Anexo de processamento de dados

Anexo de processamento de dados

 

Este Anexo constitui parte integrante do Contrato e é celebrado por:

 

  1. (i) O Cliente ("Exportador de Dados")
  2. (ii) IQUALIF ("Importador de Dados")

 

Cada um sendo uma "Parte" e geralmente "Partes".

 

Preambulo

CONSIDERANDO que o Importador de Dados fornece serviços profissionais de software, computação e serviços relacionados (como navegadores com funções avançadas de busca);

CONSIDERANDO que, de acordo com o Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os "Serviços");

CONSIDERANDO que, ao fornecer os Serviços, o Importador de Dados recebe ou se beneficia do acesso às informações do Exportador de Dados ou de outras pessoas com relacionamento (potencial) com o Exportador de Dados, as quais podem ser qualificadas como dados pessoais nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados ("GDPR") e outras leis de proteção de dados aplicáveis.

CONSIDERANDO que este Anexo contém os termos e condições aplicáveis à coleta, processamento e uso de tais dados pessoais pelo Importador de Dados na sua capacidade de agente autorizado de processamento de dados do Exportador de Dados, para garantir que as Partes cumpram a legislação de proteção de dados aplicável.

 

PORTANTO, e para permitir que as Partes continuem sua relação de forma legal, as Partes celebram este Anexo nos seguintes termos:

Parte 1

 

1. Estrutura do documento e definições

1.1 Estrutura

Este Anexo compreende diferentes partes, a saber:

 

Parte 1: 

contém disposições gerais, por exemplo, relativas às definições usadas neste Anexo, conformidade com leis locais, prazos e rescisão

 
Parte 2:

contém o corpo do documento de Cláusulas Contratuais Padrão não alteradas

 
Anexo 1.1 da Parte 2:

contém detalhes das operações de processamento fornecidas pelo Importador de Dados ao Exportador de Dados como agente autorizado de processamento de dados (incluindo o processamento, a natureza e o propósito do processamento, o tipo de dados pessoais e as categorias de titulares de dados) sob este Anexo

 
Anexo 2 da Parte 2:

contém uma descrição das medidas técnicas e organizacionais de segurança do Importador de Dados, que são aplicadas em relação a todas as atividades de processamento descritas no Anexo 1.1 da Parte 2

 
Parte 3:

contém as assinaturas das Partes vinculadas por este Anexo e identifica cada Importador de Dados

 

 

1.2 Terminologia e definições

Para os fins deste Anexo, a terminologia e as definições usadas pelo GDPR são aplicáveis (No corpo do documento de Cláusulas Contratuais Padrão na Parte 2, onde termos definidos não estão em maiúsculas). 

 

"Estado-Membro"

significa um país pertencente à União Europeia ou ao Espaço Econômico Europeu

 
"Categorias especiais de dados (pessoais)"

refere-se a dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação a sindicatos, e dados genéticos, dados biométricos, se processados com o objetivo de identificar de forma única uma pessoa, dados relativos à saúde, dados relativos à vida sexual ou orientação sexual

 
"Cláusulas Contratuais Padrão"

significa as Cláusulas Contratuais Padrão para transferência de dados pessoais de agentes de processamento estabelecidos em países terceiros, sob Decisão da Comissão 2010/87/UE de 5 de fevereiro de 2010, que foi alterada pela Decisão de Execução da Comissão (UE) 2016/2297 de 16 de dezembro de 2016

 
"Processador de Dados"

significa qualquer agente de processamento, localizado dentro ou fora da UE/EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para fins exclusivos de atividades de processamento a serem realizadas pelo Exportador de Dados após a transferência, de acordo com as instruções do Exportador de Dados, os termos deste Anexo e o Contrato com o Importador de Dados

 

 

 

2. Obrigações do Exportador de Dados

2.1 O Exportador de Dados tem a obrigação de garantir o cumprimento de todas as obrigações aplicáveis sob o GDPR e qualquer outra legislação de proteção de dados que se aplique ao Exportador de Dados, e de demonstrar tal conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O Exportador de Dados garante que o Importador de Dados obteve o consentimento prévio dos titulares dos dados de acordo com o Artigo 6 (a) do GDPR e cumpriu sua obrigação de informar os titulares dos dados de acordo com os Artigos 13 e 14 do GDPR.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento em conformidade com o Artigo 30 (1) do GDPR relacionadas aos Serviços sob este Anexo, na medida necessária para que o Importador de Dados cumpra a obrigação sob o Artigo 30 (2) do GDPR.

