AffiliatesKnowledge BaseNewsSupport
DreamHost
Back to Legal Overview

Adendo de Processamento de Dados do Cliente

Última atualização:

17 de setembro de 2024

Este Adendo de Processamento de Dados ("DPA"), datado de 27 de dezembro de 2022 ("Data de Entrada em Vigor"), é parte do contrato geral e da relação sob os Termos de Serviço (e quaisquer outros acordos que regem nossos Serviços), conforme alterado e complementado de tempos em tempos ("Acordo"), entre você ("Cliente") e a DreamHost ("Empresa"). Todos os termos em maiúsculas não definidos neste DPA terão os significados definidos no Acordo.

Definições

  • "Afiliada" significa uma entidade que controla direta ou indiretamente, é controlada por, ou está sob controle comum com uma entidade.
  • "Acordo" tem o significado definido na seção introdutória.
  • "Controle" significa uma participação acionária, de voto ou interesse similar representando cinquenta por cento (50%) ou mais dos interesses totais da entidade em questão. O termo "Controlada" será interpretado da mesma forma.
  • "Controlador" significa uma entidade que determina os fins e os meios do Processamento de Dados Pessoais.
  • "Dados do Cliente" significa quaisquer Dados Pessoais que a Empresa Processa em nome do Cliente no curso de fornecimento de Serviços.
  • "Leis Aplicáveis de Proteção de Dados" significa todas as leis de proteção e privacidade de dados efetivas aplicáveis ao Processamento de Dados Pessoais sob o Acordo, incluindo, mas não se limitando a, onde aplicável, o GDPR, as Leis de Proteção de Dados do Reino Unido e a CCPA.
  • "EEE" significa, para os fins deste DPA, a Área Econômica Europeia e a Suíça.
  • "GDPR" significa o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção das pessoas físicas no que se refere ao Processamento de Dados Pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados), e todas as implementações estaduais aplicáveis.
  • "Cláusulas Modelos" significa o módulo de Cláusulas Contratuais Padrão para Controladores para Processadores aprovado pela Comissão Europeia na forma estabelecida no Anexo D, conforme complementado pelo Adendo de Transferência Internacional de Dados do Escritório do Comissário de Informações do Reino Unido.
  • "CCPA" significa a Lei de Privacidade do Consumidor da Califórnia de 2018 [Seções do Código Civil da Califórnia 1798.100 - 1798.199], conforme alterada (incluindo pela Lei de Direitos de Privacidade da Califórnia de 2020), e seus regulamentos implementadores.
  • "Dados Pessoais" significa qualquer informação relacionada a uma pessoa natural identificada ou identificável; uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
  • "Violação de Dados Pessoais" significa uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais transmitidos, armazenados ou Processados de outra forma.
  • "Processamento" significa qualquer operação ou conjunto de operações realizadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição. "Processar", "Processamentos" e "Processado" serão interpretados da mesma forma.
  • "Processador" significa uma entidade que Processa Dados Pessoais em nome de um Controlador.
  • "Serviços" significa qualquer produto ou serviço fornecido pela Empresa ao Cliente conforme o Acordo.
  • "Sub-processador" significa um terceiro contratado pela Empresa para ajudar a cumprir suas obrigações com relação ao fornecimento dos Serviços conforme o Acordo ou este DPA.
  • "Leis de Proteção de Dados do Reino Unido" significa: (i) o Regulamento Geral de Proteção de Dados do Reino Unido; e (ii) a Lei de Proteção de Dados de 2018.

1. Escopo deste DPA

Este DPA se aplica onde e apenas na medida em que a Empresa Processa Dados do Cliente que estão sujeitos às Leis de Proteção de Dados Aplicáveis em nome do Cliente no curso da prestação dos Serviços ao Cliente conforme o Acordo.

2. Papéis e Escopo do Processamento

Papel das Partes. Entre a Empresa e o Cliente, o Cliente é o Controlador dos Dados do Cliente, e a Empresa Processará os Dados do Cliente apenas como Processador agindo em nome do Cliente. Na medida em que a CCPA seja aplicável ao Processamento dos Dados do Cliente sob o Acordo, as partes concordam que o Cliente é um "negócio" e a Empresa é um "provedor de serviços", conforme definidos na CCPA.

Processamento de Dados do Cliente pelo Cliente. O Cliente concorda que (i) cumprirá suas respectivas obrigações sob as Leis de Proteção de Dados Aplicáveis no que se refere ao seu Processamento de Dados do Cliente e quaisquer instruções de Processamento que emitir para a Empresa; e (ii) que forneceu notificação e obteve (ou obterá) todos os consentimentos e direitos necessários sob as Leis de Proteção de Dados Aplicáveis para que a Empresa possa Processar os Dados do Cliente conforme o Acordo e este DPA.

Processamento de Dados do Cliente pela Empresa. A Empresa Processará os Dados do Cliente apenas para os fins descritos neste DPA e somente de acordo com as instruções legais documentadas do Cliente. As partes concordam que este DPA e o Acordo estabelecem as instruções completas e finais do Cliente para a Empresa em relação ao Processamento dos Dados do Cliente e qualquer Processamento fora do escopo dessas instruções (se houver) exigirá um acordo prévio por escrito entre o Cliente e a Empresa.

Detalhes do Processamento. Os detalhes do Processamento sob o Acordo estão descritos no Anexo A.

Exceções. Não obstante qualquer disposição em contrário no Acordo (incluindo este DPA), o Cliente reconhece que a Empresa terá o direito de usar e divulgar dados relacionados à operação, suporte e/ou uso dos Serviços para seus fins comerciais legítimos, como faturamento, gerenciamento de contas, suporte técnico, desenvolvimento e melhoria de produtos, e vendas e marketing. Na medida em que quaisquer desses dados usados exclusivamente para os fins comerciais da Empresa sejam considerados Dados Pessoais sob as Leis de Proteção de Dados Aplicáveis, a Empresa é o Controlador desses dados e, portanto, garante que Processará esses dados de acordo com a Política de Privacidade e as Leis de Proteção de Dados da Empresa.

3. Subprocessamento

Subprocessadores Autorizados. O Cliente concorda que a Empresa pode contratar subprocessadores para processar os Dados do Cliente em nome do Cliente. Os subprocessadores atualmente contratados pela Empresa e autorizados pelo Cliente podem ser acessados na aba "Perfil & Privacidade" do Painel de Controle do DreamHost (a "Lista de Subprocessadores").

