ADENDO DO TRATAMENTO DE DADOS (CLIENTES)
Este Adendo do Tratamento de Dados (“Adendo”) é executado por e entre a LogoMix, Inc., com o nome fantasia (DBA) FreeLogoServices (“FreeLogoServices” ou “Nós” ou “nosso”, conforme aplicável) e você (“Cliente”) e está anexado e suplementa nossos Termos de Uso, Política de Privacidade e todo e qualquer contrato que rege nossos Serviços Cobertos (coletivamente, os “Termos de Serviço”).
1. Definições
Neste Adendo, os termos a seguir têm suas acepções especificadas.
“Serviços Cobertos” refere-se a quaisquer serviços hospedados que oferecemos a você e que possam envolver nosso Tratamento de Dados Pessoais.
“Dados do Cliente” refere-se aos Dados Pessoais de qualquer Titular dos Dados Tratados pela FreeLogoServices dentro da Rede FreeLogoServices em nome do Cliente, de acordo com ou em relação aos Termos de Serviço.
“Controlador de Dados” refere-se ao Cliente, como a entidade que determina os fins e os meios do Tratamento de Dados Pessoais coletados através do site do Cliente.
“Operador de Dados” refere-se à FreeLogoServices, como a entidade que realiza o Tratamento dos Dados Pessoais em nome do Controlador de Dados.
“Leis de Proteção de Dados” refere-se a todas as leis e regulamentos, incluindo as leis e os regulamentos da União Europeia, aplicáveis ao Tratamento de Dados Pessoais nos termos deste Adendo.
“Titular dos Dados” refere-se à pessoa natural a quem os Dados Pessoais dizem respeito.
“EEE” refere-se ao Espaço Econômico Europeu.
“Rede FreeLogoServices” refere-se às instalações, servidores, equipamentos de rede e sistemas host de software do data center da FreeLogoServices que estão sob o controle da FreeLogoServices e são usados para fornecer os Serviços Cobertos.
“Dados Pessoais” refere-se a quaisquer informações relativas a uma pessoa natural identificada ou identificável.
“Tratamento” refere-se a qualquer operação ou conjunto de operações realizadas com base em Dados Pessoais, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição. “Tratamento”, “tratar” e “tratado” serão interpretados de forma correspondente. Os Detalhes do Tratamento estão estabelecidos no Anexo 1.
“Incidente de Segurança” é ou (a) uma violação de segurança da FreeLogoServices que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a quaisquer Dados do Cliente; ou (b) qualquer acesso não autorizado a equipamentos ou instalações da FreeLogoServices, quando, em ambos os casos, tal acesso resultar em destruição, perda, divulgação não autorizada ou alteração dos Dados do Cliente.
“Padrões de Segurança” refere-se aos padrões de segurança anexados a este Adendo como Anexo 2.
“Cláusulas Contratuais Padrão” refere-se ao Anexo 3, anexado e parte integrante deste Adendo, de acordo com a Decisão da Comissão Europeia de 5 de fevereiro de 2010 sobre cláusulas contratuais padrão para a transferência de dados pessoais para operadores estabelecidos em países terceiros nos termos da Diretiva.
“Suboperador” refere-se a qualquer terceiro contratado pelo Operador de Dados para Tratar dados em nome do Controlador de Dados.
2. Tratamento de Dados
2.1 Escopo e Funções
Este Adendo se aplica quando os Dados do Cliente são tratados pela FreeLogoServices. Neste contexto, a FreeLogoServices atuará como Operador de Dados em nome do Cliente como Controlador de Dados em relação aos Dados do Cliente.
2.2 Detalhes do Tratamento de Dados
O objeto do tratamento de Dados do Cliente pela FreeLogoServices é a execução dos Serviços Cobertos de acordo com os Termos de Serviço. A FreeLogoServices Tratará os Dados do Cliente apenas em nome dele e de acordo com as instruções documentadas do Cliente para os seguintes fins:
- Tratamento de acordo com os Termos de Serviço;
- Tratamento iniciado pelos usuários finais em seu uso dos Serviços Cobertos;
- Tratamento para cumprir outras instruções razoáveis e documentadas fornecidas pelos Clientes (por exemplo, por e-mail), quando tais instruções forem consistentes com os termos deste Adendo.