2.3 O Exportador de Dados deve nomear um encarregado de proteção de dados ou representante na medida exigida pela legislação de proteção de dados aplicável. O Exportador de Dados é obrigado a fornecer os detalhes de contato do agente ou representante de proteção de dados, se houver, ao Importador de Dados.

2.4. O Exportador de Dados confirma, antes de concluir o processamento, por aceitação deste Anexo, que as medidas técnicas e organizacionais de segurança do Importador de Dados, conforme estabelecido no Anexo 2 da Parte 2, são adequadas e suficientes para proteger os direitos do titular dos dados e confirma que o Importador de Dados fornece salvaguardas suficientes nesse aspecto.

 

3. Conformidade com a legislação local

Para atender aos requisitos de implementação dos agentes de processamento conforme o Artigo 28 do GDPR, as seguintes alterações são aplicáveis:

 

3.1 Instruções

  1. (i) O Exportador de Dados instrui o Importador de Dados a processar dados pessoais somente em nome do Exportador de Dados. As instruções do Exportador de Dados estão fornecidas neste Anexo e no Contrato. O Exportador de Dados tem a obrigação de garantir que todas as instruções dadas ao Importador de Dados estejam em conformidade com as leis de proteção de dados aplicáveis. O Importador de Dados deve processar os dados pessoais somente de acordo com as instruções fornecidas pelo Exportador de Dados, salvo se exigido de outra forma pela União Europeia ou pela lei do Estado-Membro (neste caso, aplica-se a Cláusula 3.2 (iv) (c) da Parte 1).
  2. (ii) Todas as demais instruções que vão além das instruções neste Anexo ou no Contrato devem estar incluídas no objeto deste Anexo e do Contrato. Se a implementação dessa instrução adicional envolver custos para o Importador de Dados, este deverá informar o Exportador de Dados desses custos e fornecer uma explicação antes de implementar a instrução. Somente após a confirmação do Exportador de Dados de aceitar esses custos para implementação, o Importador de Dados deverá executar essa instrução adicional. O Exportador de Dados deve fornecer instruções adicionais por escrito, salvo se a urgência ou outras circunstâncias específicas exigirem outra forma (por exemplo, oral, eletrônica). Instruções em forma diferente da escrita devem ser confirmadas por escrito e sem atraso pelo Exportador de Dados.
  3. 1. Salvo se o Exportador de Dados não puder realizar a retificação, exclusão ou restrição dos dados pessoais por si próprio, as instruções também podem se referir à retificação, exclusão e/ou restrição dos dados pessoais conforme disposto na Cláusula 3.3 da Parte 1.
  4. 2. O Importador de Dados deve informar imediatamente o Exportador de Dados se, na sua opinião, uma Instrução viola o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro ("Instrução Contestada"). Se o Importador de Dados acreditar que uma Instrução infringe o GDPR ou outras disposições de proteção de dados da União Europeia ou de um Estado-Membro, ele não é obrigado a seguir a Instrução Contestada. Se o Exportador de Dados confirmar a Instrução Contestada ao receber informações do Importador de Dados e reconhecer sua responsabilidade pela Instrução Contestada, o Importador de Dados deverá implementar a Instrução Contestada, salvo se ela estiver relacionada a (i) a implementação de medidas técnicas e organizacionais, (ii) os direitos dos titulares dos dados ou (iii) o engajamento de processadores de dados. Nesses casos (i) a (iii), o Importador de Dados pode contatar uma autoridade supervisora competente para que avalie legalmente a Instrução contestada. Se a autoridade declarar a legalidade da Instrução contestada, o Importador de Dados deverá implementá-la. A Cláusula 3.1 (ii) da Parte 1 permanecerá aplicável.

