Acordo de Processamento de Dados, incluindo os apêndices, (“DPA”) faz parte do Acordo entre nós e o Cliente para a compra de serviços de comunicação (online) de nossa parte para refletir o acordo das Partes com relação ao processamento de Dados Pessoais do Cliente. Neste DPA, os termos “você”, “seu” ou “Cliente” referem-se a você como nosso Cliente (sujeito à Seção 1.2 abaixo), e os termos “nós”, “nos” ou “nosso” referem-se a nós como o Fornecedor (conforme definido abaixo). Termos em maiúsculas usados neste DPA, mas não definidos abaixo, estão definidos em nossos Termos e Condições Gerais ou outro Acordo conosco que regule o seu uso dos Serviços.
As partes concordam que este DPA substituirá qualquer adendo de proteção de dados existente ou acordo semelhante que as partes possam ter celebrado anteriormente em conexão com os Serviços.
1. Escopo, Filiais do Cliente e Prazo
1.1 Escopo. Este DPA rege o processamento de Dados Pessoais do Cliente por nós como processador.
1.2 Afiliadas do Cliente. O Cliente celebra este DPA em nome de si mesmo e, na medida em que seja necessário de acordo com as Leis de Proteção de Dados, em nome e em favor de suas Afiliadas (conforme definido nos Termos), se e na medida em que você fornecer acesso a tais Afiliadas aos Serviços e nós processarmos Dados Pessoais do Cliente para os quais tais Afiliadas se qualificam como o controlador de dados (“Afiliadas do Cliente”). Para os fins deste DPA apenas, e exceto onde indicado de outra forma, os termos “Cliente” e “você” incluirão o Cliente e as Afiliadas do Cliente.
1.3 Prazo. Este DPA permanecerá em vigor enquanto processarmos Dados Pessoais do Cliente sujeitos a este DPA, notwithstanding the expiration or termination of the Agreement.
2. Definições
“Dados da Conta” são quaisquer Dados Pessoais fornecidos por você ou para você a nós em conexão com a entrada e administração do Acordo e da sua conta, incluindo, mas não se limitando a informações de contato, detalhes de faturamento e correspondência sobre a entrada e administração do Acordo e os Serviços relacionados.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018 e quaisquer regulamentos promulgados sob ela, em cada caso, conforme emendado de tempos em tempos.
“Dados do Cliente” significa quaisquer dados e outras informações ou conteúdo submetidos por você ou para você (ou por um usuário da sua Aplicação do Cliente) sob o Acordo e processados ou armazenados pelos Serviços.
“Dados Pessoais do Cliente” significam Dados Pessoais contidos nos Dados do Cliente processados por nós como processador, a menos que especificado de outra forma neste DPA.
“Leis de Proteção de Dados” significa todas as leis e regulamentos de qualquer jurisdição aplicáveis à confidencialidade, privacidade, segurança ou processamento de Dados Pessoais sob o Acordo, incluindo, por exemplo e onde aplicável, o GDPR ou o CCPA.
“EEE” significa, para os fins deste DPA, a Área Econômica Europeia e a Suíça.
“GDPR” significa ou (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas naturais no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados); ou (ii) exclusivamente em relação ao Reino Unido, a Lei de Proteção de Dados de 2018.
“Dados Pessoais” significa quaisquer informações relacionadas a uma pessoa natural identificada ou identificável, diretamente ou indiretamente, seja por si só ou em combinação com outras informações.
“Violação de Dados Pessoais” significa qualquer destruição, perda, alteração, divulgação acidental, não autorizada ou ilegal de, ou acesso a Dados Pessoais do Cliente e qualquer outro termo semelhante sob as Leis de Proteção de Dados aplicáveis como “Violação de Segurança”.
“Serviços” significa todos os produtos e serviços fornecidos por nós ou nossos Afiliados que são (a) encomendados por você sob qualquer Formulário de Pedido; ou (b) usados por você.
“Fornecedor” significa nossa entidade contratante que é parte deste DPA, sendo a entidade contratante listada em Seção 15 nos Termos e Condições Gerais (Entidade Contratante), a menos que indicado de outra forma em seu Formulário de Pedido. Você ou o Fornecedor também podem ser referidos individualmente como uma “Parte” e juntos como “Partes” neste DPA.
“Cláusulas Contratuais Padrão” significam Controlador para Processador (Módulo Dois) ou Processador para Processador (Módulo Três), conforme aplicável, das Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho aprovado pela Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021, conforme atualmente estabelecido no Jornal Oficial da União Europeia.
“Sub-processador” significa uma entidade terceira que processa Dados Pessoais do Cliente em nome do Fornecedor onde o Fornecedor atua como processador de dados ou sub-processador.
“Cláusulas Contratuais Padrão do Reino Unido” significa qualquer ou todas as seguintes: (i) contrato de transferência de dados internacionais emitido pelo Comissário de Informação do Reino Unido sob a seção 119A da Lei de Proteção de Dados de 2018; (ii) o adendo de transferência de dados internacionais às cláusulas contratuais padrão da Comissão Europeia para transferência de dados internacionais emitido pelo Comissário de Informação do Reino Unido sob a seção 119A da Lei de Proteção de Dados de 2018; ou (iii) tais disposições contratuais padrão emitidas pelo Comissário de Informação do Reino Unido ou Comissão Europeia que podem substituir estas de tempos em tempos.
