No decorrer da prestação do serviço SparkPost aos nossos clientes, a SparkPost pode processar dados pessoais em nome de nosso cliente, onde tais dados pessoais estão sujeitos às leis de proteção de dados da UE, como o GDPR. Para isso, oferecemos um adendo de proteção de dados (DPA) conforme fornecido abaixo. O DPA só será legalmente vinculativo e eficaz se: (1) for executado aqui; e (2) você for cliente da SparkPost na data em que for totalmente executado. Observe que, devido ao grande número de clientes, não conseguimos alterar o DPA para nenhum cliente em particular. No entanto, se você tiver alguma dúvida sobre o DPA, entre em contato conosco em privacy@sparkpost.com.
Definições
“Afiliado” significa qualquer entidade que controla, é controlada por, ou está sob controle comum com a entidade em questão. “Controle”, para os efeitos desta definição, significa a propriedade ou controle direto ou indireto de mais de 50% dos interesses de voto da entidade em questão.
“Acordo” significa os Termos de Uso e o Pedido relacionado, que juntos regem a prestação e o uso do Serviço.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018 e quaisquer regulamentos promulgados sob ela, em cada caso, conforme emendada de tempos em tempos.
“Cláusulas Contratuais Padrão para Controlador/Processador” significa os módulos “Controlador para Processador” (Módulo 2) das Cláusulas Contratuais Padrão para a transferência de dados pessoais para países terceiros, de acordo com o GDPR e a Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021.
“Leis de Proteção de Dados” significam todas as leis e regulamentos de qualquer jurisdição aplicáveis à confidencialidade, privacidade, segurança ou Processamento de Dados Pessoais sob o Acordo, incluindo, quando aplicável, o GDPR, o CCPA e todas as outras leis e regulamentos relacionados à privacidade, marketing direto ou proteção de dados. “Controlador de Dados” significa uma entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios do Processamento de Dados Pessoais.
“Processador de Dados” significa uma entidade que Processa Dados Pessoais em nome de um Controlador de Dados. “Titular de Dados” significa o indivíduo a quem os Dados Pessoais se referem.
“Pedido do Titular de Dados” significa o pedido de um Titular de Dados para exercer os direitos dessa pessoa sob as Leis de Proteção de Dados em relação aos Dados Pessoais dessa pessoa, incluindo, sem limitação, o direito de acesso, corrigir, alterar, transferir, obter uma cópia, se opor ao processamento, bloquear, excluir ou optar por não vender tais Dados Pessoais. “EEE” significa a Área Econômica Europeia e a Suíça.
“GDPR” significa (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas naturais no que diz respeito ao processamento de Dados Pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados); ou (ii) unicamente em relação ao Reino Unido, a Lei de Proteção de Dados de 2018.
“Dados Pessoais” significam qualquer informação que identifique, se relacione, descreva ou seja razoavelmente capaz de ser associada a uma pessoa natural ou domicílio identificado ou identificável.
“Processamento” significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, independentemente de serem ou não realizados por meios automatizados, como coleta, gravação, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.
“Cláusulas Contratuais Padrão para Processador/Sub-Processador” significa os módulos “Processador para Processador” (Módulo 3) das Cláusulas Contratuais Padrão para a transferência de dados pessoais para países terceiros de acordo com o GDPR e a Decisão de Implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021.
“Regulador” significa a autoridade de proteção de dados europeia ou outra autoridade regulatória, governamental ou supervisora com autoridade sobre toda ou qualquer parte de (a) a prestação ou recebimento do Serviço; (b) o Processamento de Dados Pessoais em conexão com o Serviço; ou (c) os negócios ou pessoal da SparkPost relacionados ao Serviço.
“Incidente de Segurança” significa qualquer destruição, perda, alteração, divulgação, acesso ou criptografia acidental, não autorizada ou ilícita de Dados Pessoais.
“Serviço” significa qualquer produto ou serviço fornecido pela SparkPost ao Cliente de acordo com o Acordo.
“Cláusulas Contratuais Padrão do EEE” significam (i) as Cláusulas Contratuais Padrão do Controlador/Processador; ou (ii) as Cláusulas Contratuais Padrão do Processador/Sub-processador, individualmente ou coletivamente, conforme aplicável.
“Sub-processador” significa a entidade que Processa Dados Pessoais em nome de uma entidade atuando como um Processador ou um Sub-processador.
“Cláusulas Contratuais Padrão do Reino Unido” significam as cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros na forma estabelecida pela Decisão da Comissão Europeia 2010/87/UE, conforme possa ser emendada, modificada ou substituída pela Comissão Europeia.
Relação com o acordo
As partes concordam que este DPA substituirá qualquer adendo de proteção de dados existente ou acordo similar que as partes possam ter celebrado anteriormente em conexão com os Serviços.
Este DPA aplica-se onde e apenas na medida em que a SparkPost Processa Dados Pessoais que estão sujeitos às Leis de Proteção de Dados no decorrer da prestação do Serviço de acordo com o Acordo.
Exceto pelas alterações feitas por este DPA, o Acordo permanece inalterado e em pleno vigor e efeito. Se houver qualquer conflito entre os termos deste DPA e os termos do Acordo, este DPA prevalecerá até o limite desse conflito. Em circunstâncias em que a SparkPost esteja contando com as Cláusulas Contratuais Padrão do EEE ou Cláusulas Contratuais Padrão do Reino Unido (coletivamente, “Cláusulas Contratuais Padrão”), conforme aplicável, para transferir Dados Pessoais, as Cláusulas Contratuais Padrão aplicáveis prevalecerão em caso de conflito com este DPA.
