Menu

Treinamento para funcionários sobre o COVID-19 disponível. Obtenha o curso gratuito aqui.

Contrato de processamento de dados da Alchemy

ENTRE:

(1) O CLIENTE (“Controlador de dados”); e

(2) Alchemy Systems (“Processador de dados”),

(individualmente, “Parte” e, coletivamente, “Partes”).

CONSIDERANDO QUE:
(A) O Processador de dados deverá prestar Serviços ao Controlador de dados nos termos deste Contrato.

(B) Este Contrato é celebrado para assegurar que proteções adequadas no que diz respeito à proteção da privacidade e segurança dos Dados pessoais passados do Controlador de dados ao Processador de dados, para Processamento, ou acessados pelo Processador de dados com a autoridade do Controlador de dados, para Processamento, ou recebidos, de outra forma, pelo Processador de dados para Processamento em nome do Controlador de dados.

(C) Este Contrato define, ainda, determinados níveis de serviço a serem aplicados a todos os Serviços relacionados aos Dados pessoais (conforme definido abaixo) prestados pelo Processador de dados ao Controlador de dados.

FICA ACORDADO QUE:

1. DEFINIÇÕES

1.1 Neste Contrato, as seguintes expressões terão os seguintes significados, salvo se o contexto exigir de outra forma:

“Controlador de dados”
refere-se à entidade que determina as finalidades e os meios de Processamento dos Dados pessoais;

“Processador de dados”
refere-e à entidade que processa os Dados pessoais em nome do Controlador de dados;

“Titular de dados”
refere-se a uma pessoa física identificada ou identificável a quem se relacionam os Dados pessoais;

“Instrução”
refere-se a uma instrução por escrito, enviada pelo Controlador de dados ao Processador de dados, instruindo o Processador de dados a executar uma ação específica com relação aos Dados pessoais (inclusive despersonalização, bloqueio, exclusão, disponibilização, etc.);

“Dados pessoais”
refere-se a qualquer informação relacionada a uma pessoa física identificada ou identificável. Uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, mais especificamente, por referência a um identificador, como nome, número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da sua identidade física, fisiológica, genética, mental, econômica, cultural ou social;

“Violação dos Dados pessoais”
refere-se a uma violação da segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados pessoais transmitidos, armazenados ou, de outra forma, processados;

“Processo”/“Processamento”
refere-se a qualquer operação ou conjunto de operações que sejam realizadas nos Dados pessoais, por meios automáticos ou não, como coleta, registro, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou, de outra forma, disponibilização, alinhamento ou combinação, bloqueio, exclusão ou destruição;

“Anexo”
refere-se às informações do anexo, que é parte integrante deste Contrato;

“Serviços”
refere-se ao Processamento dos Dados pessoais pelo Processador de dados relacionado e para as finalidades de prestação dos serviços a serem prestados pelo Processador de dados ao Controlador de dados, relacionados ao Contrato de serviços mestre entre a Alchemy Systems e o CLIENTE, de 10 de janeiro de 2018, inclusive conforme o descrito no Anexo 1 deste Contrato;

“Cláusulas Contratuais Padrão”
refere-se ao contrato firmado por e entre o Controlador de dados e o Processador de dados, anexado a este instrumento como Anexo 3, de acordo com a decisão da Comissão Europeia [C(2010)593], de 5 de fevereiro de 2010, sobre as Cláusulas Contratuais Padrão para a transferência de Dados pessoais a processadores estabelecidos em outros países que não garantam um nível adequado de proteção dos dados;

“Subprocessador”
refere-se a qualquer processador contratado pelo Processador de dados (ou por qualquer outro Subprocessador do Processador de dados) que concorde em receber do Processador de dados (ou de qualquer outro Subprocessador do Processador de dados) Dados pessoais exclusivamente destinados ao Processamento em nome do Controlador de dados após a transferência, de acordo com as Instruções do Controlador de dados e nos termos do subcontrato por escrito;

“Vigência”
refere-se à vigência da Declaração de trabalho (DT), conforme definido na Declaração de trabalho e de acordo com o Contrato de serviços mestre entre a Alchemy Systems e o CLIENTE, de 20 de abril de 2018.

