Adenda à Proteção de Dados – (DPA)
Contorno
Este Adendo de Tratamento de Dados (este DPA) é incorporado e feito parte dos Termos de Serviço da Edgio (o “Contrato”) entre a Edgio, Inc., as suas Afiliadas e subsidiárias (em conjunto, “Edgio”) e o Cliente. Se alguma das disposições deste DPA entrar em conflito com qualquer disposição do Contrato, então as disposições aplicáveis deste controlo DPA.
1. Definições.
Os seguintes termos são usados neste DPA e terão os significados aqui estabelecidos. Os termos capitalizados usados neste DPA e não definidos neste documento terão o significado estabelecido no Contrato.
1,1 “País adequado” significa um país ou território que é reconhecido ao abrigo das Leis de Proteção de Dados da UE ou da autoridade competente relevante do Reino Unido (“Reino Unido”) como fornecendo um nível adequado de proteção para Dados Pessoais.
1,2 “Leis de Proteção de Dados aplicáveis” significa (I) as leis e regulamentos do EEE e dos seus estados membros, aplicáveis ao processamento de Dados Pessoais ao abrigo deste DPA, incluindo as Leis de Proteção de Dados da UE; (II) a Lei de Proteção ao Consumidor da Califórnia (“CCPA”) e a Lei de Direitos de Privacidade da Califórnia (“CPRA”); e. (iii) todas as leis que implementam ou complementam o que precede e quaisquer outras leis de proteção de dados ou privacidade aplicáveis.
1,3 “Dados pessoais do cliente” significa todos e quaisquer Dados pessoais que pertençam aos consumidores (os “utilizadores finais” do cliente) e que são processados pela Edgio ou pelos seus subprocessadores em nome do cliente no desempenho dos Serviços e nas outras obrigações da Edgio ao abrigo do Contrato.
1,4 “EEE” significa o Espaço Económico Europeu, que inclui os Estados-Membros da União Europeia, bem como a Noruega, a Islândia e o Liechtenstein.
1,5 “Leis de proteção da UE” significa (I) o RGPD; II) a diretiva da UE sobre a privacidade eletrónica (diretiva 2002/58/CE), tal como alterada e qualquer legislação que substitua a presente diretiva alterada, (iii) quaisquer leis nacionais de proteção de dados feitas ao abrigo, em substituição ou posterior ao anterior, e. (IV) quando aplicável, deve ser lido como incluindo as Leis de Proteção de Dados do Reino Unido.
1,6 “RGPD” significa o Regulamento Geral de Proteção de Dados da UE (Regulamento 2016/679).
1,7 “Cláusulas Contratuais Padrão” em relação ao processamento de Dados Pessoais de acordo com este meio DPA (A) As cláusulas-padrão para a transferência de Dados Pessoais dos Controladores para os Processadores estabelecidas em países terceiros aprovadas pela Comissão Europeia de tempos em tempos, cuja versão aprovada atual é a que está estabelecida na Decisão 2021/914 da Comissão Europeia de 4 de junho de 2021, disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, e estabelecida no Quadro 2 (as “Cláusulas Contratuais Padrão da UE”); e. (B) a Adenda do Reino Unido às Cláusulas Contratuais Padrão da UE, estabelecida no Anexo 3 (o “Adendo do Reino Unido”).
1,8 “Leis de Proteção de Dados do Reino Unido” significa toda a lei aplicável em relação à proteção de dados, ao processamento de Dados Pessoais, privacidade e/ou comunicações eletrónicas em vigor periodicamente no Reino Unido, incluindo o RGPD do Reino Unido e a Lei de Proteção de Dados de 2018.
1,9 “RGPD do Reino Unido” significa o Regulamento Geral de Proteção de Dados do Reino Unido, uma vez que faz parte da lei da Inglaterra e do País de Gales, Escócia e Irlanda do Norte, em virtude da secção 3 da Lei da União Europeia (Retirada) de 2018.
1,10 “Dados Pessoais” significa qualquer informação que constitua “dados pessoais” ou “informações pessoais” na aceção das Leis de Proteção de Dados aplicáveis que a Edgio possa aceder ao executar os Serviços ao abrigo do Contrato de Serviços.
1,11 “Tratamento”, “Tratamento”, “Tratamento”, “Sujeito de Dados”, “Responsável pelo Tratamento”, “Negócios”, “Prestador de Serviços”, “Categorias Especiais de Dados Pessoais” têm os significados que lhes são atribuídos pelas Leis de Proteção de Dados aplicáveis, na medida em que tais conceitos existem em tais leis.
2. Processamento de dados
2,1 Escopo e funções. Em consideração às obrigações mútuas aqui estabelecidas, este DPA aplica-se na medida em que a Edgio processa os Dados Pessoais do Cliente sujeitos às Leis de Proteção de Dados aplicáveis em conexão com os Serviços nos termos do Contrato. Neste contexto, o Cliente e a Edgio reconhecem e concordam que: (A) Edgio é um processador e o cliente é o controlador sob as Leis de Proteção de Dados aplicáveis; e. (B) A Edgio atua como um mero canal de quaisquer Dados Pessoais que o Cliente ou os seus utilizadores finais coloquem nos Serviços. A Edgio e o Cliente cumprirão as Leis de Proteção de Dados aplicáveis para o processamento de Dados Pessoais sujeitas às Leis de Proteção de Dados aplicáveis.
2,2 instruções de processamento.
(A) Instruções para o cliente. A Edgio processará os Dados Pessoais do Cliente como um meio para fornecer os Serviços e de acordo com as instruções documentadas do Cliente estabelecidas neste DPA, ou conforme acordado mutuamente entre as partes por escrito. Se a Edgio for obrigada pelas Leis de Proteção de Dados aplicáveis a processar os Dados Pessoais do Cliente de outra forma que não seja conforme indicado pelo Cliente, ela irá notificar o Cliente antes que tal processamento ocorra, a menos que seja proibido de fazê-lo por lei.
(I) A finalidade do processamento dos Dados Pessoais do Cliente ao abrigo deste DPA é a prestação dos Serviços iniciados pelo Cliente periodicamente de acordo com o Contrato, que inclui o processamento de faturas e pagamentos, a comunicação com os utilizadores finais do Cliente e/ou subprocessadores sobre os Serviços, a manutenção de contas do Cliente, utilizador final e/ou subprocessador, a medição e/ou análise do uso do Serviço,
(II) Edgio atesta que não o fará (A) “vender” (conforme definido na CCPA) ou “partilhar” (conforme definido na CPRA) Dados pessoais do cliente; (B) reter, usar ou divulgar Dados Pessoais do Cliente para qualquer finalidade que não seja para a finalidade específica de fornecer os Serviços ao abrigo do Contrato de Serviços, incluindo reter, usar ou divulgar Dados Pessoais do Cliente para uma finalidade comercial que não seja a prestação dos Serviços; ou (C) reter, usar ou divulgar Dados Pessoais do Cliente a qualquer pessoa que não seja a necessária para fornecer os Serviços ou fora da relação comercial direta entre as partes.
(III) O Cliente declara e garante que: (1) As suas instruções de processamento estão em conformidade com todas as Leis de Proteção de Dados aplicáveis; e (2) obteve e mantém todos os avisos, consentimentos e permissões legalmente necessários para o processamento e transferência de todos os Dados Pessoais. O cliente reconhece que, tendo em conta a natureza do processamento, a Edgio não está em condições de determinar se as instruções do cliente infringem as leis de proteção de dados aplicáveis.
B) Confidencialidade. A Edgio impõe obrigações contratuais adequadas ao seu pessoal e a terceiros que tenham acesso aos Dados Pessoais, para garantir que esse pessoal e terceiros estejam vinculados e informados das suas obrigações de confidencialidade em relação a esses Dados Pessoais.
C) Medidas de segurança de Edgio. A Edgio implementou e mantém medidas técnicas e organizacionais, estabelecidas na Parte C do Anexo 1, destinadas a proteger os Dados Pessoais contra a destruição acidental ou ilegal; ou perda acidental, alteração, divulgação ou acesso não autorizados, e contra outras formas de processamento ilegais. A Edgio pode atualizar ou modificar essas medidas técnicas e organizacionais de tempos em tempos, desde que tais atualizações ou modificações não resultem na degradação da segurança geral dos Serviços. O Cliente reconhece e concorda que (tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento de Dados Pessoais, bem como os riscos para os utilizadores finais) as medidas técnicas e organizativas implementadas e mantidas pela Edgio, conforme estabelecido nesta Secção 2,2(c) (Medidas de Segurança da Edgio) fornecem um nível de segurança adequado ao risco em relação aos Dados Pessoais. Ao utilizar os Serviços, o Cliente reconhece que não deve configurar a sua utilização dos Serviços para armazenar ou armazenar dados pessoais nos servidores da Edgio.
