Este contrato de processamento de dados, incluindo os apêndices (o “DPA”), é parte do Contrato entre o Cliente e a entidade contratante listada na Seção 15 (Entidade Contratante) dos Termos e Condições Gerais, a menos que declarado de outra forma em seu Formulário de Pedido. Neste DPA, os termos “você”, “seu”, ou “Cliente” referem-se a você (sujeito à Seção 1.2 abaixo), e os termos “nós”, “nos,” “nosso” ou “MessageBird” referem-se a nós.
1. Escopo, Afiliados do Cliente e Prazo
1.1 Escopo. Este DPA rege o processamento de Dados Pessoais do Cliente pela MessageBird como processador.
1.2 Afiliadas do Cliente. O Cliente entra neste DPA em nome de si mesmo e, na medida do necessário sob a Legislação de Proteção de Dados, em nome e por conta de suas Afiliadas (conforme definido nos Termos), caso e na medida em que você forneça a essas Afiliadas acesso aos Serviços e nós processemos Dados Pessoais do Cliente para os quais tais Afiliadas se qualificam como controlador de dados (“Afiliadas do Cliente”). Para os fins deste DPA apenas, e exceto onde indicado de outra forma, os termos “Cliente” e “você” incluirão o Cliente e as Afiliadas.
1.3 Duração. Este DPA permanecerá em vigor enquanto a MessageBird processar Dados Pessoais do Cliente sujeitos a este DPA, notwithstanding a expiração ou rescisão do Acordo.
2. Definições
Os termos capitalizados usados, mas não definidos neste DPA, terão o significado dado a eles no Contrato. Os seguintes termos definidos são utilizados neste DPA:
2.1 “CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018 e quaisquer regulamentos promulgados a partir dela, em cada caso, conforme alterados de tempos em tempos.
2.2 “Dados do Cliente” significa quaisquer dados e outras informações ou conteúdos submetidos por você ou para você (ou por um usuário do seu Aplicativo de Cliente) sob o Contrato e processados ou armazenados pelos Serviços.
2.3 “Dados Pessoais do Cliente” significa Dados Pessoais contidos nos Dados do Cliente. Dados da conta não são Dados Pessoais do Cliente. Dados da conta são quaisquer dados fornecidos por ou para você à MessageBird em conexão com a celebração e administração do Contrato e da sua conta, incluindo, mas não se limitando a informações de contato, detalhes de cobrança do Cliente e correspondência sobre a celebração e administração do Contrato.
2.4 “Legislação de Proteção de Dados” significa todas as leis e regulamentos de qualquer jurisdição aplicáveis à confidencialidade, privacidade, segurança ou processamento de Dados Pessoais sob o Contrato, incluindo, quando aplicável, o GDPR, o CCPA e todas as outras leis e regulamentos relacionados à privacidade, marketing direto ou proteção de dados.
2.5 “EEE” significa, para os fins deste DPA, o Espaço Econômico Europeu e a Suíça.
2.6 “Cláusulas Contratuais Padrão do Controlador da UE para Processador” significa os módulos de “Controlador para Processador” (Módulo 2) das Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros de acordo com o GDPR e a Decisão de Execução da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021.
2.7 “Cláusulas Contratuais Padrão do Processador da UE para Subprocessador” significa os módulos de “Processador para Processador” (Módulo 3) das Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros de acordo com o GDPR e a Decisão de Execução da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021.
2.8 “GDPR” significa (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas naturais no que diz respeito ao processamento de Dados Pessoais e à livre circulação de tais dados (Regulamento Geral sobre a Proteção de Dados); ou (ii) somente com relação ao Reino Unido, a Lei de Proteção de Dados de 2018.
2.9 “LGPD” significa a Lei Geral de Proteção de Dados de 2018 e quaisquer regulamentos promulgados a partir dela, em cada caso, conforme alterados de tempos em tempos.
2.10 “Dados Pessoais” significa qualquer informação relativa a uma pessoa natural identificada ou identificável, direta ou indiretamente.
2.11 “PDPA” significa a Lei de Proteção de Dados Pessoais de 2012 e quaisquer regulamentos promulgados a partir dela, em cada caso, conforme alterados de tempos em tempos.
2.12 “Declaração de Privacidade” significa a Declaração de Privacidade atual dos Serviços, conforme estabelecido na Declaração de Privacidade da Bird.
2.13 “Violação de Dados Pessoais” significa qualquer destruição, perda, alteração, divulgação, acesso acidental, não autorizado ou ilegal aos Dados Pessoais do Cliente.
2.14 “Serviços” significa todos os produtos e serviços fornecidos por nós ou nossos Afiliados que são (a) solicitados por você sob qualquer Formulário de Pedido; ou (b) utilizados por você.
2.15 “Cláusulas Contratuais Padrão” significa (i) as Cláusulas Contratuais Padrão do Controlador da UE para Processador; ou (ii) as Cláusulas Contratuais Padrão do Processador da UE para Subprocessador, seja individualmente ou coletivamente, conforme aplicável.
2.16 “Subprocessador” significa a entidade que processa os Dados Pessoais do Cliente em nome de uma entidade atuando como um processador de dados ou um Subprocessador.
2.17 “Cláusulas Contratuais Padrão do Controlador do Reino Unido para Processador” significa as cláusulas contratuais padrão para a transferência de Dados Pessoais para processadores estabelecidos em países terceiros na forma estabelecida pela Decisão da Comissão Europeia 2010/87/UE, conforme possa ser alterada, modificada ou substituída pela Comissão Europeia.