2. ESCOPO E APLICAÇÃO DESTE CONTRATO

2.1 O escopo, a maneira e a finalidade, bem como as categorias de Dados pessoais e os Titulares de dados afetados estão definidos no Anexo 1 deste Contrato.

2.2 Este Contrato será aplicável, em relação aos Serviços, a:

2.2.1 todos os Dados pessoais enviados por ou em nome do Controlador de dados ao Processador de dados para Processamento;

2.2.2 todos os Dados pessoais acessados pelo Processador de dados sob a autoridade do Controlador de dados para Processamento; e

2.2.3 todos os Dados pessoais recebidos, de outra forma, pelo Processador de dados para Processamento em nome do Controlador de dados.

3. PROCESSAMENTO DOS DADOS

O Processador de dados concorda em Processar os Dados pessoais, aos quais este Contrato se aplica nos termos da cláusula 2, de acordo com os termos e condições estabelecidos neste Contrato e, mais especificamente, o Processador de dados concorda:

3.1 em Processar os Dados pessoais somente em nome do Controlador de dados e sempre em conformidade com as Instruções do Controlador de dados fundamentadas neste Contrato, com a legislação de proteção de dados aplicáveis e somente para os fins (relacionado à prestação dos Serviços pelo Processador de dados) e da maneira especificada, ao longo do tempo e por escrito, pelo Controlador de dados, e para nenhuma outra finalidade ou de qualquer outra forma, salvo com o consentimento prévio expresso e por escrito do Controlador de dados. As instruções fornecidas de forma verbal serão imediatamente confirmadas por escrito. Se o Processador de dados não puder oferecer esta conformidade por qualquer motivo, o Processador de dados concorda em notificar imediatamente o Controlador de dados sobre a sua incapacidade em cumprir, e, neste caso, o Controlador de dados terá o direito de suspender a transferência dos Dados e/ou rescindir este Contrato. Se o Processador de dados acreditar que a conformidade com qualquer instrução dada pelo Controlador de dados poderá resultar em violação de qualquer lei aplicável sobre proteção de dados, o Processador de dados notificará o Controlador de dados por escrito, dentro de um período sensato;

3.2 que o Processador de dados não tem motivos para acreditar que a legislação aplicável o impeça de cumprir as Instruções recebidas do Controlador de dados e suas respectivas obrigações nos termos deste Contrato e que, no caso de uma alteração nessa legislação que possa ter um efeito adverso substancial nas obrigações estabelecidas nos termos deste Contrato, que notificará imediatamente o Controlador de dados sobre a alteração, assim que tomar conhecimento, e, neste caso, o Controlador de dados terá o direito de suspender a transferência dos Dados pessoais e/ou rescindir este Contrato;

3.3 que, dentro da área de responsabilidade do Processador de dados, o Processador de dados estruturará sua respectiva organização corporativa interna para assegurar a conformidade com as exigências específicas de proteção dos Dados pessoais. O Processador de dados adotará medidas técnicas e organizacionais para proteger adequadamente os Dados pessoais recebidos do Controlador de dados contra uso indevido e perda. Uma visão geral das medidas técnicas e organizacionais foi anexada como Anexo 2 (Descrição das medidas técnicas e organizacionais) a este Contrato. O Processador de dados monitora regularmente a conformidade com essas medidas;

3.4 em assegurar que cada um dos seus respectivos funcionários, agentes e Subprocessadores estejam cientes das suas respectivas obrigações, nos termos deste Contrato, com relação à segurança e proteção dos Dados pessoais e exigirá que celebrem obrigações vinculativas com o Processador de dados para manter os níveis de segurança e proteção previstos neste Contrato;

3.5 em assegurar que qualquer pessoa envolvida no Processamento dos Dados pessoais do Controlador de dados tenha se comprometido com a confidencialidade ou esteja sob uma obrigação estatutária adequada de confidencialidade. A obrigação de manter o sigilo dos dados subsistirá à rescisão do respectivo vínculo trabalhista;