Termos como “processamento”, “controlador de dados”, “processador de dados”, “titular de dados”, etc. terão o significado atribuído a eles sob o GDPR. A definição de “controlador de dados” inclui “empresa”, “consumidor”, “controlador” e “organização”; "processador de dados" inclui “prestador de serviços”, “processador” e “intermediário de dados”; “titular de dados” inclui “consumidor” e “indivíduo”; e “Dados Pessoais” incluem “informações pessoais”, em cada caso como definido sob o CCPA e outras Leis de Proteção de Dados aplicáveis. Os termos “finalidade comercial”, “finalidade comercial”, “vender” e “compartilhar” terão o mesmo significado que nas Leis de Proteção de Dados aplicáveis e, em cada caso, seus termos cognatos deverão ser interpretados em conformidade.
3. Processamento de Dados Pessoais do Cliente
3.1 Finalidades. Processaremos os Dados Pessoais do Cliente apenas na medida necessária (i) para fornecer os Serviços, incluindo a transmissão de comunicação, garantindo a segurança dos serviços, fornecendo relatórios técnicos e de entrega, prestando suporte e desenvolvendo e implementando melhorias e atualizações de acordo com suas instruções documentadas para nós como um processador de dados, conforme especificado na Seção 3.2 deste DPA, (ii) para nossos fins comerciais legítimos conforme especificado na Seção 3.4 deste DPA como controlador de dados, e (iii) conforme exigido pela legislação aplicável.
3.2 Instruções do Cliente. O Contrato e este DPA constituem suas instruções completas para nós como processador de dados no momento da assinatura deste DPA. Cumpriremos outras instruções razoavelmente documentadas, desde que essas instruções sejam compatíveis com os termos do Contrato.
3.3 Detalhes do Processamento. O Anexo I, Parte B (Descrição da Transferência) do Apêndice I deste DPA especifica a natureza e o propósito do processamento por nós como processador de dados ou sub-processador, as atividades de processamento, a duração do processamento, os tipos de Dados Pessoais e as categorias de titulares de dados.
3.4 Fins Comerciais Legítimos. Você reconhece que processamos os Dados Pessoais do Cliente como um controlador de dados independente na medida necessária para os seguintes fins comerciais legítimos: cobrança, gerenciamento de contas, relatórios financeiros e internos, combate e prevenção de ameaças à segurança, ataques cibernéticos e crimes cibernéticos que possam afetar você, nós ou nossos serviços, modelagem de negócios (por exemplo, previsão, planejamento de capacidade e receita, e estratégia de produto), prevenção e detecção de fraudes, spam e abuso, melhoria contínua dos produtos e serviços utilizados por você, e para cumprir nossas obrigações legais.
4. Obrigações do Cliente
4.1 Legalidade. Quando você atua como controlador de dados dos Dados Pessoais do Cliente, você garante que todas as atividades de processamento são legais, têm um propósito específico e quaisquer avisos e consentimentos necessários ou outra base legal apropriada estão em vigor para possibilitar a transferência legal dos Dados Pessoais do Cliente. Se você for um processador de dados (caso em que agiremos como Sub-processador), você garantirá que o controlador de dados relevante assegure que as condições listadas nesta Seção 4.1 sejam atendidas.
4.2 Conformidade. Você é o único responsável por (a) garantir que você cumpra com as Leis de Proteção de Dados aplicáveis ao seu uso dos Serviços e ao seu próprio processamento dos Dados Pessoais do Cliente, (b) fazer uma avaliação independente se as medidas técnicas e organizacionais dos Serviços atendem às suas exigências, e (c) implementar e manter medidas de proteção e segurança de dados para componentes que você fornece ou controla (incluindo, mas não se limitando a senhas, dispositivos usados com os Serviços e Aplicações do Cliente).
5. Segurança
5.1 Medidas de Segurança. Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do processamento, bem como o risco de variação de probabilidade e gravidade dos direitos e liberdades das pessoas naturais, implementaremos e manteremos medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra Violação de Dados Pessoais e preservar a segurança, integridade, disponibilidade, resiliência e confidencialidade dos Dados do Cliente que nossos sistemas utilizam para o processamento dos Dados Pessoais do Cliente. As medidas de segurança aplicadas por nós estão descritas no Apêndice II.
5.2 Atualizações das Medidas de Segurança. Você é responsável por revisar as informações disponibilizadas por nós relacionadas à segurança dos Dados Pessoais do Cliente e fazer uma avaliação independente se tais informações atendem a seus requisitos e obrigações legais sob as Leis de Proteção de Dados. Você reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnicos e que podemos atualizar ou modificar nossas medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
5.3 Controles de Acesso. Aplicamos os princípios de “necessidade de saber” e “menor privilégio”, garantindo que o acesso aos Dados Pessoais do Cliente seja limitado ao pessoal necessário para a prestação dos Serviços e em conformidade com o Contrato, incluindo este DPA.
5.4 Confidencialidade do Processamento. Garantiremos que qualquer pessoa ou parte que seja autorizada por nós a processar os Dados Pessoais do Cliente (incluindo nosso pessoal, agentes e Subprocessadores) esteja informada da natureza confidencial desses Dados Pessoais do Cliente e será submetida a uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário) que perdura após a rescisão de seu engajamento.