Termos como “processamento”, “controlador de dados”, “processador de dados”, “titular de dados”, etc. terão o significado atribuído a eles sob o GDPR. A definição de “controlador de dados” inclui “negócio”, “controlador” e “organização”; “processador de dados” inclui “prestador de serviços”, “processador” e “intermediário de dados”; “titular de dados” inclui “consumidor” e “indivíduo”; e “Dados Pessoais” inclui “informações pessoais”, em cada caso conforme definido sob o CCPA, LGPD ou PDPA.
3. Processamento de Dados Pessoais do Cliente
3.1 Finalidades. Processaremos os Dados Pessoais do Cliente apenas na medida necessária (i) para fornecer os Serviços, incluindo a transmissão de comunicações, garantindo a segurança dos serviços, fornecendo relatórios técnicos e de entrega, oferecendo suporte e desenvolvendo e implementando melhorias e atualizações de acordo com suas instruções documentadas para nós como controlador de dados, conforme especificado na Seção 3.2 deste DPA, e (ii) para nossos legítimos interesses comerciais como especificado na Seção 3.4 deste DPA como controlador de dados. Não vendemos nenhum Dado Pessoal, incluindo Dados Pessoais do Cliente, e não compartilhamos Dados Pessoais com terceiros em troca de compensação ou para os próprios interesses comerciais desses terceiros.
3.2 Instruções. O Contrato e este DPA constituem suas instruções completas para nós como controlador de dados no momento da assinatura deste DPA. Cumpriremos outras instruções razoavelmente documentadas, desde que essas instruções sejam consistentes com os termos do Contrato.
3.3 Detalhes do processamento. O Anexo I, Parte B. (Descrição da transferência) deste DPA especifica ainda mais a natureza e a finalidade do processamento, as atividades de processamento, a duração do processamento, os tipos de Dados Pessoais e categorias de sujeitos de dados por nós como controlador de dados ou Subprocessador.
3.4 Finalidades comerciais legítimas. Você reconhece que processamos os Dados Pessoais do Cliente como um controlador de dados independente na medida necessária para os seguintes fins comerciais legítimos: faturamento, gerenciamento de contas, relatórios financeiros e internos, combate e prevenção de ameaças à segurança, ataques cibernéticos e crimes cibernéticos que podem nos afetar ou afetar nossos serviços, modelagem de negócios (por exemplo, previsão, planejamento de capacidade e receita, estratégia de produto), prevenção e detecção de fraudes, spam e abusos, melhoria de produtos e cumprimento de nossas obrigações legais.
4. Obrigações do Cliente
4.1 Legalidade. Onde você atuar como controlador de dados dos Dados Pessoais do Cliente, você garante que todas as atividades de processamento são legais, têm um propósito específico, e quaisquer avisos e consentimentos necessários ou outra base legal apropriada estão em vigor para permitir a transferência legal dos Dados Pessoais do Cliente. Se você for um processador de dados (caso em que atuaremos como Subprocessador), você garantirá que o controlador de dados relevante garante que as condições listadas nesta Seção 4.1 sejam atendidas.
4.2 Conformidade. Você é o único responsável por (a) garantir que você cumpra com a Legislação de Proteção de Dados aplicável ao seu uso dos Serviços e ao seu próprio processamento de Dados Pessoais do Cliente, (b) fazer uma avaliação independente se as medidas técnicas e organizacionais dos Serviços atendem às suas necessidades, e (c) implementar e manter medidas de privacidade e segurança para componentes que você fornece ou controla (incluindo, mas não se limitando a senhas, dispositivos utilizados com os Serviços e Aplicações do Cliente).
5. Segurança
5.1 Medições de segurança. Levando em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de variação na probabilidade e gravidade para os direitos e liberdades de pessoas naturais, implementaremos e manteremos medidas de segurança técnicas e organizacionais adequadas para proteger os Dados Pessoais do Cliente contra Incidentes de Dados Pessoais e para preservar a segurança, integridade, disponibilidade, resiliência e confidencialidade dos Dados do Cliente que nossos sistemas utilizam para processar os Dados do Cliente. As medidas de segurança aplicadas por nós são descritas no Apêndice II.
5.2 Atualizações das medidas de segurança. Você é responsável por revisar as informações disponibilizadas por nós relacionadas à segurança dos Dados Pessoais do Cliente e por fazer uma determinação independente quanto a se tais informações atendem aos seus requisitos e obrigações legais sob a Legislação de Proteção de Dados. Você reconhece que as medidas de segurança estão sujeitas ao progresso e desenvolvimento técnicos e que poderemos atualizar ou modificar nossas medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
5.3 Controles de acesso. Aplicamos os princípios de “necessidade de saber” e menor privilégio.
5.4 Confidencialidade do processamento. Garantiremos que qualquer pessoa ou parte que esteja autorizada por nós a processar os Dados Pessoais do Cliente (incluindo nossa equipe, agentes e Subprocessadores) esteja ciente da natureza confidencial de tais Dados Pessoais do Cliente e estará sob uma obrigação adequada de confidencialidade (seja uma obrigação contratual ou legal) que perdura após a rescisão de seu vínculo.
5.5 Resposta e notificação de Incidente de Dados Pessoais. Ao tomar conhecimento de um Incidente de Dados Pessoais, notificaremos você sem demora indevida (i) notificando-o, (ii) investigando o Incidente de Dados Pessoais, (iii) fornecendo informações oportunas relacionadas ao Incidente de Dados Pessoais à medida que se tornem conhecidas ou conforme razoavelmente solicitado por você, e (iv) tomando medidas comercialmente razoáveis para mitigar os efeitos e prevenir a recorrência do Incidente de Dados Pessoais.
