidade ou inexequibilidade sem afetar a validade, legalidade e exequibilidade das demais provisões. A não validade de uma determinada disposição em uma determinada jurisdição não invalidará tal provisão em nenhuma outra jurisdição.

 

Anexo 1

Cláusulas contratuais padrão (processadores)

Para efeitos do GDPR e do Artigo n.º 26.2 da Directiva 95/46/CE, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados, o importador de dados e o exportador de dados, tal como identificados no Acordo, cada “Parte” e juntas “as Partes”,

ACORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar salvaguardas adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência pelo exportador de dados ao importador de dados dos dados pessoais especificados no Apêndice 1 .

Cláusula 1

Definições

Para os propósitos das Cláusulas:

(a) “Dados pessoais”, “categorias especiais de dados”, “processo/tratamento”, “controlador”, “processador”, “titular de dados” e “autoridade de supervisão” têm o mesmo significado que na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;

(b) “exportador de dados” significa o controlador que transfere os dados pessoais;

(c) o “importador de dados” significa o processador que concorda em receber do exportador de dados dados pessoais destinados a serem processados em seu nome após a transferência de acordo com suas instruções e os termos das Cláusulas e que não está sujeito a um sistema de um terceiro país que garanta uma proteção adequada na acepção do Artigo 25(1) da Diretiva 95/46/CE;

(d) o “sub-processador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro sub-processador do importador de dados que concorde em receber do importador de dados ou de qualquer outro sub-processador de dados pessoais do importador de dados exclusivamente destinados ao processamento atividades a serem realizadas em nome do exportador de dados após a transferência de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;

(e) a “Legislação aplicável de proteção de dados”, a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, o direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento no Estado-Membro. em que o exportador de dados estiver estabelecido;

(f) “medidas de segurança técnica e organizacional” querem dizer as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilegal ou a perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o tratamento envolver a transmissão de dados por uma rede e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que forma parte integrante das Cláusulas.

Cláusula 3

Cláusula de Beneficiário de Terceiros

1.O titular dos dados pode fazer valer contra o exportador de dados esta Cláusula, a Cláusula 4 (b) a (i), a Cláusula 5 (a) a (e) e (g) a (j), a Cláusula 6 (1) e (2), a Cláusula 7, a Cláusula 8 (2) e Cláusulas 9 a 12 como beneficiário de terceiros.

2.O titular dos dados poderá impor esta Claúsula contra o importador de dados, a Cláusula 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados tiver efetivamente desaparecido ou deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força da lei, em decorrência da qual assume os direitos e obrigações do exportador de dados. caso em que o titular dos dados poderá aplicá-los contra essa entidade.

3.O titular dos dados poderá impor esta Cláusula contra o importador de dados, a Cláusula 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados tiver efetivamente desaparecido ou deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, em decorrência da qual assume os direitos e obrigações do exportador de dados. caso em que o titular dos dados pode aplicá-los contra essa entidade. Tal responsabilidade de terceiros do sub-processador deverá ser limitada às suas próprias operações de processamento de acordo com as Cláusulas.

4.As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.

Cláusula 4

Obrigações do Exportador de Dados

O exportador de dados concorda e garante que:

(a) o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado em conformidade com as disposições pertinentes da lei de proteção de dados aplicável (e, quando aplicável, terá sido notificado às autoridades competentes do Estado-Membro em que o exportador de dados estiver estabelecido) e não infrinja as disposições pertinentes desse Estado;

(b) instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá ao importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

(c) o importador de dados prestará garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste contrato;

(d) após a avaliação dos requisitos da lei aplicável de proteção de dados, as medidas de segurança sejam apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas assegurem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o estado da arte e o custo de sua implementação;

(e) o exportador assegurará o cumprimento das medidas de segurança;

(f) se a transferência envolver categorias especiais de dados, a pessoa em causa terá sido informada ou será informada antes ou logo que possível da transferência de que os dados poderiam ser transmitidos a um país terceiro que não conferisse proteção adequada, na acepção da Directiva 95/46 / CE;

(g) encaminhará qualquer notificação recebida do importador de dados ou de qualquer sub-processador de acordo com os termos da Cláusula 5 (b) e Cláusula 8 (3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar o suspensão;

(h) disponibilizar aos titulares dos dados mediante solicitação uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subprocessamento que tenha de ser feita de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, em cujo caso poderá remover tais informações comerciais;

(i) que, no caso de subprocessamento, a atividade de processamento será realizada de acordo com a Cláusula 11 por um sub-processador que confira pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular de dados que o importador de dados de acordo com as cláusulas; e