Não obstante, a FreeLogoServices não será obrigada a cumprir ou observar as instruções do Cliente se tais instruções violarem o Regulamento Geral de Proteção de Dados 2016/679 (“RGPD”) da UE ou quaisquer outras leis de privacidade de dados aplicáveis.
A duração do Tratamento, a natureza e a finalidade do Tratamento, os tipos de dados pessoais e as categorias de Titulares dos Dados Tratados neste Adendo estão especificados mais detalhadamente no Anexo 1 (“Detalhes do Tratamento”) deste Adendo.
3. Confidencialidade dos Dados do Cliente
A FreeLogoServices não divulgará os Dados do Cliente a nenhum governo ou a qualquer outro terceiro, exceto quando necessário para cumprir a lei ou uma ordem válida e vinculativa de uma agência de aplicação da lei (como uma intimação ou ordem judicial). Se uma agência de aplicação da lei solicitar à FreeLogoServices Dados do Cliente, a FreeLogoServices tentará redirecionar a agência de aplicação da lei para que solicite esses dados diretamente ao Cliente. Como parte desta iniciativa, a FreeLogoServices poderá fornecer informações básicas de contato do Cliente à agência de aplicação da lei. Se for obrigada a divulgar os Dados do Cliente a uma agência de aplicação da lei, a FreeLogoServices avisará o Cliente com antecedência razoável sobre a exigência para permitir que o Cliente procure uma medida cautelar ou outra medida apropriada, salvo se FreeLogoServices seja legalmente proibida de fazê-lo.
4. Segurança
A FreeLogoServices implementou e manterá as medidas técnicas e organizacionais para a Rede FreeLogoServices, conforme descrito nesta Seção e, conforme descrito mais detalhadamente no Anexo 2 deste Adendo, os Padrões de Segurança. Em particular, a FreeLogoServices implementou e manterá:
- A segurança da Rede FreeLogoServices;
- A segurança física das instalações;
- Os controles sobre o acesso de funcionários e contratados à Rede FreeLogoServices e às instalações da FreeLogoServices; e
- Os processos para testar, estimar e avaliar a eficácia das medidas técnicas e organizacionais implementadas pela FreeLogoServices.
A FreeLogoServices disponibiliza uma série de recursos e funcionalidades de segurança que o Cliente pode optar por usar no que se refere aos Serviços Cobertos. O Cliente é responsável por:
- Configurar adequadamente os Serviços Cobertos.
- Utilizar os controles disponíveis relativos aos Serviços Cobertos (incluindo os controles de segurança) para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de tratamento.
- Utilizar os controles disponíveis relativos aos Serviços Cobertos (incluindo os controles de segurança) para permitir que o Cliente restaure a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico (por exemplo, backups e arquivamento de rotina dos Dados do Cliente).
- Tomar as medidas que o Cliente considerar adequadas para manter a segurança, proteção e exclusão adequadas dos Dados do Cliente, o que inclui o uso da tecnologia de criptografia para proteger os Dados do Cliente contra acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.
5. Direitos dos Titulares dos Dados
O Cliente é responsável por:
- Cumprir todas as leis de privacidade aplicáveis, incluindo o RGPD e incluindo a observação dos direitos dos Titulares dos Dados, conforme descrito nessas leis. Isso pode se estender além dos Dados do Cliente e incluir dados coletados pelo Cliente, mas que não são tratados pela FreeLogoServices.
- Responder diretamente às solicitações de direitos dos Titulares dos Dados e atuar como o único ponto de contato com os Titulares dos Dados quando uma solicitação de direitos incluir Dados do Cliente.
A FreeLogoServices deverá:
- Notificar imediatamente o Cliente se receber uma solicitação de um Titular dos Dados sob qualquer Lei de Proteção de Dados referente aos Dados do Cliente.
- Certificar-se de não responder a essa solicitação, salvo nas instruções documentadas do Cliente ou conforme exigido pelas Leis Aplicáveis às quais a FreeLogoServices está sujeita, caso em que a FreeLogoServices deverá, na medida permitida pelas Leis Aplicáveis, informar o Cliente sobre a exigência legal antes que a FreeLogoServices responda à solicitação.
- Quando o uso dos Serviços Cobertos pelo Cliente limitar sua capacidade de atender a uma Solicitação do Titular dos Dados, a FreeLogoServices poderá, quando legalmente permitido e apropriado e mediante solicitação específica do Cliente, fornecer assistência comercialmente razoável para atender à solicitação, às custas do Cliente (se houver).