 

3.2 Obrigações do Importador de Dados

  1. (i) O Importador de Dados deve garantir que as pessoas autorizadas por ele a processar dados pessoais em nome do Exportador de Dados, em particular funcionários do Importador de Dados e funcionários de qualquer Subcontratado, tenham assumido o compromisso de manter sigilo ou estejam sujeitos a uma obrigação estatutária de confidencialidade adequada, e que essas pessoas que tenham acesso aos dados pessoais os processem de acordo com as instruções do Exportador de Dados.
  2. (ii) O Importador de Dados deve implementar as medidas técnicas e organizacionais de segurança conforme estabelecido no Anexo 2 da Parte 2 antes de processar os dados pessoais em nome do Exportador de Dados. O Importador de Dados pode alterar as medidas de segurança técnica e organizacional periodicamente, desde que não ofereçam proteção inferior às estabelecidas no Anexo 2 da Parte 2.
  3. (iii) O Importador de Dados deverá disponibilizar ao Exportador de Dados, mediante solicitação, informações que demonstrem o cumprimento das obrigações do Importador de Dados sob este Anexo. A obrigação de fornecer essas informações será atendida ao fornecer ao Exportador de Dados um relatório de auditoria (que cubra segurança, disponibilidade do sistema e confidencialidade) ("Relatório de Auditoria"). Se atividades adicionais de auditoria forem legalmente exigidas, o Exportador de Dados poderá solicitar que inspeções sejam realizadas pelo próprio Exportador ou por outro auditor nomeado por ele, mediante assinatura de um acordo de confidencialidade com o Importador de Dados, de forma a garantir a confidencialidade ("Auditoria"). Essa Auditoria estará sujeita às seguintes condições: (i) aceitação formal prévia por escrito do Importador de Dados; e (ii) o Exportador de Dados arcará com todos os custos relacionados à Auditoria in loco. O Exportador de Dados deverá criar um relatório de auditoria resumindo os resultados e observações da Auditoria in loco ("Relatório de Auditoria in loco"). Os Relatórios de Auditoria in loco e os Relatórios de Auditoria são informações confidenciais do Importador de Dados e não devem ser divulgados a terceiros, salvo se exigido por lei de proteção de dados ou com consentimento do Importador de Dados.
  4. (iv) O Importador de Dados tem a obrigação de notificar o Exportador de Dados sem atraso indevido:
    1. a. sobre qualquer solicitação legal vinculativa de divulgação de dados pessoais por autoridade policial, salvo se proibido, como uma proibição sob lei criminal para preservar a confidencialidade de uma investigação policial;
    2. b. sobre qualquer reclamação e solicitação recebida diretamente de um titular de dados (por exemplo, sobre acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, objeção ao processamento de dados, decisão automatizada) sem responder a essa solicitação, salvo se estiver autorizado a fazê-lo;
    3. c. se o Importador de Dados ou processador de dados estiver obrigado, sob a lei da União Europeia ou do Estado-Membro ao qual estiver sujeito, a processar os dados pessoais além das instruções do Exportador de Dados, antes de realizar tal processamento além das instruções, salvo se as leis da União Europeia ou do Estado-Membro proibirem tal processamento por motivos de interesse público vital, caso em que a notificação ao Exportador de Dados deverá especificar o requisito legal sob essa lei da União Europeia ou do Estado-Membro; ou
    4. d. se o Importador de Dados perceber uma violação de dados pessoais, apenas por si ou por seu subcontratado, que afetaria os dados pessoais do Exportador de Dados cobertos pelo presente contrato, caso em que o Importador de Dados auxiliará o Exportador de Dados na sua obrigação, perante a legislação de proteção de dados aplicável, de informar os titulares dos dados e, se aplicável, as autoridades de supervisão, fornecendo as informações de que dispõe, de acordo com o Artigo 33 (3) do GDPR.
  5. (v) A pedido do Exportador de Dados, o Importador de Dados deverá ajudar o Exportador de Dados na realização de uma avaliação de impacto de proteção de dados, que pode ser exigida pelo Artigo 35 do GDPR, e em uma consulta prévia, que pode ser exigida pelo Artigo 36 do GDPR, relativas aos serviços prestados pelo Importador de Dados ao Exportador de Dados sob este Anexo, fornecendo as informações necessárias ao Exportador de Dados. O Importador de Dados só será obrigado a fornecer tal assistência se o Exportador de Dados não puder cumprir sua obrigação por outros meios. O Importador de Dados informará ao Exportador de Dados sobre o custo de tal assistência. Assim que o Exportador de Dados confirmar que pode suportar esse custo, o Importador de Dados fornecerá essa ajuda.
  6. (vi) Ao final da prestação dos serviços, o Exportador de Dados poderá solicitar a devolução dos dados pessoais processados pelo Importador de Dados sob este Anexo dentro de um mês após os serviços. Salvo se a legislação do Estado-Membro ou da União Europeia exigir que o Importador de Dados armazene ou retenha esses dados pessoais, o Importador de Dados excluirá todos esses dados pessoais ou não pessoais após o período de um mês, independentemente de terem sido devolvidos ao Exportador de Dados a seu pedido ou não.