6. Assistência
6.1 Assistência à proteção de dados. Forneceremos a você assistência razoavelmente solicitada para permitir que você cumpra suas obrigações sob a Legislação de Proteção de Dados, incluindo a notificação de uma Violação de Dados Pessoais, avaliando o nível apropriado de segurança do processamento e ajudando-o na execução de uma avaliação de impacto à proteção de dados relevante.
6.2 Assistência com solicitações de titulares de dados. Forneceremos a você assistência razoável para permitir que você cumpra suas obrigações para com os titulares de dados que exercem seus direitos sob a Legislação de Proteção de Dados, disponibilizando medidas técnicas e organizacionais por meio da sua conta. Para evitar dúvidas, você, como controlador de dados, é responsável pelo processamento de qualquer solicitação ou reclamação de titulares de dados em relação aos Dados Pessoais do Cliente de um titular de dados.
7. Divulgação e Pedidos de Divulgação
7.1 Limitações na divulgação e acesso. Não forneceremos acesso ou divulgaremos Dados Pessoais do Cliente, exceto (i) conforme orientado por você, (ii) conforme estabelecido no Acordo e neste DPA, ou (iii) conforme exigido por lei.
7.2 Pedidos de Divulgação. Nós o notificaremos assim que razoavelmente possível se recebermos um pedido de um órgão governamental ou regulatório para divulgar Dados Pessoais do Cliente, a menos que tal notificação seja proibida por lei. Nós lidaremos com os pedidos de divulgação de acordo com nossa Política de Pedidos de Divulgação.
8. Subprocessadores
8.1 Subprocessadores Atuais. Você concorda com o envolvimento dos Subprocessadores listados sob o título “Dados Pessoais do Usuário Final” na Lista de Subprocessadores do Bird, que também contém um procedimento para você se inscrever para notificações sobre alterações em nosso uso de Subprocessadores. Se você se inscrever para tais notificações, e levando em conta a Seção 8.3 deste DPA, compartilharemos os detalhes de quaisquer mudanças nos Subprocessadores assim que for razoavelmente possível.
8.2 Uso de Subprocessadores. Por meio deste DPA, você fornece uma autorização escrita geral para nós nos envolvermos com Subprocessadores para o processamento de Dados Pessoais do Cliente, sujeito à Seção 8.3 deste DPA e aos seguintes requisitos:
a. Restringiremos o acesso aos Dados Pessoais do Cliente pelos Subprocessadores ao que for estritamente necessário para fornecer os serviços especificados no contrato de subprocessor;
b. Concordaremos sobre obrigações de proteção de dados com o Subprocessador que sejam substancialmente as mesmas que as obrigações sob este DPA; e
c. Permanecemos responsáveis perante você sob este DPA pelo cumprimento das obrigações de proteção de dados do Subprocessador.
8.3 Notificação de mudanças nos Subprocessadores e direito de objeção. Antes de substituir ou envolver novos Subprocessadores (“Mudança de Subprocessador”), daremos a você a opção de se opor à Mudança de Subprocessador.
Você pode se opor a uma Mudança de Subprocessador desde que (i) a objeção seja feita por escrito dentro de dez (10) dias úteis após nossa notificação da Mudança de Subprocessador e (ii) a objeção seja baseada e explique claramente os motivos razoáveis relacionados à proteção dos Dados Pessoais do Cliente. Quando você se opõe a uma proposta de Mudança de Subprocessador, trabalharemos com você de boa fé para fazer uma mudança comercialmente razoável na prestação dos Serviços que evite o uso do Subprocessador relevante. Se tal mudança não puder ser razoavelmente feita dentro de trinta (30) dias úteis após o recebimento da sua notificação de objeção, ou se a mudança for comercialmente irrealizável para nós, qualquer parte pode rescindir os recursos aplicáveis dos Serviços que não podem ser fornecidos sem o uso do Subprocessador relevante. Este direito de rescisão é seu único e exclusivo recurso se você se opuser a uma Mudança de Subprocessador.
9. Transferências Transfronteiriças de Dados Pessoais do Cliente
9.1 Transferências de Dados Pessoais do Cliente. Podemos transferir Dados Pessoais do Cliente sob a condição de que todas as salvaguardas apropriadas exigidas pela Legislação de Proteção de Dados estejam em vigor. Isso pode incluir uma avaliação prévia do impacto da transferência de dados, a adoção, monitoramento e avaliação de medidas técnicas, organizacionais e legais suplementares, direitos efetivos dos titulares dos dados e que remédios legais efetivos para os titulares dos dados estejam disponíveis.
9.2 Cláusulas Contratuais Padrão para Subprocessadores. A menos que uma decisão de adequação ou um mecanismo de transferência alternativo se aplique, celebramos e manteremos Cláusulas Contratuais Padrão com Subprocessadores (incluindo nossas Afiliadas) localizadas fora do EEE, sujeitas aos termos estabelecidos na Seção 9.1 deste DPA.