(D) Obrigações de Segurança do Cliente. O Cliente concorda que, sem prejuízo das obrigações da Edgio ao abrigo da Secção 2,2 (2)(c) (Medidas de Segurança da Edgio) e da Secção 6 (Notificação de Violação de Dados), o Cliente é o único responsável pela utilização dos Serviços, incluindo: (1)
(E) Categorias Especiais de Dados. O Cliente não pode, e não deve permitir que os seus utilizadores finais, direta ou indiretamente, transmitam ou de outra forma forneçam à Edgio, de qualquer forma, quaisquer Dados Pessoais que revelem ou contenham qualquer um dos seguintes: Origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou associações sindicais, dados genéticos, dados biométricos com a finalidade de identificar de uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual de uma pessoa singular ou a convicções sexuais ou a uma pessoa física ou a uma pessoa física.
3. Direitos do titular dos dados
3,1 Tendo em conta a natureza dos Serviços e o processamento, o Cliente reconhece que a Edgio coloca à disposição do Cliente certos controlos, funcionalidades e funcionalidades como parte dos Serviços, que o Cliente pode optar por utilizar em relação às suas obrigações ao abrigo das Leis de Proteção de Dados aplicáveis relativas a pedidos dos Titulares dos Dados, incluindo pedidos de devolução ou eliminação.
3,2 O cliente é responsável por configurar adequadamente os Serviços para que: (A) Os Dados Pessoais são recolhidos, transferidos e utilizados apenas na medida necessária para o Cliente receber os Serviços; (B) Os Dados Pessoais são retidos pelo menor período necessário para que o Cliente receba os Serviços; e. (C) O Cliente usa uma API ou tecnologia semelhante para configurar um pedido de arquivo de log no caso de o Cliente desejar reter Dados Pessoais por um período maior do que os retidos pelos Serviços.
3,3 Na medida em que os controles, recursos e/ou funcionalidades dos Serviços não incluam a opção de o Cliente excluir Dados Pessoais, a Egigio cumprirá o pedido razoável do Cliente para facilitar essa exclusão, desde que a Egigio tenha determinado que isso é viável, tendo em conta a natureza dos Serviços e as práticas de retenção de dados da Egigio, e a menos que as Leis de Proteção de Dados aplicáveis exijam a Egigio para reter os Dados pessoais. A Edgio pode cobrar uma taxa (com base nos custos razoáveis da Edgio) por qualquer eliminação de dados ao abrigo desta Secção 3,3. A Edgio irá fornecer ao Cliente detalhes de qualquer taxa aplicável antes de qualquer eliminação de tais dados. O Cliente reconhece a sua obrigação de eliminar quaisquer Dados Pessoais da sua conta após a rescisão do Contrato, e quaisquer Dados Pessoais que não sejam apagados pelo Cliente serão eliminados dos sistemas da Edgio no decurso normal dos seus processos de negócio.
4. Subprocessamento
4,1 O cliente concede uma autorização geral: (A) à Edgio nomear Afiliados da Edgio como subprocessadores; e. (B) aos Afiliados da Edgio e da Edgio nomear fornecedores de serviços terceiros, incluindo, sem limitação, fornecedores de marketing, negócios, engenharia ou suporte ao cliente, como subprocessadores, apenas conforme necessário para apoiar a prestação dos Serviços.
4,2 O cliente reconhece e concorda que a Edgio mantém uma lista dos seus subprocessadores através do seguinte URL: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“sites de subprocessadores”). Pelo menos trinta e (30) dias antes de a Edgio permitir que um novo subprocessador comece a processar os Dados pessoais do cliente, a Edgio irá notificar o cliente sobre esse novo subprocessador adicionando esse novo subprocessador ao site do subprocessador (“Serviço de notificação”).
4,3 Se o Cliente tiver uma objeção razoável à utilização por parte da Edgio de um novo subprocessador, tal como notificou através do Serviço de Notificação, o Cliente deverá notificar a Edgio de qualquer objeção prontamente por escrito no prazo de dez (10) dias úteis após a receção das informações através do Serviço de Notificação. No caso de o Cliente apresentar uma objeção razoável a um novo subprocessador, Edgio concorda em participar em discussões de boa-fé com o Cliente para resolver a objeção do Cliente. Se o Cliente não fornecer uma objeção atempada a qualquer subprocessador novo ou de substituição de acordo com esta Secção 4,3, considera-se que o Cliente consentiu com esse subprocessador e renunciou ao seu direito de se opor a esse subprocessador. Edgio pode usar um novo subprocessador enquanto o procedimento de objeção estabelecido nesta Seção 4,3 estiver em processo.
4,4 Quando a Edgio contratar subprocessadores de acordo com a Secção 4,1, fará isso através de um acordo por escrito com o subprocessador (“Subcontrato de Processamento”) que impõe obrigações substancialmente equivalentes ao subprocessador, conforme impostas à Edgio ao abrigo desta DPA. A Edgio continuará a ser responsável perante o Cliente pelo cumprimento das obrigações dos subprocessadores nos termos do Subcontrato de processamento.
5. Transferências de dados
5,1 Na medida em que qualquer processamento de Dados Pessoais do Cliente pela Edgio ocorra em um local fora de um País adequado, as partes concordam que as Cláusulas Contratuais Padrão aplicáveis anexadas a este DPA no Anexo 2 (Cláusulas Contratuais Padrão da UE) e no Anexo 3 (Adendo do Reino Unido) serão aplicadas em relação à transferência de tais Dados Pessoais do Cliente da EEA, Suíça ou do Reino Unido para a Edgio. A Edgio, enquanto Subcontratante, cumprirá as obrigações do ‘importador de dados’ nas Cláusulas Contratuais Padrão e o Cliente, enquanto Responsável pelo Tratamento, cumprirá as obrigações do ‘exportador de dados’.
5,2 Os seguintes termos aplicam-se às Cláusulas Contratuais Padrão estabelecidas no Quadro 2 e previstas no Quadro 3:
(A) O Cliente pode exercer o seu direito de auditoria ao abrigo da Cláusula 8,9(c) das Cláusulas Contratuais Padrão conforme estabelecido na Cláusula 7 (Auditoria) deste DPA.
B) A Edgio pode nomear subprocessadores conforme estabelecido na Secção 4 (Subprocessamento) deste DPA e sujeito aos requisitos da presente DPA.
5,3 Não obstante qualquer disposição em contrário nesta Secção 5, as Cláusulas Contratuais Padrão não se aplicarão na medida em que o Cliente tenha adotado uma norma alternativa de conformidade reconhecida para a transferência legal de Dados Pessoais do Cliente para fora de um País adequado.
6. Notificação de violação de dados
6,1 A Edgio irá notificar o Cliente sem demora injustificada ao tomar conhecimento de que ocorreu um evento de segurança real, na medida em que a Edgio determinar, a seu exclusivo critério, que tal evento de segurança compromete a segurança e/ou a confidencialidade dos Dados Pessoais do Cliente (uma “violação de dados”). No caso de a Edgio sofrer uma Violação de Dados, após notificação ao Cliente, as partes cooperarão de boa-fé para concordar e agir as medidas que possam ser necessárias para mitigar ou remediar os efeitos da Violação de Dados. A notificação ou resposta a uma Violação de Dados nos termos desta Secção 6 (Notificação de Violação de Dados) não deve ser interpretada como um reconhecimento por parte da Edgio de qualquer falha ou responsabilidade em relação à Violação de Dados.
6,2 Em caso de violação de dados, o cliente tem total autoridade e responsabilidade para determinar se deve notificar indivíduos afetados e outras partes, conforme exigido pela lei aplicável, e a forma e o prazo da notificação.
7. Auditoria
7,1 O Cliente concorda que o seu direito de auditoria ao abrigo das Leis Europeias de Proteção de Dados em relação aos Dados Pessoais do Cliente é exercido pela primeira vez através de um pedido que a Edgio forneça: (A) ao Cliente uma cópia resumida do(s) relatório(s) de auditoria da Edgio relacionado com as medidas técnicas e organizativas da Edgio referidas na Secção 2,2(c) (Medidas de Segurança da Edgio), cujos relatórios estarão sujeitos às disposições de confidencialidade do Acordo, e que os relatórios demonstrarão que as medidas técnicas e organizativas da Edgio são suficientes e de acordo com uma norma de auditoria da indústria aceite; e. (B) informações adicionais na posse ou controlo da Edgio a uma autoridade de supervisão relevante quando solicitar ou exigir informações adicionais relacionadas com o processamento de Dados Pessoais realizado pela Edgio ao abrigo deste DPA.
7,2 Depois de o Cliente ter recebido o relatório de auditoria nos termos da Secção 7,1, e sujeito aos termos da Secção 7,3, o Cliente ou um auditor independente mandatado pelo Cliente pode realizar uma inspeção razoável do ambiente de processamento da Edgio que é relevante para o processamento dos Dados Pessoais do Cliente para verificar o cumprimento da Edgio das suas obrigações ao abrigo desta DPA.