 

3.3 Direitos dos titulares dos dados

  1.  
    1. (i) O Exportador de Dados gerencia e responde às solicitações feitas pelos titulares dos dados. O Importador de Dados não é obrigado a responder diretamente aos titulares dos dados.
    2. (ii) Se o Exportador de Dados solicitar a ajuda do Importador de Dados no processamento e resposta às solicitações do Titular dos Dados, o Exportador de Dados emitirá uma instrução adicional de acordo com a Cláusula 3.1 (ii) da Parte 1. O Importador de Dados ajudará o Exportador de Dados com as seguintes medidas técnicas e organizacionais apropriadas para responder às solicitações de exercício dos direitos dos titulares de dados estabelecidos no Capítulo III do GDPR:
    3. a. Quanto às solicitações de informação, o Importador de Dados fornecerá ao Exportador de Dados apenas as informações exigidas pelos Artigos 13 e 14 do GDPR que estiver ao seu dispor, se o Exportador de Dados não puder encontrá-las por conta própria.
    4. b. Quanto às solicitações de acesso (Artigo 15 do GDPR), o Importador de Dados fornecerá ao Exportador de Dados apenas as informações que devem ser fornecidas ao titular dos dados para a referida solicitação de acesso, que estiver ao seu dispor, se este não puder encontrá-las sozinho.
    5. c. Quanto às solicitações de retificação (Artigo 16 do GDPR), exclusão (Artigo 17 do GDPR), restrição de processamento (Artigo 18 do GDPR) ou portabilidade (Artigo 20 do GDPR), e somente se o Exportador de Dados não puder retificar, excluir, limitar ou transmitir os dados pessoais a outro terceiro, o Importador de Dados oferecerá ao Exportador de Dados a possibilidade de retificar, excluir, limitar ou transmitir os dados pessoais envolvidos a outro terceiro, ou, se isso não for possível, fornecerá assistência para retificar, excluir, limitar ou transmitir os dados ao outro terceiro.
    6. d. Quanto à notificação relacionada à retificação, exclusão ou restrição de processamento (Artigo 19 do GDPR), o Importador de Dados auxiliará o Exportador de Dados notificando todos os destinatários de dados pessoais envolvidos pelo Importador de Dados como processadores, se assim solicitado pelo Exportador de Dados e se este não puder resolver a situação por conta própria.
    7. e. Quanto ao direito de oposição exercido por um titular de dados (Artigos 21 e 22 do GDPR), o Exportador de Dados determinará se a oposição é legítima e como lidar com ela.
    8. (iii) As obrigações de assistência do Importador de Dados limitam-se aos dados pessoais processados dentro de sua infraestrutura (por exemplo, bancos de dados, sistemas, aplicações de propriedade ou fornecidas pelo Importador de Dados).
    9. (iv) O Exportador de Dados determinará se um Titular de Dados pode exercer os direitos dos titulares de dados estabelecidos na Cláusula 3.1 desta Parte 1 e informará ao Importador de Dados até que ponto a assistência prevista nas Cláusulas 3.3 (ii), (iii) de Parte 1 seja necessária.
    10. (v) Se o Exportador de Dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares de dados que vão além da assistência fornecida pelo Importador de Dados sob a Subcláusula 3.3 (ii), (iii) de Parte 1, o Importador de Dados informará ao Exportador de Dados os custos de implementação dessas medidas adicionais ou modificadas. Assim que o Exportador de Dados confirmar que pode suportar esses custos, o Importador de Dados implementará tais medidas adicionais ou modificadas para ajudar o Exportador de Dados a responder às solicitações dos titulares de dados.
    11. (vi) Sem limitar o escopo da Cláusula 3.3 (v) de Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis incorridas ao responder às solicitações dos titulares de dados.