(j) assegurará o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do importador de dados

O importador de dados concorda e garante que:

(a) processará os dados pessoais somente em nome do exportador de dados e em conformidade com as instruções e as Cláusulas; se não puder realizar essa conformidade por qualquer motivo, ele concorda em informar prontamente ao exportador de dados sobre a incapacidade de realizar tal tarefa, caso o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) não terá motivos para crer que a legislação que é aplicável o impeça de cumprir as instruções recebidas do exportador de dados e das obrigações decorrentes do contrato e que, em caso de alteração desta legislação, que seja provável que tenha um efeito adverso substancial sobre as garantias e obrigações estipuladas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso o exportador de dados tenha o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) não implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido legalmente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, salvo disposição em contrário, tal como a proibição do direito penal de preservar a confidencialidade de uma investigação de aplicação da lei,

(ii) qualquer acesso acidental ou não autorizado, e

(iii) qualquer pedido recebido diretamente dos titulares de dados sem responder a esse pedido, a menos que tiver sido autorizado de outra forma a fazê-lo;

(e) lidar prontamente com todas as investigações do exportador de dados relacionadas ao seu processamento dos dados pessoais sujeitos à transferência e atender ao parecer da autoridade supervisora no que diz respeito ao processamento de dados transferidos;

(f) a pedido do exportador de dados, submeter as instalações de processamento de dados à auditoria das atividades de processamento abrangidas pelas Cláusulas que serão realizadas pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e de posse das qualificações profissionais exigidas, vinculadas por um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;

(g) disponibilizar ao titular dos dados mediante solicitação uma cópia das Cláusulas, ou qualquer contrato existente para subprocessamento, a menos que as Cláusulas ou contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção do apêndice 2, que devera ser substituído por uma descrição sumária das medidas de segurança nos casos em que a pessoa em causa não possa obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, tenha informado previamente ao exportador de dados e obtido consentimento prévio por escrito;

(i) que os serviços de processamento pelo sub-processador serão executados de acordo com a Cláusula 11;

(j) enviar prontamente uma cópia de qualquer contrato de sub-processador que conclua de acordo com as Cláusulas ao exportador de dados.

Cláusula 6

Passivo

1.As partes concordam que qualquer titular de dados, que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou sub-processador terá direito a receber uma compensação do exportador de dados pelo dano sofrido.

2.Se o titular dos dados não puder apresentar um pedido de indemnização, nos termos do n.º 1, contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu sub-processador de qualquer das obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir em lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade obrigações legais do exportador de dados por contrato de por força de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade.

O importador de dados não poderá invocar uma violação por um sub-processador de suas obrigações, a fim de evitar seus próprios passivos.

3.Se o titular dos dados não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados com relação aos nºs 1 e 2, decorrentes de uma violação pelo sub-processador de qualquer das obrigações referidas na cláusula 3 ou na cláusula 11, porque: tanto o exportador de dados quanto o importador de dados desapareceram efetivamente ou deixaram de existir em lei ou se tornaram insolventes, o sub-processador concorda que o titular dos dados poderá emitir uma reclamação contra o sub-processador de dados com relação às suas próprias operações de processamento de acordo com as Cláusulas, como se fossem o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por força de lei, caso em que o titular de dados poderá impor seus direitos contra essa entidade. A responsabilidade do sub-processador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

Cláusula 7

Mediação e jurisdição

1.O importador de dados concorda que, se o titular dos dados invocar direitos de beneficiário de terceiros e/ou indenização de danos por danos de acordo com as Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

(a) encaminhar a disputa à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;

(b) encaminhar o litígio aos tribunais do Estado-Membro em que o exportador de dados estiver estabelecido.

2.As partes concordam que a escolha feita pelo titular dos dados não prejudicará os direitos substantivos ou processuais de buscar soluções em conformidade com outras disposições do direito nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de supervisão

1.O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade de supervisão, se assim o solicitar, ou se tal depósito for exigido pela lei de proteção de dados aplicável.

2.As partes concordam que a autoridade supervisora terá o direito de realizar uma auditoria do importador de dados e de qualquer sub-processador, importador esse que terá o mesmo escopo e estará sujeito às mesmas condições aplicáveis a uma auditoria do exportador de dados de acordo com os dados aplicáveis. lei de proteção.

3.O importador de dados deverá informar prontamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer sub-processador que impeça a realização de uma auditoria do importador de dados, ou de qualquer sub-processador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Legislação aplicável

As cláusulas serão regidas pela lei do Estado-Membro em que o exportador de dados estiver estabelecido.

Cláusula 10

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões relacionadas a negócios quando necessário, desde que elas não contradigam a Cláusula.