5.5 Resposta e Notificação de Violação de Dados Pessoais. Ao tomar conhecimento de uma Violação de Dados Pessoais, notificaremos você sem demora indevida (i) notificaremos você, (ii) investigaremos a Violação de Dados Pessoais, (iii) forneceremos informações oportunas relacionadas à Violação de Dados Pessoais à medida que forem conhecidas ou conforme solicitado razoavelmente por você, e (iv) tomaremos medidas comercialmente razoáveis para mitigar os efeitos e prevenir a recorrência da Violação de Dados Pessoais.
6. Assistência
6.1 Assistência à Proteção de Dados. Nós forneceremos assistência razoavelmente solicitada para permitir que você cumpra suas obrigações sob as Leis de Proteção de Dados, incluindo a notificação de uma Violação de Dados Pessoais, avaliando o nível adequado de segurança do processamento e auxiliando você na realização de uma avaliação de impacto sobre a proteção de dados relevante.
6.2 Assistência com Direitos dos Titulares de Dados. Forneceremos assistência razoável para permitir que você cumpra suas obrigações perante os titulares de dados que exercem seus direitos sob as Leis de Proteção de Dados, disponibilizando medidas técnicas e organizacionais por meio de sua conta. Para evitar dúvidas, você como controlador de dados é responsável pelo processamento de qualquer solicitação ou reclamação de titulares de dados em relação aos Dados Pessoais do Cliente de um titular de dados.
7. Divulgação e Solicitações de Divulgação
7.1 Limitações sobre Divulgações e Acesso. Não forneceremos acesso ou divulgaremos Dados Pessoais do Cliente, exceto (i) conforme direcionado por você, (ii) conforme estabelecido no Contrato e neste DPA, ou (iii) conforme exigido por lei.
7.2 Solicitações de Divulgações. Notificaremos você o mais rápido possível se recebermos uma solicitação de um órgão governamental ou regulador para divulgar Dados Pessoais do Cliente, a menos que tal notificação seja proibida por lei. Trataremos as solicitações de divulgação de acordo com a política de solicitação de divulgação, disponível em nosso site na página da Política de Solicitação de Divulgação.
8. Subprocessadores
8.1 Lista de Sub-processadores Atuais. Você concorda com o envolvimento dos Sub-processadores em relação aos Serviços, listados em nossa visão geral dos Sub-processadores, que também contém um procedimento para você se inscrever para notificações sobre alterações em nosso uso de Sub-processadores. Se você se inscrever para tais notificações, levando em conta a Seção 8.3 deste DPA, compartilharemos detalhes de qualquer alteração nos Sub-processadores assim que razoavelmente possível.
8.2 Nomeação de Sub-processadores. Por meio deste DPA, você fornece uma autorização escrita geral para nós contratarmos Sub-processadores para o processamento de Dados Pessoais do Cliente, sujeito à Seção 8.3 deste DPA e aos seguintes requisitos:
Limitaremos o acesso aos Dados Pessoais do Cliente por Sub-processadores ao que for estritamente necessário para fornecer os serviços especificados no contrato com o sub-processador;
Concordaremos com obrigações de proteção de dados com o Sub-processador que sejam substancialmente as mesmas que as obrigações sob este DPA; e
Permanecemos responsáveis perante você sob este DPA pela execução das obrigações de proteção de dados do Sub-processador.
8.3 Notificação de Alterações nos Sub-processadores e Direito de Oposição. Antes de substituir ou contratar novos Sub-processadores (“Alteração de Sub-processador”), daremos a você a opção de se opor à Alteração de Sub-processador. Você pode se opor a uma Alteração de Sub-processador desde que (i) a objeção seja feita por escrito dentro de dez (10) dias úteis após nossa notificação da Alteração de Sub-processador e (ii) a objeção seja baseada em e explique claramente os fundamentos razoáveis relacionados à proteção dos Dados Pessoais do Cliente. Quando você se opuser a uma proposta de Alteração de Sub-processador, trabalharemos com você de boa fé para fazer uma alteração comercialmente razoável na prestação dos Serviços que evite o uso do Sub-processador relevante. Se tal alteração não puder ser razoavelmente feita dentro de trinta (30) dias a partir do nosso recebimento do aviso de objeção, ou se a alteração for comercialmente irrazoável para nós, qualquer parte pode rescindir as funcionalidades aplicáveis dos Serviços que não podem ser fornecidas sem o uso do Sub-processador relevante. Este direito de rescisão é seu único e exclusivo recurso se você se opuser a uma Alteração de Sub-processador.
9. Transferências Transfronteiriças de Dados Pessoais de Clientes
9.1 Transferências de Dados Pessoais dos Clientes. Podemos transferir Dados Pessoais dos Clientes sob a condição de que todas as salvaguardas adequadas exigidas pelas Leis de Proteção de Dados estejam em vigor. Isso pode incluir uma avaliação de impacto de transferência de dados anterior, a adoção, monitoramento e avaliação de medidas técnicas, organizacionais e legais suplementares, direitos dos titulares de dados aplicáveis e que remédios legais eficazes para os titulares de dados estejam disponíveis.
9.2 Cláusulas Contratuais Padrão para Subprocessadores. A menos que uma decisão de adequação ou mecanismo alternativo de transferência se aplique, como a Estrutura de Privacidade de Dados UE-EUA, celebramos e manteremos Cláusulas Contratuais Padrão com Subprocessadores (incluindo nossas Afiliadas) localizadas fora do EEE, sujeitas aos termos estabelecidos na Seção 9.1 deste DPA.