 

3.4 Subcontratação

  1.  
    1. (i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação de serviços sob este Anexo. O Importador de Dados deverá selecionar esses processadores de dados cuidadosamente. O Exportador de Dados aprova os processadores de dados listados no Anexo 1.1 ao final da Parte 2.
    2. (ii) O Importador de Dados transferirá suas obrigações sob este Anexo para o(s) processador(es) de dados contratado(s), na medida aplicável aos serviços subcontratados.
    3. (iii) O Importador de Dados pode dispensar, substituir ou nomear outro processador de dados adequado e confiável, a seu critério. Se solicitado por escrito pelo Exportador de Dados, o Importador de Dados deverá seguir o procedimento abaixo:
  2.  
    1. a. O Importador de Dados informará ao Exportador de Dados antes de quaisquer alterações na lista de processadores de dados referenciada na Cláusula 3.4 (i) de Parte 1. Se o Exportador de Dados não se opuser dentro de trinta dias após o recebimento da notificação do Importador de Dados, os processadores adicionais serão considerados aceitos.
    2. b. Se o Exportador de Dados tiver motivo legítimo para se opor a um processador de dados adicional, ele dará aviso prévio por escrito ao Importador de Dados dentro de trinta dias após o recebimento da notificação do Importador de Dados e antes que o serviço do Importador de Dados seja colocado em operação. Se o Exportador de Dados se opuser ao uso de um processador de dados adicional, o Importador de Dados poderá eliminar a objeção por uma das seguintes opções (a seu critério): (A) cancelar seus planos de usar um processador adicional em relação aos dados pessoais do Exportador de Dados; (B) tomar as medidas corretivas solicitadas pelo Exportador de Dados na sua objeção (cancelando a objeção) e usar o processador adicional em relação aos dados pessoais do Exportador de Dados; (C) deixar de fornecer ou o Exportador de Dados concordar em não usar (temporariamente ou permanentemente) um aspecto específico do serviço que envolveria o uso do processador adicional dos dados pessoais do Exportador de Dados.
  3.  
    1. (iv) se o processador de dados estiver localizado fora da UE/EEE, em um país que não seja reconhecido como oferecendo um nível adequado de proteção de dados após decisão da Comissão Europeia, o Importador de Dados tomará as medidas necessárias para garantir um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir - entre outras - o uso de contratos de processamento de dados baseados nas cláusulas do Modelo da UE, transferência para processadores de dados auto-certificados no âmbito do Escudo de Proteção UE-EUA ou programa similar).

 

3.5 Vencimento

O vencimento deste Anexo é idêntico à data de vencimento do Contrato correspondente. Salvo disposição em contrário neste Anexo, os direitos e deveres relativos à rescisão serão os mesmos contidos no Contrato.

 

4. Limitação de responsabilidade

4.1 Cada parte trata de suas obrigações sob este Anexo e a legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relacionada a uma violação das obrigações sob este Anexo ou legislação de proteção de dados aplicável estará sujeita e será regida pelas disposições de responsabilidade estabelecidas no Contrato ou aplicáveis a ele, salvo disposição em contrário neste Anexo. Se a responsabilidade for regida pelas disposições do Contrato, para fins de cálculo de limites de responsabilidade ou aplicação de outras limitações, qualquer responsabilidade decorrente deste Anexo será considerada como decorrente do Contrato.

 

5. Disposições gerais

5.1 Em caso de inconsistências ou discrepâncias entre as Partes 1 e 2 deste Anexo, prevalecerá a Parte 2. Especificamente, mesmo nesse caso, a Parte 1, que vai além da Parte 2 (ou seja, os termos das cláusulas padrão), sem contradizê-la, permanecerá válida.

5.2 Se surgir qualquer discrepância entre as disposições deste Anexo e as de outros contratos vinculativos às partes, este Anexo prevalecerá em relação às obrigações de proteção de dados das partes. Em caso de dúvida sobre se cláusulas de outros contratos dizem respeito às obrigações de proteção de dados das partes, este Anexo prevalecerá.

5.3 Se alguma disposição deste Anexo for inválida ou inexequível, o restante deste Anexo permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e exequibilidade, preservando ao máximo a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível nunca tivesse feito parte do contrato. O mesmo se aplica se houver omissão neste Anexo.

5.5 Na medida do necessário, as Partes podem solicitar alterações na Parte 1, Cláusula 3 (Conformidade com a legislação local) ou em outras partes do Anexo para cumprir interpretações, diretrizes ou ordens emitidas pelas autoridades competentes da União ou dos Estados-Membros, disposições de execução nacionais ou quaisquer outros desenvolvimentos legais relativos ao GDPR ou outras condições de delegação a entidades envolvidas no processamento de dados, especificamente quanto ao uso das Cláusulas Contratuais Padrão no GDPR. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos, a menos que a Comissão Europeia aprove expressamente (por exemplo, por novas cláusulas adequadas e padrões de proteção de dados).

