Este Acordo de Processamento de Dados, incluindo os apêndices, (“DPA”) é parte do Acordo entre nós e o Cliente para a compra de serviços de comunicação (online) de nós para refletir o acordo das Partes em relação ao processamento de Dados Pessoais do Cliente. Neste DPA, os termos “você”, “seu” ou “Cliente” referem-se a você como nosso Cliente (sujeito à Seção 1.2 abaixo), e os termos “nós”, “nos” ou “nosso” referem-se a nós como o Fornecedor (conforme definido abaixo). Termos em maiúsculas usados neste DPA, mas não definidos abaixo, são definidos em nossos Termos e Condições Gerais ou em outro Acordo conosco que rege seu uso dos Serviços.
1.1 Escopo
Este DPA rege o processamento de Dados Pessoais do Cliente por nós como processador.
1.2 Afiliados de Clientes
O Cliente celebra este DPA em nome de si mesmo e, na medida exigida pelas Leis de Proteção de Dados, em nome e em nome de suas Afiliadas (conforme definido nos Termos), se e na medida em que você fornecer a essas Afiliadas acesso aos Serviços e nós processarmos Dados Pessoais do Cliente para os quais essas Afiliadas se qualificam como o controlador de dados (“Afiliadas do Cliente”). Para os fins deste DPA apenas, e exceto onde indicado de outra forma, os termos “Cliente” e “você” incluirão o Cliente e as Afiliadas do Cliente.
1.3 Termos
Este DPA permanecerá em vigor enquanto processarmos os Dados Pessoais do Cliente sujeitos a este DPA, notwithstanding a expiração ou rescisão do Acordo.
2. Definições
Dados da Conta
“Dados da Conta” são quaisquer Dados Pessoais fornecidos por você ou em seu nome a nós em conexão com a celebração e administração do Acordo e da sua conta, incluindo, mas não se limitando a, informações de contato, detalhes de faturamento e correspondência sobre a celebração e administração do Acordo e os Serviços relacionados.
CCPA
"CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018 e quaisquer regulamentações promulgadas a esse respeito, em cada caso, conforme emendadas de tempos em tempos.
Dados do Cliente
“Dados do Cliente” significam quaisquer dados e outras informações ou conteúdos submetidos por você ou em seu nome (ou por um usuário da sua Aplicação do Cliente) sob o Acordo e processados ou armazenados pelos Serviços.
Dados Pessoais do Cliente
“Dados Pessoais do Cliente” significam Dados Pessoais contidos nos Dados do Cliente processados por nós como processador, salvo disposição em contrário neste DPA.
Leis de Proteção de Dados
“Leis de Proteção de Dados” significam todas as leis e regulamentos de qualquer jurisdição aplicáveis à confidencialidade, privacidade, segurança ou processamento de Dados Pessoais sob o Acordo, incluindo, por exemplo e onde aplicável, o GDPR ou o CCPA.
EEE
“EEE” significa, para os fins deste DPA, a Área Econômica Europeia e a Suíça.
GDPR
“GDPR” significa (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas singulares no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados); ou (ii) unicamente com relação ao Reino Unido, a Lei de Proteção de Dados de 2018.
Dados Pessoais
“Dados Pessoais” significam quaisquer informações relacionadas a uma pessoa física identificada ou identificável, diretamente ou indiretamente, seja por si só ou em combinação com outras informações.
Violação de Dados Pessoais
“Violação de Dados Pessoais” significa qualquer destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilícito aos Dados Pessoais do Cliente e qualquer outro termo semelhante sob as Leis de Proteção de Dados aplicáveis, como “Violação de Segurança.”
Serviços
“Serviços” significam todos os produtos e serviços fornecidos por nós ou nossos Afiliados que são (a) solicitados por você sob qualquer Formulário de Pedido; ou (b) usados por você.
Fornecedor
“Fornecedor” significa nossa entidade contratante que é parte deste DPA, sendo a entidade contratante listada na Seção 15 nos Termos e Condições Gerais (Entidade Contratante), a menos que declarado de outra forma em seu Formulário de Pedido. Você ou o Fornecedor também podem ser referidos individualmente como uma “Parte” e juntos como “Partes” neste DPA.
Cláusulas Contratuais Padrão
“Cláusulas Contratuais Padrão” significam Controlador para Processador (Módulo Dois) ou Processador para Processador (Módulo Três), conforme aplicável, das Cláusulas Contratuais Padrão para a transferência de Dados Pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho aprovado pela Decisão de Execução da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021, conforme atualmente estabelecido no Jornal Oficial da União Europeia.
Sub-processador
“Sub-processador” significa uma entidade terceira que processa Dados Pessoais do Cliente em nome do Fornecedor onde o Fornecedor atua como um processador de dados ou sub-processador.
Cláusulas Contratuais Padrão do Reino Unido
“Cláusulas Contratuais Padrão do Reino Unido” significam quaisquer ou todas as seguintes: (i) acordo de transferência de dados internacionais emitido pelo Comissário de Informação do Reino Unido sob a seção 119A da Lei de Proteção de Dados de 2018; (ii) o adendo de transferência de dados internacionais às cláusulas contratuais padrão da Comissão Europeia para transferências de dados internacionais emitido pelo Comissário de Informação do Reino Unido sob a seção 119A da Lei de Proteção de Dados de 2018; ou (iii) disposições contratuais padrão emitidas pelo Comissário de Informação do Reino Unido ou Comissão Europeia que possam substituir essas de tempos em tempos. Termos como “processamento”, “controlador de dados”, “processador de dados”, “titular de dados”, etc. terão o significado atribuído a eles sob o GDPR. A definição de “controlador de dados” inclui “negócio”, “consumidor”, “controlador” e “organização”; "processador de dados" inclui “prestador de serviços”, “processador” e “intermediário de dados”; “titular de dados” inclui “consumidor” e “indivíduo”; e “Dados Pessoais” incluem “informações pessoais”, em cada caso conforme definido sob a CCPA, e outras Leis de Proteção de Dados aplicáveis. Os termos “propósito comercial”, “finalidade comercial”, “vender” e “compartilhar” terão o mesmo significado que nas Leis de Proteção de Dados aplicáveis e, em cada caso, seus termos cognatos serão interpretados de acordo.