7,3 No caso de uma auditoria nos termos da secção 7,2 supra,
(A) A Edgio, de acordo com as Leis Europeias de Proteção de Dados, disponibilizará ao Cliente tais informações na posse ou controlo da Edgio, conforme o Cliente possa razoavelmente solicitar, para demonstrar o cumprimento da Edgio das suas obrigações ao abrigo desta DPA. O cliente não exercerá os seus direitos de auditoria mais de uma vez em qualquer período de doze (12) meses. A auditoria deve ser limitada a dias úteis (durante o horário comercial normal e excluindo feriados federais dos Estados Unidos) e ao alcance razoavelmente acordado pelas partes com antecedência. O cliente deve notificar a Edgio de uma auditoria com pelo menos trinta e (30) dias de antecedência e tomar todas as medidas razoáveis para evitar interrupções desnecessárias nas operações da Edgio. O cliente arcará com todos os custos e despesas relacionados com essa auditoria.
(B) A Edgio pode opor-se a qualquer auditor terceiro designado pelo Cliente a realizar qualquer auditoria ao abrigo da Secção 7,2 se o auditor não for, na opinião razoável da Edgio, devidamente qualificado ou independente, um concorrente da Edgio ou, de outra forma, manifestamente inadequado. Qualquer objeção por parte da Edgio exigirá que o Cliente nomeie outro auditor ou realize a auditoria em si.
(C) Nada nesta DPA exigirá que a Edgio divulgue ao Cliente ou ao seu auditor terceiro, ou que permita que o Cliente ou o seu auditor terceiro acedam:
(I) quaisquer dados de quaisquer outros clientes da Edgio ou de um afiliado da Edgio;
(II) qualquer informação financeira ou contabilística interna da Edgio ou da Edgio Affiliate;
(III) qualquer segredo comercial da Edgio ou de um afiliado da Edgio;
(IV) qualquer informação que, na opinião razoável da Edgio, possa (1) comprometer a segurança de qualquer sistema ou instalações de qualquer afiliado da Edgio ou da Edgio; ou (2) fazer com que a Edgio ou qualquer afiliado da Edgio viole as suas obrigações ao abrigo das Leis de Proteção de Dados aplicáveis ou as suas obrigações de segurança e/ou privacidade para com o Cliente ou qualquer terceiro; ou
(V) qualquer informação que o Cliente ou o seu auditor externo procurem aceder por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente ao abrigo das Leis de Proteção de Dados aplicáveis.
(D) O Cliente indemnizará, defenderá e isentará a Edgio de todos os custos e reclamações afirmadas por terceiros, reais ou alegados, que surjam de ou relacionados com a divulgação de Dados Pessoais ao Cliente como resultado de qualquer auditoria. Tendo em conta a natureza dos Serviços e do processamento, o Cliente reconhece que a Edgio não está em condições de identificar indivíduos com base nas informações do utilizador final requeridas pelo Cliente para que a Edgio forneça os Serviços (por exemplo, e o endereço IP do utilizador final).
8. Disposições gerais
8,1 Beneficiários de terceiros. Sem prejuízo dos direitos concedidos ao abrigo das Cláusulas Contratuais Padrão, o presente DPA não confere quaisquer direitos de terceiros beneficiários.
8,2 Não-divulgação. O cliente concorda que os detalhes deste DPA não são conhecidos publicamente e constituem Informações Confidenciais da Edgio conforme esse termo é definido no Contrato.
8,3 Sobrevivência. Este DPA permanecerá em pleno vigor e efeito durante o período aplicável do Contrato e, não obstante qualquer disposição em contrário, sobreviverá à rescisão ou expiração do Contrato. Após a rescisão ou expiração do Contrato, a Edgio poderá continuar a processar os Dados Pessoais do Cliente, desde que esse processamento cumpra os requisitos deste DPA e das Leis de Proteção de Dados aplicáveis.
8,4 Acordo completo, conflito. Este DPA substitui e substitui todas as representações, entendimentos, acordos ou comunicações anteriores ou contemporâneas entre a Edgio e o Cliente, quer por escrito ou verbal, em relação ao processamento de Dados Pessoais do Cliente. Exceto conforme alterado neste DPA, o Acordo permanecerá em pleno vigor e efeito. No caso de qualquer conflito entre os termos deste DPA e o Acordo, os termos deste DPA prevalecerão na medida em que o assunto diga respeito ao processamento de Dados Pessoais do Cliente.
8,5 Alteração, Renúncia. Este DPA só pode ser alterado por escrito e assinado por ambas as partes. Nenhuma falha ou atraso por parte de uma parte em exercer ou fazer cumprir qualquer direito neste documento funcionará como uma renúncia de tal direito.
PART A
Partes no Controlador nas Cláusulas Contratuais Padrão do Processador
Exportador de dados:
Nome: Por ordem de serviço.
Endereço: Por ordem de serviço.
Nome, cargo e detalhes de contacto da pessoa de contacto: Por ordem de serviço.
Atividades relevantes para os dados transferidos ao abrigo destas cláusulas: Por favor, veja as atividades descritas abaixo para o importador de dados.
Função: Controlador
Importador de dados:
Nome: Edgio, Inc.
Endereço: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028
Nome, posição e detalhes de contacto da pessoa de contacto: Rich DIEGnan, DPO, rdiegnan@edg.io
Atividades relevantes para os dados transferidos de acordo com estas cláusulas: A Edgio Inc. Fornece serviços de rede de distribuição de conteúdo, transmissão de vídeo e serviços de segurança relacionados a clientes de mídia digital através de uma série de pontos de presença mundiais.
Função : Processador
PART B
Assunto
Processamento realizado em conexão com o fornecimento dos Serviços, que incluem Aceleração do Site, WAF, download de Software através da Rede Edgio e Serviço de Bot Avançado.
Duration
A partir da Data de Vigência até à extinção do Contrato.
Categorias de titulares de dados cujos dados pessoais são transferidos.
Utilizadores finais do cliente, funcionários empresariais do cliente
Natureza do processamento
A partir da Data de Vigência até à extinção do Contrato.
Categorias de dados pessoais transferidos:
Categoria
Dados
Selecione conforme aplicável
Dados pessoais dos utilizadores finais no conteúdo do cliente e Dados pessoais nos dados registados
Os Dados Pessoais no Conteúdo do Cliente, se houver, são escolhidos pelo Cliente. Com relação a esses dados, o processamento, se houver, de tais dados está limitado ao papel de Edgio como canal para esses dados. A fim de fornecer os Serviços, a Edgio pode processar e reter certos dados registados, o que envolve o armazenamento a curto prazo de endereços IP dos utilizadores finais do exportador de dados.
X
Dados confidenciais processados (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo o acesso apenas para o pessoal que tenha seguido formação especializada), manter um registo do acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais. |
Categoria especial
Dados
Nenhum
Nature of the processing
A Edgio processa os Dados Pessoais do Cliente para fornecer serviços de entrega de conteúdo e segurança como um software de transferência de Dados Pessoais do Cliente que o Cliente ou os seus utilizadores finais colocam no Serviço. A Edgio processa dados registados com a finalidade de fornecer os Serviços. Os dados registados são transferidos para os EUA para efeitos de faturação, etc. e armazenados a curto prazo.
Frequência da transferência (por exemplo, se os dados são transferidos numa base única ou contínua)
A transferência terá lugar numa base contínua.
O período durante o qual os dados pessoais serão conservados, ou, se isso não for possível, os critérios utilizados para determinar esse período
A finalidade da transferência de dados e o processamento posterior é permitir que a Edgio forneça os Serviços ao abrigo do Contrato, na medida do necessário.
O período durante o qual os dados pessoais serão conservados, ou, se isso não for possível, os critérios utilizados para determinar esse período
A finalidade da transferência de dados e o processamento posterior é permitir que a Edgio forneça os Serviços ao abrigo do Contrato, na medida do necessário.
Para as transferências para subprocessadores, especificar também o assunto, a natureza e a duração do processamento
Dependendo da configuração dos Serviços pelo Cliente, os detalhes do subprocessador aplicável incluem os fornecidos nestes links:
https://view.highspot.com/viewer/
616088e19bf7c594a5444f64
Autoridade supervisora competente
Cláusulas Contratuais Padrão da UE: A autoridade supervisora responsável por assegurar a conformidade pelo exportador de dados com o RGPD no que diz respeito à transferência de dados deve atuar como autoridade supervisora competente.
Adendo do Reino Unido às Cláusulas Contratuais Padrão da UE (quando aplicável): Quando o exportador de dados estiver estabelecido no Reino Unido ou estiver dentro do âmbito territorial de aplicação das Leis e regulamentos de proteção de dados do Reino Unido, o Gabinete do Comissário de Informações atuará como a autoridade de supervisão competente.
Parte C
Medidas técnicas e organizativas
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA EGIO
Política de Segurança da Informação . A Edgio mantém uma política formal e documentada de segurança da informação, que se baseia em vários padrões reconhecidos de segurança da indústria e está alinhada com o NIST Cybersecurity Framework e é aplicável a todos os funcionários da Edgio e utilizadores autorizados nos ativos da Edgio.