6. Subtratamento
6.1 Suboperadores Autorizados
O Cliente concorda que a FreeLogoServices poderá usar Suboperadores para cumprir suas obrigações contratuais conforme seus Termos de Serviço e este Adendo, ou para fornecer determinados serviços em seu nome, como a prestação de serviços de suporte. Pelo presente, o Cliente consente no uso de Suboperadores pela FreeLogoServices, conforme descrito nesta Seção. Salvo se estabelecido nesta Seção ou se, de outra forma, explicitamente autorizado por você, a FreeLogoServices não permitirá quaisquer outras atividades de subtratamento.
6.2 Obrigações dos Suboperadores
Quando a FreeLogoServices utilizar qualquer Suboperador autorizado, conforme descrito em “Suboperadores Autorizados” acima:
- A FreeLogoServices restringirá o acesso do Suboperador aos Dados do Cliente apenas ao que for necessário para manter os Serviços Cobertos, ou para fornecer os Serviços Cobertos ao Cliente e a quaisquer usuários finais, de acordo com os Serviços Cobertos. A FreeLogoServices proibirá o Suboperador de acessar os Dados do Cliente para qualquer outra finalidade.
- A FreeLogoServices celebrará um contrato por escrito com o Suboperador e, na medida em que o Suboperador executar os mesmos serviços de tratamento de dados fornecidos pela FreeLogoServices neste Adendo, a FreeLogoServices imporá ao Suboperador as mesmas obrigações contratuais que a FreeLogoServices possui neste Adendo.
- A FreeLogoServices permanecerá responsável pela sua conformidade com as obrigações deste Adendo e por quaisquer atos ou omissões do Suboperador que levem a FreeLogoServices a violar qualquer uma das obrigações da FreeLogoServices neste Adendo.
7. Notificação de Incidente de Segurança
7.1 Responsabilidades da FreeLogoServices
Se a FreeLogoServices tomar conhecimento de um Incidente de Segurança, a FreeLogoServices irá, sem atraso indevido:
- Notificar o Cliente do Incidente de Segurança; e
- Tomar as medidas cabíveis para mitigar os efeitos e minimizar quaisquer danos resultantes do Incidente de Segurança.
7.2 Assistência da FreeLogoServices
Para auxiliar o Cliente em relação a quaisquer notificações de violação de dados pessoais que o Cliente seja obrigado a fazer, em conformidade com quaisquer leis de privacidade aplicáveis, a FreeLogoServices incluirá na notificação, conforme a seção “Direitos do Cliente/Verificação Independente” (abaixo), as informações sobre o Incidente de Segurança que a FreeLogoServices for razoavelmente capaz de divulgar ao Cliente, levando em consideração a natureza dos Serviços Cobertos, as informações disponíveis para a FreeLogoServices e quaisquer restrições à divulgação das informações, como confidencialidade.
7.3 Incidentes de Segurança com falha
O Cliente concorda que:
- Um Incidente de Segurança com falha não estará sujeito aos termos deste Adendo. Um Incidente de Segurança com falha é aquele que não resulta em acesso não autorizado aos Dados do Cliente ou a qualquer equipamento ou instalação da Rede FreeLogoServices que armazena Dados do Cliente, e pode incluir, sem limitação, pings e outros ataques de broadcast em firewalls ou servidores de borda, varreduras de portas, tentativas malsucedidas de login, ataques de negação de serviço, analisador de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulte em acesso além dos cabeçalhos) ou incidentes semelhantes; e
- A obrigação da FreeLogoServices de relatar ou responder a um Incidente de Segurança nos termos desta Seção não é e não será interpretada como um reconhecimento pela FreeLogoServices de qualquer falha ou responsabilidade da FreeLogoServices em relação ao Incidente de Segurança.
7.4 Comunicação
Notificações de Incidentes de Segurança, se houver, serão fornecidas a um ou mais administradores do Cliente por qualquer meio selecionado pela FreeLogoServices, inclusive por e-mail. É responsabilidade exclusiva do Cliente garantir que os administradores do Cliente mantenham informações de contato precisas no console de gerenciamento da FreeLogoServices e transmissão sempre segura.