Quaisquer reivindicações apresentadas sob ou em conexão com este DPA estarão sujeitas aos termos e condições, incluindo, mas não se limitando a, as exclusões e limitações estabelecidas no Acordo. As partes concordam que nenhuma limitação de responsabilidade estabelecida no Acordo se aplicará à responsabilidade de qualquer parte para com os Sujeitos de Dados sob as disposições de beneficiário de terceiros das Cláusulas Contratuais Padrão na medida em que a limitação de tal responsabilidade seja proibida pelas Leis de Proteção de Dados.
Este DPA será regido e interpretado de acordo com as disposições de lei e jurisdição governamentais no Acordo, salvo exigência em contrário pelas Leis de Proteção de Dados aplicáveis. Este DPA permanecerá em vigor enquanto a SparkPost Processar Dados Pessoais, independentemente da expiração ou rescisão do Acordo. FUNÇÕES E ALCANCE DO PROCESSAMENTO.
Papel das Partes.
As partes reconhecem e concordam que, entre SparkPost e o Cliente: Com relação aos Dados Pessoais de qualquer indivíduo que acesse e/ou use o Serviço através da Conta do Cliente (“Usuários”), o Cliente é o Controlador e a SparkPost é a Processadora de Dados Pessoais dos Usuários; e com relação aos Dados Pessoais de qualquer indivíduo: (i) cujo endereço de e-mail está incluído na(s) lista(s) de destinatários do Cliente; (ii) cujas informações estão armazenadas ou coletadas via o Serviço, ou (ii) para quem os Usuários enviam e-mails ou se envolvem ou comunicam de outra forma via o Serviço (coletivamente, “Destinatários”), o Cliente é o Processador e a SparkPost é a Sub-processadora dos Dados Pessoais dos Destinatários.
Processamento de Dados Pessoais pelo Cliente.
O Cliente concorda que cumprirá suas obrigações sob as Leis de Proteção de Dados aplicáveis em relação ao seu Processamento de Dados Pessoais em conexão com o Serviço e em relação a quaisquer instruções documentadas de Processamento que emitir para SparkPost.
Processamento de Dados Pessoais pela SparkPost. O Cliente instrui a SparkPost a Processar Dados Pessoais de acordo com o Acordo (incluindo, para evitar dúvidas, realizar suas outras obrigações e exercer seus direitos sob o Acordo) e a cumprir as outras instruções razoáveis do Cliente (por exemplo, via e-mail) quando tais instruções forem consistentes com o Acordo. A SparkPost deverá: (i) Processar Dados Pessoais apenas em nome do Cliente e de acordo com as instruções legais documentadas do Cliente e deverá tratar Dados Pessoais como informações confidenciais sujeitas às disposições de confidencialidade do Acordo; (ii) notificar o Cliente por escrito imediatamente se, na opinião razoável da SparkPost, acreditar que qualquer instrução dada pelo Cliente infringe as Leis de Proteção de Dados; (iii) realizar o Serviço e Processar Dados Pessoais em conformidade com as Leis de Proteção de Dados e o Acordo; (iv) notificar prontamente o Cliente sobre qualquer não conformidade com este DPA. As partes concordam que este DPA e o Acordo estabelecem as instruções completas e finais do Cliente para a SparkPost em relação ao processamento de Dados Pessoais e o processamento fora do escopo dessas instruções (se houver) exigirá acordo prévio por escrito entre o Cliente e a SparkPost.
Detalhes do Processamento de Dados.
Objeto: O objeto do processamento de dados sob este DPA são os Dados Pessoais.Duração: Entre SparkPost e o Cliente, a duração do processamento de dados sob este DPA é até a rescisão do Acordo de acordo com seus termos.
Propósito: O propósito do processamento de dados sob este DPA é a prestação do Serviço ao Cliente e a realização da SparkPost de acordo com o Acordo (incluindo este DPA) ou conforme acordado de outra forma pelas partes.
Natureza do processamento: A SparkPost oferece um serviço de entrega de e-mail, análise e inteligência e outros serviços relacionados, conforme descrito no Acordo.Categorias de sujeitos de dados: Usuários e Destinatários.
Tipos de Dados Pessoais:
Cliente e Usuários: dados de identificação e contato (nome, endereço, cargo, detalhes de contato, nome de usuário); informações financeiras (detalhes da conta, informações de pagamento); detalhes de emprego (empregador, cargo, localização geográfica, área de responsabilidade);
Destinatários: dados de identificação e contato (nome, endereço de e-mail e outros dados demográficos e de segmento fornecidos pelo Cliente); informações de TI (endereços IP, dados de uso, dados de cookies, dados de navegação online, dados de localização, dados do navegador).
Lei de Privacidade do Consumidor da Califórnia.