9.3 Mecanismos de Transferência para Transferências de Dados Pessoais dos Clientes. Na medida em que o seu uso dos Serviços exija um mecanismo de transferência de dados transfronteiriço para exportar legalmente Dados Pessoais dos Clientes de uma jurisdição (por exemplo, o EEE, Califórnia, Cingapura, Suíça ou Reino Unido) para nós localizados fora dessa jurisdição, esta seção se aplicará. Se, no desempenho dos Serviços, Dados Pessoais dos Clientes que estão sujeitos ao GDPR ou a qualquer outra lei relacionada à proteção ou privacidade de indivíduos que se aplique a este DPA forem transferidos para uma entidade Provedora localizada em países que não garantem um nível adequado de proteção de dados no sentido das Leis de Proteção de Dados, os mecanismos de transferência listados abaixo se aplicarão a tais transferências e podem ser diretamente aplicados pelas partes na medida em que tais transferências estejam sujeitas às Leis de Proteção de Dados.
9.3.1 As partes concordam que as Cláusulas Contratuais Padrão se aplicarão aos Dados Pessoais dos Clientes que forem transferidos via os Serviços do EEE ou Suíça, seja diretamente ou por meio de transferência subsequente, para uma entidade Provedora localizada em um país fora do EEE ou Suíça que não é reconhecido pela Comissão Europeia (ou, no caso de transferências da Suíça, pela autoridade competente da Suíça) como fornecendo um nível adequado de proteção para dados pessoais.
9.3.1.1 Quando você estiver atuando como controlador de dados e nós formos um processador de dados, o Módulo Dois das Cláusulas Contratuais Padrão da UE se aplicará a qualquer transferência de Dados Pessoais dos Clientes do EEE. Quando você estiver atuando como processador de dados e nós formos um sub-processador, o Módulo Três das Cláusulas Contratuais Padrão se aplicará a qualquer transferência de Dados Pessoais dos Clientes do EEE.
9.3.1.2 Seremos considerados o importador de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão aplicáveis, que serão consideradas incorporadas a este DPA. Detalhes exigidos sob o Anexo 1 e Anexo 2 das Cláusulas Contratuais Padrão estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão somente com respeito a uma transferência de Dados Pessoais dos Clientes do EEE.
9.3.1.3 Onde as Cláusulas Contratuais Padrão exigirem que as partes escolham entre cláusulas opcionais e insiram informações, as partes o fizeram conforme descrito abaixo:
i. A Cláusula Opcional 7 “Cláusula de Embarque” não será adotada.
ii. Para a Cláusula 9 “Uso de subprocessadores”, as partes elegem a seguinte opção: “Opção 2 Autorizaçãogeneral escrita: o importador de dados tem a autorização geral do controlador para a contratação de sub-processador(es) de uma lista acordada. O importador de dados deve informar especificamente o controlador por escrito sobre quaisquer alterações pretendidas nessa lista através da adição ou substituição de sub-processadores com pelo menos 10 dias úteis de antecedência, dando assim ao controlador tempo suficiente para poder contestar tais alterações antes do engajamento do(s) sub-processador(es). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para que o exportador de dados exerça seu direito de objeção. O importador de dados deverá informar o exportador de dados sobre o engajamento do(s) sub-processador(es).”
iii. Para a Cláusula 11 (a) “Reparação”, as partes não adotam a Opção.
iv. Para a Cláusula 17 “Lei aplicável”, as partes escolhem a seguinte opção: “Opção 1. Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de beneficiário terceiros. As Partes concordam que esta será a lei dos Países Baixos.”
v. Para a Cláusula 18 (b) “Escolha de Foro e Jurisdição”: “As Partes concordam que esses serão os tribunais dos Países Baixos.”
9.3.2 As partes concordam que as Cláusulas Contratuais Padrão do Reino Unido se aplicarão aos Dados Pessoais dos Clientes que forem transferidos via os Serviços do Reino Unido, seja diretamente ou por meio de transferência subsequente, para uma entidade Provedora localizada em um país fora do Reino Unido que não é reconhecido pela autoridade reguladora competente do Reino Unido ou órgão governamental do Reino Unido como fornecendo um nível adequado de proteção para dados pessoais.
9.3.2.1 Seremos considerados o importador de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão do Reino Unido. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão do Reino Unido, que serão consideradas incorporadas a este DPA. Detalhes exigidos sob as Cláusulas Contratuais Padrão do Reino Unido estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão do Reino Unido, as Cláusulas Contratuais Padrão do Reino Unido prevalecerão somente com respeito à transferência de Dados Pessoais dos Clientes do Reino Unido.
10. Auditoria
10.1 Relatório de Auditoria. Nossa plataforma de comunicação será auditada regularmente em relação ao padrão ISO 27001 (ou equivalente). A auditoria pode, a nosso exclusivo critério, ser uma auditoria interna ou uma auditoria realizada por um terceiro. Mediante solicitação por escrito, forneceremos um resumo do(s) relatório(s) de auditoria (“Relatório de Auditoria”), para que você possa verificar nossa conformidade com os padrões de auditoria e este DPA. Esses Relatórios de Auditoria, bem como quaisquer conclusões ou descobertas especificadas neles, são nossas Informações Confidenciais.