Obrigações dos Subprocessadores. A Empresa irá: (i) firmar um contrato por escrito com o subprocessador impondo termos de proteção de dados que exijam que o subprocessador proteja os Dados do Cliente de acordo com o padrão exigido pelas Leis de Proteção de Dados Aplicáveis; e (ii) permanecer responsável pelo cumprimento das obrigações deste DPA e por quaisquer atos ou omissões do subprocessador que causem à Empresa o descumprimento de suas obrigações sob este DPA.

Alterações nos Subprocessadores. A Empresa deverá notificar o Cliente sobre qualquer atualização em seus subprocessadores, atualizando a Lista de Subprocessadores com um aviso prévio de cinco (5) dias antes de utilizar um novo subprocessador para fornecer os Serviços. A Lista de Subprocessadores refletirá a data de "última atualização" a todo momento. O Cliente pode receber notificações por e-mail sobre alterações na Lista de Subprocessadores. Se o Cliente não aprovar um novo subprocessador após ser notificado sobre essa adição, e o Cliente fornecer uma notificação por escrito à Empresa explicando por que não aprova o novo subprocessador dentro do período de cinco (5) dias antes de a Empresa usar o novo subprocessador, o Cliente poderá rescindir os Serviços afetados por meio de notificação por escrito à Empresa.

4. Segurança

Atualizações nas Medidas de Segurança. O Cliente é responsável por revisar as informações disponibilizadas pela Empresa relacionadas à segurança de dados e fazer uma determinação independente sobre se os Serviços atendem aos requisitos e obrigações legais do Cliente sob as Leis de Proteção de Dados Aplicáveis. As medidas técnicas e organizacionais mínimas da Empresa para proteger os Dados do Cliente estão descritas no Anexo B (as "Medidas de Segurança da Informação"). O Cliente reconhece que as Medidas de Segurança da Informação estão sujeitas ao progresso e desenvolvimento técnico, e que a Empresa pode atualizar ou modificar as Medidas de Segurança da Informação de tempos em tempos, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços adquiridos pelo Cliente.

Pessoal. A Empresa garantirá que qualquer pessoa autorizada pela Empresa a processar os Dados do Cliente (incluindo sua equipe, agentes e subprocessadores autorizados) estará sob uma obrigação apropriada de confidencialidade (seja uma obrigação contratual ou estatutária). Além disso, a Empresa tomará medidas para garantir que qualquer pessoa autorizada pela Empresa a acessar os Dados do Cliente não processe tais dados, exceto sob instruções do Cliente, a menos que essa pessoa seja obrigada a processar tais dados pelas Leis de Proteção de Dados Aplicáveis.

Responsabilidades do Cliente. Não obstante o exposto acima, o Cliente concorda que, exceto conforme fornecido por este DPA, é responsável pelo uso seguro dos Serviços.

Resposta a Incidentes de Violação de Dados Pessoais. Ao tomar conhecimento de uma Violação de Dados Pessoais, a Empresa notificará o Cliente sem demora indevida e fornecerá informações oportunas relacionadas à Violação de Dados Pessoais assim que forem conhecidas ou conforme solicitado razoavelmente pelo Cliente. A Empresa tomará imediatamente medidas razoáveis para mitigar e, sempre que possível, remediar os efeitos de qualquer Violação de Dados Pessoais.

5. Relatórios de Auditoria

O Cliente reconhece que a Empresa é regularmente auditada quanto ao cumprimento deste DPA e aos padrões de segurança da Empresa. Mediante solicitação por escrito razoável enviada para o endereço da Empresa conforme indicado na Política de Privacidade, a Empresa fornecerá ao Cliente um relatório de auditoria resumido ("Relatório"), que será sujeito às disposições de confidencialidade de qualquer acordo de não divulgação fornecido pela Empresa para execução do Cliente em conexão com o Relatório. A Empresa também responderá a quaisquer perguntas de auditoria razoavelmente escritas enviadas pelo Cliente, desde que o Cliente não exerça esse direito mais do que uma vez a cada doze (12) meses.

6. Transferências Internacionais

Localizações dos Centros de Dados. A Empresa pode transferir e processar os Dados do Cliente em qualquer lugar do mundo onde a Empresa, seus Afiliados ou seus subprocessadores mantenham operações de Processamento. A Empresa garantirá em todos os momentos um nível adequado de proteção para os Dados do Cliente processados, de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis.

Cláusulas Modelo. Na medida em que a Empresa processar Dados do Cliente protegidos pelo GDPR ou pelas Leis de Proteção de Dados do Reino Unido sob o Acordo e/ou que se originem do EEE ou do Reino Unido, em um país que não tenha sido designado pela Comissão Europeia, pela Autoridade Federal de Proteção de Dados da Suíça ou pelo Escritório do Comissário de Informação do Reino Unido (conforme aplicável) como fornecendo um nível adequado de proteção para os Dados Pessoais, as partes reconhecem que a Empresa será considerada como fornecendo proteção adequada (no sentido das Leis de Proteção de Dados Aplicáveis) para qualquer dado do Cliente, cumprindo as Cláusulas Modelo. A Empresa concorda que é o "importador de dados" e o Cliente é o "exportador de dados" sob as Cláusulas Modelo (não obstante o Cliente ser uma entidade localizada fora do EEE). O Anexo III das Cláusulas Modelo se aplicará apenas em relação à transferência de Dados do Cliente protegidos pelas Leis de Proteção de Dados do Reino Unido sob o Acordo e/ou que se originem do Reino Unido.

7. Devolução ou Exclusão de Dados

Após a rescisão ou expiração do Acordo, a Empresa, a pedido do Cliente e após autenticação, devolverá ou, na medida em que for tecnicamente viável, excluirá todos os Dados do Cliente sob sua posse ou controle. Não obstante o exposto, a Empresa pode reter ou arquivar os Dados do Cliente em seus sistemas de backup quando for exigido por lei aplicável, obrigação contratual ou regulatória, ou quando a Empresa tiver interesses comerciais legítimos que exijam a retenção de alguns ou todos os Dados do Cliente. A Empresa isolará e protegerá esses Dados do Cliente de qualquer outro Processamento, exceto na medida em que seja exigido por lei aplicável, obrigação contratual ou regulatória.