5.6 Qualquer referência neste Anexo às "Cláusulas" deverá entender-se como referindo-se a todas as disposições deste Anexo, salvo disposição em contrário.

5.7 A escolha da lei na Cláusula 9 da Parte 2 aplica-se a todo o Contrato.

 

6. Dados pessoais transmitidos e processados pelas partes para fins pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes sabem plenamente que certos dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados por cada Parte para seus próprios fins. Quanto a esses dados pessoais, isso não afeta as demais disposições deste Anexo (exceto esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos à equipe do Importador de Dados ao próprio Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em relação aos Serviços fornecidos pela equipe do Importador de Dados. O Importador de Dados pode processar esses dados pessoais para seus próprios fins, em particular em suas relações profissionais com o pessoal do Importador de Dados, para controle de qualidade e treinamento, ou para fins comerciais.

6.3. O Importador de Dados pode transferir dados pessoais ao Exportador de Dados, incluindo nome e detalhes de contato do pessoal do Importador de Dados. O Exportador de Dados pode processar esses dados pessoais para seus próprios fins.

6.4 Ambas as partes deverão cumprir quaisquer leis de proteção de dados aplicáveis, incluindo o GDPR, na coleta, processamento e uso de tais dados pessoais recebidos da outra parte sob a cláusula 1 da Parte 1. Em particular, ambas as Partes deverão adotar medidas de segurança adequadas, proporcionando um nível de proteção semelhante às medidas de segurança estabelecidas no Anexo 2 da Parte 2. Qualquer acesso a esses dados pessoais deverá ser limitado à necessidade de conhecê-los.

6.5 Ambas as Partes devem excluir esses dados pessoais o mais rápido possível após a consecução dos objetivos.

Parte 2

 

DECISÃO DA COMISSÃO

de 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para transferência de dados pessoais para processadores de dados estabelecidos em países terceiros, sob a Diretiva 95/46/CE do Parlamento Europeu e do Conselho

 

 

 

Cláusula 1

Definições

Para os efeitos das cláusulas:

a) 'dados pessoais', 'categorias especiais de dados', 'processamento', 'controlador', 'processador', 'titular dos dados' e 'autoridade de supervisão' terão o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 sobre a proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (1);

b) o 'Exportador de Dados' é o controlador de dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o processador de dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados em nome do Exportador de Dados após a transferência, de acordo com suas instruções e sob os termos dessas cláusulas, e que não está sujeito ao mecanismo de país terceiro que garante proteção adequada nos termos do Artigo 25(1) da Diretiva 95/46/CE; (d) 'Processador de Dados' significa o processador de dados contratado pelo Importador de Dados ou por qualquer outro processador do Importador de Dados que concorde em receber do Importador de Dados ou de qualquer outro processador de dados do Importador de Dados, dados pessoais exclusivamente para atividades de processamento a serem realizadas em nome do Exportador de Dados após a transferência, de acordo com as instruções do Exportador de Dados, sob as condições estabelecidas nessas Cláusulas e sob os termos do contrato de subcontratação por escrito;

e) "legislação de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais dos indivíduos, incluindo o direito à privacidade no processamento de dados pessoais, e que se aplica a um controlador no Estado-Membro onde o Exportador de Dados está estabelecido;

f) “medidas técnicas e organizacionais relativas à segurança” significa medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação não autorizada ou acesso, especialmente quando o processamento envolve a transmissão de dados por redes, e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência, incluindo, quando apropriado, categorias especiais de dados pessoais, estão especificados no Anexo 1, que faz parte integrante dessas cláusulas.

Cláusula 3

Cláusula de beneficiário de terceiros

1. O titular dos dados pode fazer valer contra o Exportador de Dados esta Cláusula, Cláusula 4(b) a (i), Cláusula 5(a) a (e) e (g) a (j), Cláusula 6 (1) e (2), Cláusula 7, Cláusula 8(2) e Cláusulas 9 a 12 como beneficiário de terceiros

2. O titular dos dados pode fazer valer esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados onde o Exportador de Dados tenha desaparecido fisicamente ou deixado de existir legalmente, salvo se todas as suas obrigações legais tiverem sido transferidas, por contrato ou por operação de lei, para a entidade sucessora, à qual os direitos e obrigações do Exportador de Dados revertam, e contra a qual o titular dos dados pode fazer valer as cláusulas mencionadas.