3.6 em não divulgar os Dados pessoais, direta ou indiretamente, a qualquer pessoa, firma ou empresa ou, de outra forma, sem o consentimento prévio expresso e por escrito do Controlador de dados, salvo para os funcionários, agentes e Subprocessadores do Processador de dados que estejam envolvidos no Processamento dos Dados pessoais e que estão sujeitos às obrigações vinculativas mencionadas na cláusula 3.4 ou 3.5, ou salvo conforme exigido por qualquer lei ou regulamento;

3.7 que notificará imediatamente o Controlador de dados sobre:

3.7.1 qualquer solicitação juridicamente vinculativa para divulgação dos Dados pessoais feita por uma autoridade responsável pela manutenção da ordem pública, salvo se proibido de outra forma, como uma proibição nos termos da legislação penal para preservar a confidencialidade de uma investigação policial;

3.7.2 qualquer interrupção substancial dos Serviços ou interrupções graves das operações, qualquer infração cometida pelo Processador de dados ou seus respectivos funcionários da legislação sobre proteção de dados aplicável ou deste Contrato, ou qualquer irregularidade importante relacionada ao Processamento dos Dados pessoais pertencentes ao Controlador de dados;

3.7.3 qualquer Violação dos Dados pessoais dos quais fique ciente. Esta notificação incluirá, levando em conta a natureza do Processamento e as informações disponíveis para o Processador de dados, qualquer informação relevante para auxiliar o Controlador de dados em suas próprias obrigações de notificação nos termos da legislação aplicável:

3.7.4 qualquer solicitação recebida diretamente dos Titulares de dados sem responder a essa solicitação, salvo se autorizado a fazê-lo, de outra forma e por escrito, pelo Controlador de Dados;

3.8 caso os Titulares de dados venham a exercer qualquer um de seus respectivos direitos nos termos da legislação aplicável relacionada aos Dados pessoais (inclusive direitos de acesso, retificação, exclusão, bloqueio, objeção, restrição, portabilidade de dados e o direito de não estar sujeito a uma decisão baseada exclusivamente em Processamento automatizado, inclusive criação de perfil), em informar o Controlador de dados o mais rapidamente possível, e o Processador de dados concorda, além disso, em auxiliar o Controlador de dados com todas as solicitações de Titulares de dados que possam ser recebidas de qualquer Titular de dados relacionadas a qualquer Dado Pessoal;

3.9 levando em conta a natureza do Processamento, em auxiliar o Controlador de dados por meio de medidas técnicas e organizacionais adequadas, desde que possível, para o cumprimento da obrigação do Controlador de dados em responder às solicitações para exercer os direitos do Titular de dados estabelecidos pela legislação aplicável;

3.10 lidar pronta e adequadamente com todas as consultas do Controlador de dados relacionadas ao Processamento dos Dados pessoais, inclusive disponibilizar para o Controlador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste Contrato ou as informações necessárias para que o Controlador de dados aplique a legislação aplicável;

3.11 que qualquer serviço de Processamento realizado por um Subprocessador será realizado em conformidade com a cláusula 6;

3.12 que o Processador de dados nomeou um diretor de proteção de dados sempre que for exigido pela legislação aplicável. O Processador de dados fornecerá os detalhes de contato da pessoa indicada; e

3.13 em auxiliar o Controlador de dados a assegurar a conformidade com a legislação aplicável, inclusive a obrigação de realizar avaliações de impacto na proteção dos dados e consultas prévias com autoridades fiscalizadoras, levando em conta a natureza do Processamento e as informações disponíveis ao Processador de dados.

4. OBRIGAÇÕES DO CONTROLADOR DE DADOS

Dentro do escopo deste Contrato e restrito a este, o Controlador de dados concorda que assegurará que qualquer divulgação de Dados pessoais feita pelo Controlador de dados ao Processador de dados seja feita com o consentimento do Titular de dados ou, de outra forma, lícita.

5. RESCISÃO

5.1 Este Contrato será rescindido automaticamente no caso de (a) rescisão ou término das obrigações do Processador de dados em relação aos Serviços ou (b) por escolha do Controlador de dados em rescindir o Contrato. Mediante rescisão deste Contrato, o Processador de dados, a critério exclusivo do Controlador de dados, entregará ao Controlador de dados ou destruirá todos os Dados pessoais do Controlador de dados em posse ou controle do Processador de dados. Mediante solicitação do Controlador de dados, o Processador de dados confirmará, por escrito, a conformidade com estas obrigações e excluirá todas as cópias existentes, salvo se alguma lei aplicável exigir o armazenamento dos Dados pessoais.