A SparkPost cumprirá a CCPA e tratará todos os Dados Pessoais sujeitos à CCPA (“Dados Pessoais da CCPA”) de acordo com as disposições da CCPA. Com relação a Dados Pessoais da CCPA, a SparkPost é um prestador de serviços sob a CCPA. A SparkPost não (a) venderá Dados Pessoais da CCPA; (b) reterá, usará ou divulgará quaisquer Dados Pessoais da CCPA para qualquer propósito que não seja o propósito específico de fornecer os Serviços, incluindo reter, usar ou divulgar Dados Pessoais da CCPA para um propósito comercial que não seja fornecer os Serviços; ou (c) reterá, usará ou divulgará Dados Pessoais da CCPA fora da relação comercial direta entre a SparkPost e o Cliente. As partes reconhecem e concordam que o Processamento de Dados Pessoais da CCPA autorizado pelas instruções do Cliente descritas no Acordo e neste DPA é integral e abrange a prestação de Serviços da SparkPost e a relação comercial direta entre as partes. As partes reconhecem e concordam que o acesso da SparkPost aos Dados do Cliente não constitui parte da consideração trocada pelas partes em relação ao Acordo. Na medida em que quaisquer Dados de Uso sejam considerados Dados Pessoais da CCPA, a SparkPost é a empresa com relação a tais dados e Processará tais dados de acordo com sua Política de Privacidade, que pode ser encontrada em https://www.sparkpost.com/policies/privacy/. Os termos "empresa", "propósito comercial", "prestador de serviços" e "vender" usados nesta Seção têm os significados a eles atribuídos na CCPA. A SparkPost e o Cliente certificam que entendem e cumprirão as obrigações e restrições estabelecidas neste DPA e no Acordo conforme exigido pela CCPA.
Interesses Legítimos.
O Cliente reconhece que a SparkPost terá o direito de usar e divulgar dados relativos à operação, suporte e/ou uso do Serviço para seus legítimos interesses comerciais, como faturamento, gerenciamento de contas, suporte técnico e desenvolvimento de produtos. Na medida em que quaisquer desses dados sejam considerados Dados Pessoais sob as Leis de Proteção de Dados, a SparkPost é o Controlador de Dados de tais dados e, consequentemente, Processará tais dados de acordo com a Política de Privacidade da SparkPost e as Leis de Proteção de Dados.
Tecnologias de Monitoramento.
O Cliente reconhece que em relação à execução do Serviço, a SparkPost utiliza beacons da web, pixels de rastreamento e tecnologias de rastreamento semelhantes (“Tecnologias de Rastreamento”). O Cliente manterá uma base legal de processamento apropriada conforme exigido pelas Leis de Proteção de Dados para permitir que a SparkPost implemente Tecnologias de Rastreamento de maneira legal nos dispositivos dos Destinatários, conforme descrito na Política de Privacidade da SparkPost.
Subcontratação
Subprocessadores Autorizados. O Cliente concorda que a SparkPost pode contratar subprocessadores para processar os Dados do Cliente em nome do Cliente. Os subprocessadores contratados pela SparkPost e autorizados pelo Cliente na Data Efetiva estão listados em: https://www.sparkpost.com/policies/subprocessors. Obrigações do Subprocessador. A SparkPost irá: (i) celebrar um contrato por escrito com o Subprocessador impondo termos de proteção de dados que exigem que o Subprocessador proteja os Dados do Cliente de acordo com o padrão exigido pelas Leis de Proteção de Dados; e (ii) permanecer responsável por sua conformidade com as obrigações deste DPA e por quaisquer atos ou omissões do Subprocessador que façam com que a SparkPost viole qualquer uma de suas obrigações sob este DPA.
Notificação. A SparkPost irá (i) fornecer uma lista atualizada dos Subprocessadores que nomeou mediante solicitação por escrito do Cliente; e (ii) notificar o Cliente (sendo o e-mail suficiente) se adicionar um Subprocessador pelo menos dez (10) dias antes de quaisquer alterações desse tipo.
Objeção. O Cliente pode se opor por escrito à nomeação de um novo Subprocessador pela SparkPost dentro de cinco (5) dias após tal notificação, desde que essa objeção seja baseada em motivos razoáveis relacionados à proteção de dados. Nesse caso, as partes discutirão essas preocupações de boa-fé com o objetivo de alcançar uma resolução. Se uma resolução não for alcançada dentro de um prazo razoável, o Cliente poderá rescindir o(s) Pedido(s) aplicável(is) em relação apenas ao Serviço específico que não pode ser fornecido pela SparkPost sem o uso do novo Subprocessador objeto da objeção, fornecendo notificação por escrito à SparkPost.
Segurança
Política de Segurança.
Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do Tratamento, bem como o risco de probabilidade e severidade variados para os direitos e liberdades das pessoas naturais, a SparkPost deve implementar e manter medidas de segurança técnicas e organizacionais apropriadas para proteger os Dados Pessoais de Incidentes de Segurança e preservar a segurança, integridade, disponibilidade, resiliência e confidencialidade dos Dados Pessoais e dos sistemas da SparkPost usados para o Tratamento de Dados Pessoais.
Atualizações nas Medidas de Segurança.
O Cliente é responsável por revisar as informações disponibilizadas pela SparkPost relacionadas à segurança dos dados e fazer uma determinação independente sobre se tais informações atendem aos requisitos e obrigações legais do Cliente sob as Leis de Proteção de Dados. O Cliente reconhece que a Política de Segurança está sujeita a progresso técnico e desenvolvimento e que a SparkPost pode atualizar ou modificar a Política de Segurança de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral do Serviço adquirido pelo Cliente.
Responsabilidades do Cliente.