8. Direitos do Cliente
8.1 Verificação Independente
O Cliente é responsável por analisar as informações disponibilizadas pela FreeLogoServices relativas à segurança de dados e aos Padrões de Segurança e por verificar de forma independente se os Serviços Cobertos atendem às exigências e obrigações legais do Cliente, bem como às obrigações do Cliente conforme este Adendo. As informações disponibilizadas destinam-se a auxiliar o Cliente a cumprir as obrigações do Cliente conforme as leis de privacidade aplicáveis, incluindo o RGPD, no que diz respeito às avaliações de impacto na proteção de dados e à consulta prévia.
Se as Cláusulas Contratuais Padrão se aplicarem, nada contido nesta Seção variará ou modificará as Cláusulas Contratuais Padrão, nem afetará os direitos de qualquer autoridade supervisora ou titular dos dados conforme as Cláusulas Contratuais Padrão.
8.2 Direitos de Auditoria do Cliente
O Cliente tem o direito de confirmar a conformidade da FreeLogoServices com este Adendo como aplicável aos Serviços Cobertos, incluindo especificamente a conformidade da FreeLogoServices com seus Padrões de Segurança. A FreeLogoServices disponibilizará ao Cliente, mediante solicitação, todas as informações que acreditar demonstrarem conformidade com as Normas de Segurança.
Os direitos de informação e auditoria do Cliente apresentam-se apenas nesta seção, na medida em que o Contrato não lhe fornece de outra forma direitos de informação e auditoria que atendam aos requisitos relevantes da Lei de Proteção de Dados.
9. Transferências de Dados Pessoais
9.1 Tratamento Baseado no Canadá
Exceto quando especificamente indicado nos Termos de Serviço, os Dados do Cliente serão transferidos para fora do EEE e tratados no Canadá, onde esses dados são regulamentados pela Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) do Canadá. O Canadá foi reconhecido pela UE por fornecer proteção de dados adequada (de acordo com o artigo 45 do Regulamento (UE) 2016/679), o que permite que informações pessoais de residentes da UE sejam transferidas livremente para o Canadá.
Como a FreeLogoServices trabalha com uma série de parceiros baseados nos EUA, nós também transferimos (em conformidade com o Artigo 45 do RGPD) informações pessoais a empresas que certificaram sua conformidade com as Estruturas de Proteção de Dados da UE-EUA ou da Suíça-EUA.
9.2 Aplicação das Cláusulas Contratuais Padrão
As Cláusulas Contratuais Padrão serão aplicadas aos Dados do Cliente transferidos para fora do EEE, diretamente ou por meio de transferência subsequente, a qualquer país não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção para dados pessoais (conforme descrito no RGPD). As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não forem transferidos, diretamente ou por meio de transferência subsequente, para fora do EEE. Não obstante o acima exposto, as Cláusulas Contratuais Padrão não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência legal de dados pessoais (conforme definido no RGPD) para fora do EEE, como os regulamentos PIPEDA do Canadá e também as Estruturas de Proteção de Dados da UE-EUA e da Suíça-EUA.
10. Rescisão do Adendo
Este Adendo continuará em vigor até a rescisão do tratamento da FreeLogoServices de acordo com os Termos de Uso (a “Data de Rescisão”).
11. Devolução ou Exclusão dos Dados do Cliente
Conforme descrito nos Serviços Cobertos, o Cliente poderá receber um serviço da FreeLogoServices que poderá ser usado para recuperar ou excluir os Dados do Cliente. Qualquer exclusão de Dados do Cliente será regida pelos termos dos Serviços Cobertos específicos.
12. Limitações de Responsabilidade
A responsabilidade de cada parte neste Adendo estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer penalidades regulatórias incorridas pela FreeLogoServices relativas aos Dados do Cliente que surjam como resultado ou em relação ao descumprimento por parte do Cliente de suas obrigações, nos termos deste Adendo e de quaisquer leis de privacidade aplicáveis, contarão e reduzirão a responsabilidade da FreeLogoServices perante os Termos de Serviço como se fosse responsabilidade do Cliente perante os Termos de Serviço.
13. Termos de Serviço Completos; Conflito
Este Adendo suplanta e substitui todas as representações, entendimentos, acordos ou comunicações anteriores ou contemporâneos entre o Cliente e a FreeLogoServices, sejam escritos ou verbais, em relação ao objeto deste Adendo, incluindo quaisquer adendos de tratamento de dados celebrados entre a FreeLogoServices e o Cliente relativos ao tratamento de dados pessoais e à livre circulação de tais dados. Salvo se alterados por este Adendo, os Termos de Serviço permanecerão em pleno vigor e efeito. Se houver um conflito entre qualquer outro acordo entre as partes, incluindo os Termos de Serviço e este Adendo, prevalecerão os termos deste Adendo.
