Este Anexo de Processamento de Dados (DPA) se aplica a todo o processamento de dados pessoais de usuários finais que você (Cliente) fornece à MessageBird B.V. (MessageBird) por meio dos serviços da MessageBird conforme definido separadamente em um contrato separado (Serviços). Este DPA se aplica além dos Termos e Condições Gerais da MessageBird ou do Contrato de Prestação de Serviços Master, conforme aplicável (Contrato) ao Cliente e à MessageBird (juntas: as Partes). Em caso de conflito ou inconsistência entre as disposições do Contrato e este DPA, o DPA prevalecerá.

Termos como “dados pessoais”, “processamento”, “controlador de dados”, “operador de dados”, “violação de dados pessoais”, etc. terão o significado atribuído a eles sob a legislação de proteção de dados aplicável (Legislação de Proteção de Dados), exceto pela definição de (sub-)processador que exclui explicitamente operadoras de telecomunicações e outros provedores de serviços de telecomunicações que são considerados necessários para a operação dos Serviços, no entanto, devido ao fato de que tais partes estão atuando apenas como um canal ou como um controlador de dados independente, não se enquadram na definição de operador de dados conforme declarado na Legislação de Proteção de Dados.

O Cliente e a MessageBird ambos reconhecem e entendem que, com respeito ao processamento de dados pessoais de usuários finais (‘titular de dados’) que o Cliente fornece à MessageBird com base nos Serviços, a MessageBird é o operador de dados.

1. O Cliente instrui a MessageBird a processar os dados pessoais dos titulares de dados na medida necessária para a execução dos Serviços conforme previsto no Contrato.

1. A MessageBird deverá, em relação a quaisquer dados pessoais que sejam processados em conexão com os Serviços:

   1. processar dados pessoais apenas de acordo com instruções documentadas do Cliente, salvo disposição em contrário exigida pelas leis de qualquer membro da União Europeia ou pelas leis da União Europeia aplicáveis à MessageBird para processar dados pessoais;

   2. somente fornecer acesso ao pessoal que tenha necessidade de conhecer os dados pessoais e garantir que todo o referido pessoal que tem acesso ou processa dados pessoais esteja sob uma obrigação legal de manter a confidencialidade dos dados pessoais;

   3. adotar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição, dano, alteração ou divulgação acidental. Essas medidas devem ser apropriadas ao nível de risco apresentado pelo processamento (e levando em conta a natureza dos dados pessoais) e ao dano que pode resultar de uma violação de dados pessoais que afete os dados pessoais;

   4. fornecer ao Cliente qualquer assistência conforme razoavelmente solicitada pelo Cliente para permitir que o Cliente cumpra as obrigações do Cliente sob a Legislação de Proteção de Dados, incluindo a notificação de violações de dados pessoais, segurança do processamento e assistindo o Cliente na execução de qualquer avaliação de impacto de proteção de dados relevante;

   5. fornecer ao Cliente assistência razoável a fim de permitir que o Cliente cumpra suas obrigações para com os titulares de dados que exercem seus direitos sob a Legislação de Proteção de Dados. A MessageBird disponibilizará medidas técnicas e organizacionais para permitir que o Cliente cumpra essas obrigações através da conta do Cliente ou da API dedicada. O Cliente reconhece e concorda que solicitações enviadas pelo Cliente via e-mail não são consideradas como um meio válido para exercer seus direitos e que quaisquer tais solicitações não serão processadas pela MessageBird. Para evitar dúvidas, o Cliente, como controlador de dados, é responsável por processar quaisquer solicitações ou reclamações de titulares de dados em relação aos dados pessoais dos titulares de dados;

   6. a critério do Cliente, excluir ou devolver os dados pessoais e cópias deles ao Cliente ao término do contrato do Cliente com a MessageBird, salvo disposição em contrário exigida por leis obrigatórias aplicáveis;

   7. manter registros conforme exigido pela Legislação de Proteção de Dados das atividades de processamento realizadas sob o Contrato e este DPA;

   8. pelo menos a cada dois anos, auditar a segurança e as atividades de processamento de dados pessoais da MessageBird e fornecer ao Cliente (de forma confidencial), mediante sua solicitação por escrito, um resumo ou uma descrição dos resultados de tal auditoria. Um resumo de um relatório de auditoria ISO 27001:2013 será considerado para atender ao pedido do Cliente. Para evitar dúvidas, a auditoria pode ser uma auditoria interna ou uma auditoria realizada por terceiros, cuja decisão ficará, no entanto, a critério exclusivo da MessageBird;

   9. se o resumo ou descrição dos resultados da auditoria fornecidos pela MessageBird ao Cliente de acordo com o parágrafo 2(h) deste DPA der ao Cliente razões fundamentadas para acreditar que a MessageBird está em violação de suas obrigações sob este DPA relacionadas aos dados pessoais fornecidos pelo Cliente, permitir que uma terceira parte independente e qualificada designada pelo Cliente e aprovada pela MessageBird, audite as atividades de processamento de dados pessoais aplicáveis da MessageBird, desde que os termos da Cláusula 3 deste Anexo sejam atendidos; e,

   10. notificar o Cliente o mais rápido possível, se a MessageBird receber um aviso ou comunicação de um órgão governamental ou regulador que se relacione diretamente ao processamento de dados pessoais, conforme instruído e fornecido pelo Cliente, pela MessageBird ou seus (sub-)processadores, a menos que tal aviso ou comunicação seja proibido por lei.