Não obstante o acima exposto, o Cliente concorda que é responsável por proteger suas credenciais de autenticação da Conta sob a custódia ou controle do Cliente e proteger a segurança dos Dados Pessoais durante o trânsito para e da Serviço na medida em que tais Dados Pessoais estejam sob a custódia ou controle do Cliente.
Equipe da SparkPost.
A SparkPost deve garantir que seu pessoal envolvido no Tratamento de Dados Pessoais seja informado da natureza confidencial dos Dados Pessoais, tenha recebido treinamento adequado sobre suas responsabilidades e tenha assinado acordos de confidencialidade por escrito em relação aos Dados Pessoais que sobrevivem à rescisão do engajamento do pessoal.
Relatórios de auditoria e auditorias
Relatório de Auditoria.
A SparkPost é regularmente auditada em relação aos controles SOC 2 Tipo II (ou equivalente) por auditores independentes. Mediante solicitação, a SparkPost fornecerá uma cópia resumida de seu(s) relatório(s) de auditoria (“Relatório de Auditoria”) ao Cliente, para que o Cliente possa verificar a conformidade da SparkPost com os padrões de auditoria contra os quais foi avaliada, e este DPA. Tais Relatórios de Auditoria, bem como quaisquer conclusões ou descobertas especificadas neles, são Informações Confidenciais da SparkPost.
Auditoria.
A SparkPost tornará disponível ao Cliente todas as informações necessárias para demonstrar a conformidade com as obrigações dos Processadores de Dados estabelecidas no Artigo 28 do GDPR (“Requisitos do Artigo 28”). Para esse fim, a SparkPost fornecerá respostas por escrito a todos os pedidos razoáveis de informações feitos pelo Cliente, incluindo respostas a questionários de segurança da informação e auditoria que sejam necessárias para confirmar a conformidade da SparkPost com os Requisitos do Artigo 28, desde que o Cliente não exerça esse direito mais de uma vez por ano. Tais respostas são Informações Confidenciais da SparkPost. Se a SparkPost não conseguir fornecer todas as informações necessárias para demonstrar a conformidade com os Requisitos do Artigo 28 por meio das respostas por escrito, a SparkPost permitirá e contribuirá para auditorias, incluindo inspeções, conduzidas pelo Cliente ou por outro auditor representando o Cliente. Todas as informações obtidas da SparkPost durante tal auditoria ou inspeção são Informações Confidenciais da SparkPost.
Transferências internacionais
Locais de Processamento.
A SparkPost pode transferir e processar Dados do Cliente em qualquer lugar do mundo onde a SparkPost, suas Afiliadas ou seus Subprocessadores mantenham operações de processamento de dados. A SparkPost fornecerá, em todos os momentos, um nível adequado de proteção para os Dados do Cliente processados, de acordo com os requisitos das Leis de Proteção de Dados.
Cláusulas Contratuais Padrão.
Na medida em que a SparkPost Processa quaisquer Dados Pessoais sob o Acordo que requer um mecanismo de transferência subsequente para transferir legalmente Dados Pessoais do EEE ou do Reino Unido (o “Reino Unido”) para outro país ou território que não tenha sido determinado como fornecendo um nível adequado de proteção para os direitos e liberdades dos Titulares de Dados pela Comissão Europeia (ou, especificamente em relação ao Reino Unido, conforme pode ser determinado pelo órgão regulador aplicável do Reino Unido) (uma “Transferência Restrita”), as partes concordam com o seguinte:
Cláusulas Contratuais Padrão do EEE.
As partes concordam em cumprir as Cláusulas Contratuais Padrão do EEE para qualquer Transferência Restrita do EEE (uma “Transferência Restrita do EEE”). Quando o Cliente é um Controlador e a SparkPost é um Processador, conforme descrito na Seção 3.1, as cláusulas contratuais padrão Controlador/Processador se aplicarão a qualquer Transferência Restrita do EEE. Quando o Cliente é um Processador e a SparkPost é um Subprocessador, conforme descrito na Seção 3.1, as cláusulas contratuais padrão Processador/Subprocessador se aplicarão a qualquer Transferência Restrita do EEE. A SparkPost será considerada a importadora de dados e o Cliente será considerado o exportador de dados sob as Cláusulas Contratuais Padrão do EEE. A assinatura de cada parte deste DPA será tratada como a assinatura das Cláusulas Contratuais Padrão aplicáveis do EEE, que serão consideradas incorporadas a este DPA. Os detalhes necessários sob o Anexo 1 e o Anexo 2 das Cláusulas Contratuais Padrão do EEE estão disponíveis no Cronograma 1 e no Cronograma 2 deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão do EEE, as Cláusulas Contratuais Padrão do EEE prevalecerão exclusivamente em relação às Transferências Restritas do EEE. Quando as Cláusulas Contratuais Padrão do EEE exigirem que as partes escolham entre cláusulas opcionais e insiram informações, as partes o fizeram conforme estabelecido abaixo:
A Cláusula Opcional 7 “cláusula de adesão” não será adotada.