Anexo 1 – Detalhes do Tratamento
- Natureza e Finalidade do Tratamento. A FreeLogoServices Tratará os Dados Pessoais conforme necessário para executar os Serviços Cobertos de acordo com os Termos de Serviço, acordos específicos de um produto e conforme instruído pelo Cliente durante o uso dos Serviços Cobertos.
- Duração do Tratamento. Nos termos da Seção 10 deste Adendo, a FreeLogoServices Tratará os Dados Pessoais enquanto os Termos de Serviço estiverem em vigor, mas cumprirá os termos deste Adendo pela duração do Tratamento, caso exceda esse prazo, e salvo acordo em contrário por escrito.
- Categorias de Titulares dos Dados. O Cliente poderá carregar Dados Pessoais durante o uso dos Serviços Cobertos, na medida em que isso é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, Dados Pessoais relacionados às seguintes categorias de Titulares dos Dados:
- Clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente (que sejam pessoas naturais).
- Funcionários ou pessoas de contato de clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente.
- Funcionários, agentes, consultores e freelancers do Cliente (que sejam pessoas naturais).
- Usuários do Cliente autorizados pelo Cliente a usar os Serviços Cobertos.
- Tipos de Dados Pessoais. O Cliente poderá carregar Dados Pessoais durante o uso dos Serviços Cobertos, cujo tipo e extensão são determinados e controlados pelo Cliente a seu exclusivo critério, e que podem incluir, entre outras, as seguintes categorias de Dados Pessoais dos Titulares dos Dados:
- Nome
- Endereço
- Número de telefone
- Data de nascimento
- Endereço de e-mail
- Outros dados coletados que possam identificar direta ou indiretamente um Titular dos Dados.
Anexo 2 – Padrões de Segurança
I. Medidas Técnicas e Organizacionais
Temos o compromisso de proteger as informações de nossos clientes. Levando em conta as melhores práticas, os custos de implementação e a natureza, o escopo, as circunstâncias e as finalidades do tratamento, bem como as diferentes possibilidades de ocorrência e gravidade do risco aos direitos e liberdades das pessoas naturais, tomamos as seguintes medidas técnicas e organizacionais. Ao selecionar as medidas, são consideradas a confidencialidade, integridade, disponibilidade e resiliência dos sistemas. É garantida uma recuperação rápida após um incidente físico ou técnico.
II. Programa de Privacidade de Dados
Testamos, estimamos e avaliamos regularmente a eficácia da Rede FreeLogoServices e a segurança de nossas instalações.
1. Confidencialidade.
Utilizamos uma variedade de medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais dos clientes. Tais medidas incluem:
Segurança Física
- Sistemas de controle de acesso físico em vigor (controle de acesso por crachá, monitoramento de eventos de segurança, etc.).
- Sistemas de vigilância, incluindo alarmes e, se apropriado, monitoramento CFTV.
- Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuário, armários trancados, etc.).
- Gerenciamento de Acesso de Visitantes.
- Destruição de dados em mídias físicas e documentos.
Controle de Acesso e Prevenção de Acesso Não Autorizado
- Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/analisadas com base no princípio de segregação de funções.
- Métodos fortes de autenticação e autorização (autenticação multifator, desativação/logoff automático, etc.).
- Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (tamanho mínimo, complexidade de caracteres, etc.).
Teste de Segurança
- Verificações regulares de rede e vulnerabilidades.
2. Integridade
Controles apropriados de gerenciamento de alterações e registros estão em vigor, além de controles de acesso para poder manter a integridade dos dados pessoais, como:
Gerenciamento de Alterações e Versões
- Processo de gerenciamento de alterações e versões incluso (análise de impacto, aprovações, testes, análises de segurança, preparação, monitoramento, etc.).
- Provisionamento de acesso baseado em função e departamento (Segregação de Funções) em ambientes de produção.
Registro e Monitoramento
- Registro de acessos e alterações nos dados.
- Registros de auditoria e segurança.
3. Disponibilidade
Implementamos medidas adequadas de continuidade e segurança para manter a disponibilidade de nossos serviços e dos dados residentes nesses serviços:
- Monitoramento e relatórios extensivos de desempenho/disponibilidade para sistemas críticos.
- Programa de resposta a incidentes.