3. Processamento de Dados Pessoais do Cliente
3.1 Propósitos
Processaremos os Dados Pessoais do Cliente apenas na medida necessária (i) para fornecer os Serviços, incluindo a transmissão de comunicações, assegurando a segurança dos serviços, fornecendo relatórios técnicos e de entrega, oferecendo suporte e desenvolvendo e implementando melhorias e atualizações de acordo com suas instruções documentadas para nós como processador de dados, conforme especificado na Seção 3.2 deste DPA, (ii) para nossos legítimos interesses comerciais, conforme especificado na Seção 3.4 deste DPA como controlador de dados, e (iii) conforme exigido pela legislação aplicável.
3.2 Instruções do Cliente
O Acordo e este DPA constituem suas instruções completas para nós como processador de dados no momento da assinatura deste DPA. Cumpriremos outras instruções documentadas razoavelmente, desde que essas instruções sejam consistentes com os termos do Acordo.
3.3 Detalhes do Processamento
O Anexo I, Parte B (Descrição da transferência) do Apêndice I deste DPA especifica a natureza e o propósito do processamento por nós como processador de dados ou Subprocessador, as atividades de processamento, a duração do processamento, os tipos de Dados Pessoais e as categorias de titulares de dados.
3.4 Fins Comerciais Legítimos
Você reconhece que processamos os Dados Pessoais do Cliente como um controlador de dados independente na medida necessária para os seguintes fins comerciais legítimos: faturamento, gerenciamento de contas, relatórios financeiros e internos, combate e prevenção de ameaças à segurança, ataques cibernéticos e crimes cibernéticos que possam afetar você, nós ou nossos serviços, modelagem de negócios (por exemplo, previsão, planejamento de capacidade e receita, e estratégia de produtos), prevenção e detecção de fraudes, spam e abusos, melhoria de nosso portfólio de produtos e serviços, e para cumprir nossas obrigações legais.
4. Obrigações do Cliente
4.1 Legalidade
Onde você atua como controlador de dados do Cliente sobre Dados Pessoais, você garante que todas as atividades de processamento sejam legais, tenham um propósito específico e que todos os avisos e consentimentos ou outra base legal apropriada estejam em vigor para possibilitar a transferência legal dos Dados Pessoais do Cliente. Se você é um processador de dados (caso em que agiremos como Subprocessador), você garantirá que o controlador de dados relevante assegure que as condições listadas nesta Seção 4.1 sejam atendidas.
4.2 Conformidade
Você é o único responsável por (a) garantir que você cumpra com as Leis de Proteção de Dados aplicáveis ao seu uso dos Serviços e ao seu próprio processamento de Dados Pessoais do Cliente, (b) fazer uma avaliação independente se as medidas técnicas e organizacionais dos Serviços atendem aos seus requisitos, e (c) implementar e manter medidas de privacidade e segurança para componentes que você fornece ou controla (incluindo, mas não se limitando a senhas, dispositivos usados com os Serviços e Aplicativos do Cliente).
5. Segurança
5.1 Medidas de Segurança
Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do processamento, bem como o risco de probabilidade e gravidade variados para os direitos e liberdades das pessoas naturais, implementaremos e manteremos medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais do Cliente contra Violações de Dados Pessoais e para preservar a segurança, integridade, disponibilidade, resiliência e confidencialidade dos Dados do Cliente que nossos sistemas utilizam para processar Dados Pessoais do Cliente. As medidas de segurança aplicadas por nós estão descritas no Apêndice II.
5.2 Atualizações das Medidas de Segurança
Você é responsável por revisar as informações disponibilizadas por nós relacionadas à segurança dos Dados Pessoais do Cliente e por fazer uma avaliação independente se tais informações atendem às suas necessidades e obrigações legais sob as Leis de Proteção de Dados. Você reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnicos, e que podemos atualizar ou modificar nossas medidas de segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
5.3 Controles de Acesso
Aplicamos os princípios de “necessidade de saber” e “menor privilégio”, garantindo que o acesso aos Dados Pessoais do Cliente seja limitado ao pessoal necessário para a prestação dos Serviços e em conformidade com o Contrato, incluindo este DPA.
5.4 Confidencialidade do Processamento
Asseguraremos que qualquer pessoa ou parte que seja autorizada por nós a processar Dados Pessoais do Cliente (incluindo nosso pessoal, agentes e Sub-processadores) seja informada da natureza confidencial de tais Dados Pessoais do Cliente e estará sob uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário) que sobreviva à rescisão de seu compromisso.
5.5 Resposta e Notificação de Violação de Dados Pessoais
Ao tomar conhecimento de uma Violação de Dados Pessoais, nós o notificaremos sem demora indevida
(i) a você,
(ii) investigaremos a Violação de Dados Pessoais,
(iii) forneceremos informações oportunas relacionadas à Violação de Dados Pessoais à medida que se tornem conhecidas ou conforme forem razoavelmente solicitadas por você, e (iv) tomaremos medidas comerciais razoáveis para mitigar os efeitos e prevenir a recorrência da Violação de Dados Pessoais.
6. Assistência
6.1 Assistência na Proteção de Dados
Nós fornecemos a você assistência solicitada de forma razoável para permitir que você cumpra suas obrigações sob as Leis de Proteção de Dados, incluindo a notificação de uma Violação de Dados Pessoais, avaliando o nível apropriado de segurança do processamento e auxiliando você na realização de uma avaliação de impacto de proteção de dados relevante.
6.2 Assistência com Direitos dos Titulares de Dados
Nós forneceremos a você assistência razoável para permitir que você cumpra suas obrigações com os titulares de dados que exercem seus direitos sob as Leis de Proteção de Dados, disponibilizando medidas técnicas e organizacionais por meio da sua conta. Para evitar dúvidas, você, como controlador de dados, é responsável pelo processamento de qualquer solicitação ou reclamação dos titulares de dados em relação aos Dados Pessoais do Cliente de um titular de dados.