Para a Cláusula 9 “Uso de subprocessadores”, as partes elegem a seguinte opção: “Opção 2 Autorização escrita geral: A importadora de dados tem a autorização geral do controlador para a contratação de subprocessadores de uma lista acordada. A importadora de dados deverá informar especificamente o controlador por escrito sobre quaisquer alterações pretendidas a essa lista por meio da adição ou substituição de subprocessadores com pelo menos 30 dias corridos de antecedência, proporcionando assim tempo suficiente ao controlador para se opor a tais alterações antes do engajamento dos subprocessadores. A importadora de dados deverá fornecer ao controlador as informações necessárias para permitir que o controlador exerça seu direito de objeção. A importadora de dados deverá informar o exportador de dados sobre o engajamento dos subprocessadores.
”Para a Cláusula 11 (a) “Redress”, as partes não adotam a Opção.
Para a Cláusula 17 “Lei aplicável”, as partes elegem a seguinte opção: “Opção 1. Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de beneficiário de terceiros. As partes concordam que esta será a lei dos Países Baixos.
”Para a Cláusula 18 (b) “Escolha de foro e jurisdição”: “As partes concordam que esses serão os tribunais dos Países Baixos.
”Cláusulas Contratuais Padrão do Reino Unido. As partes concordam em cumprir as Cláusulas Contratuais Padrão do Reino Unido para qualquer Transferência Restrita do Reino Unido (uma “Transferência Restrita do Reino Unido”). A SparkPost será considerada a importadora de dados e o Cliente será considerado o exportador de dados sob as Cláusulas Contratuais Padrão do Reino Unido. A assinatura de cada parte deste DPA será tratada como a assinatura das Cláusulas Contratuais Padrão do Reino Unido, que serão consideradas incorporadas a este DPA. Os detalhes necessários sob o Anexo 1 e o Anexo 2 das Cláusulas Contratuais Padrão do Reino Unido estão disponíveis no Cronograma 1 e no Cronograma 2 deste DPA. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão do Reino Unido, as Cláusulas Contratuais Padrão do Reino Unido prevalecerão exclusivamente em relação às Transferências Restritas do Reino Unido.
Cooperação.
Se a SparkPost não puder cumprir este requisito ou se as autoridades ou tribunais relevantes deixarem de reconhecer as Cláusulas Contratuais Padrão do EEE ou as Cláusulas Contratuais Padrão do Reino Unido, conforme aplicáveis, como fornecendo um nível adequado de proteção, a SparkPost informará o Cliente e cooperará razoavelmente com o Cliente para garantir que qualquer Processamento de Dados Pessoais esteja em conformidade com as Leis de Proteção de Dados e quaisquer restrições de transferência relacionadas, inclusive através da obtenção de certificações alternativas, conforme aplicável e necessário.
Mecanismo de Transferência Alternativo.
As partes concordam que a solução de exportação de dados identificada na Seção 7.2 (Cláusulas Contratuais Padrão) não se aplicará se e na medida em que a SparkPost adotar ou mantiver uma solução alternativa de exportação de dados para a transferência legal de Dados Pessoais (como reconhecido sob as Leis de Proteção de Dados) fora do EEE e/ou do Reino Unido e que foi aprovada por escrito pelo Cliente antes de qualquer transferência ou outro Processamento de Dados Pessoais (“Mecanismo de Transferência Alternativo”), caso em que o Mecanismo de Transferência Alternativo se aplicará em vez disso (mas apenas na medida em que tal Mecanismo de Transferência Alternativo se estenda aos territórios para os quais os Dados Pessoais estão sendo transferidos).
Segurança adicional
Confidencialidade do Processamento.
A SparkPost garantirá que qualquer pessoa autorizada pela SparkPost a processar Dados Pessoais (incluindo seu pessoal, agentes e subcontratados) estará sob uma obrigação apropriada de confidencialidade (seja um dever contratual ou estatutário).
Resposta e Notificação de Incidentes de Segurança.
Ao tomar conhecimento de um Incidente de Segurança, a SparkPost notificará o Cliente sem atraso indevido e fornecerá informações oportunas relacionadas ao Incidente de Segurança à medida que se tornarem conhecidas ou conforme solicitado razoavelmente pelo Cliente.
Devolução ou exclusão de dados
Após a rescisão ou expiração do Contrato, a SparkPost irá excluir ou retornar (a critério do Cliente) ao Cliente todos os Dados Pessoais (incluindo cópias) em sua posse ou controle, salvo que este requisito não se aplicará na medida em que a SparkPost é obrigada por lei aplicável a reter alguns ou todos os Dados Pessoais, ou a Dados Pessoais que ela tenha arquivado em sistemas de backup, os quais a SparkPost irá isolar e proteger de qualquer processamento adicional, exceto na medida exigida pela lei aplicável. COOPERAÇÃO.
Indenização.
Ambas as partes concordam em defender e indenizar a outra (incluindo seus diretores, executivos, funcionários e agentes) de e contra qualquer reclamação de terceiros (incluindo de autoridades governamentais e Destinatários) e taxas e despesas relacionadas (incluindo honorários advocatícios razoáveis) decorrentes de sua violação real ou alegada deste DPA.
Solicitações de Titulares de Dados.