Cláusula 11

Subprocessamento

1.O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados referente às Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar as obrigações de acordo com as Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um acordo escrito com o sub-processador que impõe as mesmas obrigações ao sub-processador impostas ao importador de dados de acordo com as Cláusulas. Quando o sub-processador deixar de cumprir as obrigações de proteção de dados, conforme o acordo por escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do sub-processador nos termos desse contrato.

2.O contrato escrito prévio entre o importador de dados e o sub-processador deverá também prever uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder apresentar o pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram ou deixaram de existir legalmente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou do importador de dados por contrato ou por força de lei. A responsabilidade de terceiros do sub-processador deverá ser limitada às próprias operações de processamento de acordo as Cláusulas.

3.As disposições relacionadas aos aspectos de proteção de dados para o subprocesso do contrato menconadas no Parágrafo 1 regem-se pela lei do Estado-Membro em que o exportador de dados estiver estabelecido.

4.O exportador de dados deverá manter uma lista de acordos de subprocessamento concluídos de acordo com as Cláusulas e que tenham sido notificados pelo importador de dados de acordo com a Cláusula 5 (j), que deverá ser atualizada pelo menos uma vez por ano. A lista deverá estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.

Cláusula 12

A obrigação após o término dos serviços de processamento de dados pessoais

1.As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o sub-processador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados. dados pessoais e certificar ao exportador de dados que o concluiu, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados certifica que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

2.O importador de dados e o sub-processador garantem que, a pedido do exportador de dados e/ou da autoridade de supervisão, apresentará os seus meios de processamento de dados para uma auditoria das medidas referidas no Parágrafo 1.

APÊNDICE 1 DAS CLÁUSULAS CONTRATUAIS PADRÃO

Este Apêndice faz parte das Cláusulas e deverá ser preenchido e assinado pelas partes.

 

Os Estados-Membros podem completar ou especificar, de acordo com os respectivos procedimentos nacionais, qualquer informação adicional necessária que deva constar do presente apêndice.

 

Exportador de dados

O exportador de dados é (especifique brevemente as atividades relevantes para a transferência):

 

O Controlador (exportador de dados) contratou o Importador de Dados para a oportunidade de potencialmente prestar serviços de consultoria ou relacionados aos clientes do Importador de Dados, em troca de pagamento do Importador de Dados.

 

Importador de Dados

O Importador de Dados é (especifique brevemente as atividades relevantes para a transferência):

 

Guidepoint é o importador de dados. O Controlador (Exportador de Dados) contratou o Importador de Dados para a oportunidade de potencialmente prestar serviços de consultoria ou relacionados aos clientes do Importador de Dados, em troca de pagamento do Importador de Dados.

 

 

Sujeitos de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:

 

Funcionários (incluindo autônomos)
Usuários finais
Empreiteiros Independentes
Investidores
Proprietários
Outros indivíduos relevantes pertencentes ao negócio

 

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

 

Nomes
Endereço de e-mail
Endereço/endereço postal
Números de telefone
Endereços IP
Cookies do navegador
IDs de dispositivos
Outras informações enviadas a critério do Controlador ou do Titular dos Dados
Outras informações necessárias para operar o negócio e prestar serviços e suporte ao Controlador
Informações associadas ligadas a dados pessoais

 

 

 

Categorias especiais de dados (se apropriado)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

 

Nenhum.

 

Operações de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

 

Os dados relevantes para os titulares de dados listados são usados para permitir que o Processador preste serviços e suporte ao Controlador no curso normal, incluindo envolvimento em comunicações para uma variedade de propósitos relacionados a negócios, conformidade legal (incluindo conformidade com o GDPR e memorização de instruções escritas) e outros usos comerciais relevantes e previstos no âmbito do Contrato.

 

APÊNDICE 2 DAS CLÁUSULAS CONTRATUAIS PADRÃO

Este Apêndice faz parte das Cláusulas e deverá ser preenchido e assinado pelas partes.

 

Descrição das medidas técnicas e organizacionais de proteção implementadas pelo importador de dados de acordo com as Cláusulas 4 (d) e 5 (c) (ou documento/legislação anexa):

Política de segurança ou plano escrito
Plano de recuperação de desastres
Plano de resposta a incidentes
Segmentação de rede
Firewalls
Dispositivos de prevenção de intrusão
Criptografia em trânsito
Proteção antivírus
Programa de senha
Acesso baseado em função
Regular patch e atualização de sistemas críticos e outros sistemas conectados a sistemas críticos
Treinamento de usuários
Manual do funcionário
Controles anti-spam
Práticas de codificação seguras