8. Cooperação

Os Serviços podem fornecer ao Cliente uma série de controles que ele pode usar para recuperar, corrigir, excluir ou restringir os Dados do Cliente, os quais o Cliente pode usar para ajudá-lo no cumprimento de suas obrigações sob as Leis de Proteção de Dados Aplicáveis, incluindo suas obrigações relacionadas a responder a solicitações de sujeitos de dados ou autoridades de proteção de dados aplicáveis. Na medida em que o Cliente não consiga acessar independentemente os Dados do Cliente relevantes dentro dos Serviços, a Empresa fornecerá (às custas do Cliente) cooperação razoável para ajudar o Cliente a responder a qualquer solicitação de indivíduos ou autoridades de proteção de dados aplicáveis relacionadas ao Processamento de Dados Pessoais sob o Acordo. Caso tal solicitação seja feita diretamente à Empresa, a Empresa não responderá diretamente a essa comunicação sem a autorização prévia do Cliente, a menos que seja legalmente obrigada a fazê-lo. Se a Empresa for obrigada a responder a tal solicitação, a Empresa notificará prontamente o Cliente e fornecerá uma cópia da solicitação, a menos que seja legalmente proibida de fazê-lo.

A Empresa não divulgará os Dados do Cliente a qualquer governo ou terceira parte, exceto quando necessário para divulgar tais informações com uma ordem válida e vinculante de uma agência de aplicação da lei. Se for compelida a divulgar Dados do Cliente a uma agência de aplicação da lei, a Empresa dará ao Cliente uma notificação razoável da exigência para permitir que o Cliente busque uma ordem de proteção ou outro remédio adequado, a menos que seja legalmente proibida de fazê-lo.

Na medida em que a Empresa seja obrigada pelas Leis de Proteção de Dados Aplicáveis, a Empresa fornecerá (às custas do Cliente) informações razoavelmente solicitadas sobre os Serviços para permitir que o Cliente realize avaliações de impacto de proteção de dados ou consultas prévias com autoridades de proteção de dados conforme exigido por lei.

9. Cláusulas do CCPA

Na medida em que o CCPA seja aplicável ao Processamento de Dados do Cliente sob o Acordo, as partes devem cumprir com o Anexo C.

10. Disposições Gerais

Quaisquer reivindicações feitas sob ou em conexão com este DPA estarão sujeitas aos termos gerais da Empresa (incluindo os Termos de Serviço) conforme atualizados na página Legal, incluindo, mas não se limitando a, exclusões e limitações estabelecidas no Acordo. Quaisquer reivindicações contra a Empresa ou suas Afiliadas sob este DPA deverão ser feitas exclusivamente contra a entidade que seja parte do Acordo. Em nenhum caso qualquer parte limitará sua responsabilidade com relação aos direitos de proteção de dados de qualquer indivíduo sob este DPA ou de outra forma. O Cliente concorda ainda que quaisquer penalidades regulatórias incorridas pela Empresa em relação aos Dados do Cliente que surjam como resultado ou em conexão com o não cumprimento pelo Cliente de suas obrigações sob este DPA ou qualquer Lei de Proteção de Dados Aplicável serão contabilizadas e reduzirão a responsabilidade da Empresa sob o Acordo como se fossem responsabilidade da Empresa para com o Cliente sob o Acordo.

Nenhuma pessoa além de uma parte deste DPA, seus sucessores e cessionários permitidos, terá o direito de fazer cumprir quaisquer de seus termos. Este DPA será regido e interpretado de acordo com as disposições de lei aplicável e jurisdição no Acordo, a menos que exigido de outra forma pelas Leis de Proteção de Dados Aplicáveis.

As partes concordam que este DPA substituirá qualquer DPA existente (incluindo as Cláusulas Modelo (quando aplicável)) que as partes possam ter celebrado anteriormente em conexão com os Serviços.

Este DPA e as Cláusulas Modelo serão rescindidos simultaneamente e automaticamente com a rescisão ou expiração do Acordo; desde que, no entanto, as disposições que exigem a destruição segura de Dados Pessoais e a retenção de Dados Pessoais para atender aos requisitos legais, contratuais ou regulatórios sobrevivam à rescisão ou expiração do DPA pelo tempo mínimo necessário para cumprir as respectivas obrigações sob essas disposições.

Exceto pelas alterações feitas por este DPA, o Acordo permanece inalterado e em pleno vigor. Se houver qualquer conflito entre este DPA e o Acordo, este DPA prevalecerá na medida desse conflito.

Os Anexos a este DPA são incorporados a este DPA por referência. Se houver qualquer conflito entre este DPA e qualquer Anexo a este DPA, este DPA prevalecerá na medida desse conflito. Não obstante o exposto, se houver qualquer conflito entre este DPA e as Cláusulas Modelo, as Cláusulas Modelo prevalecerão na medida desse conflito.

As disposições deste DPA são divisíveis. Se qualquer frase, cláusula ou disposição for inválida ou inexequível no todo ou em parte, tal invalidade ou inexequibilidade afetará apenas tal frase, cláusula ou disposição, e o restante deste DPA permanecerá em pleno vigor e efeito.

Anexo A

Detalhes do Processamento

  1. Objeto: O objeto do processamento sob este DPA são os Dados do Cliente.
  2. Duração: Entre a Empresa e o Cliente, a duração do processamento sob este DPA está estabelecida na Seção 7 deste DPA.
  3. Objetivo e Natureza: O objetivo e a natureza do processamento sob este DPA são a prestação dos Serviços ao Cliente e o cumprimento das obrigações da Empresa sob o Acordo (incluindo este DPA), ou conforme acordado pelas partes.
  4. Categorias de Titulares de Dados: O Cliente pode enviar Dados Pessoais ao utilizar os Serviços, sendo o grau de controle e extensão determinado pelo Cliente. Isso pode incluir, mas não se limita a:
    1. Prospectos, clientes, parceiros comerciais, fornecedores ou terceiros (que são pessoas físicas) do Cliente;
    2. Empregados, agentes, consultores, terceiros e freelancers do Cliente;
    3. Empregados ou pessoas afiliadas aos itens (1) acima;
    4. Usuários autorizados dos Serviços pelo Cliente.
  5. Tipos de Dados Pessoais: O Cliente pode enviar Dados Pessoais ao utilizar os Serviços, sendo o grau de controle e extensão determinado pelo Cliente. Isso pode incluir, mas não se limita a, as seguintes categorias: nome, endereço, número de telefone, data de nascimento, e-mail e outros Dados do Cliente.