7. Divulgação e Pedidos de Divulgação
7.1 Limitações sobre Divulgação e Acesso
Não forneceremos acesso ou divulgaremos os Dados Pessoais do Cliente, exceto (i) conforme indicado por você, (ii) conforme estabelecido no Contrato e neste DPA, ou (iii) conforme exigido por lei.
7.2 Solicitações de Divulgação
Notificaremos você assim que razoavelmente possível se recebermos um pedido de um órgão governamental ou regulatório para divulgar os Dados Pessoais do Cliente, a menos que tal notificação seja proibida por lei. Trataremos as solicitações de divulgação de acordo com a política de solicitação de divulgação, disponível em nosso site aqui.
8. Subprocessadores
8.1 Lista de Sub-processadores Atuais
Você concorda com o envolvimento dos Sub-processadores em relação aos Serviços, listados em nossa visão geral dos Sub-processadores, que também contém um procedimento para você se inscrever para notificações de mudanças no nosso uso de Sub-processadores. Se você se inscrever para tais notificações, e levando em conta a Seção 8.3 deste DPA, compartilharemos detalhes de qualquer mudança nos Sub-processadores assim que possível.
8.2 Nomeação de Sub-processadores
Por meio deste DPA, você fornece uma autorização escrita geral para nós contratarmos Sub-processadores para o processamento de Dados Pessoais do Cliente, sujeito à Seção 8.3 deste DPA e aos seguintes requisitos:
Restringiremos o acesso aos Dados Pessoais do Cliente pelos Sub-processadores ao que é estritamente necessário para fornecer os serviços especificados no contrato do sub-processador;
Concordaremos com as obrigações de proteção de dados com o Sub-processador que são substancialmente as mesmas que as obrigações sob este DPA; e
Permanecemos responsáveis perante você sob este DPA pelo desempenho das obrigações de proteção de dados do Sub-processador.
8.3 Notificação de Mudanças nos Sub-processadores e Direito de Oposição
Antes de substituir ou contratar novos Sub-processadores (“Mudança de Sub-processador”), daremos a você a opção de se opor à Mudança de Sub-processador. Você pode se opor a uma Mudança de Sub-processador desde que (i) a objeção seja feita por escrito dentro de dez (10) dias úteis após nossa notificação da Mudança de Sub-processador e (ii) a objeção seja baseada e explique claramente os fundamentos razoáveis relacionados à proteção dos Dados Pessoais do Cliente. Quando você se opõe a uma Mudança de Sub-processador proposta, trabalharemos com você de boa-fé para fazer uma mudança comercialmente razoável na prestação dos Serviços que evite o uso do Sub-processador relevante. Se tal mudança não puder ser feita razoavelmente dentro de trinta (30) dias úteis a partir do nosso recebimento da sua notificação de objeção, ou se a mudança for comercialmente irrazoável para nós, qualquer uma das partes pode rescindir as características aplicáveis dos Serviços que não possam ser fornecidos sem o uso do Sub-processador relevante. Este direito de rescisão é seu único e exclusivo recurso se você se opuser a uma Mudança de Sub-processador.
9. Transferências Transfronteiriças de Dados Pessoais do Cliente
9.1 Transferências de Dados Pessoais dos Clientes
Podemos transferir Dados Pessoais dos Clientes com a condição de que todas as salvaguardas apropriadas exigidas pelas Leis de Proteção de Dados estejam em vigor. Isso pode incluir uma avaliação de impacto anterior à transferência de dados, a adoção, monitoramento e avaliação de medidas técnicas, organizacionais e legais suplementares, direitos dos titulares de dados efetivos e que remédios legais eficazes para os titulares de dados estejam disponíveis.
9.2 Cláusulas Contratuais Padrão de Subprocessadores
Exceto se uma decisão de adequação ou mecanismo de transferência alternativo se aplique, como a Estrutura de Privacidade de Dados EUA-UE, firmamos e manteremos Cláusulas Contratuais Padrão com Subprocessadores (incluindo nossas Afiliadas) localizadas fora do EEE, sujeitas aos termos estabelecidos na Seção 9.1 deste DPA.
9.3 Mecanismos de Transferência para Transferências de Dados Pessoais dos Clientes
Na medida em que seu uso dos Serviços exija um mecanismo de transferência de dados transfronteiriço para exportar legalmente Dados Pessoais dos Clientes de uma jurisdição (por exemplo, o EEE, Califórnia, Cingapura, Suíça ou o Reino Unido) para nós localizados fora dessa jurisdição, esta seção se aplicará. Se, na execução dos Serviços, Dados Pessoais dos Clientes que estão sujeitos ao GDPR ou qualquer outra lei relacionada à proteção ou privacidade de indivíduos que se aplica a este DPA forem transferidos para uma entidade Provedora localizada em países que não garantem um nível adequado de proteção de dados no sentido das Leis de Proteção de Dados, os mecanismos de transferência listados abaixo se aplicarão a essas transferências e podem ser aplicados diretamente pelas partes na medida em que tais transferências estejam sujeitas às Leis de Proteção de Dados.
9.3.1
As partes concordam que as Cláusulas Contratuais Padrão se aplicarão aos Dados Pessoais dos Clientes que forem transferidos via os Serviços do EEE ou Suíça, seja diretamente ou por meio de transferência subsequente, para uma entidade Provedora localizada em um país fora do EEE ou Suíça que não seja reconhecido pela Comissão Europeia (ou, no caso de transferências da Suíça, pela autoridade competente da Suíça) como fornecendo um nível adequado de proteção para dados pessoais.
9.3.1.1
Quando você estiver agindo como um controlador de dados e nós formos um processador de dados, o Módulo Dois das Cláusulas Contratuais Padrão se aplicará a qualquer transferência de Dados Pessoais dos Clientes do EEE. Quando você estiver agindo como um processador de dados e nós formos um subprocessador, o Módulo Três das Cláusulas Contratuais Padrão se aplicará a qualquer transferência de Dados Pessoais dos Clientes do EEE.