5.2 O Controlador de dados terá o direito de rescindir este Contrato, mediante notificação por escrito ao Processador de dados, se o Controlador de dados receber uma notificação do Processador de dados de acordo com a cláusula 3.1 ou ‎3.2 deste Contrato.

6. NOMEAÇÃO DE SUBPROCESSADORES

6.1 O Processador de dados somente poderá autorizar um Subprocessador a Processar qualquer Dado Pessoal com a aprovação prévia e por escrito do Controlador de dados. No caso de uma autorização por escrito geral, o Processador de dados informará ao Controlador de dados sobre qualquer alteração pretendida relacionada à adição ou substituição de outros Subprocessadores, dando ao Controlador de dados a oportunidade de se opor a estas alterações.

6.2 Qualquer Processamento realizado por um Subprocessador será feito nos termos de um contrato firmado que não seja menos restritivo do que este Contrato.

6.3 Nenhum Processamento realizado por um Subprocessador liberará o Processador de dados da sua respectiva responsabilidade quanto às suas obrigações nos termos deste Contrato, e o Processador de dados será totalmente responsável pelo trabalho e pelas atividades de cada um dos seus respectivos Subprocessadores.

7. CLÁUSULAS CONTRATUAIS PADRÃO

7.1 Durante a prestação dos Serviços pelo Processador de dados ao Controlador de dados, poderá ser necessário transferir Dados pessoais do Controlador de dados ao Processador de dados localizado nos Estados Unidos.

7.2 Com relação às transferências de dados referidas na cláusula ‎7.1, as Cláusulas Contratuais Padrão celebradas pelo Controlador de dados, como exportador de dados, e pelo Processador de dados, como importador de dados, conforme estabelecido no Anexo 3.

7.3 Os Subprocessadores serão nomeados de acordo com a Cláusula 5(h) das Cláusulas Contratuais Padrão, conforme especificado adicionalmente na cláusula 6 deste Contrato.

7.4 Em caso de qualquer conflito entre o texto deste Contrato e qualquer um dos seus Anexos (não incluindo as Cláusulas Contratuais Padrão) e as Cláusulas Contratuais Padrão no Anexo 3, prevalecerá a cláusula que proteja os direitos e liberdades dos Titulares de dados em maior extensão.

8. DISPOSIÇÕES DIVERSAS

8.1 Emendas ou adições a este Contrato precisam ser feitas por escrito para entrarem em vigor. Isso também se aplica a emendas à esta exigência da forma escrita. A exigência da forma escrita nesta cláusula não inclui fax ou qualquer forma não transitória de reprodução visível de palavras (como e-mails).

8.2 Caso qualquer cláusula deste Contrato seja ou se torne inválida, isso não afetará a validade dos demais termos. As Partes, neste caso, serão obrigadas a cooperar na criação de termos que atinjam um resultado juridicamente válido que mais se aproxime comercialmente do que é oferecido na cláusula inválida. O acima mencionado será aplicável à solução de qualquer lacuna neste Contrato.

8.3 Qualquer obrigação do Controlador de dados decorrente de cláusulas estatutárias ou de acordo com uma decisão judicial ou regulatória permanecerá não afetada por este Contrato.

8.4 Este Contrato será regido pela mesma lei que rege a Declaração de trabalho, de acordo com o Contrato de serviços mestre entre a Alchemy Systems e o Cliente, de 10 de janeiro de 2018.

ANEXO 1

DESCRIÇÃO DO PROCESSAMENTO

Assunto

A Alchemy Systems prestará os Serviços conforme definido na Seção 1.1 do Contrato de processamento de dados.

Duração do Processamento

Os dados não serão mantidos por mais tempo do que o necessário para alcançar os fins para os quais foram coletados, processados ou usados, ou conforme estabelecido na legislação aplicável no que diz respeito a períodos de preservação de dados.
A Vigência mais o período desde a expiração da Vigência até a exclusão de todos os Dados Pessoais pela Alchemy Systems de acordo com os Termos, em conformidade com a Seção 5.1 do Contrato de processamento de dados.