Anexo B

Medidas de Segurança da Informação

Os seguintes itens são considerados os requisitos mínimos de segurança que a Empresa possui para proteger os Dados do Cliente:

  • Nomeação de um ou mais responsáveis pela coordenação e monitoramento das regras e procedimentos de tecnologia da informação.
  • Política documentada e procedimentos que regem o uso do sistema de tecnologia da informação por empregados e fornecedores.
  • Processo para identificar e responder a incidentes de segurança suspeitos ou conhecidos.
  • Internamente, dados em repouso são protegidos por permissões de grupos ou funções e auditados periodicamente para garantir que as pessoas tenham acesso apenas aos dados necessários para desempenharem suas funções, além de garantir que contas de usuários desativados sejam desabilitadas.
  • Os servidores são corrigidos de forma oportuna para garantir que as atualizações de segurança mais recentes sejam aplicadas.
  • Transport Layer Security (TLS) é utilizado sempre que aplicável para tráfego web e de e-mail. O e-mail também é filtrado e escaneado várias vezes ao chegar.
  • Redes Privadas Virtuais (VPNs) são usadas para criptografar o tráfego entre todas as nossas localizações.
  • Usuários externos também utilizam conectividade VPN criptografada para acessar recursos internos, e isso é concedido por usuário.
  • Todas as senhas armazenadas são criptografadas.
  • Os dados são sincronizados entre a localização primária e a de backup diariamente.
  • Auditores de terceiros conduzem auditorias de TI anualmente e revisam políticas e procedimentos.

Anexo C

Cláusulas CCPA

Este Anexo aplica-se apenas ao DPA na medida em que o CCPA seja aplicável ao processamento de Dados do Cliente sob o Acordo. Conforme utilizado neste Anexo, os termos "Informações Pessoais", "Vender", "Compartilhar", "Finalidade Comercial" e "Finalidade Empresarial" terão os significados atribuídos no CCPA.

Na medida em que os Dados do Cliente constituem Informações Pessoais sob o Acordo:

  • A Empresa não Venderá nem Compartilhará Dados do Cliente.
  • A Empresa não reterá, usará nem divulgará os Dados do Cliente para qualquer finalidade que não seja para as Finalidades Empresariais especificadas no Acordo, a saber, oferecendo nomes de domínio, hospedagem de sites e design, serviços de nuvem, serviços de e-mail, incluindo para qualquer Finalidade Comercial que não seja as Finalidades Empresariais especificadas no Acordo.
  • A Empresa não reterá, usará nem divulgará os Dados do Cliente fora da relação comercial direta entre o Cliente e a Empresa.
  • A Empresa não combinará os Dados do Cliente recebidos de ou em nome do Cliente com Dados do Cliente recebidos de ou em nome de terceiros, exceto para realizar qualquer Finalidade Empresarial permitida pelo CCPA.
  • A Empresa cumprirá as obrigações aplicáveis sob o CCPA e fornecerá o mesmo nível de proteção aos Dados do Cliente conforme exigido pelo CCPA, incluindo assistindo o Cliente a cumprir as solicitações de consumidores sob o CCPA.
  • O Cliente tem o direito de tomar medidas razoáveis e apropriadas para garantir que a Empresa use os Dados do Cliente de maneira consistente com as obrigações do Cliente sob o CCPA.
  • A Empresa notificará o Cliente se determinar que não pode mais cumprir suas obrigações sob o CCPA. Se a Empresa notificar o Cliente sobre o uso não autorizado de Dados do Cliente, incluindo conforme a sentença anterior, a Empresa terá o direito de tomar medidas razoáveis e apropriadas para interromper e remediar tal uso não autorizado.

Anexo D

Cláusulas Modelo

SEÇÃO 1

Cláusula 1

Objetivo e Escopo

(a) O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)1 para a transferência de dados pessoais para um terceiro país.

(b) As Partes:

  • (i) a pessoa(s) natural ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante "entidade(s)") que transfere(m) os dados pessoais, conforme listado no Anexo I.A. (doravante cada "exportador de dados"), e
  • (ii) a(s) entidade(s) em um terceiro país que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente via outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A. (doravante cada "importador de dados") concordaram com estas cláusulas contratuais padrão (doravante: "Cláusulas").

(c) Estas Cláusulas se aplicam com respeito à transferência de dados pessoais conforme especificado no Anexo I.B.

(d) O Apêndice destas Cláusulas, contendo os Anexos a ele referidos, forma parte integrante destas Cláusulas.

Cláusula 2

Efeito e Invariabilidade das Cláusulas

(a) Estas Cláusulas estabelecem as garantias adequadas, incluindo direitos executáveis dos titulares dos dados e remédios legais eficazes, conforme o Artigo 46(1) e Artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou de processadores para processadores, cláusulas contratuais padrão conforme o Artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) adequado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

(b) Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3

Beneficiários de Terceiros

(a) Os titulares dos dados podem invocar e fazer cumprir estas Cláusulas, como beneficiários de terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:

  • (i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
  • (ii) Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
  • (iii) Cláusula 9(a), (c), (d) e (e);
  • (iv) Cláusula 12(a), (d) e (f);
  • (v) Cláusula 13;
  • (vi) Cláusula 15.1(c), (d) e (e);
  • (vii) Cláusula 16(e);
  • (viii) Cláusula 18(a) e (b).

(b) O parágrafo (a) não prejudica os direitos dos titulares dos dados conforme o Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

(a) Quando estas Cláusulas utilizam termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.

(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

(c) Estas Cláusulas não devem ser interpretadas de maneira que conflitem com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

No caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas são acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6

Descrição da(s) Transferência(s)

Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais transferidos e a(s) finalidade(s) para as quais são transferidos, estão especificados no Anexo I.B.

Cláusula 7

Cláusula de Acomodação

Não aplicável.

SEÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8

Salvaguardas de Proteção de Dados

O exportador de dados garante que tomou medidas razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais adequadas, de cumprir suas obrigações sob estas Cláusulas.

8.1 Instruções

(a) O importador de dados processará os dados pessoais somente de acordo com instruções documentadas do exportador de dados. O exportador de dados pode fornecer tais instruções ao longo da duração do contrato.

(b) O importador de dados deverá informar imediatamente o exportador de dados se não puder seguir essas instruções.

8.2 Limitação de Finalidade

O importador de dados processará os dados pessoais apenas para a(s) finalidade(s) específicas da transferência, conforme estabelecido no Anexo I.B, salvo por novas instruções do exportador de dados.

8.3 Transparência

Mediante solicitação, o exportador de dados fornecerá uma cópia destas Cláusulas, incluindo o Apêndice conforme preenchido pelas Partes, ao titular dos dados, gratuitamente. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo caso o titular dos dados não consiga entender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes deverão fornecer ao titular dos dados as razões para as redações, na medida possível, sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados conforme os Artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4 Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais recebidos estão incorretos ou desatualizados, deverá informar o exportador de dados sem demora indevida. Neste caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou corrigir os dados.

8.5 Duração do Processamento e Apagamento ou Retorno dos Dados

O processamento pelo importador de dados ocorrerá somente pela duração especificada no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, à escolha do exportador de dados, apagar todos os dados pessoais processados em nome do exportador de dados e certificar-se de que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e apagar cópias existentes. Até que os dados sejam apagados ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam o retorno ou apagamento dos dados pessoais, o importador de dados garante que continuará a assegurar o cumprimento destas Cláusulas e processará os dados apenas na medida e pelo tempo exigidos por essas leis locais. Isso não prejudica a Cláusula 14, em particular a exigência para o importador de dados, conforme a Cláusula 14(e), de notificar o exportador de dados ao longo da duração do contrato caso tenha razão para acreditar que está ou se tornou sujeito a leis ou práticas incompatíveis com os requisitos da Cláusula 14(a).

8.6 Segurança do Processamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados deverão implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação ou acesso não autorizado aos dados (doravante "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, as Partes deverão considerar o estado da arte, os custos de implementação, a natureza, escopo, contexto e finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados. As Partes deverão considerar, em particular, recorrer à criptografia ou pseudonimização, incluindo durante a transmissão, sempre que a finalidade do processamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, quando possível, permanecer sob o controle exclusivo do exportador de dados. Ao cumprir suas obrigações sob este parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deverá realizar verificações regulares para garantir que essas medidas continuam a fornecer um nível adequado de segurança.

(b) O importador de dados deverá conceder acesso aos dados pessoais aos membros de sua equipe somente na medida estritamente necessária para a implementação, gestão e monitoramento do contrato. Deverá garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação estatutária apropriada de confidencialidade.

(c) Em caso de violação de dados pessoais envolvendo dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar medidas adequadas para lidar com a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deverá notificar o exportador de dados sem demora indevida após tomar conhecimento da violação. Essa notificação deverá conter os detalhes de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares de dados e registros de dados pessoais envolvidos), suas consequências prováveis e as medidas adotadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis naquele momento e mais informações deverão ser fornecidas sem demora indevida à medida que se tornem disponíveis.

(d) O importador de dados deverá cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra suas obrigações sob o Regulamento (UE) 2016/679, em particular para notificar a autoridade supervisora competente e os titulares de dados afetados, levando em consideração a natureza do processamento e as informações disponíveis para o importador de dados.

Aqui está a tradução do texto para o português:

8.7 Dados Sensíveis

Quando a transferência envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação a sindicato, dados genéticos, ou dados biométricos para identificar exclusivamente uma pessoa, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações criminais e infrações (doravante referidos como "dados sensíveis"), o importador de dados deverá aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.

8.8 Transferências Subsequentes

O importador de dados somente divulgará os dados pessoais a um terceiro com base em instruções documentadas do exportador de dados. Além disso, os dados poderão ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país do importador de dados ou em outro país terceiro, doravante "transferência subsequente") se:

  1. A transferência subsequente for para um país que beneficie de uma decisão de adequação nos termos do Artigo 45 do Regulamento (UE) 2016/679 que cubra a transferência subsequente;
  2. O terceiro de outra forma garantir salvaguardas apropriadas nos termos dos Artigos 46 ou 47 do Regulamento (UE) 2016/679 em relação ao processamento em questão;
  3. A transferência subsequente for necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou
  4. A transferência subsequente for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa.

Qualquer transferência subsequente deve cumprir todas as outras salvaguardas sob estas Cláusulas, em particular a limitação de propósito.

8.9 Documentação e Conformidade

(a) O importador de dados deverá lidar de forma imediata e adequada com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.

(b) As Partes deverão ser capazes de demonstrar conformidade com estas Cláusulas. Em particular, o importador de dados deverá manter a documentação apropriada sobre as atividades de processamento realizadas em nome do exportador de dados.

(c) O importador de dados deverá fornecer ao exportador de dados todas as informações necessárias para demonstrar conformidade com estas Cláusulas e, mediante solicitação, permitir e contribuir com auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados poderá levar em consideração certificações relevantes mantidas pelo importador de dados.

(d) O exportador de dados poderá realizar a auditoria por conta própria ou designar um auditor independente. As auditorias poderão incluir inspeções nas instalações ou locais do importador de dados e, quando apropriado, deverão ser realizadas com aviso prévio razoável.

(e) As Partes deverão disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.

Cláusula 9

Uso de Subprocessadores

(a) Autorização Geral por Escrito: O importador de dados possui a autorização geral do exportador de dados para o envolvimento de subprocessadores de uma lista acordada. O importador de dados deverá informar especificamente o exportador de dados por escrito sobre quaisquer mudanças previstas nessa lista, por meio da adição ou substituição de subprocessadores, com pelo menos cinco (5) dias de antecedência, dando ao exportador de dados tempo suficiente para se opor a tais mudanças antes do envolvimento dos subprocessadores. O importador de dados deverá fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção.

(b) Quando o importador de dados envolver um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deverá fazer isso por meio de um contrato escrito que preveja, substancialmente, as mesmas obrigações de proteção de dados que vinculam o importador de dados sob estas Cláusulas, incluindo os direitos de beneficiário de terceiros para os titulares dos dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados deverá garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito sob estas Cláusulas.