9.3.1.2
Seremos considerados o importador de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão aplicáveis, que serão consideradas incorporadas a este DPA. Detalhes exigidos sob o Anexo 1 e Anexo 2 das Cláusulas Contratuais Padrão estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou incoerência entre este DPA e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão apenas com relação a uma transferência de Dados Pessoais dos Clientes do EEE.
9.3.1.3
Quando as Cláusulas Contratuais Padrão exigirem que as partes escolham entre cláusulas opcionais e insiram informações, as partes o fizeram conforme estabelecido abaixo:
i. A Cláusula Opcionais 7 “Cláusula de Anexação” não será adotada.
ii. Para a Cláusula 9 “Uso de subprocessadores”, as partes elegem a seguinte opção: “Opção 2 Autorização geral por escrito: o importador de dados possui a autorização geral do controlador para a contratação de subprocessador(es) de uma lista acordada. O importador de dados deverá informar especificamente o controlador por escrito sobre quaisquer mudanças pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos 10 dias úteis de antecedência, dando assim ao controlador tempo suficiente para se opor a tais mudanças antes do engajamento do subprocessador(es). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção. O importador de dados deverá informar o exportador de dados sobre o engajamento do(s) subprocessador(es).”
iii. Para a Cláusula 11 (a) “Reparação”, as partes não adotam a Opção.
iv. Para a Cláusula 17 “Lei aplicável”, as partes elegem a seguinte opção: “Opção 1. Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de beneficiário de terceiros. As Partes concordam que esta será a lei dos Países Baixos.”
v. Para a Cláusula 18 (b) “Escolha de Fórum e Jurisdição”: “As Partes concordam que esses serão os tribunais dos Países Baixos.”
9.3.2
As partes concordam que as Cláusulas Contratuais Padrão do Reino Unido se aplicarão aos Dados Pessoais dos Clientes que forem transferidos via os Serviços do Reino Unido, seja diretamente ou por meio de transferência subsequente, para uma entidade Provedora localizada em um país fora do Reino Unido que não seja reconhecida pela autoridade regulatória competente do Reino Unido ou órgão governamental como fornecendo um nível adequado de proteção para dados pessoais.
9.3.2.1
Seremos considerados o importador de dados e você será considerado o exportador de dados sob as Cláusulas Contratuais Padrão do Reino Unido. A assinatura deste DPA por cada parte será tratada como a assinatura das Cláusulas Contratuais Padrão do Reino Unido, que serão consideradas incorporadas a este DPA. Detalhes exigidos sob as Cláusulas Contratuais Padrão do Reino Unido estão disponíveis no Apêndice I e Apêndice II deste DPA. No caso de qualquer conflito ou incoerência entre este DPA e as Cláusulas Contratuais Padrão do Reino Unido, as Cláusulas Contratuais Padrão do Reino Unido prevalecerão somente em relação à transferência de Dados Pessoais dos Clientes do Reino Unido.
10. Auditoria
10.1 Relatório de Auditoria
Nossa plataforma de comunicação será regularmente auditada em conformidade com a norma ISO 27001 (ou equivalente). A auditoria pode, a nosso exclusivo critério, ser uma auditoria interna ou uma auditoria realizada por um terceiro. Mediante solicitação por escrito, forneceremos a você um resumo do(s) relatório(s) de auditoria (“Relatório de Auditoria”), para que você possa verificar nossa conformidade com os padrões de auditoria e este DPA. Esses Relatórios de Auditoria, assim como quaisquer conclusões ou descobertas especificadas nos mesmos, são nossa Informação Confidencial.
10.2 Solicitações de Informações do Cliente
Disponibilizaremos a você todas as informações razoavelmente necessárias para demonstrar conformidade com as obrigações estabelecidas neste DPA. Forneceremos respostas por escrito a solicitações razoáveis de informações feitas por você, incluindo respostas a questionários de segurança da informação e auditoria que sejam razoáveis em escopo e necessárias para confirmar a conformidade com este DPA, desde que você (i) tenha primeiro feito um esforço razoável para obter as informações solicitadas da Documentação, Relatórios de Auditoria e outras informações fornecidas ou tornadas públicas por nós, e (ii) não exerça este direito mais de uma vez por ano, a menos que uma Violação de Dados Pessoais ou alteração significativa em nossas atividades de processamento em relação aos Serviços exija que um questionário adicional seja executado. Todas as respostas fornecidas são nossa Informação Confidencial.
10.3 Auditoria do Cliente
Se um Relatório de Auditoria fornecido por nós a você lhe der razões substanciais para acreditar que estamos em violação de nossas obrigações sob este DPA, relacionadas aos Dados Pessoais do Cliente fornecidos por você, permitiremos que um auditor independente e qualificado nomeado por você e aprovado por nós, audite as atividades de processamento de Dados Pessoais relevantes, desde que, na medida máxima permitida pela legislação aplicável, os seguintes requisitos sejam atendidos:
a) Você nos dará pelo menos sessenta (60) dias de aviso razoável antes de exercer o direito de auditoria;
b) O auditor concorda com obrigações de confidencialidade padrão de mercado conosco;
c) Você e o auditor tomam medidas para minimizar a interrupção das operações comerciais;
d) A auditoria será realizada durante o horário comercial regular;
e) Não seremos obrigados a fornecer acesso aos dados de clientes de outros clientes ou sistemas não envolvidos na prestação dos Serviços;
f) e Você pagará todos os custos da auditoria.
11. Exclusão e Retorno dos Dados Pessoais do Cliente
Após a rescisão ou expiração do Contrato, nós (a seu critério) deletaremos ou retornaremos a você todos os Dados Pessoais do Cliente (incluindo cópias) que estiverem em nossa posse ou controle, salvo se esse requisito não se aplicar na medida em que somos obrigados por lei a reter alguns ou todos os Dados Pessoais do Cliente. Se você nos instruir a deletar os Dados Pessoais do Cliente, os Dados Pessoais do Cliente arquivados em nossos sistemas de backup serão protegidos de processamento adicional e deletados quando o período de retenção requerido tiver passado.