9.3 Mecanismos de Transferência para Transferências de Dados Pessoais do Cliente. Na medida em que seu uso dos Serviços necessite de um mecanismo de transferência de dados transfronteiriço para exportar legalmente Dados Pessoais do Cliente de uma jurisdição (por exemplo, o EEE, Califórnia, Cingapura, Suíça, ou o Reino Unido) para nós localizados fora dessa jurisdição, esta seção se aplicará. Se, na execução dos Serviços, Dados Pessoais do Cliente que estão sujeitos ao GDPR ou a qualquer outra lei relacionada à proteção ou privacidade de indivíduos que se aplica a este DPA forem transferidos para a MessageBird localizada em países que não garantem um nível adequado de proteção de dados no sentido da Legislação de Proteção de Dados, os mecanismos de transferência listados abaixo se aplicarão a tais transferências e poderão ser diretamente aplicados pelas partes na medida em que tais transferências estão sujeitas à Legislação de Proteção de Dados:
9.3.1 As partes concordam que as Cláusulas Contratuais Padrão se aplicarão a Dados Pessoais do Cliente que são transferidos via os Serviços do EEE ou Suíça, seja diretamente ou por meio de transferência subsequente, para uma entidade MessageBird localizada em um país fora do EEE ou Suíça que não seja reconhecido pela Comissão Europeia (ou, no caso de transferências da Suíça, pela autoridade competente da Suíça) como proporcionando um nível adequado de proteção para dados pessoais.
9.3.1.1 Quando você atua como controlador de dados e a MessageBird é processadora de dados, as Cláusulas Contratuais Padrão do Controlador da UE para Processador se aplicarão a qualquer transferência de Dados Pessoais do Cliente do EEE. Quando você atua como processador de dados e a MessageBird é subprocessadora, as Cláusulas Contratuais Padrão de Processador para Subprocessador se aplicarão a qualquer transferência de Dados Pessoais do Cliente do EEE.
9.3.1.2 A MessageBird será considerada a importadora de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão aplicáveis, que serão consideradas incorporadas a este DPA. Os detalhes exigidos sob o Anexo 1 e Anexo 2 das Cláusulas Contratuais Padrão estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão exclusivamente em relação a uma transferência de Dados Pessoais do Cliente do EEE.
9.3.1.3 Onde as Cláusulas Contratuais Padrão exigem que as partes escolham entre cláusulas opcionais e insiram informações, as partes o fizeram conforme estabelecido abaixo:
A Cláusula Opcional 7 “Cláusula de Anexação” não será adotada.
Para a Cláusula 9 “Uso de subprocessadores”, as partes elegem a seguinte opção: “Opção 2 Autorização geral por escrito: o importador de dados possui a autorização geral do controlador para o engajamento de subprocessador(es) de uma lista acordada. O importador de dados deverá informar especificamente ao controlador por escrito sobre quaisquer alterações pretendidas nessa lista através da adição ou substituição de subprocessores com pelo menos 10 dias úteis de antecedência, proporcionando assim tempo suficiente para que o controlador possa se opor a tais mudanças antes do engajamento do(s) subprocessador(es). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção. O importador de dados deverá informar ao exportador de dados sobre o engajamento do(s) subprocessador(es).”
Para a Cláusula 11 (a) “Redress”, as partes não adotam a opção.
Para a Cláusula 17 “Lei aplicável”, as partes elegem a seguinte opção: “Opção 1. Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de beneficiário de terceiros. As partes concordam que esta será a lei dos Países Baixos.”
Para a Cláusula 18 (b) “Escolha de Foro e Jurisdição”: “As partes concordam que estes serão os tribunais dos Países Baixos.”
9.3.2 As partes concordam que as Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador se aplicarão a Dados Pessoais do Cliente que são transferidos via os Serviços do Reino Unido, seja diretamente ou por meio de transferência subsequente, para uma entidade MessageBird localizada em um país fora do Reino Unido que não é reconhecida pela autoridade reguladora competente do Reino Unido ou órgão governamental do Reino Unido como proporcionando um nível adequado de proteção para dados pessoais.
9.3.2.1 A MessageBird será considerada a importadora de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador, que serão consideradas incorporadas a este DPA. Os detalhes exigidos sob o Anexo 1 e Anexo 2 das Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador, as Cláusulas Contratuais Padrão do Reino Unido para Controlador a Processador prevalecerão exclusivamente em relação a transferência de Dados Pessoais do Cliente do Reino Unido.
10. Auditoria
10.1 Relatório de Auditoria. Nossa plataforma de comunicação será regularmente auditada de acordo com a norma ISO 27001:2013 (ou equivalente). A auditoria pode, a nosso exclusivo critério, ser uma auditoria interna ou uma auditoria realizada por terceiros. Mediante solicitação por escrito, forneceremos a você um resumo do(s) relatório(s) de auditoria (“Relatório de Auditoria”), para que você possa verificar nossa conformidade com os padrões de auditoria e este DPA. Esses Relatórios de Auditoria, bem como quaisquer conclusões ou descobertas especificadas nos mesmos, são nossas Informações Confidenciais.
10.2 Solicitações de informações do cliente. Disponibilizaremos a você todas as informações razoavelmente necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA. Forneceremos respostas por escrito a solicitações razoáveis de informações feitas por você, incluindo respostas a questionários de segurança da informação e auditoria que sejam razoáveis em escopo e necessárias para confirmar a conformidade com este DPA, desde que você (i) tenha primeiro feito um esforço razoável para obter as informações solicitadas na Documentação, Relatórios de Auditoria e outras informações fornecidas ou tornadas públicas por nós, e (ii) não exercerá esse direito mais de uma vez por ano, a menos que uma Violação de Dados Pessoais ou uma mudança significativa em nossas atividades de processamento em relação aos Serviços exijam que um questionário adicional seja realizado. Todas as respostas fornecidas são nossas Informações Confidenciais.