(c) O importador de dados deverá fornecer, mediante solicitação do exportador de dados, uma cópia do contrato do subprocessador e quaisquer emendas subsequentes. Se necessário, o importador de dados poderá redigir o texto do contrato antes de compartilhar uma cópia para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais.

(d) O importador de dados continuará totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador sob o contrato com o importador de dados. O importador de dados deverá notificar o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações sob o contrato.

(e) O importador de dados deverá acordar uma cláusula de beneficiário de terceiros com o subprocessador, de modo que, no caso de o importador de dados desaparecer factual ou legalmente ou tornar-se insolvente, o exportador de dados tenha o direito de rescindir o contrato com o subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10

Direitos dos Titulares dos Dados

(a) O importador de dados deverá notificar prontamente o exportador de dados sobre qualquer solicitação recebida de um titular de dados. O importador de dados não deverá responder a essa solicitação por conta própria, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados deverá auxiliar o exportador de dados a cumprir suas obrigações de responder às solicitações dos titulares de dados para o exercício de seus direitos nos termos do Regulamento (UE) 2016/679. Nesse sentido, as Partes deverão definir no Anexo II as medidas técnicas e organizacionais apropriadas, levando em consideração a natureza do processamento, pelas quais a assistência será fornecida, bem como o escopo e a extensão da assistência necessária.

(c) Ao cumprir suas obrigações nos parágrafos (a) e (b), o importador de dados deverá seguir as instruções do exportador de dados.

Cláusula 11

Reparação

(a) O importador de dados deverá informar os titulares dos dados de maneira transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a tratar reclamações. O importador de dados deverá tratar prontamente qualquer reclamação recebida de um titular de dados.

(b) Em caso de disputa entre um titular de dados e uma das Partes sobre a conformidade com estas Cláusulas, essa Parte deverá envidar os melhores esforços para resolver a questão de forma amigável e em tempo hábil. As Partes deverão manter-se informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.

(c) Quando o titular de dados invocar um direito de beneficiário de terceiros nos termos da Cláusula 3, o importador de dados deverá aceitar a decisão do titular de dados de:

  1. Apresentar uma reclamação à autoridade supervisora no Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13;
  2. Submeter a disputa aos tribunais competentes nos termos da Cláusula 18.

(d) As Partes aceitam que o titular de dados pode ser representado por uma entidade sem fins lucrativos, organização ou associação, nas condições previstas no Artigo 80(1) do Regulamento (UE) 2016/679.

(e) O importador de dados deverá acatar uma decisão que seja vinculativa de acordo com a legislação da UE ou do Estado Membro aplicável.

(f) O importador de dados concorda que a escolha feita pelo titular de dados não prejudicará seus direitos substanciais e processuais de buscar remédios de acordo com as leis aplicáveis.

Cláusula 12

Responsabilidade

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos causados à outra Parte(s) por qualquer violação destas Cláusulas.

(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação por quaisquer danos materiais ou não materiais que o importador de dados ou seu subprocessador causem ao titular dos dados por violação dos direitos do beneficiário terceiro previstos nestas Cláusulas.

(c) Não obstante o disposto no parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou seu subprocessador) causem ao titular dos dados por violação dos direitos do beneficiário terceiro previstos nestas Cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador atuando em nome de um controlador, a responsabilidade do controlador ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

(d) As Partes concordam que, se o exportador de dados for responsabilizado ao abrigo do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), terá o direito de exigir do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelo dano.

(e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados em resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis, e o titular dos dados terá o direito de ingressar com uma ação judicial contra qualquer uma dessas Partes.

(f) As Partes concordam que, se uma Parte for responsabilizada ao abrigo do parágrafo (e), terá o direito de exigir das outras Partes a parte da compensação correspondente à sua(s) responsabilidade(s) pelo dano.

(g) O importador de dados não pode invocar a conduta de um sub-processador para evitar sua própria responsabilidade.

Cláusula 13

Supervisão

(a) [Quando o exportador de dados estiver estabelecido em um Estado-Membro da UE:] A autoridade supervisora responsável por garantir o cumprimento do exportador de dados com o Regulamento (UE) 2016/679 no que se refere à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

[Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com o seu Artigo 3(2) e tenha designado um representante conforme o Artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade supervisora do Estado-Membro onde o representante, conforme o Artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

[Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com o seu Artigo 3(2), sem, no entanto, precisar designar um representante conforme o Artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros onde os titulares dos dados cujos dados pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços para eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

(b) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos destinados a garantir o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias. Ele deverá fornecer à autoridade supervisora confirmação por escrito de que as ações necessárias foram tomadas.

SEÇÃO III - LEIS LOCAIS E OBRIGAÇÕES EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam o cumprimento das Cláusulas

(a) As Partes garantem que não têm motivo para acreditar que as leis e práticas no país terceiro de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizem o acesso de autoridades públicas, impeçam o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso se baseia na compreensão de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679, não são contrárias a estas Cláusulas.

(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), levaram em consideração, em particular, os seguintes elementos:

  • (i) as circunstâncias específicas da transferência, incluindo o comprimento da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; transferências subsequentes previstas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que ocorre a transferência; o local de armazenamento dos dados transferidos;
  • (ii) as leis e práticas do país terceiro de destino, incluindo aquelas que exigem a divulgação de dados a autoridades públicas ou autorizam o acesso dessas autoridades, relevantes à luz das circunstâncias específicas da transferência e as limitações e salvaguardas aplicáveis;
  • (iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.

(c) O importador de dados garante que, ao realizar a avaliação sob o parágrafo (b), fez o melhor esforço para fornecer ao exportador de dados as informações relevantes e concorda em continuar a cooperar com o exportador de dados para garantir o cumprimento destas Cláusulas.

(d) As Partes concordam em documentar a avaliação sob o parágrafo (b) e torná-la disponível à autoridade supervisora competente, mediante solicitação.

(e) O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivo para acreditar que está ou se tornou sujeito a leis ou práticas não compatíveis com os requisitos do parágrafo (a), incluindo após uma mudança nas leis do país terceiro ou uma medida (como um pedido de divulgação) indicando a aplicação dessas leis na prática de forma incompatível com os requisitos do parágrafo (a).