- Dados críticos replicados ou com backup (backups na nuvem/discos rígidos/replicação de banco de dados, etc.).
- Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança, etc.).
- Sistemas redundantes e resilientes.
- Uso de fontes de alimentação ininterruptas, hardware redundante e sistemas de rede.
- Sistemas de alarme e segurança em vigor.
- Medidas de Proteção Física em vigor para locais críticos (proteção contra sobretensão, pisos elevados, sistemas de refrigeração, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio, etc.).
- Proteção DDoS para manter a disponibilidade.
- Teste de Carga e Estresse.
- Firewalls de aplicativos da Web.
4. Instruções de Tratamento de Dados
Estabelecemos políticas e acordos internos de privacidade para garantir que os dados pessoais sejam tratados de acordo com as preferências e instruções dos clientes.
- Termos de privacidade e confidencialidade em vigor nos contratos de funcionários e subcontratados.
- Auditorias regulares de segurança.
- Teste de conformidade com PCI.
Anexo 3 – Cláusulas Contratuais Padrão (Operadores)
Nota: Consulte a Seção 9.2 do Adendo para verificar a aplicabilidade destas Cláusulas Contratuais Padrão.
Para os fins do Artigo 26, nº 2 da Diretiva 95/46/CE, relativo à transferência de dados pessoais para operadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados,
A entidade identificada como “Cliente” no Adendo (o “exportador de dados”)
e
a FreeLogoServices (o “importador de dados”), cada um deles uma “parte”; juntos “as partes”,
CONCORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas), a fim de apresentar salvaguardas adequadas no que diz respeito à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas naturais para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.
Cláusula 1ª – Definições
Para os fins das Cláusulas:
(a) "dados pessoais", "categorias especiais de dados", "tratar/tratamento", "controlador", "operador", "titular dos dados" e "autoridade supervisora" terão a mesma acepção que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
(b) "o exportador de dados" refere-se ao controlador que transfere os dados pessoais;
(c) "o importador de dados" refere-se ao operador que concorda em receber dados pessoais do exportador de dados destinados ao tratamento em seu nome após a transferência, de acordo com suas instruções e os termos das Cláusulas, e que não está sujeito ao sistema de um país terceiro que garanta uma proteção adequada na acepção do Artigo 25, nº 1, da Diretiva 95/46/CE;
(d) "o suboperador" refere-se a qualquer operador contratado pelo importador de dados ou por qualquer outro suboperador do importador de dados que concorde em receber do importador de dados ou de qualquer outro suboperador do importador de dados dados pessoais exclusivamente destinados a atividades de tratamento, a serem realizadas em nome do exportador de dados após a transferência e de acordo com as suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;
(e) "a lei de proteção de dados aplicável" refere-se à legislação que protege os direitos e liberdades fundamentais das pessoas naturais e, em particular, seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um controlador de dados no Estado-Membro em que o o exportador de dados é estabelecido;
(f) "medidas de segurança técnicas e organizacionais" refere-se às medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em especial quando o tratamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilícitas de tratamento.
Cláusula 2ª – Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, estão especificados no Apêndice 1, que é parte integrante das Cláusulas.
Cláusula 3ª – Cláusula de terceiro beneficiário
1. O titular dos dados pode executar contra o exportador de dados esta Cláusula, a Cláusula 4ª de (b) a (i), a Cláusula 5ª de (a) a (e) e de (g) a (j), a Cláusula 6ª, a Cláusula 7ª (2), e as Cláusulas 8ª a 11ª como terceiro beneficiário.
2. O titular dos dados pode executar contra o importador de dados esta Cláusula, a Cláusula 5ª de (a) a (e) e (g), a Cláusula 6ª, a Cláusula 7ª (2) e as Cláusulas 8ª a 11ª, nos casos em que o exportador de dados tenha desaparecido de fato ou deixado de existir legalmente, salvo se qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados, por contrato ou por força da lei, pelo que assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados poderá executá-los contra tal entidade.
3. O titular dos dados pode executar contra o suboperador esta Cláusula, a Cláusula 5ª de (a) a (e) e (g), a Cláusula 6ª, a Cláusula 7ª (2) e as Cláusulas 8ª a 11ª, nos casos em que tanto o exportador de dados quanto o importador de dados tenham desaparecido de fato ou deixado de existir legalmente ou tenham se tornado insolventes, salvo se qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, pelo que assume os direitos e obrigações do exportador de dados, caso em que o titular dos dados poderá executá-los contra tal entidade. Tal responsabilidade de terceiro do suboperador será limitada às suas próprias operações de tratamento de acordo com as Cláusulas.