O Serviço fornece ao Cliente uma série de controles que o Cliente pode usar para recuperar, corrigir, excluir ou restringir os Dados do Cliente, que o Cliente pode usar para ajudá-lo em relação às suas obrigações sob as Leis de Proteção de Dados, incluindo, por exemplo, suas obrigações relacionadas à resposta a Solicitações de Titulares de Dados. Na medida em que o Cliente não consiga acessar independentemente os Dados do Cliente relevantes dentro do Serviço, a SparkPost fornecerá cooperação razoável para ajudar o Cliente a responder pontualmente a qualquer Solicitação de Titular de Dados relacionada ao processamento de Dados Pessoais sob o Contrato dentro de quaisquer prazos impostos pelas Leis de Proteção de Dados. No caso de qualquer solicitação desse tipo ser feita diretamente à SparkPost, a SparkPost deverá notificar o Cliente por escrito sobre tal solicitação imediatamente após o recebimento.
Registros de Processamento.
Mediante solicitação do Cliente, a SparkPost disponibilizará de forma oportuna as informações necessárias para que o Cliente demonstre a conformidade da SparkPost com suas obrigações sob as Leis de Proteção de Dados e sob este DPA.
Solicitações do Governo.
Se uma agência de aplicação da lei enviar à SparkPost uma demanda por Dados Pessoais (por exemplo, por meio de um mandato ou ordem judicial), a SparkPost tentará redirecionar a agência de aplicação da lei para solicitar esses dados diretamente do Cliente. Como parte desse esforço, a SparkPost pode fornecer as informações de contato básicas do Cliente à agência de aplicação da lei. Se for obrigada a divulgar os Dados do Cliente a uma agência de aplicação da lei, a SparkPost dará ao Cliente uma notificação razoável da demanda para permitir que o Cliente busque uma ordem de proteção ou outro remédio apropriado, a menos que a SparkPost seja legalmente impedida de fazê-lo.
Avaliações de Impacto sobre a Proteção de Dados.
Na medida em que a SparkPost for obrigada sob as Leis de Proteção de Dados aplicáveis, a SparkPost fornecerá informações razoavelmente solicitadas sobre o Serviço para possibilitar que o Cliente realize avaliações de impacto sobre a proteção de dados ou consultas prévias com autoridades de proteção de dados, conforme exigido por lei ou de acordo com os Artigos 35 e 36 do GDPR, respectivamente.
***
AGENDA 1
ANEXO I DAS CLÁUSULAS CONTRATUAIS PADRÃO EEA
Quando aplicável, este Anexo 1 servirá como Anexo I das Cláusulas Contratuais Padrão EEA.
ANEXO 1, PARTE A: LISTA DE PARTES
Exportador de Dados: Cliente
Detalhes de Contato do Exportador de Dados: O endereço listado no bloco de assinatura do Cliente acima, ou o endereço de e-mail do proprietário da conta do Cliente, ou para o(s) endereço(s) de e-mail para os quais o Cliente optar por receber notificações sob o Acordo.
Papel do Exportador de Dados: O papel do Exportador de Dados está descrito na Seção 3 do DPA.
Assinatura & Data: O Exportador de Dados é considerado como tendo assinado as Cláusulas Contratuais Padrão EEA incorporadas neste documento a partir da Data de Vigência do DPA.
Importador de Dados: Message Systems, Inc. (comercialmente conhecida como SparkPost)
Detalhes de Contato do Importador de Dados: Oficial de Proteção de Dados da SparkPost – privacy@sparkpost.com
Papel do Importador de Dados: O papel do Importador de Dados está descrito na Seção 3 do DPA.
Assinatura & Data: O Importador de Dados é considerado como tendo assinado as Cláusulas Contratuais Padrão EEA incorporadas neste documento a partir da Data de Vigência do DPA.
ANEXO 1, PARTE B: DESCRIÇÃO DA TRANSFERÊNCIA
As categorias de sujeitos de dados cujos dados pessoais são transferidos estão descritas na Seção 3.4 do DPA. As categorias de dados pessoais transferidos estão descritas na Seção 3.4 do DPA. Dados sensíveis transferidos (se aplicável) e as restrições ou salvaguardas aplicadas que consideram plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, restrição rigorosa de propósito, restrições de acesso (incluindo acesso apenas para funcionários que passaram por treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais:
Nenhum. A frequência da transferência (por exemplo, se os dados são transferidos de uma só vez ou de forma contínua): Os dados são transferidos de forma contínua durante a vigência do Acordo.
A natureza do processamento está descrita na Seção 3.4 do DPA. O(s) propósito(s) da transferência de dados e do processamento posterior está(m) descrito(s) na Seção 3.4 do DPA.
O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios utilizados para determinar esse período:
Durante a vigência do Acordo ou por mais tempo, conforme exigido pela legislação aplicável e conforme permitido pelo Acordo.
Para transferências para sub-processadores, também especifique o assunto, a natureza e a duração do processamento:
Para transferências para sub-processadores, o assunto e a natureza do processamento estão descritos em https://www.sparkpost.com/policies/subprocessors/ e a duração é durante a vigência do Acordo.
ANEXO 1, PARTE C: AUTORIDADE SUPERVISORA COMPETENTE
A Autoridade Holandesa de Proteção de Dados (Autoriteit Persoonsgegevens) será a autoridade supervisora competente.
***
ANEXO II DO SCHEDULE 2 DAS CLÁUSULAS CONTRATUAIS Padrão do EEE
Quando aplicável, este Anexo 2 servirá como Anexo II das Cláusulas Contratuais Padrão. O seguinte fornece mais informações sobre as medidas de segurança técnicas e organizacionais da SparkPost estabelecidas abaixo.