Equipas de Segurança da Informação . Edgio mantém equipas de segurança da informação para promover e ajudar na aplicação da política e das práticas de segurança da informação de Edgio.
CONFORMIDADE COM AS NORMAS DA EDGIO
Segurança do produto. Os Serviços aplicáveis são concebidos e implementados com controlos técnicos, lógicos e físicos adaptados às necessidades de negócio e segurança da Edgio e dos seus clientes. Para serviços empresariais aplicáveis, a Edgio certifica anualmente os controlos aplicáveis ao Serviço de acordo com um ou mais dos seguintes padrões, diretrizes e práticas:
PCI (PCI-DSS)
ISO 27001
SSAE-18 SOC 1, 2 ou 3
Partilha de certificados . Quando e quando disponível, a Edgio irá fornecer um certificado para cada Serviço de Compras pelo Cliente, mediante pedido razoável do Cliente.
Protegendo certificados Edgio . Os certificados fornecidos a um cliente são considerados informações confidenciais.
CONTROLOS
Edgio controla. A Edgio protege as suas redes usando práticas, procedimentos e ferramentas de segurança reconhecidas pelo setor especificamente adaptadas ao cenário de ameaças e ao ambiente de negócios da Edgio.
Segurança de hardware de terceiros . O Edgio altera os padrões fornecidos pelo fornecedor para as palavras-passe do sistema e outros parâmetros de segurança.
Testes regulares do sistema e da segurança. O Edgio testa regularmente sistemas e processos utilizados para a segurança da rede para maximizar a capacidade operacional.
Ciclo de Desenvolvimento de Software Seguro . A Edgio desenvolve e mantém sistemas concebidos para proteger os Dados Pessoais do Cliente através de avaliações de risco de privacidade e segurança cibernética e, quando apropriado, usa a automação no ciclo de vida do desenvolvimento para impor controles, entre outras práticas.
Gestão de dispositivos móveis . Os dispositivos emitidos por empresas, como portáteis e telemóveis, são mantidos por indivíduos identificáveis que são responsáveis e responsáveis pela proteção do dispositivo, bem como pela segurança dos dados processados por esses dispositivos. Os ativos da Edgio devem estar fisicamente trancados ou ser comparados sempre que viajar, transportar ou utilizar equipamentos em ambientes físicos não-Edgio.
Monitorização derede . O Edgio utiliza ferramentas e procedimentos de monitorização de rede concebidos para identificar atividades não autorizadas em redes Edgio.
GESTÃO DE RISCOS DA CADEIA DE ABASTECIMENTO
Controlos de contrato . A Edgio utiliza medidas contratuais para impor a conformidade de terceiros com os requisitos de segurança da informação adequados, tais como as normas de segurança da informação da Edgio, um código de conduta do fornecedor e outras políticas de gestão de riscos.
Edgio Gestão de Risco . A Edgio estabeleceu governança, processos e ferramentas que são utilizadas em toda a empresa Edgio para gerir riscos de terceiros. O programa exige que os fornecedores cumpram ou ultrapassem os requisitos de segurança com base nas políticas de segurança da informação corporativa da Edgio e nas melhores práticas do setor. Estas ferramentas e práticas podem incluir que o fornecedor preencha um questionário, forneça provas de controlos e avaliações remotas ou no local. O programa descobre problemas com fornecedores e trabalha para resolvê-los em tempo hábil.
CONTROLOS DE ACESSO
Gestão de acesso
Controles de acesso lógico . Edgio mantém políticas lógicas de controle de acesso para que apenas pessoal autorizado tenha acesso a aplicativos e sistemas críticos de negócios com base nos requisitos de cargo e trabalho.
ID de utilizador único . O Edgio atribui a cada utilizador autorizado um ID de utilizador único para a responsabilização das ações.
Aceder arevisões . O Edgio usa revisões de autorização e processos de mudança de função para alertar os administradores da necessidade de modificar e/ou revogar direitos de acesso quando um utilizador autorizado já não requer acesso.
Registo de atividades . A política de Edgio requer a exploração madeireira e o monitoramento do acesso às redes de Edgio e aos ativos de Edgio.
Ferramentas de segurança . Ferramentas baseadas em hardware e software foram implementadas em toda a rede Edgio para fornecer alertas em tempo real de dispositivos como firewalls, sistemas de deteção de intrusões, roteadores e switches.
Registos de eventos . Os ativos críticos do Edgio devem ser configurados para gerar logs de eventos. Os registos de eventos são mantidos de acordo com a retenção de dados e os requisitos regulamentares.
Princípio do menor privilégio. Edgio geralmente usará o Princípio do Menos Privilégio para gerir o acesso para cada um dos seus sistemas. O acesso privilegiado às funções da rede de produção, do sistema ou da aplicação será geralmente controlado e restrito a tão poucos funcionários quanto operacionalmente possível e é autorizado numa base de “necessidade de saber” ou “evento por evento”.
Autenticação multifator para acesso remoto . A política do Edgio requer o uso de autenticação multifator para proteger o acesso remoto à rede do Edgio e aos ativos do Edgio.
Verificação de identidade . A política de controlo de acesso do Edgio requer que as credenciais de acesso de utilizadores autorizados identifiquem de forma única uma pessoa, um sistema ou um serviço individual e sejam protegidas. O acesso concedido por essas credenciais de acesso de utilizadores autorizados tem de ser revisto periodicamente para validar que ainda é necessário.
Desaprovisionamento. O acesso é necessário para ser desaprovisionado ou removido quando já não é necessário (por exemplo, mudança de função de trabalho) ou em caso de cancelamento.
SEGURANÇA FÍSICA
Controlos físicos . Edgio utiliza controles para restringir o acesso físico às instalações que abrigam os sistemas Edgio a pessoal autorizado.
Gestão de Acesso Físico . Dependendo do tipo de instalação, o acesso pode ser permitido por leitores de cartões eletrónicos, chaves, guardas de segurança ou pessoal da empresa local.
Vigilância . As câmaras CCTV são implementadas em locais estratégicos para proteger o pessoal, as operações e a propriedade.
Gestão devisitantes . A política do Edgio exige que os visitantes tenham e exibam medalhas de visitantes emitidas pelo Edgio em todos os momentos. O Edgio exige que os visitantes façam login no log de um visitante antes de receber um crachá de visitante. O pessoal da Edgio deve usar sempre um crachá de identificação emitido pela empresa, enquanto estiver nas instalações da Edgio.
Segurança do Centro de Dados . O Edgio requer controlos físicos de segurança para cada sala de computadores, centro de dados e instalações semelhantes.
FORMAÇÃO EM SEGURANÇA DA INFORMAÇÃO DOS FUNCIONÁRIOS E CONTRATADOS
Formação anual de sensibilização para a segurança da informação . A Edgio exige que os funcionários e empreiteiros da Edgio concluam o treinamento sobre segurança da informação e segurança cibernética anualmente para informá-los do seu papel na segurança da informação.
TESTES DE PENETRAÇÃO
Uso Interno de Teste de Penetração de Edgio . Edgio realiza testes de penetração em ambientes internos e externos de Edgio, com base no risco.
Restrições aos testes de penetração . Devido às preocupações de segurança colocadas à Edgio e aos seus clientes, a Edgio não permite que os clientes testem o estado de segurança dos dispositivos de rede que a Edgio possui, opera ou que estão localizados num centro de dados da Edgio. Além disso, Edgio não permite negação de serviço, inundação ou qualquer atividade de teste semelhante que envolva consumo significativo de largura de banda da rede.
FIREWALLS E SEGMENTAÇÃO DE REDE
Firewalls e ferramentas de segurança . O Edgio utiliza ferramentas baseadas em hardware e software (como firewalls) em toda a rede Edgio para fornecer alertas em tempo real de dispositivos como sistemas de deteção de intrusões, roteadores e switches.
Arquitectura de Rede e Sistema . Edgio usa práticas de arquitetura de sistemas, software e rede para mitigar riscos cibernéticos.
Back-UPS (não aplicável ao conteúdo do cliente)
Políticas de cópia de segurança . Edgio mantém formalmente políticas e procedimentos de backup de dados, quando apropriado. As cópias de segurança de dados são regidas e consideradas ao completar atividades de mapeamento, retenção ou eliminação de dados.
Cópias de segurança e testes de ficheiros críticos . Os administradores são obrigados a fazer cópias de segurança regulares de ficheiros críticos e a tomar as precauções adequadas para proteger as informações de compromissos, perdas ou danos. Além disso, os administradores são obrigados a realizar testes periódicos de procedimentos de restauração de backup/recuperação de desastres.
RETENÇÃO DE DADOS E DESTRUIÇÃO DE dados (não aplicável ao conteúdo do cliente)
Política de retenção de dados . A política da Edgio requer a gestão e proteção dos dados de forma sistemática e estruturada ao longo do ciclo de vida dos dados, desde a criação, transmissão, armazenamento, modificação, retenção e destruição.