10.3 Auditoria do Cliente. Se um Relatório de Auditoria fornecido por nós a você lhe der motivos fundamentados para acreditar que estamos violando nossas obrigações sob este DPA, relacionadas aos Dados Pessoais do Cliente fornecidos por você, permitiremos que um auditor independente e qualificado nomeado por você e aprovado por nós, audite as atividades relevantes de processamento de Dados Pessoais aplicáveis, desde que os seguintes requisitos sejam atendidos:
a. Você nos dará aviso prévio razoável de pelo menos sessenta (60) dias antes de exercer o direito de auditoria;
b. O auditor concorda com as obrigações de confidencialidade padrão de mercado conosco;
c. Você e o auditor tomam medidas para minimizar a interrupção em nossas operações comerciais;
d. A auditoria será realizada durante o horário comercial regular;
e. Não seremos obrigados a fornecer acesso aos dados de clientes de outros clientes ou sistemas não envolvidos na prestação dos Serviços; e
f. Você pagará todos os custos da auditoria.
11. Exclusão e Retorno dos Dados Pessoais do Cliente
Após a rescisão ou expiração do Contrato, nós (a seu critério) deletaremos ou retornaremos a você todos os Dados Pessoais do Cliente (incluindo cópias) que estiverem em nossa posse ou controle, salvo se esse requisito não se aplicar na medida em que somos obrigados por lei a reter alguns ou todos os Dados Pessoais do Cliente. Se você nos instruir a deletar os Dados Pessoais do Cliente, os Dados Pessoais do Cliente arquivados em nossos sistemas de backup serão protegidos de processamento adicional e deletados quando o período de retenção requerido tiver passado.
12. Comunicação e Direitos de Afiliados do Cliente
A entrada neste DPA em nome e em nome de um Afiliado do Cliente, conforme descrito na Seção 1.2, constitui um DPA separado entre nós e esse Afiliado do Cliente, sujeito ao seguinte:
12.1. Comunicação. O Cliente que é a parte contratante do Acordo permanecerá responsável por coordenar toda a comunicação conosco sob este DPA e terá o direito de fazer e receber qualquer comunicação em relação a este DPA em nome de seus Afiliados do Cliente.
12.2 Direitos dos Afiliados do Cliente. Quando um Afiliado do Cliente se torna uma parte do DPA conosco, ele terá, na medida exigida pela Legislação de Proteção de Dados, o direito de exercer os direitos e buscar reparações sob este DPA, sujeito ao seguinte:
(i) A menos que a Legislação de Proteção de Dados exija que o Afiliado do Cliente exerça um direito ou busque uma reparação sob este DPA diretamente contra a MessageBird, as partes concordam que (i) somente o Cliente que é a parte contratante do Acordo exercerá qualquer um desses direitos ou buscará qualquer uma dessas reparações em nome do Afiliado do Cliente, e (ii) o Cliente que é a parte contratante do Acordo exercerá quaisquer direitos sob este DPA não separadamente para cada Afiliado do Cliente individualmente, mas de uma forma combinada para si e todos os seus Afiliados do Cliente juntos.
(ii) As partes concordam que o Cliente que é a parte contratante do Acordo deverá, quando uma auditoria in loco dos procedimentos relevantes para a proteção dos Dados Pessoais do Cliente estiver sendo realizada em seu nome, conforme estabelecido na Seção 10.3 deste DPA, tomar todas as medidas razoáveis para limitar qualquer impacto sobre nós, combinando, na medida razoavelmente possível, vários pedidos de auditoria realizados em nome de si mesmo e de todos os seus Afiliados do Cliente em uma única auditoria.
Para clareza, um Afiliado do Cliente não se torna uma parte contratante do Acordo.
13. Lei de Privacidade do Consumidor da Califórnia
Fazemos os seguintes compromissos adicionais com você em relação ao processamento de Dados Pessoais do Cliente no âmbito da CCPA.
13.1 Nossas Obrigações. Nós cumpriremos a CCPA e trataremos todos os Dados Pessoais do Cliente sujeitos à CCPA (“Dados Pessoais da CCPA”) de acordo com as disposições da CCPA. Com relação aos Dados Pessoais da CCPA, somos um prestador de serviços sob a CCPA. Não iremos (a) vender Dados Pessoais da CCPA; (b) reter, usar ou divulgar quaisquer Dados Pessoais da CCPA para qualquer propósito que não seja o propósito específico de fornecer os Serviços, incluindo reter, usar ou divulgar Dados Pessoais da CCPA para um propósito comercial diferente de fornecer os Serviços; ou (c) reter, usar ou divulgar Dados Pessoais da CCPA fora de nosso relacionamento comercial direto com você. O Processamento de Dados Pessoais da CCPA autorizado por suas instruções nos Termos e neste DPA é parte integral da nossa prestação dos Serviços. Você reconhece e concorda que nosso acesso aos Dados do Cliente não constitui parte da consideração trocada sob o Acordo. Na medida em que quaisquer dados de uso sejam considerados Dados Pessoais da CCPA, somos a empresa em relação a tais dados e iremos Processar esses dados de acordo com nossa Declaração de Privacidade. Os termos “empresa”, “propósito comercial”, “prestador de serviços” e “vender” conforme usados nesta Seção 13.1 têm os significados que lhes são atribuídos na CCPA. Ambas as partes certificam que entendem e cumprirão as obrigações e restrições estabelecidas neste DPA e no Acordo conforme exigido pela CCPA.
13.2 Obrigações do Cliente. Você declara e garante que forneceu aviso ao Usuário Final de que os Dados Pessoais estão sendo usados ou compartilhados de acordo com os termos e condições previstas na Seção 1798.140(t)(2)(C)(i) da CCPA. Você é responsável pelo cumprimento dos requisitos da CCPA aplicáveis a você como controlador de dados.
14. Lei Aplicável e Resolução de Disputas
Seção 13 dos Termos se aplicará a quaisquer Disputas que surgirem ou estiverem relacionadas a este DPA, a menos que requerido de outra forma pela Legislação de Proteção de Dados.