10.2 Solicitações de informações do cliente. Disponibilizaremos a você todas as informações razoavelmente necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA. Forneceremos respostas por escrito a solicitações razoáveis de informações feitas por você, incluindo respostas a questionários de segurança da informação e auditoria que sejam razoáveis em escopo e necessárias para confirmar conformidade com este DPA, desde que você (i) tenha feito um esforço razoável para obter as informações solicitadas na Documentação, Relatórios de Auditoria e outras informações fornecidas ou tornadas públicas por nós, e (ii) não exerça esse direito mais de uma vez por ano, a menos que uma Violação de Dados Pessoais ou uma mudança significativa em nossas atividades de processamento em relação aos Serviços exijam que um questionário adicional seja executado. Todas as respostas fornecidas são nossas Informações Confidenciais.
10.3 Auditoria do Cliente. Se um Relatório de Auditoria fornecido por nós a você fornecer razões fundamentadas para acreditar que estamos em violação de nossas obrigações sob este DPA, relacionadas aos Dados Pessoais do Cliente fornecidos por você, permitiremos que um auditor independente e qualificado, nomeado por você e aprovado por nós, audite as atividades relevantes de processamento de Dados Pessoais aplicáveis, desde que, na maior medida permitida pela legislação aplicável, os seguintes requisitos sejam atendidos:
Você deve nos dar pelo menos sessenta (60) dias de aviso prévio razoável antes de exercer o direito de auditoria;
O auditor concorda com as obrigações de confidencialidade padrão de mercado conosco;
Você e o auditor tomam medidas para minimizar a interrupção das operações comerciais;
A auditoria será realizada durante o horário comercial regular;
Não seremos obrigados a fornecer acesso a dados de clientes de outros clientes ou sistemas não envolvidos na prestação dos Serviços; e
Você deverá pagar por todos os custos da auditoria.
11. Exclusão e Retorno dos Dados Pessoais do Cliente
Após a rescisão ou expiração do Contrato, nós (a seu critério) deletaremos ou retornaremos a você todos os Dados Pessoais do Cliente (incluindo cópias) em nossa posse ou controle, exceto se essa exigência não se aplicar na medida em que somos obrigados por lei a reter alguns ou todos os Dados Pessoais do Cliente. Se você nos instruir a deletar os Dados Pessoais do Cliente, os Dados Pessoais do Cliente arquivados em nossos sistemas de backup estarão protegidos de processamento adicional e serão deletados quando o período de retenção exigido tiver sido cumprido.
12. Comunicação e Direitos de Afiliados do Cliente
A entrada neste DPA em nome e em nome de uma Afiliada do Cliente, conforme estabelecido na Seção 1.2, constitui um DPA separado entre nós e essa Afiliada do Cliente, sujeito ao seguinte:
12.1. Comunicação. O Cliente que é a parte contratante do Acordo permanecerá responsável por coordenar toda a comunicação conosco sob este DPA e terá o direito de fazer e receber qualquer comunicação relacionada a este DPA em nome de suas Afiliadas do Cliente.
12.2 Direitos das Afiliadas do Cliente. Quando uma Afiliada do Cliente se tornar uma parte do DPA conosco, ela terá, na medida exigida pelas Leis de Proteção de Dados, o direito de exercer os direitos e buscar reparações sob este DPA, sujeito ao seguinte:
(i) A menos que as Leis de Proteção de Dados exijam que a Afiliada do Cliente exerça um direito ou busque uma reparação sob este DPA contra nós diretamente por si mesma, as partes concordam que (i) somente o Cliente que é a parte contratante do Acordo exercerá qualquer direito ou buscará qualquer reparação em nome da Afiliada do Cliente, e (ii) o Cliente que é a parte contratante do Acordo exercerá tais direitos sob este DPA não separadamente para cada Afiliada do Cliente individualmente, mas de maneira combinada para si e todas as suas Afiliadas do Cliente juntas.
(ii) As partes concordam que o Cliente que é a parte contratante do Acordo deverá, quando uma auditoria in loco dos procedimentos relevantes para a proteção de Dados Pessoais do Cliente estiver sendo realizada em seu nome, conforme estabelecido na Seção 10.3 deste DPA, tomar todas as medidas razoáveis para limitar qualquer impacto sobre nós, combinando, na medida do razoavelmente possível, vários pedidos de auditoria realizados em nome de si e de todas as suas Afiliadas do Cliente em uma única auditoria.
Para clareza, uma Afiliada do Cliente não se torna uma parte contratante do Acordo.
13. Lei de Privacidade do Consumidor da Califórnia.
Na medida em que for aplicável, fazemos os seguintes compromissos adicionais com você em relação ao processamento de Dados Pessoais do Cliente dentro do escopo da CCPA.
13.1 Nossas Obrigações Segundo as Leis de Proteção de Dados dos EUA. Os termos “propósito comercial”, “propósito comercial”, “consumidor”, “vender” e “compartilhar” usados nesta Seção 13.1 têm o significado que lhes é dado na CCPA. Na medida em que for aplicável, cumpriremos a CCPA e trataremos todos os Dados Pessoais do Cliente sujeitos à CCPA e às outras Leis de Proteção de Dados dos EUA aplicáveis (“Dados Pessoais dos EUA”) de acordo com as disposições da CCPA e outras Leis de Proteção de Dados dos EUA. Com relação aos Dados Pessoais dos EUA, somos um prestador de serviços sob a CCPA e um processador de dados sob outras Leis de Proteção de Dados dos EUA. Não venderemos Dados Pessoais dos EUA. Não reteremos, usaremos ou divulgaremos nenhum Dado Pessoal dos EUA (i) para qualquer propósito que não sejam os propósitos comerciais especificados no Acordo (incluindo reter, usar ou divulgar Dados Pessoais dos EUA para um propósito comercial diferente do propósito comercial especificado no Acordo ou conforme permitido pela CCPA ou leis aplicáveis); ou (ii) fora da relação comercial direta entre você e nós.