Extensão, tipo e finalidade do Processamento

A Alchemy Systems processará os Dados pessoais para os fins da prestação dos Serviços.

Titulares de dados

O Processador de dados poderá processar os Dados pessoais dos clientes da subsidiária do Controlador de dados, CLIENTE. O Processador de dados também poderá processar os Dados pessoais fornecidos pelos usuários finais dos Serviços, que poderá incluir os Dados pessoais dos funcionários atuais, ex-funcionários e usuários finais.

Categorias dos dados

Dados relacionados a pessoas, fornecidos pela Alchemy Systems por meio dos Serviços, pelo (ou por instrução do) Cliente ou pelos Usuários finais do Cliente.
• Dados de contato, como nome, sobrenome, telefone e e-mail.
• Status do emprego, como departamento, cargo, local e supervisor.

Anexo 2

Descrição das medidas técnicas e organizacionais

A Alchemy implementará e manterá Medidas de segurança para assegurar um nível de segurança adequado ao risco específico, inclusive, conforme o caso, as medidas mencionadas no artigo 32(1) do RGPD (Regulamento Geral sobre a Proteção de Dados). Ao avaliar o nível adequado de segurança, a Alchemy levará em conta os riscos que são apresentados pela natureza das atividades de Processamento e, mais especificamente, aqueles relacionados a possíveis Violações dos Dados pessoais.

A Alchemy poderá atualizar ou modificar essas Medidas de segurança ao longo do tempo, contanto que estas atualizações e modificações não resultem na degradação da segurança geral dos Serviços.

Anexo 3

Cláusulas Contratuais Padrão (Processadores)

Para os fins do Artigo 26(2) da Diretiva 95/46/EC para a transferência de Dados pessoais a processadores estabelecidos em outros países que não garantam um nível adequado de proteção dos dados
Outras informações necessárias para identificar a organização: n/d

(o exportador de dados)

E

Outras informações necessárias para identificar a organização: n/d

(o importador de dados)

individualmente, “Parte”, e coletivamente, “Partes”,
CONCORDAM com as seguintes Cláusulas contratuais (Cláusulas) para produzir proteções adequadas no que diz respeito à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas em relação à transferência dos dados pessoais especificados no Anexo 1, feita pelo exportador de dados ao importador de dados.

Cláusula 1

Definições

Para os fins das Cláusulas:

(a) “Dados pessoais”, “categorias especiais de dados”, “processar/processamento”, “controlador”, “processador”, “titular de dados” e “autoridade fiscalizadora” terão o significado atribuído na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção de indivíduos com relação ao processamento de dados pessoais e a livre movimentação destes dados;

(b) “o exportador de dados” refere-se ao controlador que transfere os dados pessoais;

(c) “o importador de dados” refere-se ao processador que concorda em receber os dados pessoais do exportador de dados destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e nos termos das Cláusulas e que não está sujeito a um sistema de outro país, assegurando proteção adequada dentro do significado do Artigo 25(1) da Diretiva 95/46/EC;

(d) “o subprocessador” refere-se a qualquer processador contratado pelo importador de dados, ou por qualquer outro subprocessador do importador de dados, que concorde em receber do importador de dados, ou de qualquer outro subprocessador do importador de dados, os Dados Pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas respectivas instruções, com os termos das Cláusulas e com os termos do subcontrato por escrito;

(e) “a legislação aplicável sobre proteção de dados” refere-se à legislação que protege os direitos e liberdades fundamentais das pessoas e, mais especificamente, o direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a um controlador de dados no Estado Membro no qual o exportador de dados está estabelecido;

(f) “medidas de segurança técnica e organizacional” refere-se às medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, mais especificamente quando o processamento envolve a transmissão de dados em uma rede, e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, mais especificamente, as categorias especiais de dados pessoais, conforme o caso, estão especificados no Anexo 1, que forma uma parte integrante das Cláusulas.

Cláusula 3

Cláusula de beneficiário de terceiros

1. O titular de dados pode aplicar contra o exportador de dados esta Cláusula, as Cláusulas 4(b) a (i), as Cláusulas 5(a) a (e), e (g) a (j), as Cláusulas 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12 como beneficiário de terceiros.