ANEXO I - DETALHES DO PROCESSAMENTO
Quando aplicável, este Anexo 1 servirá como Anexo I às Cláusulas Contratuais Padrão da EEA.
Anexo I, Parte A. Lista de Partes
Exportador de Dados: Cliente
Detalhes de contato do exportador de dados: O endereço listado na conta do Cliente, ou o endereço de e-mail do proprietário da conta do Cliente, ou para o(s) endereço(s) de e-mail para os quais o Cliente optar por receber notificações sob o Acordo.
Papel do exportador de dados: O papel do exportador de dados está descrito na Seção 4 do DPA.
Assinatura e data: Se e quando aplicável, o exportador de dados é considerado como tendo assinado as Cláusulas Contratuais Padrão aqui incorporadas a partir da data de vigência do DPA.
Importador de Dados: MessageBird B.V.
Detalhes de contato do importador de dados: Trompenburgstraat 2-C, 1079TX, Amsterdã, Países Baixos, Oficial de Proteção de Dados - privacy@bird.com
Papel do importador de dados: O importador de dados atua como processador de dados.
Assinatura e data: Se e quando aplicável, o importador de dados é considerado como tendo assinado as Cláusulas Contratuais Padrão aqui incorporadas a partir da data de vigência do DPA.
Anexo I, Parte B. Descrição da Transferência
1. Categorias de sujeitos de dados cujos Dados Pessoais são transferidos: Usuários. Pessoas de contato do Cliente (pessoas naturais) ou empregados, contratados ou trabalhadores temporários (atuais, potenciais, antigos) usando os Serviços através da conta do Cliente (“Usuários”); Usuários Finais. Qualquer indivíduo (i) cujos dados de contato estão incluídos na lista de contatos do Cliente; (ii) cujas informações estão armazenadas ou coletadas através dos Serviços, ou (ii) a quem o Cliente envia comunicações ou com quem de outra forma interage ou se comunica através dos Serviços (coletivamente, “Usuários Finais”). Você, como Cliente, determina exclusivamente as categorias de sujeitos de dados incluídas na comunicação enviada através de nossa plataforma de comunicação.
2. Categorias de Dados Pessoais transferidos: Dados Pessoais do Cliente contidos em, conteúdo de comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Conteúdo de comunicação, que pode incluir Dados Pessoais ou outras características personalizadas, dependendo do conteúdo da comunicação conforme determinado por você como Cliente. Dados de tráfego, que podem incluir Dados Pessoais do Cliente sobre o roteamento, duração ou tempo de uma comunicação, como chamada de voz, SMS ou e-mail, quer se relacione a um indivíduo ou a uma empresa. Dados de Usuários Finais, como número de telefone, endereço de e-mail, primeiro nome, sobrenome, nome de perfil, país, identificador de canal. Dados de uso do Cliente podem conter dados que podem ser vinculados a você como um indivíduo incluído em dados estatísticos e informações relacionadas à sua conta e atividades de serviço, insights relacionados ao serviço e relatórios analíticos sobre as comunicações enviadas e suporte ao cliente.
3. Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de propósito, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.
(a) Conteúdo da comunicação. Dados sensíveis podem, de tempos em tempos, ser processados através dos Serviços, onde você ou seus Usuários Finais optam por incluir dados sensíveis nas comunicações que são transmitidas usando os Serviços. Você é responsável por garantir que salvaguardas adequadas estejam em vigor antes de transmitir ou processar, ou antes de permitir que seus Usuários Finais transmitam ou processem quaisquer dados sensíveis através dos Serviços, de acordo com a Seção 3.2 do Acordo.
(b) Dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Nenhum dado sensível está contido em dados de tráfego, dados de Usuários Finais ou dados de uso do cliente.
4. A frequência da transferência (por exemplo, se os dados são transferidos de uma vez ou continuamente): Dados Pessoais do Cliente são transferidos de forma contínua durante a vigência do Acordo.
5. Natureza do processamento: Processaremos os Dados Pessoais do Cliente na medida necessária para fornecer os Serviços sob o Acordo. Não vendemos nenhum Dado Pessoal, incluindo os Dados Pessoais do Cliente, e não compartilhamos Dados Pessoais com terceiros por compensação ou para os próprios interesses comerciais desses terceiros.
6. Propósito(s) da transferência de dados e processamento adicional: Processaremos os Dados Pessoais do Cliente como processador de dados de acordo com as instruções do Cliente conforme estabelecido neste DPA, a menos que o processamento seja necessário para conformidade com uma obrigação legal à qual estamos sujeitos, caso em que classificar-nos-emos como controlador de dados.
Conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Dados Pessoais contidos em conteúdo de comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente estarão sujeitos às seguintes atividades básicas de processamento:
(a) Conteúdo da comunicação. A provisão de produtos e serviços de comunicação programáveis, oferecidos na forma de interfaces de programação de aplicativos (APIs) ou via o Painel, para o Cliente, incluindo a transmissão para ou a partir do aplicativo de software do Cliente de ou para nossa plataforma de comunicação e outras redes de comunicações.
(b) Dados de tráfego. Dados de tráfego são processados com a finalidade de transmitir comunicação em uma rede de comunicações eletrônicas ou para a cobrança em relação àquela comunicação. Isso pode incluir Dados Pessoais do Cliente sobre o roteamento, duração ou tempo de uma comunicação, como chamada de voz, SMS ou e-mail, quer se relacione a um indivíduo ou a uma empresa.
(c) Dados de Usuários Finais. Dados Pessoais de Usuários Finais são necessários para executar os Serviços e serão processados apenas para os fins de transmissão de comunicação, suporte ao cliente e garantir conformidade com as obrigações legais da MessageBird.