Mais informações sobre as medidas de segurança técnicas e organizacionais da SparkPost para proteger os Dados do Cliente, um resumo do qual está disponível em: https://www.sparkpost.com/policies/security/ (“Política de Segurança”).
Medidas de Segurança Técnicas e Organizacionais:
Medições de pseudonimização e criptografia de dados pessoais: SparkPost mantém os Dados do Cliente em um formato criptografado em repouso e em trânsito usando SSL, HTTPS e TLS oportuno, conforme aplicável.
Medições para garantir a confidencialidade, integridade e disponibilidade contínuas e a resiliência dos sistemas e serviços de processamento: SparkPost concorda com obrigações de confidencialidade em seus acordos com seus clientes. SparkPost também celebra acordos que contêm disposições de confidencialidade substancialmente semelhantes com os funcionários, contratados, fornecedores e sub-processadores da SparkPost. A SparkPost mantém alta disponibilidade e resiliência dos sistemas e serviços através de múltiplas zonas de disponibilidade de centros de dados independentes de falhas. Além disso, a SparkPost implementou e mantém um Plano de Continuidade de Negócios e Recuperação de Desastres para garantir que os Dados do Cliente sejam preservados e que os Serviços possam continuar sendo fornecidos.
Medições para garantir a capacidade de restaurar a disponibilidade e o acesso a Dados Pessoais de forma oportuna em caso de um incidente físico ou técnico: Os Dados do Cliente são hospedados pela Amazon Web Services (“AWS”), que fornece redundância através de múltiplas zonas de disponibilidade. Como mencionado acima, a SparkPost também implementou e mantém um Plano de Continuidade de Negócios e Recuperação de Desastres.
Processos para testes regulares, avaliação e análise da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento: A SparkPost mantém um programa de segurança da informação escrito e abrangente, que inclui controles físicos, técnicos e administrativos apropriados para proteger a segurança, integridade, confidencialidade e disponibilidade dos Dados do Cliente, incluindo, sem limitação, proteger os Dados do Cliente contra qualquer aquisição, acesso, uso, divulgação ou destruição não autorizados ou ilegais. Este programa de segurança foi projetado levando em consideração o tipo de serviços que a SparkPost fornece e o tamanho e complexidade do negócio da SparkPost. Além de nossa equipe de segurança interna que monitora continuamente nossa segurança internamente, a SparkPost utiliza um terceiro para realizar testes de vulnerabilidade e penetração internos e externos para validar a postura defensiva no perímetro e interna em uma frequência regular.
Medições para identificação e autorização do usuário: Os funcionários da SparkPost são obrigados a usar credenciais de acesso e senhas de usuário únicas para autorização. A SparkPost utiliza os princípios de acesso de menor privilégio ao provisão de acesso ao sistema, que leva em conta a função de trabalho, o papel e as responsabilidades de cada funcionário ao determinar o nível e a duração apropriados do acesso. O acesso requer aprovação antes da provisão e é prontamente removido após mudança de função ou rescisão.
Medições para a proteção de dados durante a transmissão: Os Dados do Cliente são criptografados quando estão em trânsito entre o Cliente e os Serviços da SparkPost usando HTTPS. Os Dados do Cliente são criptografados quando estão em trânsito entre a SparkPost e o Destinatário usando TLS oportuno. Medidas para a proteção de dados durante o armazenamento: Os Dados do Cliente são armazenados de forma criptografada usando o Padrão de Criptografia Avançada.
Medições para garantir a segurança física das localizações onde os dados pessoais são processados: A sede e os espaços de escritório da SparkPost possuem (i) monitoramento e vigilância de segurança física; (ii) controles de entrada para limitar o acesso físico; e (iii) registros de visitantes. Todos os contratados e visitantes são obrigados a registrar sua entrada e saída nos escritórios. Os Serviços operam na AWS e são protegidos pelos controles físicos, técnicos, organizacionais e administrativos da Amazon. Informações detalhadas sobre a segurança da AWS estão disponíveis em https://aws.amazon.com/security/, https://aws.amazon.com/security/sharing-the-security-responsibility/ e https://aws.amazon.com/compliance/iso-27001-faqs/. Para Relatórios SOC da AWS, consulte https://aws.amazon.com/compliance/soc-faqs/.
Medições para garantir o registro de eventos: As atividades de registro da infraestrutura de produção da SparkPost são coletadas centralmente e estão seguras em um esforço para prevenir adulterações e são monitoradas por anomalias por uma equipe de segurança treinada.
Medições para garantir a configuração dos sistemas, incluindo configuração padrão: A SparkPost avalia mudanças em sua plataforma, aplicações e infraestrutura de produção de uma maneira que minimize riscos e tais mudanças são implementadas apenas de acordo com a Política de Segurança. A SparkPost realiza numerosas atividades relacionadas à segurança para os Serviços em diferentes fases do ciclo de vida de criação do produto, desde a criação de documentação de requisitos e design do produto até a fase de lançamento. Essas atividades incluem a realização de (i) revisões de segurança internas antes que novos Serviços sejam implantados; (ii) testes de penetração anuais por terceiros independentes; e (iii) análise de ameaças para novos Serviços para detectar quaisquer potenciais ameaças e vulnerabilidades de segurança. A SparkPost adere a um processo de gerenciamento de mudanças para administrar mudanças no ambiente de produção dos Serviços, incluindo mudanças em seu software, aplicações e sistemas subjacentes. O monitoramento está em vigor para notificar a equipe de segurança sobre mudanças feitas na infraestrutura e serviços críticos que não atendem aos processos de gerenciamento de mudanças.