12. Comunicação e Direitos de Afiliados do Cliente
A entrada neste DPA em nome e em nome de um Afiliado do Cliente, conforme estabelecido na Seção 1.2, constitui um DPA separado entre nós e esse Afiliado do Cliente, sujeito ao seguinte:
12.1. Comunicação
O Cliente que é a parte contratante do Acordo permanecerá responsável pela coordenação de toda a comunicação conosco sob este DPA e terá o direito de fazer e receber qualquer comunicação em relação a este DPA em nome de seus Afiliados do Cliente.
12.2 Direitos dos Afiliados do Cliente
Quando um Afiliado do Cliente se tornar parte do DPA conosco, ele terá o direito de exercitar os direitos e buscar remédios sob este DPA, na medida exigida pelas Leis de Proteção de Dados, sujeito ao seguinte: (i) A menos que as Leis de Proteção de Dados exijam que o Afiliado do Cliente exerça um direito ou busque um remédio sob este DPA diretamente contra nós, as partes concordam que
(i) apenas o Cliente que é a parte contratante do Acordo exercerá qualquer direito ou buscará qualquer remédio em nome do Afiliado do Cliente, e
(ii) o Cliente que é a parte contratante do Acordo exercerá quaisquer direitos sob este DPA não separadamente para cada Afiliado do Cliente individualmente, mas de forma combinada para si mesmo e todos os seus Afiliados do Cliente juntos. (ii) As partes concordam que o Cliente que é a parte contratante do Acordo deverá, quando uma auditoria no local dos procedimentos relevantes para a proteção de Dados Pessoais do Cliente estiver sendo realizada em seu nome, conforme estabelecido na Seção 10.3 deste DPA, tomar todas as medidas razoáveis para limitar qualquer impacto sobre nós, combinando, na medida do razoavelmente possível, vários pedidos de auditoria realizados em nome de si mesmo e de todos os seus Afiliados do Cliente em uma única auditoria.
Para esclarecer, um Afiliado do Cliente não se torna uma parte contratante do Acordo.
13. Lei de Privacidade do Consumidor da Califórnia
Na medida em que seja aplicável, fazemos os seguintes compromissos adicionais a você com relação ao processamento de Dados Pessoais do Cliente no âmbito da CCPA.
13.1 Nossas Obrigações sob as Leis de Proteção de Dados dos EUA
Os termos "finalidade comercial", "finalidade comercial", "consumidor", "vender" e "compartilhar" conforme usados nesta Seção 13.1 têm os significados que lhes são atribuídos na CCPA. Na medida em que for aplicável, cumpriremos a CCPA e trataremos todos os Dados Pessoais do Cliente sujeitos à CCPA e outras Leis de Proteção de Dados dos EUA aplicáveis ("Dados Pessoais dos EUA") de acordo com as disposições da CCPA e outras Leis de Proteção de Dados dos EUA. Em relação aos Dados Pessoais dos EUA, somos um provedor de serviços sob a CCPA e um processador de dados sob outras Leis de Proteção de Dados dos EUA. Não venderemos Dados Pessoais dos EUA. Não reteremos, usaremos ou divulgaremos quaisquer Dados Pessoais dos EUA (i) para qualquer finalidade que não sejam as finalidades comerciais especificadas no Acordo (incluindo reter, usar ou divulgar Dados Pessoais dos EUA para uma finalidade comercial diferente da finalidade comercial especificada no Acordo ou conforme permitido pela CCPA ou leis aplicáveis); ou (ii) fora da relação comercial direta entre você e nós.
13.2 Obrigações do Cliente
Você declara e garante que forneceu aviso ao Usuário Final de que os Dados Pessoais estão sendo usados ou compartilhados de acordo com as Leis de Proteção de Dados aplicáveis. Você é responsável pelo cumprimento dos requisitos das Leis de Proteção de Dados na medida em que sejam aplicáveis a você como controlador de dados.
14. Lei Aplicável e Resolução de Disputas
Qualquer disputa, reclamação ou controvérsia (“Disputas”) que surja ou esteja relacionada a este DPA será regida e interpretada de acordo com as leis dos Países Baixos. Cada Parte concorda que os tribunais competentes de Amsterdã terão jurisdição exclusiva para resolver quaisquer Disputas que surjam ou estejam relacionadas a este DPA.
13.1 Nossas Obrigações Sob as Leis de Proteção de Dados dos EUA
Os termos “finalidade comercial”, “finalidade de negócios”, “consumidor”, “vender” e “compartilhar”, conforme usado nesta Seção 13.1, têm os significados dados a eles na CCPA. Na medida em que for aplicável, cumpriremos a CCPA e trataremos todos os Dados Pessoais do Cliente sujeitos à CCPA e outras Leis de Proteção de Dados dos EUA (“Dados Pessoais dos EUA”) de acordo com as disposições da CCPA e outras Leis de Proteção de Dados dos EUA. Com relação aos Dados Pessoais dos EUA, somos um prestador de serviços sob a CCPA e um processador de dados sob outras Leis de Proteção de Dados dos EUA. Não venderemos Dados Pessoais dos EUA. Não reteremos, usaremos ou divulgaremos nenhum Dado Pessoal dos EUA (i) para qualquer finalidade que não seja as finalidades comerciais especificadas no Acordo (incluindo reter, usar ou divulgar Dados Pessoais dos EUA para uma finalidade comercial diferente da finalidade comercial especificada no Acordo ou conforme permitido pela CCPA ou por leis aplicáveis); ou (ii) fora da relação comercial direta entre você e nós.
ANEXO I - DETALHES DO PROCESSAMENTO
Quando aplicável, este Apêndice I servirá como Anexo I das Cláusulas Contratuais Padrão do EEE.