13.2 Obrigações do Cliente. Você declara e garante que forneceu aviso ao Fim-Usuário de que os Dados Pessoais estão sendo usados ou compartilhados de acordo com as Leis de Proteção de Dados aplicáveis. Você é responsável pelo cumprimento dos requisitos das Leis de Proteção de Dados na medida em que sejam aplicáveis a você como controlador de dados.
14. Lei Aplicável e Resolução de Disputas
Qualquer disputa, reclamação ou controvérsia (“Disputa”) decorrente ou relacionada a este DPA será regida e interpretada de acordo com as leis dos Países Baixos. Cada Parte concorda que os tribunais competentes de Amsterdã, Países Baixos, terão jurisdição exclusiva para resolver qualquer Disputa decorrente ou relacionada a este DPA.
ANEXO I - DETALHES DO PROCESSAMENTO
Quando aplicável, este Apêndice I servirá como Anexo I das Cláusulas Contratuais Padrão.
Anexo I, Parte A. Lista de Partes
Exportador de dados: Cliente
Detalhes de contato do exportador de dados: O endereço listado na conta do Cliente, ou o endereço de e-mail do proprietário da conta do Cliente, ou para o(s) endereço(s) de e-mail para os quais o Cliente optar por receber notificações sob o Acordo.
Papel do exportador de dados: O papel do exportador de dados está detalhado na Seção 4 do DPA.
Assinatura e data: Se e quando aplicável, o exportador de dados é considerado ter assinado as Cláusulas Contratuais Padrão incorporadas neste documento a partir da Data de Vigência do DPA.
Importador de dados: Fornecedor
Detalhes de contato do importador de dados: Encarregado de Proteção de Dados - privacy@bird.com
Papel do importador de dados: O importador de dados atua como processador de dados.
Assinatura e data: Se e quando aplicável, o importador de dados é considerado ter assinado as Cláusulas Contratuais Padrão incorporadas neste documento a partir da Data de Vigência do DPA.
Anexo I, Parte B. Descrição da Transferência
1. Categorias de sujeitos de dados cujos Dados Pessoais são transferidos.
Usuários. Pessoas de contato (pessoas naturais) ou funcionários, contratados ou trabalhadores temporários (atuais, potenciais, ex) do Cliente que utilizam os Serviços (“Usuários”).
Usuários Finais. Qualquer indivíduo (i) cujos detalhes de contato estão incluídos na lista de contatos do Cliente; (ii) cujas informações são armazenadas ou coletadas pelos Serviços, ou (iii) a quem o Cliente envia comunicações ou de outra forma engaja ou se comunica via os Serviços (coletivamente, “Usuários Finais”). Você, como Cliente, determina exclusivamente as categorias de sujeitos de dados incluídas na comunicação enviada através de nossa plataforma de comunicação.
2. Categorias de Dados Pessoais transferidos.
Dados Pessoais do Cliente contidos em conteúdos de comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente.
Conteúdo da comunicação, que pode incluir Dados Pessoais ou outras características personalizadas, dependendo do conteúdo da comunicação determinado por você como Cliente.
Dados de tráfego, que podem incluir Dados Pessoais do Cliente sobre o roteamento, duração ou tempo de uma comunicação, como chamada de voz, SMS ou e-mail, independentemente de estar relacionado a um indivíduo ou empresa.
Dados de Usuários Finais, como número de telefone, endereço de e-mail, primeiro nome, sobrenome, nome de perfil, país, identificador de canal.
Dados de uso do Cliente, que podem conter dados que podem ser ligados a você como um indivíduo incluído em dados estatísticos e informações relacionadas às suas atividades de conta e serviço, percepções relacionadas a serviços e relatórios analíticos sobre comunicações enviadas e suporte ao cliente.
3. Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que consideram totalmente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de propósito, restrições de acesso (incluindo acesso apenas para pessoal que tenha seguido treinamento especializado), mantendo um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.
Conteúdo da comunicação. Dados sensíveis podem, de tempos em tempos, ser processados através dos Serviços onde você ou seus Usuários Finais optarem por incluir dados sensíveis dentro das comunicações transmitidas usando os Serviços. Você é responsável por garantir que salvaguardas adequadas estejam em vigor antes de transmitir ou processar, ou antes de permitir que seus Usuários Finais transmitam ou processem quaisquer dados sensíveis via os Serviços, de acordo com a Seção 3.2 do Acordo.
Dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Não há dados sensíveis contidos em dados de tráfego, dados de Usuários Finais ou dados de uso do cliente.
4. A frequência da transferência (por exemplo, se os dados são transferidos de uma vez ou continuamente): Dados Pessoais do Cliente são transferidos de forma contínua durante a vigência do Acordo.
5. Natureza do processamento: Processaremos os Dados Pessoais do Cliente na medida necessária para fornecer os Serviços sob o Acordo. Não vendemos nenhum Dado Pessoal, incluindo Dados Pessoais do Cliente, e não compartilhamos Dados Pessoais com terceiros para compensação ou para os próprios interesses comerciais desses terceiros.