2. O titular de dados pode aplicar contra o importador de dados esta Cláusula, as Cláusulas 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de forma concreta ou deixado de existir em lei, salvo se qualquer entidade sucessora tiver assumido as obrigações jurídicas do exportador de dados por contrato ou força de lei, e como resultado assume os direitos e obrigações do exportador de dados, e, neste caso, o titular de dados poderá invocar seus respectivos direitos contra esta entidade.

3. O titular de dados pode aplicar contra o subprocessador esta Cláusula, as Cláusulas 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados tenham desaparecido de forma concreta ou deixado de existir em lei, ou se tornem insolventes, salvo se qualquer entidade sucessora tiver assumido as obrigações jurídicas do exportador de dados por contrato ou força de lei, e como resultado assume os direitos e as obrigações do exportador de dados, e, neste caso, o titular de dados poderá invocar seus respectivos direitos contra esta entidade. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

4. As partes não se opõem que um titular de dados seja representado por uma associação ou outra entidade se o titular de dados assim expressamente desejar e se permitido pela legislação nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o processamento, inclusive a própria transferência, dos dados pessoais foi e continuará a ser realizado de acordo com as cláusulas relevantes da legislação aplicável sobre proteção de dados (e, conforme o caso, tenha sido notificado às autoridades relevantes do Estado Membro no qual o exportador de dados está estabelecido) e não viola as cláusulas relevantes deste Estado;

(b) que instruiu e, ao longo da duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a legislação sobre proteção de dados aplicável e com as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnica e organizacional especificadas no Anexo 2 deste contrato;

(d) que, após a avaliação das exigências da legislação aplicável sobre proteção dos dados, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, mais especificamente quando o processamento envolver a transmissão de dados por uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas asseguram um nível de segurança adequado aos riscos apresentados pelo processamento e natureza dos dados a serem protegidos, tendo em mente a tecnologia atual e ao custo da sua implementação;

(e) que assegurará a conformidade com as medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular de dados foi ou será informado antes ou, assim que possível, após a transferência de que seus dados poderiam ser transmitidos a um terceiro país que não fornece proteção adequada dentro do significado dado pela Diretiva 95/46/EC;

(g) em encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5(b) e a Cláusula 8(3) à autoridade fiscalizadora de proteção de dados se o exportador de dados decidir continuar a transferência ou suspender a suspensão;

(h) em disponibilizar aos titulares de dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subprocessamento, feito em conformidade com as Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá remover estas informações comerciais;

(i) que, em caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador que forneça, no mínimo, o mesmo nível de proteção para os dados pessoais e os direitos do titular de dados como importador de dados nos termos das Cláusulas; e

(j) que assegurará a conformidade com as Cláusulas de 4(a) a (i).

Cláusula 5

Obrigações do importador de dados

O importador de dados concorda e garante:

(a) em processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas respectivas instruções e com as Cláusulas; caso não possa oferecer esta conformidade por qualquer motivo, que concorda em informar imediatamente o exportador de dados sobre a sua incapacidade em cumprir, caso em que o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato;

(b) que não tem motivos para acreditar que a legislação aplicável o impeça de cumprir as instruções recebidas do exportador de dados e suas respectivas obrigações nos termos do contrato e que, no caso de uma alteração nessa legislação que possa ter um efeito adverso substancial nas garantias e obrigações fornecidas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados, assim que tomar conhecimento, e, neste caso, o exportador de dados terá o direito de suspender a transferência dos dados e/ou rescindir o contrato;

(c) que implementou as medidas de segurança técnica e organizacional especificadas no Anexo 2 antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer solicitação juridicamente vinculativa para divulgação dos dados pessoais feita por uma autoridade responsável pela manutenção da ordem pública, salvo se proibido de outra forma, como uma proibição nos termos da legislação penal para preservar a confidencialidade de uma investigação policial;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer solicitação recebida diretamente dos titulares de dados sem responder a essa solicitação, salvo se autorizado a fazê-lo de outra forma;