Anexo I, Parte A. Lista de Partes
Os termos “propósito comercial”, “propósito empresarial”, “consumidor”, “vender” e “compartilhar” conforme usados nesta Seção 13.1 têm os significados atribuídos a eles na CCPA. Na medida do aplicável, cumpriremos a CCPA e trataremos todos os Dados Pessoais do Cliente sujeitos à CCPA e outras Leis de Proteção de Dados dos EUA (“Dados Pessoais dos EUA”) de acordo com as disposições da CCPA e outras Leis de Proteção de Dados dos EUA. Com relação aos Dados Pessoais dos EUA, somos um prestador de serviços sob a CCPA e um processador de dados sob outras Leis de Proteção de Dados dos EUA. Não devemos vender Dados Pessoais dos EUA. Não devemos reter, usar ou divulgar quaisquer Dados Pessoais dos EUA (i) para qualquer propósito que não seja os propósitos empresariais especificados no Acordo (incluindo reter, usar ou divulgar Dados Pessoais dos EUA para um propósito comercial diferente do propósito empresarial especificado no Acordo ou conforme permitidos pela CCPA ou leis aplicáveis); ou (ii) fora da relação comercial direta entre você e nós.
Exportador de Dados
Cliente
Detalhes de contato do Exportador de Dados
O endereço listado na conta do Cliente, ou o endereço de e-mail do proprietário da conta do Cliente, ou para o(s) endereço(s) de e-mail para os quais o Cliente optar por receber notificações sob o Acordo.
Papel do Exportador de Dados
O papel do exportador de dados está descrito na Seção 4 do DPA.
Assinatura e data
Se e quando aplicável, o exportador de dados é considerado ter assinado as Cláusulas Contratuais Padrão aqui incorporadas a partir da Data Eficaz do DPA.
Importador de Dados
Provedor
Detalhes de contato do Importador de Dados
Oficial de Proteção de Dados - privacy@bird.com
Papel do Importador de Dados
O importador de dados atua como processador de dados.
Assinatura e data
Se e quando aplicável, o importador de dados é considerado ter assinado as Cláusulas Contratuais Padrão aqui incorporadas a partir da Data Eficaz do DPA.
Anexo I, Parte B. Descrição da Transferência
1. Categorias de sujeitos de dados cujos Dados Pessoais são transferidos.
Usuários. Pessoas de contato (pessoas naturais) ou empregados, contratados ou trabalhadores temporários (atuais, potenciais, antigos) do Cliente usando os Serviços (“Usuários”);
Usuários finais. Qualquer indivíduo (i) cujos detalhes de contato estão incluídos na(s) lista(s) de contatos do Cliente; (ii) cujas informações são armazenadas ou coletadas através dos Serviços, ou (ii) para quem o Cliente envia comunicações ou se engaja ou se comunica através dos Serviços (coletivamente, “Usuários Finais”). Você, como Cliente, determina exclusivamente as categorias de sujeitos de dados incluídas na comunicação enviada através da nossa plataforma de comunicação.
2. Categorias de Dados Pessoais transferidos
Dados Pessoais do Cliente contidos no conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente.
Conteúdo da comunicação, que pode incluir Dados Pessoais ou outras características personalizadas, dependendo do conteúdo da comunicação conforme determinado por você como Cliente.
Dados de tráfego, que podem incluir Dados Pessoais do Cliente sobre a roteação, duração ou tempo de uma comunicação, como chamadas de voz, SMS ou e-mail, seja relacionado a um indivíduo ou a uma empresa.
Dados de Usuários Finais, como número de telefone, endereço de e-mail, primeiro nome, sobrenome, nome de perfil, país, identificador de canal.
Dados de uso do Cliente, que podem conter dados que podem ser vinculados a você como indivíduo incluído em dados e informações estatísticos relacionadas à sua conta e atividades de serviço, percepções relacionadas ao serviço e relatórios analíticos sobre comunicações enviadas e suporte ao cliente.
3. Dados sensíveis transferidos
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam plenamente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de propósito, restrições de acesso (incluindo acesso somente para pessoal que tenha realizado treinamento especializado), mantendo um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.
a) Conteúdo da comunicação. Dados sensíveis podem, de tempos em tempos, ser processados através dos Serviços onde você ou seus Usuários Finais optam por incluir dados sensíveis nas comunicações que são transmitidas usando os Serviços. Você é responsável por garantir que salvaguardas adequadas estejam em vigor antes de transmitir ou processar dados sensíveis ou antes de permitir que seus Usuários Finais transmitam ou processem quaisquer dados sensíveis através dos Serviços, de acordo com a Seção 3.2 do Acordo.
b) Dados de tráfego, Dados de Usuários Finais e Dados de uso do cliente. Nenhum dado sensível está contido nos dados de tráfego, dados de Usuários Finais ou dados de uso do cliente.
4. A frequência da transferência
A frequência da transferência (por exemplo, se os dados são transferidos uma única vez ou de forma contínua): Dados Pessoais do Cliente são transferidos de forma contínua durante a duração do Acordo.
5. Natureza do processamento
Processaremos Dados Pessoais do Cliente na medida necessária para fornecer os Serviços sob o Acordo. Não vendemos nenhum Dado Pessoal, incluindo Dados Pessoais do Cliente, e não compartilhamos Dados Pessoais com terceiros por compensação ou para os próprios interesses comerciais desses terceiros.
6. Propósito(s) da transferência de dados e processamento adicional
Processaremos Dados Pessoais do Cliente como processador de dados de acordo com as instruções do Cliente conforme estabelecido neste DPA, a menos que o processamento seja necessário para cumprir uma obrigação legal à qual estamos sujeitos, caso em que seremos classificados como controlador de dados.
Conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente. Dados Pessoais contidos no conteúdo da comunicação, dados de tráfego, dados de Usuários Finais e dados de uso do cliente serão sujeitos às seguintes atividades básicas de processamento:
a) Conteúdo da comunicação. A fornecimento de produtos e serviços de comunicação programáveis, oferecidos na forma de interfaces de programação de aplicativos (APIs) ou através do Painel, ao Cliente, incluindo a transmissão de ou para o aplicativo de software do Cliente a partir ou para nossa plataforma de comunicação e outras redes de comunicações.
b) Dados de tráfego. Os dados de tráfego são processados para o propósito de transmitir comunicação em uma rede de comunicações eletrônicas ou para a cobrança em relação a essa comunicação. Isso pode incluir Dados Pessoais do Cliente sobre a roteação, duração ou tempo de uma comunicação como chamada de voz, SMS ou e-mail, seja ela relacionada a um indivíduo ou a uma empresa.
c) Dados de Usuários Finais. Os Dados Pessoais dos Usuários Finais são necessários para realizar os Serviços e serão processados apenas para os fins de transmissão de comunicação, suporte ao cliente e garantia de conformidade com nossas obrigações legais.
d) Dados de uso do Cliente. Os Dados Pessoais contidos nos dados de uso do cliente estarão sujeitos às atividades de processamento para fornecer os Serviços sob o Acordo, com o objetivo de fornecer ao Cliente percepções relacionadas aos Serviços e relatórios analíticos sobre as comunicações enviadas, suporte ao cliente e melhoria contínua dos Serviços.
7. Período de Retenção de Dados Pessoais
O período pelo qual os Dados Pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: Conteúdo da comunicação e dados de tráfego. Para conteúdo da comunicação e dados de tráfego contidos nos Serviços de SMS e Voz, um período de retenção de seis meses se aplica; Para os Serviços de Vídeo, o conteúdo da comunicação e os dados de tráfego são retidos por um mínimo de 30 dias até a duração acordada com você; Para serviços de E-mail, o conteúdo da comunicação e os dados de tráfego são retidos por 72 horas; Para todos os outros serviços, o conteúdo da comunicação e os dados de tráfego são retidos pela duração dos Serviços, exceto se você excluir conteúdo da comunicação ou dados de tráfego através das medidas técnicas e organizacionais fornecidas a você via Serviços. Os dados dos Usuários Finais. Os dados dos Usuários Finais serão processados pela duração determinada pelo Cliente, quando os dados dos Usuários Finais estiverem incluídos em seus perfis de contato o período padrão de retenção é pela duração dos Serviços, sujeito à Seção 6(c) deste Anexo I, Parte B. Os dados de uso do Cliente. Após a rescisão do Acordo, podemos reter, usar e divulgar os Dados de Uso do Cliente para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B, sujeitos às obrigações de confidencialidade estabelecidas no Acordo. Nós anonimizar ou excluir dados de uso do cliente quando não precisarmos mais deles para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B.
7. Retenção de Dados Pessoais
O período pelo qual os Dados Pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período:
Conteúdo da comunicação e dados de tráfego;
Para conteúdo de comunicação e dados de tráfego contidos nos Serviços de SMS e Voz, aplica-se um período de retenção de seis meses;
Para os Serviços de Vídeo, o conteúdo da comunicação e os dados de tráfego são retidos por um mínimo de 30 dias até a duração acordada com você;
Para serviços de E-mail, o conteúdo da comunicação e os dados de tráfego são retidos por 72 horas;
Para todos os outros serviços, o conteúdo da comunicação e os dados de tráfego são retidos pela duração dos Serviços, exceto se você excluir conteúdo da comunicação ou dados de tráfego através das medidas técnicas e organizacionais fornecidas a você pelos Serviços.
Os dados dos Usuários Finais serão processados pela duração determinada pelo Cliente, quando os dados dos Usuários Finais estiverem incluídos em seus perfis de contato o período padrão de retenção é pela duração dos Serviços, sujeito à Seção 6(c) deste Anexo I, Parte B.
Dados de uso do Cliente: Após a rescisão do Acordo, podemos reter, usar e divulgar os Dados de Uso do Cliente para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B, sujeitos às obrigações de confidencialidade estabelecidas no Acordo. Nós anonimizar ou excluir dados de uso do cliente quando não precisarmos mais deles para os fins estabelecidos na Seção 6(d) deste Anexo I, Parte B.
8. Para transfers para (Sub-)processadores
Para transferências para (Sub-)processadores, especifique também o assunto, natureza e duração do processamento: Para transferências para Sub-processadores, o assunto e a natureza do processamento estão descritos na nossa visão geral de Sub-processadores e a duração é pela duração do Acordo.
Anexo I, Parte C. Autoridade Supervisora Competente
A Autoridade de Proteção de Dados da Holanda (Autoriteit Persoonsgegevens) será a autoridade supervisora competente.
ANEXO II - Medidas de Segurança Técnicas e Organizacionais
Quando aplicável, este Apêndice II servirá como Anexo II às Cláusulas Contratuais Padrão. O que se segue fornece mais informações sobre nossas medidas de segurança técnica e organizacional estabelecidas abaixo.
Medidas de Segurança Técnica e Organizacional
Medidas de pseudonimização e proteção de Dados Pessoais em armazenamento e trânsito:
Todos os Dados Pessoais são criptografados em trânsito e em repouso e, na medida em que seja relevante do ponto de vista de segurança, tratados como se fossem classificados como dados sensíveis. As informações são sempre transmitidas por TLS com metodologias de criptografia atualizadas por padrão.
Medidas para garantir a confidencialidade, integridade e disponibilidade contínuas e a resiliência dos sistemas e serviços de processamento:
Firmamos acordos que contêm disposições de confidencialidade com nossos funcionários, contratados, fornecedores e Subprocessadores. Nossa política de continuidade de negócios é preparar nossos negócios e serviços no caso de interrupções prolongadas causadas por fatores fora de nosso controle e restaurar os serviços na maior medida possível em um prazo mínimo. Entendemos que os serviços que fornecemos são críticos para nossos clientes e, portanto, temos muito pouca tolerância a interrupções no serviço. Nossos prazos para recuperação são projetados para garantir que possamos cumprir nossas obrigações para todos os nossos clientes.