1. O Cliente deverá:

   1. notificar a MessageBird pelo menos dois (2) meses antes de exercer o direito de auditoria do Cliente de acordo com o parágrafo 2(i) deste DPA;

   2. assegurar que qualquer auditoria não interrompa de maneira irrazonável as operações comerciais da MessageBird; e,

   3. arcadear e pagar todos os custos de tal auditoria.

1. Se o Cliente atuar como controlador de dados, o Cliente garante que todas as atividades de processamento são legais, têm uma finalidade específica e quaisquer avisos e consentimentos exigidos ou outra base legal apropriada estão em vigor para permitir a transferência legal de dados pessoais. Se o Cliente for um operador de dados (caso em que a MessageBird será um sub-processador), o Cliente assegura que o controlador de dados relevante garante que as condições listadas nesta cláusula sejam atendidas.

1. Dada a natureza dos Serviços, o uso dos Serviços pelo Cliente e pelos usuários finais do Cliente pode exigir a transferência de dados pessoais fora da EEE; quando a execução dos Serviços envolver uma transferência de dados pessoais para (sub-)processadores fora da EEE, o Cliente, por meio deste, concede à MessageBird um mandato pelo prazo de todos os contratos em vigor entre o Cliente e a MessageBird para celebrar Cláusulas Contratuais Padrão da UE com (sub-)processadores fora da EEE em nome do Cliente, se nenhum outro mecanismo de transferência apropriado sob a Legislação de Proteção de Dados se aplicar.

1. Por meio desta Cláusula, o Cliente concede à MessageBird uma autorização escrita geral para o engajamento de quaisquer outras partes terceiras como novos (sub-)processadores para o processamento de dados pessoais, sujeita aos termos deste Anexo. A MessageBird não envolverá nenhum (sub-)processador no processamento de dados pessoais sob este Contrato sem informar previamente o Cliente sobre qualquer mudança pretendida a respeito da adição ou substituição de outros processadores, dando assim ao Cliente a oportunidade de se opor a tais mudanças. 

1. O Cliente pode se opor a qualquer novo (sub-)processador com base apenas em motivos razoáveis relacionados com proteção de dados, rescindindo o Contrato e este Anexo. Esse direito de rescisão é o único e exclusivo recurso do Cliente se o Cliente se opuser a qualquer novo (sub-)processador.

1. O Cliente concorda especificamente com o engajamento das entidades listadas em https://www.messagebird.com/en-gb/legal/privacy#processorList como (sub-)processadores da MessageBird para o processamento de dados pessoais. A MessageBird deverá atualizar a lista de (sub-)processadores quando um novo (sub-)processador para o processamento de dados pessoais for engajado.

1. A MessageBird tomará todas as medidas contratuais disponíveis e apropriadas para garantir que, quando um (sub-)processador for engajado:

   1. o (sub-)processador processará dados pessoais somente se tal processamento for necessário para a execução dos Serviços ou parte deles;

   2. obrigações de proteção de dados que forneçam proteção semelhante àquelas contidas neste DPA serão impostas ao (sub-)processador por meio de um contrato ou outro ato legal sob a lei da UE ou do Estado Membro, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de tal maneira que o processamento atenda aos requisitos da Legislação de Proteção de Dados; e;

   3. a MessageBird continua responsável perante o Cliente sob este DPA pelo cumprimento das obrigações de seu (sub-)processador.

1. Detalhes do processamento:

   1. Assunto e propósito do processamento: prestação dos Serviços da MessageBird ao Cliente.

   2. Categorias de dados pessoais: informações sobre usuários finais que o Cliente fornece à MessageBird através dos Serviços.

   3. Categorias de titulares de dados: os titulares de dados incluem clientes do Cliente, funcionários, fornecedores e qualquer outra pessoa física que seja o usuário final de serviços de comunicação, de quem o Cliente fornece dados pessoais através dos Serviços.

   4. Duração do processamento: os dados pessoais serão processados pelo tempo necessário para a execução dos Serviços ou conforme exigido pela legislação aplicável.

1. Este Anexo de Processamento de Dados é regido pelas leis da Holanda, e as Partes se submetem à jurisdição exclusiva dos tribunais de Amsterdã para todos os fins relacionados a este DPA, incluindo a execução de qualquer prêmio ou julgamento proferido sob ou em conexão com ele.