(e) em tratar pronta e adequadamente todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e seguir a orientação da autoridade fiscalizadora em relação ao processamento dos dados transferidos;

(f) mediante solicitação do exportador de dados, em apresentar suas instalações de processamento de dados a uma auditoria das atividades de processamento cobertas pelas Cláusulas, que será realizada pelo exportador de dados ou por uma agência fiscalizadora composta de membros independentes e de posse de qualificações profissionais exigidas por um dever de confidencialidade, selecionada pelo exportador de dados, conforme o caso e de acordo com a autoridade fiscalizadora;

(g) em disponibilizar aos titulares de dados, mediante solicitação, uma cópia das Cláusulas, ou de qualquer contrato existente para subprocessamento, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá remover estas informações comerciais, com exceção do Anexo 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular de dados não conseguir obter uma cópia do exportador de dados;

(h) que, no caso de subprocessamento, informou previamente o exportador de dados e obteve seu respectivo consentimento prévio e por escrito;

(i) que os serviços de processamento realizados pelo subprocessador serão realizados em conformidade com a cláusula 11;

(j) em enviar imediatamente uma cópia de qualquer contrato de subprocessador que concluir nos termos das Cláusulas para o exportador de dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados, que sofreu danos como resultado de qualquer violação das obrigações mencionadas na Cláusula 3 ou na Cláusula 11 cometida por qualquer parte ou subprocessador, tem direito a receber uma compensação do exportador de dados pelo dano sofrido.

2. Se um titular de dados não puder apresentar uma reivindicação para compensação de acordo com o parágrafo 1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu respectivo subprocessador de qualquer uma das obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados desapareceu de forma concreta ou deixou de existir em lei, ou se tornou insolvente, o importador de dados concorda que o titular de dados poderá emitir uma reivindicação contra o importador de dados como se este fosse o exportador de dados, salvo se qualquer entidade sucessora tiver assumido as obrigações do exportador de dados por contrato ou força de lei, e, neste caso, o titular de dados pode invocar os seus direitos contra esta entidade.
O importador de dados não poderá se basear em uma violação das obrigações cometida por um subprocessador para evitar suas próprias responsabilidades.

3. Se um titular de dados não puder apresentar uma reivindicação contra o exportador de dados ou importador de dados, mencionada nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer uma de suas respectivas obrigações, mencionadas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador de dados quanto o importador de dados desapareceram de forma concreta ou deixaram de existir em lei, ou se tornarem insolventes, o subprocessador concorda que o titular de dados poderá emitir uma reivindicação contra o subprocessador de dados em relação às suas próprias operações de processamento nos termos das Cláusulas como se fosse o exportador de dados ou importador de dados, salvo se qualquer entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados ou do importador de dados, por contrato ou força de lei, e, neste caso, o titular de dados poderá invocar os seus direitos contra esta entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

Cláusula 7

Mediação e jurisdição

1. O importador de dados concorda que, se o titular de dados invocar contra o importador de dados os direitos de beneficiário de terceiros e/ou reivindicar compensação por danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular de dados:

(a) em encaminhar a disputa para mediação, por uma pessoa independente ou, conforme o caso, pela autoridade fiscalizadora;

(b) em encaminhar a disputa aos tribunais no Estado Membro no qual o exportador de dados está estabelecido.

2. As partes concordam que a escolha feita pelo titular de dados não prejudicará seus respectivos direitos materiais ou processuais de buscar recursos de acordo com outras disposições da legislação nacional ou internacional.

Cláusula 8

Cooperação com autoridades fiscalizadoras

1. O exportador de dados concorda em depositar uma cópia deste contrato com a autoridade fiscalizadora, se assim for solicitado ou se este depósito for exigido nos termos da legislação sobre proteção de dados aplicável.

2. As partes concordam que a autoridade fiscalizadora tem o direito de conduzir uma auditoria no importador de dados e em qualquer subprocessador, que tenha o mesmo escopo e esteja sujeita às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos da legislação sobre proteção de dados aplicável.

3. O importador de dados informará imediatamente o exportador de dados sobre a existência de legislação aplicável ao importador de dados ou a qualquer subprocessador que previna a condução de uma auditoria no importador de dados ou em qualquer subprocessador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá direito de adotar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei regente

As Cláusulas serão regidas pela lei do Estado Membro no qual o exportador de dados está estabelecido.