Processos para testes, avaliação e análise regulares da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento:
O objetivo da segurança da informação e do nosso Sistema de Gestão de Segurança da Informação (SGSI) é proteger a confidencialidade, integridade e disponibilidade das informações para a organização, funcionários, parceiros, clientes e os sistemas de informações (autorizados), e minimizar o risco de danos ocorrendo, prevenindo incidentes de segurança e gerenciando ameaças e vulnerabilidades de segurança. Nossa equipe jurídica, o Encarregado de Proteção de Dados e a Equipe de Segurança garantem que as regulamentações e padrões aplicáveis sejam considerados em nossos frameworks de segurança.
Medidas para identificação e autorização do usuário:
Seguímos os princípios de “necessidade de saber” e “menor privilégio”. Promovemos o uso de controle de acesso baseado em funções. O provisionamento e o desprovisionamento são supervisionados pela equipe de segurança, com Autenticação Única e 2FA por padrão. Os proprietários foram definidos para cada ativo de informação, que são responsáveis por garantir que o acesso a seus sistemas seja apropriado e revisado regularmente. Sempre que lidamos com informações sensíveis ou tomamos ações críticas, utilizamos o princípio dos quatro olhos.
Medidas para garantir o registro de eventos:
Os registros de auditoria são armazenados centralmente e monitorados regularmente para eventos de segurança e são mantidos seguros para evitar o risco de adulteração. A Política de Gestão de Incidentes aplica o plano de resposta a incidentes e seus procedimentos. Essas diretrizes estão sendo seguidas se qualquer tipo de incidente de segurança ou técnico ocorrer.
Medidas para garantir a configuração dos sistemas, incluindo a configuração padrão:
Seguímos um processo consistente de gestão de mudanças para todas as mudanças no ambiente de produção da Plataforma de Comunicação como Serviço. Para elaborar mais, todas as solicitações de mudanças (RFC) precisam ser aprovadas por uma parte designada e executadas de acordo com o processo formal de controle de mudanças. O processo de controle garante que as mudanças propostas sejam revisadas, autorizadas, testadas, implementadas e liberadas de maneira controlada; e que o status de cada mudança proposta seja monitorado. As linhas de base de configuração são seguidas para configurar os sistemas de forma segura, seguindo as melhores práticas. Além disso, dentro do departamento de Engenharia, um radar tecnológico é usado para definir quais tecnologias (linguagens, ferramentas de plataforma, bancos de dados e ferramentas de gerenciamento de dados) podem ser adotadas ou precisam ser evitadas durante o desenvolvimento.
Medidas para segurança física
Promovemos ativamente uma política de “Trabalho de Qualquer Lugar” para que nossos funcionários sejam livres para trabalhar de qualquer lugar que desejem. No entanto, ainda temos nossas instalações de escritório. Não temos áreas seguras/centro de dados em nossas instalações, pois somos uma empresa completamente baseada em nuvem. Nossos andares de escritório são protegidos por controles de acesso físico, CCTV e segurança munida.
Medidas para governança e gestão interna de TI e segurança de TI:
Mantemos um programa de segurança baseado em avaliação de riscos, que inclui salvaguardas administrativas, organizacionais, técnicas e físicas projetadas para proteger os Serviços e a confidencialidade, integridade e disponibilidade dos Dados dos Clientes. Nosso programa de segurança da informação é configurado de maneira sistemática e bem organizada. Além disso, requisitos legais e regulatórios se aplicam para garantir a confidencialidade, integridade e disponibilidade das informações para a organização, funcionários, parceiros e clientes. Tudo isso é traduzido em nossas políticas, procedimentos e diretrizes de segurança da informação. Temos um Comitê de Direção de Segurança, que é responsável pelo nível tático de segurança da informação. Isso implica na coordenação das atividades de segurança da informação e na tradução das atividades estratégicas em atividades operacionais para nossa segurança e nossa manutenção contínua da conformidade regulatória. Todos os funcionários são responsáveis pela proteção dos ativos da empresa. Todos os nossos funcionários são avaliados quanto a competência, experiência e integridade. Os funcionários são informados sobre segurança e proteção de dados na fase de integração, bem como por meio de treinamentos regulares específicos para a equipe e outras apresentações gerais da empresa sobre a importância da proteção de dados e conformidade de segurança. Somos certificados pela ISO 27001, os padrões de segurança da informação globalmente reconhecidos para Sistemas de Gestão da Segurança da Informação (SGSI).
Todos os nossos provedores de hospedagem são certificados pela ISO 27001.
Também estamos registrados na Autoridade Holandesa para Consumidores e Mercados. Isso significa que somos sempre responsáveis e totalmente transparentes com nossos clientes.
Somos Membros Associados da Groupe Speciale Mobile Association (GSMA). A GSMA representa os interesses dos operadores móveis em todo o mundo.
Estamos sempre atualizados com todas as leis e regulamentos aplicáveis, incluindo o Regulamento Geral de Proteção de Dados e a Estrutura de Proteção de Dados EUA-UE.
Medidas para certificações/asseguração de processos e produtos:
Passamos por rigorosa vigilância, bem como auditorias de certificação como parte de nossa conformidade com a ISO/IEC 27001 e executamos regularmente testes de vulnerabilidade de aplicativos e penetrações.
Medidas para garantir a responsabilidade:
implementamos políticas de segurança da informação e proteção de dados em conformidade com as leis aplicáveis e publicamos uma visão geral de nossas informações relevantes do SGSI (link). Nomeamos um Diretor de Segurança, um Oficial de Segurança da Informação, um Oficial de Conformidade e um Encarregado de Proteção de Dados dedicados, e mantemos documentação de nossas atividades de processamento, incluindo o registro e a notificação de incidentes de segurança envolvendo Dados Pessoais, quando aplicável.
Medidas para garantir a exclusão de dados:
Asseguramos a exclusão de dados por meio de um processo automatizado de exclusão dentro de nosso ambiente de comunicação e infraestrutura. Esse processo de exclusão de dados garante que todos os dados que não são mais necessários para cumprir um propósito específico sejam removidos de nossos sistemas após o processamento.