Específico do sistema. O Edgio gere a retenção de dados através do uso de sumários de retenção de dados específicos do sistema. Um resumo de retenção de dados regista os tipos de dados que o sistema contém, a finalidade para a recolha e utilização de cada tipo de dados, o(s) evento(s) de disparo para a destruição e o período de tempo em que os dados devem ser mantidos. Estes sumários de retenção de dados são obrigados a cumprir o calendário de retenção de dados da Edgio em toda a empresa e quaisquer leis, regulamentos e requisitos aplicáveis aos clientes.
Destruição de dados . As práticas de destruição de dados de Edgio estão alinhadas com o NIST 800-88, e abrangem dados contidos em documentos magnéticos, de estado sólido, de meios óticos e de documentos confidenciais em papel.
RESPOSTA A INCIDENTES/VIOLAÇÃO DE DADOS
Programa
Plano de Resposta a Incidentes . Edgio mantém um plano de resposta a incidentes escrito e acionável para permitir que o Edgio reaja atempadamente a violações de dados.
Teste do plano de resposta . O plano de resposta a incidentes de Edgio é testado através do uso de exercícios de mesa para coordenar e verificar procedimentos documentados.
Resposta a incidentes e mitigação
Segurança de eventos revisões . Os dados de eventos de segurança são revistos e analisados numa base agendada. Os eventos de segurança devem ser prontamente escalados quando os limites de eventos pré-determinados forem ultrapassados e respondidos de acordo com um processo definido de gestão de incidentes.
RECURSOS HUMANOS
Sistemas de RH; Desaprovisionamento. Os protocolos e procedimentos de segurança da informação de Edgio devem ser incorporados em todos os sistemas e processos de Recursos Humanos da Edgio. O departamento de Recursos Humanos da Edgio e o departamento DE TI têm rotinas automatizadas e auditáveis em vigor para a criação de contas, permissões de função e desaprovisionamento de acesso cobrindo uma nova solicitação de funcionário, uma mudança de funções ou o encerramento de um funcionário.
Verificações de antecedentes . Sujeito à lei aplicável, o RH completa uma investigação abrangente de antecedentes pré-emprego dos funcionários da Edgio no momento da contratação, que inclui registos criminais, SSN, autorização de trabalho e listas de partes proibidas (por exemplo, Office of Foreign Assets Control).
Código de conduta de Edgio . O Código de Conduta da Edgio exige que os funcionários da Edgio cumpram as políticas e procedimentos de segurança da informação da Edgio.
PROGRAMA DE GESTÃO DE VULNERABILIDADES
Mitigação de Risco de Vulnerabilidade . O programa de gestão de vulnerabilidades do Edgio foi concebido para implementar e manter práticas e procedimentos para mitigar o risco de vulnerabilidades no ambiente de negócios do Edgio.
Processo de gestão de patches . Para manter um alto nível de funcionalidade e segurança de suas redes e sistemas hospedados, a Edgio tem um processo de gerenciamento de patches estabelecido para hardware e software de produção instalado na rede Edgio. Os patches de segurança dos fornecedores são inicialmente avaliados para determinar o risco e a prioridade de implantação. Uma vez que um patch passou nos procedimentos de teste adequados, ele é então lançado para agendamento para ser implantado na produção.
Mudanças significativas no sistema . O Edgio agenda, monitoriza, controla e regista mudanças significativas dos ativos do Edgio.
Verificações de vulnerabilidade . O Edgio executa verificações de vulnerabilidade internas e externas periodicamente. Os proprietários do sistema podem agendar verificações de vulnerabilidade em tempo real, conforme necessário, para se adaptarem à alteração de vetores de ameaças.
Restrições à digitalização de clientes . Devido ao potencial de interromper os sistemas da Edgio e criar riscos de segurança para a Edgio e para os seus clientes, a Edgio não permite que os clientes (ou os seus terceiros) testem ou digitalizem os ativos da Edgio.
Restrições à partilha de relatórios . O Edgio não fornece relatórios de vulnerabilidade nem responde a perguntas específicas sobre Vulnerabilidade e Exposições Comuns (“CVE”) relativas ao uso e/ou não utilização de hardware, software ou produtos de terceiros específicos implantados na infraestrutura do Edgio.
CONTINUIDADE DE NEGÓCIOS E GESTÃO DE EVENTOS (“BCEM”)
Protocolos de Continuidade de Negócios . Edgio mantém protocolos de continuidade de negócios e recuperação de desastres projetados para melhorar a capacidade de Edgio de responder a eventos significativos que podem perturbar as redes e instalações da Edgio ou prejudicar a capacidade de fornecer serviços.
Avaliação de Risco de Desastres . As práticas de continuidade de negócios e recuperação de desastres da Edgio identificam riscos potenciais de recuperação para os ativos da Edgio e implementam medidas destinadas a ajudar a minimizar e mitigar esses riscos usando práticas aceites pela indústria.
Recursos dedicados da equipa . O Edgio desenvolve e implementa estratégias concebidas para minimizar os riscos de recuperação e validar as capacidades de resposta do Edgio através de um planeamento rigoroso e de testes periódicos.
ANEXO 2: CLÁUSULAS CONTRATUAIS-TIPO PARA UTILIZAÇÃO EM TRANSFERÊNCIAS DA UE
(Controladores para processadores)
DECISÃO DE EXECUÇÃO (UE) 2021/914 DA COMISSÃO, de 4 de junho de 2021, relativa a cláusulas contratuais-tipo para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (transferências do controlador para o processador).
Entre o cliente a seguir designado por “exportador de dados” e a Edgio, Inc. A seguir, “importador de dados”, cada uma “parte”; em conjunto, “as partes”,
Em consideração aos pactos e promessas mútuas aqui contidas
ACORDARAM nas seguintes cláusulas contratuais (as “Cláusulas“), a fim de obter garantias adequadas em relação à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no anexo 1.
SECÇÃO I
Cláusula 1
Objetivo e âmbito
A) O objetivo destas cláusulas contratuais-tipo é assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) para a transferência de dados para um país terceiro.
B) As partes:
I) a pessoa singular ou coletiva, as autoridades públicas, as agências ou outros organismos que transferem os dados pessoais, conforme indicado no anexo I, a seguir designado por “exportador de dados”, e.
II) a entidade/s num país terceiro que recebe os dados pessoais do exportador de dados, direta ou indiretamente através de outra entidade também Parte nestas cláusulas, conforme listado no anexo I-A (a seguir designado “importador de dados”)
Concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas” ).
C) Estas cláusulas aplicam-se à transferência de dados pessoais, tal como especificado no anexo I.B.
D) O apêndice a estas cláusulas que contém os anexos nele referidos faz parte integrante destas cláusulas.
Cláusula 2
Efeito e invariabilidade das cláusulas
(A) Estas cláusulas estabelecem salvaguardas adequadas, incluindo direitos aplicáveis aos titulares dos dados e recursos legais eficazes, nos termos do artigo 46º, n.º 1, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que respeita às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar informações adequadas. Isto não impede que as Partes incluam as cláusulas contratuais-tipo estabelecidas nestas cláusulas num contrato mais vasto e/ou adicionem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
B) Estas cláusulas não prejudicam as obrigações a que o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
(A) Os titulares dos dados podem invocar e aplicar estas cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:
(I) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(II) Cláusula 8 – Módulo Dois: Cláusula 8,1(b), 8,9(a), (c), (d) e (e);
(III) Cláusula 9 – Módulo Dois: Cláusula 9(a), c), d) e. e);
(IV) Cláusula 12 – Módulos Dois: Cláusula 12(a), d) e f);
(V) Cláusula 13;
VI) Cláusula 15,1, c), d) e e);
(VII) Cláusula 16(e);
(VIII) Cláusula 18 – Módulo Dois: Cláusula 18(a) e (b).
B) Parágrafo A) Não prejudica os direitos dos titulares dos dados nos termos do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
A) Quando estas cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que aquele regulamento.
B) Estas cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
C) Estas cláusulas não devem ser interpretadas de forma a entrar em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que essas cláusulas são acordadas ou celebradas posteriormente, essas cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência(ões)
Os pormenores da(s) transferência(ões), e em especial as categorias de dados pessoais que são transferidos e os fins para os quais são transferidos, estão especificados no anexo I.B.
Cláusula 7
Cláusula de acoplamento
DELIBERADAMENTE EM BRANCO.
SECÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que utilizou esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de satisfazer as suas obrigações ao abrigo destas cláusulas.
8,1 instruções
A) O importador de dados só processará os dados pessoais em instruções documentadas do exportador de dados. O exportador de dados pode dar essas instruções durante a duração do contrato.
B) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8,2 Limitação de propósito
O importador de dados tratará os dados pessoais apenas para os fins específicos da transferência, tal como estabelecido no anexo I, B, a menos que seja indicado em instruções adicionais do exportador de dados.