(d) Dados de uso do Cliente. Dados Pessoais contidos nos dados de uso do cliente estarão sujeitos às atividades de processamento de fornecimento dos Serviços sob o Acordo, com o objetivo de fornecer ao Cliente insights relacionados aos Serviços e relatórios analíticos sobre a comunicação enviada, suporte ao cliente e melhoria contínua dos Serviços.
7. O período pelo qual os Dados Pessoais serão retidos, ou, se isso não for possível, os critérios utilizados para determinar esse período:
(a) Conteúdo da comunicação e dados de tráfego. Para conteúdo de cliente e dados de tráfego contidos nos Serviços de SMS e Voz, um período de retenção de seis meses se aplica;
Para os Serviços da 24sessions, o conteúdo do cliente e os dados de tráfego são retidos por um mínimo de 30 dias até a duração acordada com você;
Para todos os outros serviços, o conteúdo do cliente e os dados de tráfego são retidos pela duração dos Serviços, exceto se você excluir o conteúdo do cliente ou os dados de tráfego através das medidas técnicas e organizacionais fornecidas a você pelos Serviços.
(b) Dados de Usuários Finais. Os dados de Usuários Finais serão processados pela duração determinada pelo Cliente; quando os dados de Usuários Finais estão incluídos em seus perfis de contato, o período de retenção padrão é pela duração dos Serviços, sujeito à Seção 6(c) deste Anexo I, Parte B.
(c) Dados de uso do Cliente. Após a rescisão do Acordo, podemos reter, usar e divulgar Dados de Uso do Cliente para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B, sujeito às obrigações de confidencialidade estabelecidas no Acordo. Anonimizaremos ou excluiremos dados de uso do cliente quando não os exigirmos mais para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B.
8. Para transferências a (sub)processadores, especifique também o assunto, natureza e duração do processamento: Para transferências a Subprocessadores, o assunto e a natureza do processamento estão delineados na Lista de Subprocessadores da Bird, e a duração desse processamento corresponde à duração do Acordo.
Anexo I, Parte C. Autoridade Supervisora Competente
A Autoridade Holandesa de Proteção de Dados (Autoriteit Persoonsgegevens) será a autoridade supervisora competente.
ANEXO II DAS CLÁUSULAS CONTRATUAIS PADRÃO
Onde aplicável, este Apêndice II servirá como Anexo II às Cláusulas Contratuais Padrão. A seguir, fornecemos mais informações sobre nossas medidas de segurança técnica e organizacional estabelecidas abaixo.
Medidas de Segurança Técnica e Organizacional:
Medidas de pseudonimização e proteção de Dados Pessoais em armazenamento e trânsito: Todos os Dados Pessoais são criptografados em trânsito e em repouso e, na medida em que for relevante do ponto de vista da segurança, tratados como se fossem considerados dados sensíveis. A informação é sempre transmitida por meio de TLS com metodologias de criptografia atualizadas por padrão.
Medidas para garantir a confidencialidade, integridade e disponibilidade contínuas e a resiliência dos sistemas e serviços de processamento: firmamos acordos que contêm disposições de confidencialidade com nossos colaboradores, empreiteiros, fornecedores e Subprocessadores. Nossa política de continuidade de negócios é preparar nossas operações e serviços em caso de interrupções prolongadas causadas por fatores fora do nosso controle e restaurar os serviços na maior extensão possível em um prazo mínimo. Entendemos que os serviços que fornecemos são críticos para nossos clientes e, portanto, temos muito pouca tolerância para interrupções no serviço. Nossos prazos de recuperação são projetados para garantir que possamos cumprir nossas obrigações com todos os nossos clientes.
Processos para testes, avaliações e verificações regulares da eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento: O objetivo da segurança da informação e do nosso Sistema de Gestão de Segurança da Informação (SGSI) é proteger a confidencialidade, integridade e disponibilidade da informação para a organização, colaboradores, parceiros, clientes e os sistemas de informação (autorizados), e minimizar o risco de danos ocorrendo, prevenindo incidentes de segurança e gerenciando ameaças e vulnerabilidades de segurança. Nossa equipe jurídica, o Oficial de Proteção de Dados e a Equipe de Segurança e Conformidade garantem que regulamentações e padrões aplicáveis sejam considerados em nossas estruturas de segurança.
Medidas para identificação e autorização de usuários: Seguimos os princípios de “necessidade de saber“ e “menor privilégio”. Promovemos o uso de controle de acesso baseado em função. O provisionamento e desprovisionamento é supervisionado pela equipe de segurança, com Single-Sign-On e 2FA por padrão. Proprietários foram definidos para cada ativo de informação, que são responsáveis por garantir que o acesso aos seus sistemas seja apropriado e revisado regularmente. Sempre que lidamos com informações sensíveis ou tomamos ações críticas, usamos o princípio dos quatro olhos.
Medidas para garantir o registro de eventos: Logs de auditoria são armazenados centralmente e monitorados regularmente para eventos de segurança e são mantidos seguros para evitar o risco de adulteração. A Política de Gestão de Incidentes aplica o plano de resposta a incidentes e seus procedimentos. Essas diretrizes estão sendo seguidas se ocorrer qualquer tipo de incidente de segurança ou técnico. No caso de haver incidentes de Segurança, eles serão revisados regularmente pelo Comitê de Direção de Segurança, que consiste em stakeholders seniores de toda a empresa.