(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados de outra forma tiver motivo para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deverá prontamente identificar medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não podem ser garantidas salvaguardas adequadas para tal transferência, ou se for instruído pela autoridade supervisora competente a fazê-lo. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido nos termos desta Cláusula, a Cláusula 16(d) e (e) será aplicável.

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

15.1 Notificação

(a) O importador de dados concorda em notificar o exportador de dados e, quando possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se ele:

  • (i) receber um pedido juridicamente vinculativo de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para o pedido e a resposta fornecida; ou
  • (ii) tomar conhecimento de qualquer acesso direto de autoridades públicas aos dados pessoais transferidos de acordo com estas Cláusulas, conforme as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis para o importador.

(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em fazer o máximo esforço para obter uma isenção da proibição, com o objetivo de comunicar o maior número possível de informações, o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los mediante solicitação do exportador de dados.

(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o maior número possível de informações relevantes sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade(s) solicitante(s), se os pedidos foram contestados e o resultado dessas contestações, etc.).

(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e torná-las disponíveis à autoridade supervisora competente, mediante solicitação.

(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados conforme a Cláusula 14(e) e a Cláusula 16 de informar o exportador de dados prontamente quando não puder cumprir com estas Cláusulas.

15.2 Revisão da legalidade e minimização de dados

(a) O importador de dados concorda em revisar a legalidade do pedido de divulgação, em particular se ele permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar o pedido se, após avaliação cuidadosa, concluir que há motivos razoáveis para considerar que o pedido é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis sob o direito internacional e os princípios de comity internacional. O importador de dados deverá, nas mesmas condições, buscar possibilidades de apelação. Ao contestar um pedido, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos do pedido até que a autoridade judicial competente decida sobre seu mérito. Ele não deverá divulgar os dados pessoais solicitados até ser obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados conforme

(b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida permitida pelas leis do país de destino, tornar a documentação disponível para o exportador de dados. Ele também deverá torná-la disponível à autoridade supervisora competente, mediante solicitação.

(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a um pedido de divulgação, com base em uma interpretação razoável do pedido.

SEÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16

Não cumprimento das Cláusulas e rescisão

(a) O importador de dados deverá informar prontamente o exportador de dados se não for capaz de cumprir com estas Cláusulas, por qualquer motivo.

(b) Caso o importador de dados descumpra estas Cláusulas ou não consiga cumpri-las, o exportador de dados deverá suspender a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente garantido ou até que o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).

(c) O exportador de dados terá o direito de rescindir o contrato, na medida em que se refira ao processamento de dados pessoais sob estas Cláusulas, quando:

  • (i) o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados conforme o parágrafo (b) e o cumprimento destas Cláusulas não for restabelecido dentro de um tempo razoável e, em qualquer caso, dentro de um mês da suspensão;
  • (ii) o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou
  • (iii) o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou autoridade supervisora a respeito de suas obrigações sob estas Cláusulas.

Nestes casos, o exportador de dados deverá informar a autoridade supervisora competente sobre o descumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.

(d) Os dados pessoais que foram transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos por completo. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deverá certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. Em caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e processará os dados apenas na medida e pelo tempo exigido por essas leis locais.

(e) Qualquer Parte pode revogar seu acordo em ser vinculada por estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão de acordo com o Artigo 45(3) do Regulamento (UE) 2016/679 que cubra a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 se tornar parte do quadro legal do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicáveis ao processamento em questão sob o Regulamento (UE) 2016/679.

Cláusula 17

Lei aplicável

Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de beneficiário de terceiros. As Partes concordam que esta será a lei da República da Irlanda.

Cláusula 18

Escolha de foro e jurisdição

(a) Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais de um Estado-Membro da UE.

(b) As Partes concordam que esses serão os tribunais da República da Irlanda.

(c) Um titular de dados também pode ajuizar ações legais contra o exportador de dados e/ou o importador de dados perante os tribunais do Estado-Membro em que ele/ela tenha sua residência habitual.

(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.

Notas de rodapé

1 Quando o exportador de dados for um processador sujeito ao Regulamento (UE) 2016/679 atuando em nome de uma instituição ou órgão da União como controlador, a dependência destas Cláusulas ao engajar outro processador (sub-processamento) não sujeito ao Regulamento (UE) 2016/679 também garante a conformidade com o Artigo 29(4) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho de 23 de outubro de 2018 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, serviços e agências da União e sobre a livre circulação desses dados, e que revoga o Regulamento (CE) nº 45/2001 e a Decisão nº 1247/2002/CE (DO L 295, 21.11.2018, p. 39), na medida em que essas Cláusulas e as obrigações de proteção de dados, conforme estabelecido no contrato ou outro ato legal entre o controlador e o processador, de acordo com o Artigo 29(3) do Regulamento (UE) 2018/1725, estão alinhadas. Isso será particularmente o caso quando o controlador e o processador dependerem das cláusulas contratuais padrão incluídas na Decisão 2021/915.

2 O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia para os três Estados do EEE: Islândia, Liechtenstein e Noruega. A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é coberta pelo Acordo EEE e foi incorporada ao Anexo XI desse acordo. Portanto, qualquer divulgação feita pelo importador de dados para um terceiro localizado no EEE não é considerada uma transferência subsequente para os fins destas Cláusulas.

3 Este requisito pode ser atendido quando o sub-processador aderir a estas Cláusulas sob o Módulo apropriado, de acordo com a Cláusula 7.

4 No que diz respeito ao impacto de tais leis e práticas no cumprimento destas Cláusulas, diferentes elementos podem ser considerados como parte de uma avaliação geral. Tais elementos podem incluir experiência prática relevante e documentada com casos anteriores de solicitações de divulgação de autoridades públicas, ou a ausência de tais solicitações, cobrindo um período suficientemente representativo. Isso se refere, em particular, a registros internos ou outra documentação, elaborada continuamente de acordo com a devida diligência e certificada no nível de alta administração, desde que essa informação possa ser compartilhada legalmente com terceiros. Quando essa experiência prática é utilizada para concluir que o importador de dados não será impedido de cumprir com estas Cláusulas, ela precisa ser apoiada por outros elementos relevantes e objetivos, e cabe às Partes considerar cuidadosamente se esses elementos, juntos, têm peso suficiente, em termos de sua confiabilidade e representatividade, para sustentar essa conclusão. Em particular, as Partes devem levar em conta se sua experiência prática é corroborada e não contradita por informações confiáveis, disponíveis publicamente ou acessíveis, sobre a existência ou ausência de solicitações dentro do mesmo setor e/ou da aplicação da lei na prática, como jurisprudência e relatórios de órgãos independentes de supervisão.