8,3 Transparência
A pedido, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas cláusulas, incluindo o apêndice, conforme preenchido pelas partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no anexo II e os dados pessoais, o exportador de dados pode redigir parte do texto do apêndice a estas cláusulas antes de partilhar uma cópia, mas deve fornecer um resumo significativo onde o titular dos dados não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. A pedido, as partes fornecerão ao titular dos dados as razões para as redação, na medida do possível, sem revelar a informação redigida. A presente cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
8,4 Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou estão desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados cooperará com o exportador de dados para apagar ou retificar os dados.
8,5 Duração do processamento e eliminação ou devolução de dados
O tratamento pelo importador de dados só terá lugar durante o período especificado no anexo I. B. Após o fim da prestação dos serviços de tratamento, o importador de dados, à escolha do exportador de dados, eliminará todos os dados pessoais processados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais processados em seu nome e apagará cópias existentes. Até que os dados sejam eliminados ou devolvidos, o importador de dados continuará a assegurar o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbem a devolução ou eliminação dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento destas cláusulas e só os processará na medida e durante o tempo exigido pela lei local. Isto não prejudica a Cláusula 14, em especial a exigência de o importador de dados, nos termos da Cláusula 14(e), notificar o exportador de dados durante a duração do contrato, se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam em conformidade com os requisitos da Cláusula 14(a).
8,6 Segurança do processamento
A) O importador de dados e, durante a transmissão, também o exportador de dados deverá implementar medidas técnicas e organizativas adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que conduza à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (a seguir designado “violação de dados pessoais”). Ao avaliarem o nível adequado de segurança, as partes terão devidamente em conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a finalidade do tratamento e os riscos envolvidos no tratamento para os titulares dos dados. As partes considerarão, em especial, o recurso à encriptação ou à pseudonimização, incluindo durante a transmissão, quando a finalidade do tratamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para a atribuição dos dados pessoais a um titular de dados específico permanecerão, sempre que possível, sob o controlo exclusivo do exportador de dados. No cumprimento das obrigações que lhe incumbem por força do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas previstas no anexo II O importador de dados deve efetuar controlos regulares para garantir que essas medidas continuem a proporcionar um nível de segurança adequado.
B) O importador de dados só concederá acesso aos dados pessoais aos membros do seu pessoal na medida estritamente necessária para a execução, gestão e controlo do contrato. Deve garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade adequada.
C) Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados ao abrigo destas cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar os seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada depois de ter conhecimento da violação. Essa notificação deve conter os pormenores de um ponto de contacto onde possam ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo, se for caso disso, medidas para atenuar os seus possíveis efeitos adversos. Sempre que, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e outras informações, à medida que forem disponibilizadas, serão posteriormente fornecidas sem demora injustificada.
D) O importador de dados cooperará e ajudará o exportador de dados a permitir que o exportador de dados cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, em especial para notificar a autoridade de supervisão competente e os titulares dos dados afetados, tendo em conta a natureza do tratamento e as informações de que o importador de dados dispõe.
8,7 dados confidenciais
Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos ou dados biométricos com o objetivo de identificar de forma única uma pessoa singular, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações e ofensas criminais (a seguir denominados “dados sensíveis”), o importador de dados deve aplicar as restrições específicas e/ou salvaguardas adicionais descritas no anexo I.
8,8 transferências posteriores
O importador de dados só deve divulgar os dados pessoais a terceiros em instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou noutro país terceiro, a seguir designado ‘transferência subsequente’) se o terceiro estiver ou concordar em ficar vinculado por estas cláusulas, ao abrigo do Módulo apropriado, ou se:
I) a transferência subsequente seja para um país que beneficie de uma decisão de adequação nos termos do artigo 45.o do Regulamento (UE) 2016/679 que abranja a transferência subsequente;
II) o terceiro assegura, de outra forma, garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que respeita ao tratamento em questão;
iii) a transferência subsequente for necessária para o estabelecimento, exercício ou defesa de ações judiciais no contexto de processos administrativos, regulamentares ou judiciais específicos; ou
iv) a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.
Qualquer transferência posterior está sujeita à conformidade pelo importador de dados com todas as outras salvaguardas ao abrigo destas cláusulas, em particular limitação de finalidade.
8,9 Documentação e conformidade
A) O importador de dados deve tratar de forma rápida e adequada os inquéritos do exportador de dados relacionados com o tratamento ao abrigo destas cláusulas.
B) As partes poderão demonstrar o cumprimento destas cláusulas. Em especial, o importador de dados deve manter a documentação adequada sobre as atividades de tratamento realizadas em nome do exportador de dados.
C) O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de tratamento cobertas por estas cláusulas, a intervalos razoáveis ou se houver indícios de não cumprimento. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode ter em conta as certificações relevantes detidas pelo importador de dados.
D) O exportador de dados pode optar por realizar a auditoria por si só ou mandatar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e, se for caso disso, devem ser realizadas com aviso prévio razoável.
E) As partes farão as informações referidas nos números b) e. c), incluindo os resultados de quaisquer auditorias, à disposição da autoridade de controlo competente, a pedido.
Cláusula 9
Uso de subprocessadores
A) O importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessadores a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, de quaisquer alterações previstas a essa lista através da adição ou substituição de subprocessadores com pelo menos trinta e (30) dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder opor-se a essas alterações antes da contratação do subprocessador. O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir ao exportador de dados exercer o seu direito de oposição.
B) Quando o importador de dados contratar um subprocessador para realizar atividades específicas de processamento (em nome do exportador de dados), deve fazê-lo através de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que as que vinculam o importador de dados ao abrigo destas cláusulas, incluindo em termos de direitos de terceiros beneficiários para os titulares dos dados. As Partes concordam que, ao cumprir esta cláusula, o importador de dados cumpre as suas obrigações ao abrigo da Cláusula 8,8. O importador de dados deve assegurar que o subprocessador cumpre as obrigações a que o importador de dados está sujeito, nos termos destas cláusulas.
C) O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal acordo de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do acordo antes de partilhar uma cópia.
D) O importador de dados continuará a ser totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador ao abrigo do seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subprocessador em cumprir as suas obrigações ao abrigo desse contrato.
E) O importador de dados deve acordar uma cláusula de beneficiário terceiro com o subprocessador em que – no caso de o importador de dados ter desaparecido factualmente, deixado de existir na lei ou se ter tornado insolvente – o exportador de dados terá o direito de terminar o contrato do subprocessador e de instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do titular dos dados
a) O importador de dados deve notificar imediatamente o exportador de dados de qualquer pedido que tenha recebido de um titular de dados. Não responderá a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
B) O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares de dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as partes definirão no anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento, através do qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
C) Ao cumprimento das obrigações que lhe incumbem por força dos parágrafos a) e. b) o importador de dados deve cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
A) O importador de dados deve informar os titulares de dados, num formato transparente e de fácil acesso, através de um aviso individual ou no seu website, de um ponto de contacto autorizado a tratar reclamações. Tratará imediatamente de quaisquer reclamações que receba de um titular de dados.
B) Em caso de litígio entre um titular de dados e uma das Partes no que respeita ao cumprimento destas cláusulas, essa Parte envidará os seus melhores esforços para resolver o problema amigavelmente em tempo hábil. As partes manter-se-ão informadas sobre esses litígios e, se for caso disso, cooperarão na sua resolução.
C) Quando o titular dos dados invocar um direito de beneficiário terceiro nos termos da Cláusula 3, o importador de dados aceita a decisão do titular dos dados de:
I) apresentar uma queixa à autoridade de controlo do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos da cláusula 13;
II) submeter o litígio aos tribunais competentes na aceção da cláusula 18.
D) As partes aceitam que o titular dos dados pode ser representado por um organismo, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80º, n.º 1, do Regulamento (UE) 2016/679.
E) O importador de dados deve obedecer a uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou dos Estados-Membros.
(F) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará os seus direitos substantivos e processuais de procurar recursos de acordo com as leis aplicáveis.
Cláusula 12
Responsabilidade
(A) Cada uma das Partes será responsável perante a outra Parte por quaisquer danos que cause à outra Parte por qualquer violação destas Cláusulas.
B) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indemnização, por quaisquer danos materiais ou não materiais que o importador de dados ou o seu subprocessador cause ao titular dos dados, violando os direitos de terceiros beneficiários ao abrigo destas cláusulas.
C) Não obstante o parágrafo (B) O exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indemnização, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou o seu subprocessador) cause ao titular dos dados, violando os direitos de terceiros beneficiários ao abrigo destas cláusulas. Isto não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador a atuar em nome de um responsável pelo tratamento, à responsabilidade do responsável pelo tratamento nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
D) As partes concordam que se o exportador de dados for responsabilizado nos termos do parágrafo c) por danos causados pelo importador de dados (ou pelo seu subprocessador), terá o direito de reclamar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelos danos.
(E) Quando mais de uma das Partes for responsável por qualquer dano causado ao titular dos dados em consequência de uma violação destas cláusulas, todas as Partes Responsáveis serão solidariamente responsáveis e o titular dos dados tem o direito de intentar uma ação judicial contra qualquer uma destas Partes.