Medidas para garantir a configuração de sistemas, incluindo configuração padrão: Seguimos um processo consistente de gerenciamento de mudanças para todas as alterações no ambiente de produção da Plataforma de Comunicação como Serviço. Para elaborar mais, todos os pedidos de mudança (RFC) precisam ser aprovados por uma parte designada e executados de acordo com o processo formal de controle de mudanças. O processo de controle garante que as mudanças propostas sejam revisadas, autorizadas, testadas, implementadas e lançadas de forma controlada; e que o status de cada mudança proposta seja monitorado. As linhas de base de configuração são seguidas para configurar os sistemas de forma segura, seguindo as melhores práticas. Além disso, dentro do departamento de Engenharia, um radar tecnológico é usado para definir quais tecnologias (linguagens, ferramentas de plataforma, bancos de dados e ferramentas de gerenciamento de dados) podem ser adotadas ou precisam ser evitadas durante o desenvolvimento.
Medida para segurança física: Promovemos ativamente uma política de “Trabalhar de Qualquer Lugar” para que nossos colaboradores tenham liberdade para trabalhar de qualquer lugar que desejem. No entanto, ainda temos nossas instalações de escritório. Não temos áreas/salas de dados seguras em nossas dependências, pois somos uma empresa totalmente baseada na nuvem. Nossos andares de escritório são protegidos por controles de acesso físico, CFTV e segurança humana.
Medidas para governança e gestão de TI interna e segurança da TI: Mantemos um programa de segurança de avaliação baseada em riscos, que inclui salvaguardas administrativas, organizacionais, técnicas e físicas projetadas para proteger os Serviços e a confidencialidade, integridade e disponibilidade dos Dados do Cliente. Nosso programa de segurança da informação é estruturado de maneira sistemática e bem organizada. Além disso, requisitos legais e regulatórios se aplicam para garantir a confidencialidade, integridade e disponibilidade da informação para a organização, colaboradores, parceiros e clientes. Tudo isso é refletido em nossas políticas, procedimentos e diretrizes de segurança da informação. Temos um Comitê de Direção de Segurança responsável pela gestão tática da segurança da informação. Isso envolve a coordenação das atividades de segurança da informação e a tradução das atividades estratégicas em atividades operacionais para nossa segurança e nossa manutenção contínua da conformidade regulatória. Todos os colaboradores são responsáveis pela proteção dos ativos da empresa. Todos os nossos colaboradores são avaliados quanto a habilidades, experiências e integridade. Os colaboradores são informados sobre segurança e proteção de dados na fase de integração, bem como por meio de treinamentos regulares específicos para equipes e outras apresentações gerais da empresa sobre a importância da proteção de dados e conformidade com a segurança. A MessageBird é certificada pela ISO/IEC 27001:2013, os padrões de segurança da informação reconhecidos globalmente para Sistemas de Gestão de Segurança da Informação (SGSI).
Todos os nossos provedores de hospedagem estão em conformidade com a ISO/IEC 27001:2013.
Também estamos registrados na Autoridade Holandesa para Consumidores e Mercados. Isso significa que estamos sempre responsáveis e totalmente transparentes com nossos clientes.
Somos Membros Associados da Groupe Speciale Mobile Association (GSMA). A GSMA representa os interesses dos operadores móveis em todo o mundo. Estamos sempre atualizados com todas as leis e regulamentos aplicáveis, incluindo o Regulamento Geral de Proteção de Dados.
Medidas para certificações/garantia de processos e produtos: Passamos por rigorosos acompanhamentos, bem como auditorias de certificação como parte de nossa conformidade com a ISO/IEC 27001:2013, e realizamos regularmente testes de vulnerabilidade e penetração de aplicativos. A MessageBird adota uma abordagem unificada para gerenciamento de patches e vulnerabilidades para garantir que nossos prazos padrão de SLA sejam mantidos, independentemente da existência de vulnerabilidades em nossa infraestrutura subjacente, plataformas operacionais ou código-fonte.
Medidas para segurança de aplicativos: Garantimos a segurança de nossos aplicativos durante a fase de design e desenvolvimento com base nas Diretrizes de Código Seguro da MessageBird.
Correções apropriadas são implementadas antes da liberação.
As alterações de código são revisadas por indivíduos qualificados (que estão familiarizados com revisão de código e desenvolvimento seguro) que não sejam os desenvolvedores originários.
Os aplicativos passarão por rigorosos testes de segurança de aplicativos para identificar quaisquer novas ameaças e vulnerabilidades pelo menos anualmente (de acordo com os padrões da indústria e melhores práticas).
Todas as mudanças de código para aplicativos que são enviadas a ambientes de produção são revisadas usando processos manuais e/ou automatizados.
Testes de penetração são realizados anualmente e caso a caso em novos produtos/características. Ferramentas automatizadas de análise de código-fonte estão sendo usadas para detectar falhas de segurança no código antes da implantação, com base na linguagem.
Medidas para divulgação de vulnerabilidades: Agradecemos aos pesquisadores de segurança que encontraram vulnerabilidades em nossa plataforma que entrem em contato conosco e enviem suas descobertas para security@bird.com. Temos uma equipe de segurança dedicada que acompanha e envia convites para nosso programa de recompensa por bugs para investigar e remediar quando necessário.
Medidas para garantir responsabilidade: implementamos políticas de segurança da informação e proteção de dados em conformidade com as leis aplicáveis e publicamos uma visão geral das informações relevantes do nosso SGSI em nossa documentação da Bird. Nomeamos um VP dedicado, Compliance e Segurança da Informação, e um Oficial de Proteção de Dados, e mantemos documentação de nossas atividades de processamento, incluindo o registro e relato de incidentes de segurança envolvendo Dados Pessoais quando aplicável.