APÊNDICE

ANEXO I

A. LISTA DE PARTES

Exportador(es) de dados: [Identidade e detalhes de contato do(s) exportador(es) de dados e, quando aplicável, de seu(s) oficial(is) de proteção de dados e/ou representante na União Europeia]

Nome: [Nome do cliente registrado na conta DreamHost]

Endereço: [Endereço do cliente registrado na conta DreamHost]

Nome, cargo e detalhes de contato da pessoa responsável: [Cliente conforme definido acima]

Atividades relevantes para os dados transferidos sob estas Cláusulas: Conforme descrito neste Apêndice, no DPA e no Acordo.

Assinatura e data: [Conforme registrado digitalmente na criação da conta e vinculado aos Termos de Serviço]

Função (controlador/processador): Controlador.

Importador(es) de dados: [Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa responsável pela proteção de dados]

Nome: DreamHost

Endereço: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Nome, cargo e detalhes de contato da pessoa responsável:

Atenção: Oficial de Privacidade de Dados

Email: privacypolicy@dreamhost.com

Atividades relevantes para os dados transferidos sob estas Cláusulas: Conforme descrito neste Apêndice, no DPA e no Acordo.

Assinatura e data: [Conforme registrado digitalmente na criação da conta e vinculado aos Termos de Serviço]

Função (controlador/processador): Processador.

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

Conforme estabelecido no Anexo A deste DPA.

Categorias de dados pessoais transferidos

Conforme estabelecido no Anexo A deste DPA.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que consideram completamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação rigorosa de propósito, restrições de acesso (incluindo acesso apenas para funcionários que tenham recebido treinamento especializado), manutenção de registro de acesso aos dados, restrições para transferências subsequentes ou medidas adicionais de segurança. Conforme estabelecido no Anexo A deste DPA.

Frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

De forma contínua, conforme necessário para fornecer os Serviços.

Natureza do processamento

Conforme estabelecido no Anexo A deste DPA.

Purpose(s) da transferência de dados e do processamento subsequente

Conforme estabelecido no Anexo A deste DPA.

O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios utilizados para determinar esse período

Conforme estabelecido na Seção 7 deste DPA.

Para transferências para (sub-) processadores, também especifique o assunto, a natureza e a duração do processamento. Conforme estabelecido no Acordo, para fornecer os Serviços, pelo prazo do Acordo.

C. AUTORIDADE SUPERVISORA COMPETENTE

Identifique a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13

[A ser preenchido com base nas operações do exportador de dados]

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível apropriado de segurança, levando em consideração a natureza, escopo, contexto e propósito do processamento, e os riscos para os direitos e liberdades das pessoas naturais.

Conforme estabelecido no Anexo B deste DPA.

Para transferências para (sub-) processadores, também descreva as medidas técnicas e organizacionais específicas que serão tomadas pelo (sub-) processador para poder fornecer assistência ao controlador e, para transferências de um processador para um sub-processador, ao exportador de dados

Conforme estabelecido no Anexo B deste DPA.

ANEXO III

ADENDO DO REINO UNIDO

Este Adendo foi emitido pelo Comissário de Informação para as Partes que realizam Transferências Restritas. O Comissário de Informação considera que ele fornece Salvaguardas Adequadas para Transferências Restritas quando é celebrado como um contrato legalmente vinculativo.

Parte 1: Tabelas

Tabela 1: Partes

Data de início

a Data Efetiva.

As PartesExportador (que envia a Transferência Restrita)

Importador (que recebe a Transferência Restrita)

Detalhes das PartesConforme estabelecido no Anexo I acima.Conforme estabelecido no Anexo I acima.
Contato PrincipalConforme estabelecido no Anexo I acima.Conforme estabelecido no Anexo I acima.

Tabela 2: SCCs Selecionadas, Módulos e Cláusulas Selecionadas

Adendo SCCs da UE

☒ A versão dos SCCs da UE Aprovados à qual este Adendo é anexado, detalhada abaixo, incluindo as Informações do Apêndice:


Data: a Data Efetiva.


Referência (se houver): N/A.


Outro identificador (se houver): N/A.


Ou


☐ os SCCs da UE Aprovados, incluindo as Informações do Apêndice e apenas os seguintes módulos, cláusulas ou disposições opcionais dos SCCs da UE Aprovados que entram em vigor para os fins deste Adendo:

MóduloMódulo em operaçãoCláusula 7 (Cláusula de Adoção)Cláusula 11 (Opção)Cláusula 9a (Autorização Prévia ou Autorização Geral)Cláusula 9a (Período de tempo)

Os dados pessoais recebidos do Importador são combinados com dados pessoais coletados pelo Exportador?

1
2XNão selecionado.Não selecionado.Autorização Geral.Cinco (5) dias.
3
4

Tabela 3: Informações do Apêndice

"Informações do Apêndice" significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no Apêndice dos SCCs da UE Aprovados (exceto as Partes), e que para este Adendo são estabelecidas em:

Anexo 1A: Lista de Partes: Conforme estabelecido no Anexo I acima.
Anexo 1B: Descrição da Transferência: Conforme estabelecido no Anexo I acima.

Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados: Conforme estabelecido no Anexo II acima.

Anexo III: Lista de Subprocessadores (somente Módulos 2 e 3): N/A.

Tabela 4: Encerramento deste Adendo quando houver alterações no Adendo Aprovado

Encerramento deste Adendo quando houver alterações no Adendo Aprovado

Quais Partes podem encerrar este Adendo conforme estabelecido na Seção:
☐ Importador
☐ Exportador
☒ Nenhuma das Partes

Parte 2: Cláusulas Obrigatórias

Cláusulas Obrigatórias

Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo Adendo B.1.0 emitido pela ICO e apresentado ao Parlamento em conformidade com a seção 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado sob a Seção 18 dessas Cláusulas Obrigatórias.