F) As partes concordam que, se uma das partes for considerada responsável nos termos do parágrafo (E), terá o direito de reclamar da outra parte da compensação correspondente à sua responsabilidade pelos danos.
G) O importador de dados não pode invocar a conduta de um subprocessador para evitar a sua própria responsabilidade.
Cláusula 13
Supervisão
A autoridade de controlo responsável por assegurar o cumprimento pelo exportador de dados do Regulamento (UE) 2016/679 no que respeita à transferência de dados, tal como indicado no anexo I.C, atuará como autoridade de supervisão competente.
B) O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade de supervisão competente em quaisquer procedimentos que visem assegurar o cumprimento destas cláusulas. Em particular, o importador de dados concorda em responder a inquéritos, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade de supervisão, incluindo medidas de reparação e compensação. Deve fornecer à autoridade de controlo uma confirmação por escrito de que foram tomadas as medidas necessárias.
SECÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR PARTE DAS AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afetam o cumprimento das cláusulas
(A) As Partes garantem que não têm motivos para acreditar que as leis e práticas no país terceiro de destino aplicáveis ao tratamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizem o acesso das autoridades públicas, impedem o importador de dados de cumprir as suas obrigações ao abrigo destas cláusulas. Isto baseia-se no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o necessário e proporcionado numa sociedade democrática para salvaguardar um dos objetivos mencionados no artigo 23º, n.º 1, do Regulamento (UE) 2016/679, não estão em contradição com estas cláusulas.
(B) As Partes declaram isso ao fornecer a garantia prevista no parágrafo a) tejaram devidamente em conta, em especial, os seguintes elementos:
i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de tratamento, o número de intervenientes envolvidos e os canais de transmissão utilizados; as transferências subsequentes previstas; o tipo de destinatário; a finalidade do tratamento; as categorias e o formato dos dados pessoais transferidos; o setor económico em que ocorre a transferência; o local de armazenamento dos dados transferidos;
ii) as leis e práticas do país terceiro de destino, incluindo as que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por essas autoridades, relevantes à luz das circunstâncias específicas da transferência, e das limitações e garantias aplicáveis;
(III) quaisquer garantias contratuais, técnicas ou organizativas relevantes implementadas para completar as salvaguardas ao abrigo destas cláusulas, incluindo medidas aplicadas durante a transmissão e ao tratamento dos dados pessoais no país de destino.
C) O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo B), envidou os seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir o cumprimento destas cláusulas.
D) As partes acordam em documentar a avaliação nos termos da alínea b) e torná-la disponível à autoridade de controlo competente, a pedido.
(E) O importador de dados concorda em notificar imediatamente o exportador de dados se, depois de ter concordado com estas cláusulas e durante a duração do contrato, tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam em conformidade com os requisitos previstos na alínea a), incluindo a sequência de uma alteração nas leis do país terceiro ou de uma medida (como um pedido de divulgação) indicando uma aplicação dessas leis na prática que não esteja em conformidade com os requisitos.
(F) Na sequência de uma notificação nos termos da alínea e), ou se o exportador de dados tiver razões para acreditar que o importador de dados já não pode cumprir as suas obrigações ao abrigo destas cláusulas, o exportador de dados identificará prontamente medidas adequadas (por exemplo, medidas técnicas ou organizativas para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou pelo importador de dados apenas terá direito de transferência de acordo com a essas partes, se este contrato for aplicável, caso for aplicável, se for aplicável, se for aplicável, se for aplicável, se o exportador de outra forma a essas cláusulas for aplicável, caso for aplicável, se o exportador de outra. 16.
Cláusula 15
Obrigações do importador de dados em caso de acesso das autoridades públicas
15,1 Notificação
A) O importador de dados concorda em notificar o exportador de dados e, se possível, o titular dos dados imediatamente (se necessário com a ajuda do exportador de dados) se:
(I) receber um pedido legalmente vinculativo de uma autoridade pública, incluindo autoridades judiciais, nos termos das leis do país de destino para a divulgação de dados pessoais transferidos nos termos destas cláusulas; essa notificação incluirá informações sobre os dados pessoais solicitados, a autoridade requerida, a base legal para o pedido e a resposta fornecida; ou
(II) toma conhecimento de qualquer acesso direto das autoridades públicas aos dados pessoais transferidos nos termos destas cláusulas, de acordo com as leis do país de destino; essa notificação incluirá todas as informações disponíveis para o importador.
B) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados, nos termos das leis do país de destino, o importador de dados concorda em fazer o melhor possível para obter uma isenção da proibição, com vista a comunicar o máximo de informações possível, o mais rapidamente possível. O importador de dados concorda em documentar os seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.
C) Quando permitido pela legislação do país de destino, o importador de dados concorda em fornecer ao exportador de dados, a intervalos regulares durante a duração do contrato, o máximo de informações relevantes quanto possível sobre os pedidos recebidos (em particular, o número de pedidos, o tipo de dados solicitados, a autoridade/s requerente, se os pedidos foram contestados e o resultado de tais desafios, etc.).
D) O importador de dados concorda em preservar a informação nos termos das alíneas a) a c) durante a duração do contrato e torná-la disponível à autoridade de controlo competente, a pedido.
E) As alíneas a) a c) não prejudicam a obrigação do importador de dados, nos termos da Cláusula 14(e) e da Cláusula 16, de informar imediatamente o exportador de dados quando não puder cumprir estas cláusulas.
15,2 Revisão da Legalidade e Minimização de Dados
A) O importador de dados concorda em rever a legalidade do pedido de divulgação, em especial se permanece dentro dos poderes atribuídos à autoridade pública requerente, e em contestar o pedido se, após uma avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que o pedido é ilegal ao abrigo das leis do país de destino, obrigações aplicáveis ao abrigo do direito internacional e princípios da comidade internacional. O importador de dados deve, nas mesmas condições, perseguir possibilidades de recurso. Quando contestar um pedido, o importador de dados procurará medidas provisórias com vista a suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido o seu mérito. Não divulgará os dados pessoais solicitados até serem obrigados a fazê-lo de acordo com as regras processuais aplicáveis. Estes requisitos não prejudicam as obrigações do importador de dados ao abrigo da Cláusula 14(e).
B) O importador de dados concorda em documentar a sua avaliação legal e qualquer desafio ao pedido de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-lo à autoridade de controlo competente, a pedido.
C) O importador de dados concorda em fornecer a quantidade mínima de informações permitida quando responde a um pedido de divulgação, com base numa interpretação razoável do pedido.
SECÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não cumprimento das cláusulas e da denúncia
A) O importador de dados deve informar imediatamente o exportador de dados se não puder cumprir estas cláusulas, por qualquer razão.
B) No caso de o importador de dados violar estas cláusulas ou não poder cumprir estas cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isto não prejudica a cláusula 14(f).
C) O exportador de dados tem o direito de terminar o contrato, na medida em que se refere ao tratamento de dados pessoais ao abrigo destas cláusulas, quando:
(I) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos da alínea b) e o cumprimento destas cláusulas não for restabelecido num prazo razoável e, em qualquer caso, no prazo de um mês a contar da suspensão;
(II) o importador de dados esteja em violação substancial ou persistente destas cláusulas; ou
(III) o importador de dados não cumprir uma decisão vinculativa de um tribunal ou autoridade de supervisão competente quanto às suas obrigações ao abrigo destas cláusulas.
Nestes casos, deve informar a autoridade de controlo competente dessa não conformidade. Quando o contrato envolver mais de duas partes, o exportador de dados pode exercer este direito de rescisão apenas com relação à parte relevante, a menos que as partes tenham acordado em contrário.
(D) Dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo c) deverão, à escolha do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou apagados na sua totalidade. O mesmo se aplica a todas as cópias dos dados. O importador de dados deve certificar a eliminação dos dados ao exportador de dados. Até que os dados sejam eliminados ou devolvidos, o importador de dados continuará a assegurar o cumprimento destas cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbem a devolução ou eliminação dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento destas cláusulas e apenas processará os dados na medida e durante o tempo exigido pela lei local.
E) Qualquer das partes pode revogar o seu acordo de estar vinculada a estas cláusulas, sempre que I) a Comissão Europeia adotar uma decisão nos termos do artigo 45º, n.º 3, do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais a que se aplicam estas cláusulas; Or II) O Regulamento (UE) 2016/679 passa a fazer parte do quadro legal do país para o qual os dados pessoais são transferidos. Isto não prejudica outras obrigações que se aplicam ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17
Lei aplicável
Estas cláusulas são regidas pela lei de um dos Estados-Membros da UE, desde que essa lei permita direitos de terceiros beneficiários. As partes concordam que esta será a lei da Irlanda.
Cláusula 18
Escolha de fórum e jurisdição
A) Qualquer litígio resultante destas cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.
B) As partes concordam que esses serão os tribunais OFIRELAND.
C) Um titular de dados pode igualmente intentar um processo judicial contra o exportador de dados e/ou o importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.
D) As partes acordam em submeter-se à jurisdição desses tribunais.