6. Finalidade(s) da transferência de dados e processamento adicional: Processaremos os Dados Pessoais do Cliente como um processador de dados de acordo com as instruções do Cliente conforme estabelecido neste DPA, a menos que o processamento seja necessário para compliance com uma obrigação legal da qual estamos sujeitos, caso em que nos classificaremos como controladores de dados.
Conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Dados Pessoais contidos no conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente estarão sujeitos às seguintes atividades básicas de processamento:
Conteúdo da comunicação. A provisão de produtos e serviços de comunicação programáveis, oferecidos na forma de interfaces de programação de aplicativos (APIs) ou via o Painel, ao Cliente, incluindo a transmissão para ou a partir do aplicativo de software do Cliente de nossa plataforma de comunicação, e outras redes de comunicação.
Dados de tráfego. Dados de tráfego são processados para o propósito de transmitir comunicação em uma rede de comunicações eletrônicas ou para a cobrança a respeito daquela comunicação. Isso pode incluir Dados Pessoais do Cliente sobre o roteamento, duração ou tempo de uma comunicação, como chamada de voz, SMS ou e-mail, independentemente de estar relacionado a um indivíduo ou a uma empresa.
Dados de Usuários Finais. Dados Pessoais de Usuários Finais são necessários para realizar os Serviços e serão processados apenas para os fins de transmissão de comunicações, suporte ao cliente e garantir conformidade com nossas obrigações legais.
Dados de uso do Cliente. Dados Pessoais contidos nos dados de uso do cliente estarão sujeitos às atividades de processamento para fornecimento dos Serviços sob o Acordo, com o objetivo de fornecer ao Cliente percepções relacionadas a Serviços e relatórios analíticos sobre as comunicações enviadas, suporte ao cliente e melhoria contínua dos Serviços.
7. O período pelo qual os Dados Pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período:
Conteúdo da comunicação e dados de tráfego.
Para conteúdo de comunicação e dados de tráfego contidos nos Serviços de SMS e Voz, aplica-se um período de retenção de seis meses;
Para serviços de Vídeo, conteúdo de comunicação e dados de tráfego são retidos por um mínimo de 30 dias até a duração acordada com você;
Para serviços de E-mail, conteúdo de comunicação e dados de tráfego são retidos por 72 horas;
Para todos os outros serviços, conteúdo de comunicação e dados de tráfego são retidos durante a duração dos Serviços, exceto se você excluir conteúdo de comunicação ou dados de tráfego através das medidas técnicas e organizacionais fornecidas a você pelos Serviços.
Dados de Usuários Finais. Dados de Usuários Finais serão processados pela duração determinada pelo Cliente, quando dados de Usuários Finais estão incluídos em seus perfis de contato, o período de retenção padrão é pela duração dos Serviços, sujeito à Seção 6(c) deste Anexo I, Parte B.
Dados de uso do Cliente. Após a rescisão do Acordo, podemos reter, usar e divulgar dados de uso do cliente para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B, sujeito às obrigações de confidencialidade previstas no Acordo. Vamos anonimizar ou excluir dados de uso do cliente quando não os precisarmos mais para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B.
8. Para transferências para (Sub-)processadores, também especifique a matéria, natureza e duração do processamento: Para transferências a Sub-processadores, a matéria e natureza do processamento estão descritas em nossa visão geral de Sub-processadores e a duração é durante a vigência do Acordo.
Anexo I, Parte C. Autoridade Supervisora Competente
A Autoridade Holandesa de Proteção de Dados (Autoriteit Persoonsgegevens) será a autoridade supervisora competente.
APÊNDICE II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS DE SEGURANÇA
Quando aplicável, este Apêndice II servirá como Anexo II às Cláusulas Contratuais Padrão. O seguinte fornece mais informações sobre nossas medidas de segurança técnica e organizacional estabelecidas abaixo.
Medidas de Segurança Técnica e Organizacional:
Medidas de pseudonimização e proteção de Dados Pessoais em armazenamento e trânsito: todos os Dados Pessoais são criptografados durante o trânsito e em repouso e, na medida em que sejam relevantes do ponto de vista de segurança, tratados como se fossem classificados como dados sensíveis. As informações são sempre transmitidas por meio de TLS com metodologias de criptografia atualizadas por padrão.
Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento: celebramos contratos que contêm disposições de confidencialidade com nossos funcionários, contratados, fornecedores e Subprocessadores. Nossa política de continuidade de negócios é preparar nossa empresa e serviços em caso de interrupções prolongadas causadas por fatores além de nosso controle e restaurar os serviços na maior extensão possível em um mínimo período de tempo. Entendemos que os serviços que fornecemos são críticos para nossos clientes e, portanto, temos muito pouco tolerância para interrupções de serviços. Nossos prazos de recuperação são projetados para garantir que possamos cumprir nossas obrigações com todos os nossos clientes
Processos para teste, avaliação e avaliação regular da eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento: o objetivo da segurança da informação e nosso Sistema de Gestão de Segurança da Informação (SGSI) é proteger a confidencialidade, integridade e disponibilidade das informações para a organização, funcionários, parceiros, clientes e os sistemas de informação (autorizados), e minimizar o risco de danos ocorrendo, prevenindo incidentes de segurança e gerenciando ameaças e vulnerabilidades de segurança. Nossa equipe jurídica, o Encarregado de Proteção de Dados e a Equipe de Segurança garantem que as regulamentações e padrões aplicáveis sejam considerados em nossas estruturas de segurança.