4. As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.
Cláusula 4ª – Obrigações do exportador de dados
O exportador de dados concorda e garante:
(a) que o tratamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser realizado de acordo com as disposições relevantes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades relevantes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições relevantes desse Estado;
(b) que instruiu e, em toda a duração dos serviços de tratamento de dados pessoais, instruirá o importador de dados a tratar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;
(c) que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste contrato;
(d) que, após a avaliação das exigências da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilícita ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o tratamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilícitas de tratamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo tratamento e à natureza dos dados a serem protegidos, tendo em vista o estado da arte e o custo de sua implementação;
(e) que garantirá a conformidade com as medidas de segurança;
(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado antes ou o mais rápido possível após a transferência de que seus dados poderiam ser transmitidos a um país terceiro que não oferece proteção adequada dentro da acepção da Diretiva 95/46/CE;
(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer suboperador, de acordo com a Cláusula 5ª (b) e a Cláusula 7ª (3), à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou revogar a suspensão;
(h) disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subtratamento que deve ser feito de acordo com as Cláusulas, salvo se as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais;
(i) que, em caso de subtratamento, a atividade de tratamento seja realizada de acordo com a Cláusula 10ª por um suboperador que forneça ao menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados conforme o importador de dados nos termos das Cláusulas; e
(j) que garantirá a conformidade com a Cláusula 4ª de (a) a (i).
Cláusula 5ª – Obrigações do importador de dados
Nota: Os requisitos obrigatórios da legislação nacional aplicável ao importador de dados, que não vão além do necessário em uma sociedade democrática, com base em um dos interesses enumerados no Artigo 13º, nº 1, da Diretiva 95/46/CE, isto é, se constituírem uma medida necessária para salvaguardar a segurança nacional, a defesa, a segurança pública, a prevenção, investigação, detecção e repressão de infrações penais ou de violações de ética para as profissões regulamentadas, um importante fator econômico ou interesse financeiro do Estado ou a proteção do titular dos dados ou os direitos e liberdades de terceiros, não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos desses requisitos obrigatórios que não vão além do que é necessário em uma sociedade democrática são, entre outros, sanções internacionalmente reconhecidas, requisitos de declaração de impostos ou requisitos de denúncias contra lavagem de dinheiro.
O importador de dados concorda e garante:
(a) tratar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder garantir tal conformidade, por qualquer motivo, concorda em informar imediatamente o exportador de dados da sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) que não tem motivos para acreditar que a legislação que lhe é aplicável o impede de cumprir as instruções recebidas do exportador de dados e as suas obrigações nos termos do contrato, e que, no caso de uma alteração nessa legislação que possa causar um efeito adverso substancial sobre as garantias e obrigações previstas nas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato;
(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de tratar os dados pessoais transferidos;
(d) que notificará imediatamente o exportador de dados sobre:
(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por parte de uma autoridade responsável pela aplicação da lei, salvo proibição em contrário, como uma proibição prevista no direito penal para preservar a confidencialidade de uma investigação policial,
(ii) qualquer acesso acidental ou não autorizado, e
(iii) qualquer pedido recebido diretamente dos titulares dos dados sem responder a esse pedido, salvo se tiver sido autorizado a fazê-lo;
(e) responder imediata e adequadamente a todas as consultas do exportador de dados relacionadas ao tratamento dos dados pessoais sujeitos à transferência e acatar o conselho da autoridade supervisora no que diz respeito ao tratamento dos dados transferidos;
(f) disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou de qualquer contrato de subtratamento existente, salvo se as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não consiga obter uma cópia do exportador de dados;
(g) que, em caso de subtratamento, informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;
(h) que os serviços de tratamento pelo suboperador serão realizados de acordo com a Cláusula 10ª;
(i) enviar imediatamente uma cópia de qualquer contrato de suboperador, celebrado de acordo com as Cláusulas, ao exportador de dados.
Cláusula 6ª – Mediação e jurisdição
1. O importador de dados concorda que, se o titular dos dados invocar para si direitos de terceiro beneficiário e/ou exigir compensação por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
(a) de submeter a disputa à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
(b) de submeter a disputa à jurisdição exclusiva na qual o importador de dados está estabelecido. Para maior clareza, todas as disputas devem ser iniciadas nos tribunais da província de Ontário, no Canadá.