Cláusula 19
Transferência sujeita à lei suíça de proteção de dados
A) Na medida em que as leis e regulamentos de proteção de dados e privacidade da Suíça (“A Lei Suíça de Proteção de Dados aplica-se a uma transferência de dados pessoais, o exportador de dados e o importador de dados concordam que estas cláusulas são alteradas de modo a que, com respeito (apenas) a essa transferência (e sem limitar ou afetar a aplicação destas cláusulas de outra forma):
i.. As referências gerais e específicas nestas cláusulas ao Regulamento (UE) 2016/679 ou “esse regulamento” ou à legislação da UE ou dos Estados-Membros têm o mesmo significado que a referência equivalente nas Leis Suíças de Proteção de Dados;
ii. A expressão “Estado-Membro” não será interpretada de modo a excluir os titulares de dados na Suíça da possibilidade de processar os seus direitos no seu lugar de residência habitual (Suíça), em conformidade com a cláusula 18, alínea c), destas cláusulas;
iii Os detalhes das transferências são os especificados no anexo I onde as leis de proteção de dados da Suíça se aplicam ao processamento do exportador de dados ao efetuar essa transferência;
iv. Estas cláusulas também se aplicam à transferência de informações relativas a uma entidade jurídica identificada ou identificável, quando essa informação é protegida de forma semelhante aos “dados pessoais” ao abrigo das Leis de Proteção de Dados Suíços até que essas leis sejam alteradas para deixar de se aplicar a uma entidade legal; e.
v. O Comissário Federal Suíço de Proteção de Dados e Informação é a autoridade de supervisão competente para os efeitos da cláusula 13 destas cláusulas.
ANEXO I DA EXPOSIÇÃO 2
A. LISTA DE PARTES
Exportador(es) de dados: [Dados de identificação e contacto do(s) exportador(es) de dados e, se aplicável, do seu responsável pela proteção de dados e/ou representante na União Europeia]
Ver Quadro 1, parte A.
B. DESCRIÇÃO DA TRANSFERÊNCIA
Ver Quadro 1, parte B..
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Ver Quadro 1, parte B..
ANEXO II DA EXPOSIÇÃO 2
Ver Quadro 1, parte C.
ANEXO III DA EXPOSIÇÃO 2
LISTA DE SUBPROCESSADORES
Não aplicável.
EXPOSIÇÃO 3
REINO UNIDO ADDENDUM ÀS CLÁUSULAS CONTRATUAIS-TIPO DA UE
Data da presente Adenda:
1. A presente Adenda entra em vigor a partir da mesma data que as cláusulas.
Contexto:
2. O Comissário da Informação considera que a presente Adenda fornece salvaguardas adequadas para efeitos de transferência de dados pessoais para um país terceiro ou uma organização internacional, em conformidade com os artigos 46.º do RGPD do Reino Unido e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores.
Interpretação da presente Adenda
3. Quando a presente adenda utilizar termos definidos no anexo, esses termos terão o mesmo significado que no anexo 2.22. Além disso, os seguintes termos têm os seguintes significados:
Esta Adenda
Esta adenda às cláusulas
O anexo
Leis de Proteção de Dados do Reino Unido
Todas as leis relativas à proteção de dados, ao tratamento de dados pessoais, privacidade e/ou comunicações eletrónicas em vigor periodicamente no Reino Unido, incluindo o RGPD do Reino Unido e a Lei de Proteção de Dados de 2018.
GDPR DO REINO UNIDO
O Regulamento Geral de Proteção de Dados do Reino Unido, uma vez que faz parte da lei da Inglaterra e do País de Gales, Escócia e Irlanda do Norte, em virtude da secção 3 da Lei da União Europeia (Retirada) de 2018.
REINO UNIDO
O Reino Unido da Grã-Bretanha e da Irlanda do Norte
4. A presente Adenda deve ser lida e interpretada à luz das disposições das Leis de Proteção de Dados do Reino Unido, e de modo que, se cumprir a intenção de fornecer as salvaguardas adequadas, conforme exigido pelo artigo 46.º do RGPD.
5. A presente Adenda não deve ser interpretada de forma a entrar em conflito com os direitos e obrigações previstos nas Leis de Proteção de Dados do Reino Unido.
6. Quaisquer referências a legislação (ou a disposições específicas da legislação) significam que a legislação (ou disposição específica) que possa mudar ao longo do tempo. Isto inclui quando essa legislação (ou disposição específica) foi consolidada, re-promulgada e/ou substituída após a entrada em vigor da presente Adenda.
Hierarquia
7. Em caso de conflito ou inconsistência entre a presente adenda e as disposições das cláusulas ou outros acordos relacionados entre as partes, existentes no momento em que a adenda for acordada ou posteriormente introduzida, prevalecerão as disposições que proporcionem maior proteção aos titulares dos dados.
Incorporação das cláusulas
8. A presente Adenda incorpora as cláusulas que se consideram alteradas na medida do necessário para que funcionem:
a. Para as transferências efetuadas pelo exportador de dados para o importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se apliquem ao processamento do exportador de dados ao fazer essa transferência; e.
b.. Fornecer garantias adequadas para as transferências de acordo com os artigos 46.º das leis do RGPD do Reino Unido.
9. As alterações requeridas pela secção 7 supra incluem, sem limitação:
a. As referências às cláusulas significam este adendo, uma vez que incorpora as cláusulas
b.. Cláusula 6 A descrição da(s) transferência(ões) é substituída por:
“Os detalhes das transferências e, em particular, as categorias de dados pessoais que são transferidos e as finalidades para as quais são transferidos são os especificados no anexo I. B onde as leis de proteção de dados do Reino Unido se aplicam ao processamento do exportador de dados ao fazer essa transferência.”
d.. As referências ao “Regulamento (UE) 2016/679″ ou “esse regulamento” são substituídas por “Leis de Proteção de Dados do Reino Unido” e referências a artigo(s) específico(s) do “Regulamento (UE) 2016/679″ são substituídas pelo artigo equivalente ou seção das Leis de Proteção de Dados do Reino Unido.
e.. As referências ao Regulamento (UE) 2018/1725 são suprimidas.
f.. As referências à “União”, à “UE” e ao “Estado-Membro da UE” são todas substituídas pelo “Reino Unido”
g. A Cláusula 13(a) e a parte C do anexo II não são utilizadas; a “autoridade supervisora competente” é o Comissário da Informação;
h.. A Cláusula 17 é substituída por declarar que estas cláusulas são regidas pelas leis da Inglaterra e do País de Gales.
i.. A cláusula 18 é substituída por indicar:
j. “Qualquer litígio resultante destas cláusulas será resolvido pelos tribunais de Inglaterra e do País de Gales. Um titular de dados também pode intentar um processo judicial contra o exportador de dados e/ou importador de dados perante os tribunais de qualquer país no Reino Unido. As partes concordam em submeter-se à jurisdição de tais tribunais.”
k.. As notas de rodapé das cláusulas não fazem parte da adenda.
Alterações à presente Adenda
10. As partes podem acordar em alterar as cláusulas 17 e/ou 18 para se referirem às leis e/ou tribunais da Escócia ou da Irlanda do Norte.
11. As partes podem alterar o presente adendo desde que mantenham as salvaguardas adequadas requeridas no artigo 46.º do RGPD do Reino Unido para a transferência relevante, incorporando as cláusulas e fazendo alterações nas mesmas de acordo com a Secção 7 acima.
A executar esta Adenda
12. As Partes podem celebrar a Adenda (incorporando as Cláusulas) de qualquer forma que as torne legalmente vinculativas para as Partes e permita que os titulares dos dados façam valer os seus direitos, conforme estabelecido nas Cláusulas. Isto inclui (mas não está limitado a):
a. Aditando a presente adenda às cláusulas e incluindo as seguintes assinaturas do anexo 1A:
“Ao assinar, concordamos em ficar vinculados pela Adenda do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE datadas:” e adicionar a data (onde todas as transferências estão sob a Adenda)
“Ao assinar, também concordamos em ficar vinculados pela Adenda do Reino Unido às Cláusulas Contratuais Padrão da Comissão da UE datadas” e adicionar a data (onde há transferências tanto ao abrigo das Cláusulas como ao abrigo da Adenda) (ou palavras com o mesmo efeito) e executar as Cláusulas; Or
b.. Ao alterar as cláusulas de acordo com a presente adenda, e ao executar essas cláusulas alteradas.
ANEXO I DA EXPOSIÇÃO 3
A. LISTA DE PARTES
Exportador(es) de dados: [Dados de identificação e contacto do(s) exportador(es) de dados e, se aplicável, do seu responsável pela proteção de dados e/ou representante na União Europeia]
Ver Quadro 1, parte A.
B. DESCRIÇÃO DA TRANSFERÊNCIA
Ver Quadro 1, parte B..
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Ver Quadro 1, parte B..
ANEXO II DA EXPOSIÇÃO 3
Ver Quadro 1, parte C.
ANEXO III DA EXPOSIÇÃO 3
LISTA DE SUBPROCESSADORES
Não aplicável.