Cláusula 10

Alterações ao contrato
As partes comprometem-se em não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas aos negócios, quando necessário, desde que não contradigam a Cláusula.

Cláusula 11

Subprocessamento

1. O importador de dados não subcontratará nenhuma das suas operações de processamento realizadas em nome do exportador de dados, nos termos das Cláusulas, sem o consentimento prévio e por escrito do exportador de dados. Quando o importador de dados subcontratar suas respectivas obrigações, nos termos das Cláusulas, com o consentimento do exportador de dados, o fará somente por meio de um contrato por escrito com o subprocessador que imponha as mesmas obrigações ao subprocessador que são impostas ao importador de dados nos termos das Cláusulas. Quando o subprocessador não cumprir suas respectivas obrigações de proteção dos dados nos termos deste contrato por escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador nos termos deste contrato.

2. O contrato prévio e por escrito entre o importador de dados e o subprocessador também preverá uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos nos quais o titular de dados não consiga emitir uma reivindicação por compensação, mencionada no parágrafo 1 da Cláusula 6, contra o exportador de dados ou importador de dados, porque eles desapareceram de forma concreta ou deixaram de existir por força de lei, ou se tornaram insolventes, e nenhuma entidade sucessora tiver assumido todas as obrigações jurídicas do exportador de dados ou do importador de dados por contrato ou força de lei. Essa responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento nos termos das Cláusulas.

3. As cláusulas relacionadas aos aspectos da proteção dos dados para subprocessamento do contrato, mencionadas no parágrafo 1, serão regidas pela lei do Estado Membro no qual o exportador de dados está estabelecido.

4. O exportador de dados manterá uma lista de contratos de subprocessamento concluídos nos termos das Cláusulas e notificados pelo importador de dados de acordo com a Cláusula 5 (j), que será atualizada, no mínimo, uma vez por ano. A lista estará disponível para a autoridade fiscalizadora de proteção dos dados do exportador de dados.

Cláusula 12

Obrigação após a rescisão dos serviços de processamento de dados pessoais

1. As partes concordam que, mediante rescisão da prestação dos serviços de processamento de dados, o importador de dados e o subprocessador, a critério do exportador de dados, devolverão todos os dados pessoais transferidos, e as cópias dos mesmos, para o exportador de dados ou destruirão todos os dados pessoais, e certificarão ao exportador de dados que o mesmo foi feito, salvo se a legislação imposta sobre o importador de dados o impedir de devolver ou destruir toda ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados declara que garantirá a confidencialidade dos dados pessoais transferidos e cessará de processar ativamente os dados pessoais transferidos.

2. O importador de dados e o subprocessador garantem que, mediante solicitação do exportador de dados e/ou da autoridade fiscalizadora, submeterá suas instalações de processamento de dados a uma auditoria das medidas mencionadas no parágrafo 1.

ANEXO 1 ÀS CLÁUSULAS CONTRATUAIS PADRÃO
Este Anexo faz parte das Cláusulas e precisa ser preenchido e assinado pelas partes.
Os Estados Membros podem preencher ou especificar, de acordo com seus respectivos procedimentos nacionais, qualquer informação adicional necessária a ser contida neste Anexo.

Para todas as partes do Anexo 1, consulte a descrição contida no Anexo 1 do Contrato de processamento de dados.

Exportador de dados
O exportador de dados é (especifique brevemente suas atividades relevantes para a transferência):
………………………………………………………………………………………………………………………………………………………………………………………………

Importador de dados
O importador de dados é (especifique brevemente as atividades relevantes para a transferência):
………………………………………………………………………………………………………………………………………………………………………………………………

Titulares de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Categorias dos dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Categorias especiais de dados (se for o caso)
Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

ANEXO 2 ÀS CLÁUSULAS CONTRATUAIS PADRÃO
Este Anexo faz parte das Cláusulas e precisa ser preenchido e assinado pelas partes.
Descrição das medidas de segurança técnica e organizacional implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa):

Consulte a descrição contida no Anexo 2 do Contrato de processamento de dados.