Medições para governança e gestão interna de TI e segurança de TI: A SparkPost mantém um programa de segurança baseado em avaliação de riscos, que inclui salvaguardas administrativas, organizacionais, técnicas e físicas razoavelmente projetadas para proteger os Serviços e a confidencialidade, integridade e disponibilidade dos Dados do Cliente. O programa de segurança da SparkPost foi projetado levando em conta a natureza dos Serviços e o tamanho e complexidade do negócio da SparkPost. A SparkPost tem uma equipe de segurança dedicada que gerencia o programa de segurança da informação da SparkPost e facilita e apoia auditorias e avaliações independentes realizadas por terceiros. A estrutura de segurança da SparkPost é baseada na certificação SOC2 Tipo II e inclui os seguintes critérios de serviços de confiança: Segurança, Disponibilidade, Confidencialidade e Privacidade. A segurança é gerida nos mais altos níveis da empresa, com o VP de Compliance e Segurança de TI se reunindo com a alta administração regularmente para discutir questões e coordenar iniciativas de segurança e TI em toda a empresa. As políticas e padrões de segurança da informação são revisados e aprovados pela administração pelo menos anualmente e são disponibilizados a todos os funcionários relevantes da SparkPost para sua referência.
Medições para certificações/garantia de processos e produtos: A SparkPost realiza várias auditorias de terceiros para atestar a diversos frameworks, incluindo SOC 2 Tipo II e testes regulares de vulnerabilidade e penetração de aplicativos. Medidas para garantir a minimização de dados: A SparkPost não armazena o corpo da mensagem de um Email após ter sido entregue ao Destinatário ou ter sido rejeitado ou de outra forma ter sido recusado pelo provedor de caixa de entrada, o que normalmente ocorre em poucos segundos. No caso de uma rejeição ou retorno, a SparkPost reterá o corpo da mensagem por um período limitado para permitir que a transmissão do Email seja tentada novamente. Se a transmissão ainda falhar, o corpo da mensagem é excluído permanentemente. A SparkPost apenas armazena Dados Pessoais do Destinatário em forma bruta por um período limitado após a transmissão de um Email a um Destinatário. Após o período inicial de retenção, os Dados Pessoais são pseudonimizados através de um hash unidirecional e são armazenados apenas em sua forma pseudonimizada. Para mais informações sobre este processo, consulte nossas FAQs sobre Dados disponíveis em: https://www.sparkpost.com/policies/data-faq/. Além disso, a SparkPost implementou funcionalidade de autosserviço nos Serviços que permite aos Clientes excluir determinados Dados do Cliente, como endereços de email de Destinatários e eventos de mensagens associados, sob demanda, cuja documentação para tal funcionalidade está disponível em: https://developers.sparkpost.com/api/data-privacy/.
Medições para garantir a responsabilidade: A SparkPost adotou medidas para garantir a responsabilidade, incluindo a realização de auditorias de terceiros regulares para assegurar a conformidade com nossos padrões de privacidade e segurança. A SparkPost também implementa políticas de proteção de dados de acordo com a legislação aplicável e publica uma visão geral da Política de Segurança (link acima). A SparkPost nomeou um Encarregado de Proteção de Dados e mantém documentação de suas atividades de processamento, incluindo o registro e relatório de Incidentes de Segurança envolvendo Dados Pessoais, quando aplicável.
Medições para permitir a portabilidade de dados e garantir a exclusão: Os Clientes têm relações diretas com seus Destinatários e são responsáveis por responder a solicitações de seus usuários finais que desejam exercer seus direitos sob as Leis de Proteção de Dados. A SparkPost tem funcionalidade de autosserviço em seus Serviços que permite aos Clientes excluir determinados Dados do Cliente, como endereços de email de Destinatários e eventos de mensagens associados sob demanda, cuja documentação para tal funcionalidade está disponível em: https://developers.sparkpost.com/api/data-privacy/. Além disso, a SparkPost tem funcionalidade de autosserviço para suprimir futuros Emails para Destinatários (isto é, cancelar inscrição), cuja documentação para tal funcionalidade está disponível em https://developers.sparkpost.com/api/suppression-list/. Na medida em que o Cliente não consiga acessar de forma independente os Dados do Cliente relevantes dentro do Serviço, a SparkPost fornecerá cooperação razoável para ajudar o Cliente a responder prontamente a qualquer Solicitação de Titular de Dados relacionada ao processamento de Dados Pessoais sob o Acordo dentro de quaisquer prazos impostos pelas Leis de Proteção de Dados. No caso de qualquer solicitação ser feita diretamente à SparkPost, a SparkPost orientará o Titular de Dados a enviar sua solicitação ao Cliente, e o Cliente será responsável por responder a qualquer solicitação desse tipo.
Para transferências para [sub]-processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo [sub]-processador para poder fornecer assistência ao controlador e, para transferências de um processador para um [sub]-processador, ao exportador de dados: Quando a SparkPost contrata um sub-processador sob este DPA, a SparkPost e o sub-processador celebram um contrato com termos de proteção de dados substantivamente semelhantes aos contidos neste documento.
V2.0 2 de novembro de 2021