Medidas para identificação e autorização de usuários: seguimos princípios de “necessidade de saber“ e “menor privilégio”. Promovemos o uso de controle de acesso baseado em função. O provisionamento e desprovisionamento é supervisionado pela equipe de segurança, com Single-Sign-On e 2FA por padrão. Os proprietários foram definidos para cada ativo de informação que são responsáveis por garantir que o acesso aos seus sistemas seja apropriado e revisado regularmente. Sempre que lidamos com informações sensíveis ou tomamos ações críticas, usamos o princípio dos quatro olhos.
Medidas para garantir o registro de eventos: os logs de auditoria são armazenados e monitorados centralmente regularmente para eventos de segurança e são mantidos seguros para evitar o risco de adulteração. A Política de Gerenciamento de Incidentes aplica o plano de resposta a incidentes e seus procedimentos. Essas diretrizes estão sendo seguidas se qualquer tipo de incidente de segurança ou técnico ocorrer.
Medidas para garantir a configuração dos sistemas, incluindo configuração padrão: seguimos um processo de gerenciamento de mudanças consistente para todas as mudanças no ambiente de produção da Plataforma de Comunicação como Serviço. Para detalhar mais, todos os pedidos de mudanças (RFC) precisam ser aprovados por uma parte designada e executados de acordo com o processo formal de controle de mudanças. O processo de controle garante que as mudanças propostas sejam revisadas, autorizadas, testadas, implementadas e liberadas de maneira controlada; e que o status de cada mudança proposta seja monitorado. As linhas de base de configuração são seguidas para configurar os sistemas de maneira segura, seguindo as melhores práticas. Além disso, dentro do departamento de Engenharia, um radar tecnológico é utilizado para definir quais tecnologias (linguagens, ferramentas de plataforma, bancos de dados e ferramentas de gerenciamento de dados) podem ser adotadas ou precisam ser evitadas durante o desenvolvimento.
Medidas para segurança física: Todos os funcionários da Bird trabalham remotamente. Devido à política de trabalho remoto da Bird, a Bird implementou e reforçou uma política de teletrabalho que garante que os funcionários trabalhem remotamente de maneira segura. A política impõe medidas mínimas em torno da segurança física, segurança de acesso, e segurança de conexão e comunicação.
Medidas para governança e gestão de TI interna e segurança de TI: mantemos um programa de avaliação de segurança baseado em risco, que inclui salvaguardas administrativas, organizacionais, técnicas e físicas projetadas para proteger os Serviços e a confidencialidade, integridade e disponibilidade dos Dados do Cliente. Nosso programa de segurança da informação é configurado de maneira sistemática e bem organizada. Além disso, requisitos legais e regulatórios se aplicam para garantir a confidencialidade, integridade e disponibilidade das informações para a organização, funcionários, parceiros e clientes. Tudo isso é traduzido em nossas políticas, procedimentos e diretrizes de segurança da informação. Temos um Comitê Diretor de Segurança que é responsável pelo nível tático da segurança da informação. Isso implica a coordenação de atividades de segurança da informação e a tradução de atividades estratégicas em atividades operacionais para nossa segurança, e nossa manutenção contínua de conformidade regulatória. Todos os funcionários são responsáveis por salvaguardar os ativos da empresa. Todos os nossos funcionários são avaliados quanto à expertise, experiência e integridade. Os funcionários são informados sobre segurança e proteção de dados na fase de integração, bem como por meio de treinamento específico para a equipe regularmente e outras apresentações gerais para toda a empresa sobre a importância da proteção de dados e conformidade de segurança. Temos certificação ISO 27001, os padrões de segurança da informação globalmente reconhecidos para Sistemas de Gestão de Segurança da Informação (SGSI).
Todos os nossos provedores de hospedagem são certificados pela ISO 27001.
Também estamos registrados na Autoridade Holandesa para Consumidores e Mercados. Isso significa que somos sempre responsáveis e totalmente transparentes com nossos clientes.
Estamos sempre atualizados com todas as leis e regulamentações aplicáveis, incluindo o Regulamento Geral sobre a Proteção de Dados e o Quadro de Proteção de Dados EUA-UE.
Medidas para certificações/asseguramento de processos e produtos: passamos por vigilância rigorosa, bem como auditorias de certificação como parte de nossa conformidade com a ISO/IEC 27001, e executamos regularmente testes de vulnerabilidade e penetração de aplicativos.
Medidas para garantir responsabilidade: implementamos políticas de segurança da informação e proteção de dados em conformidade com as leis aplicáveis e publicamos uma visão geral das informações relevantes do nosso SGSI em nossa Visão Geral de Segurança do MessageBird. Nomeamos um Diretor de Segurança dedicado, um Oficial de Segurança da Informação, um Oficial de Conformidade e um Encarregado de Proteção de Dados, e mantemos documentação de nossas atividades de processamento, incluindo o registro e relatório de incidentes de segurança envolvendo Dados Pessoais, quando aplicável.
Medidas para garantir a exclusão de dados: garantimos a exclusão de dados por meio de um processo automatizado de exclusão em nosso ambiente de comunicação e infraestrutura. Este processo de exclusão de dados garante que todos os dados que não são mais necessários para cumprir um propósito específico sejam removidos de nossos sistemas após o processamento.