2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos materiais ou processuais de buscar soluções de acordo com outras disposições do direito nacional ou internacional.
Cláusula 7ª – Cooperação com as autoridades supervisoras
1. O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisora, se esta solicitar ou se tal depósito for exigido pela lei de proteção de dados aplicável.
2. As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria do importador de dados e de qualquer suboperador, que tenha o mesmo escopo e esteja sujeita às mesmas condições que se aplicariam a uma auditoria do exportador de dados conforme a lei de proteção de dados aplicável.
3. O importador de dados informará imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer suboperador que impeça a realização de uma auditoria do importador de dados, ou de qualquer suboperador, de acordo com o parágrafo 2º. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5ª (b).
Cláusula 8ª – Legislação Aplicável
As Cláusulas serão regidas pelas leis do local onde o importador de dados está estabelecido: para maior clareza, as leis do Canadá e da Província de Ontário.
Cláusula 9ª – Variação do contrato
As partes comprometem-se a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas aos negócios quando necessário, desde que não contrariem a Cláusula.
Cláusula 10ª – Subtratamento
1. O importador de dados não deverá subcontratar nenhuma de suas operações de tratamento realizadas em nome do exportador de dados de acordo com as Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações, de acordo com as Cláusulas e com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um contrato escrito com o suboperador que imponha ao suboperador as mesmas obrigações impostas ao importador de dados de acordo com as Cláusulas. Caso o suboperador não cumpra suas obrigações de proteção de dados nos termos desse contrato escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do suboperador nos termos de tal contrato.
2. O contrato escrito prévio entre o importador de dados e o suboperador também deverá prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3ª, para os casos em que o titular dos dados não seja capaz de apresentar o pedido de indenização contra o exportador de dados ou o importador de dados, porque eles desapareceram de fato ou deixaram de existir legalmente ou se tornaram insolventes, e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador ou importador de dados por contrato ou por força da lei. Tal responsabilidade de terceiro do suboperador será limitada às suas próprias operações de tratamento de acordo com as Cláusulas.
3. As disposições relativas aos aspectos de proteção de dados para subtratamento do contrato referido no parágrafo 1º serão regidas pelas leis do país onde o importador de dados está estabelecido. Para maior clareza, as leis do Canadá e da província de Ontário.
4. O exportador de dados deverá manter uma lista dos contratos de subtratamento celebrados nos termos das Cláusulas e notificados pelo importador de dados nos termos da Cláusula 5ª (j), que será atualizada pelo menos uma vez por ano. A lista deverá estar à disposição da autoridade supervisora de proteção de dados do exportador de dados.
Cláusula 11ª – Obrigação após a rescisão dos serviços de tratamento de dados pessoais
1. As partes concordam que, na rescisão da prestação de serviços de tratamento de dados, o importador de dados e o suboperador deverão, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados, ou destruir todos os dados pessoais e certificar ao exportador de dados que o fez, salvo se a legislação imposta ao importador de dados o impeça de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados assegura que garantirá a confidencialidade dos dados pessoais transferidos e que não mais tratará ativamente os dados pessoais transferidos.
2. O importador de dados e o suboperador garantem que, mediante solicitação do exportador de dados e/ou da autoridade supervisora, submeterão suas instalações de tratamento de dados a uma auditoria das medidas referidas no parágrafo 1º.
Apêndice 1 das Cláusulas Contratuais Padrão
Exportador de dados: O exportador de dados é a entidade identificada como “Cliente” no Adendo
Importador de dados: O importador de dados é a FreeLogoServices, um provedor de serviços hospedados.
Titulares dos dados: As operações de tratamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.
Categorias de dados: As operações de tratamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.
Operações de tratamento: As operações de tratamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.
Apêndice 2 das Cláusulas Contratuais Padrão
Este Apêndice faz parte das Cláusulas. Ao adquirir os Serviços Cobertos da FreeLogoServices, o Adendo e este Apêndice 2 são considerados aceitos e executados por e entre as partes.
Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4ª (d) e 5ª (c) (ou documento/legislação anexada):
As medidas de segurança técnicas e organizacionais implementadas pelo importador de dados são as descritas no Adendo, especificamente no Anexo 2, que está incorporado e anexado.