O titular dos dados pode fazer valer esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o processador de dados, mas somente nos casos em que o Exportador de Dados e o Importador de Dados tenham desaparecido fisicamente, deixado de existir legalmente ou se tornado insolventes, salvo se todas as obrigações legais do Exportador de Dados tiverem sido transferidas, por contrato ou por operação de lei, para o sucessor legal, ao qual os direitos e obrigações do Exportador de Dados estejam, e contra quem o titular dos dados possa exercer tais cláusulas. Tal responsabilidade do processador de dados deve limitar-se às suas próprias atividades de processamento sob essas cláusulas.

4. As partes não se opõem à representação do titular dos dados por uma associação ou outro órgão, se assim desejar e se a lei nacional permitir.

Cláusula 4

Obrigações do Exportador de Dados

O Exportador de Dados aceita e garante o seguinte:

a) que o processamento, incluindo a transferência efetiva de dados pessoais, foi e continuará a ser realizado de acordo com as disposições relevantes da legislação de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-Membro onde o Exportador de Dados está baseado) e não infringe as disposições relevantes desse Estado;

b) que instruiu, e continuará a instruir durante a vigência dos serviços de processamento de dados, o Importador de Dados a processar os dados pessoais transferidos apenas em nome do Exportador de Dados e de acordo com a legislação de proteção de dados aplicável e estas cláusulas;

c) que o Importador de Dados fornecerá salvaguardas suficientes quanto às medidas técnicas e organizacionais de segurança especificadas no Anexo 2 do presente contrato;

d) que, após avaliação dos requisitos da legislação de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação não autorizada ou acesso, especialmente quando o processamento envolve a transmissão de dados por rede, e contra todas as outras formas ilegais de processamento, garantindo um nível de segurança adequado aos riscos representados pelo processamento e à natureza dos dados a serem protegidos, considerando o nível de tecnologia e o custo de implementação;

e) que garantirão o cumprimento das medidas de segurança;

f) que, se a transferência estiver relacionada a categorias especiais de dados, o titular dos dados foi informado ou será informado antes da transferência de que seus dados podem ser transferidos para um país terceiro que não oferece um nível adequado de proteção nos termos da Diretiva 95/46/CE;

g) que encaminharão qualquer notificação recebida do Importador de Dados ou de qualquer processador de dados sob as Cláusulas 5 (b) e 8 (3) à autoridade de supervisão de proteção de dados, se decidir continuar a transferência ou suspender a mesma;

h) que disponibilizarão aos titulares dos dados, se assim solicitarem, uma cópia dessas Cláusulas, exceto o Anexo 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de subcontratação adicional, celebrado sob essas Cláusulas, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderão retirar tais informações;

i) que, em caso de subcontratação do processamento de dados, a atividade de processamento será realizada de acordo com a Cláusula 11 por um processador de dados que ofereça pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos do titular dos dados que o Importador de Dados sob essas Cláusulas; e

j) que garantirá o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5

Obrigações do Importador de Dados

O Importador de Dados aceita e garante o seguinte:

a) que processará os dados pessoais somente em nome do Exportador de Dados e sob suas instruções e estas cláusulas; se não puder cumprir por qualquer motivo, concorda em informar o Exportador de Dados o mais rápido possível, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou rescindir o contrato;

b) que não tem motivo para acreditar que a legislação aplicável a ele o impeça de cumprir as instruções dadas pelo Exportador de Dados e as obrigações decorrentes do contrato, e se tal legislação estiver sujeita a alterações que possam ter efeito adverso material sobre as garantias e obrigações sob as Cláusulas, deverá notificar o Exportador de Dados da alteração sem atraso após tomar conhecimento dela, caso em que o Exportador de Dados poderá suspender a transferência de dados e/ou rescindir o contrato; (c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Anexo 2 antes de processar os dados pessoais transferidos;

d) que notificará o Exportador de Dados sem atraso:

i) qualquer solicitação vinculativa de divulgação de dados pessoais por autoridade policial, salvo se proibido, como uma proibição sob lei criminal para preservar o segredo de uma investigação policial;

ii) qualquer acesso incidental ou não autorizado; e

iii) qualquer solicitação recebida diretamente dos titulares dos dados, sem respondê-la, salvo se estiver autorizado a fazê-lo;

e) que tratará prontamente e adequadamente todas as consultas do Exportador de Dados relativas ao seu processamento dos dados pessoais transferidos e atuará de acordo com a opinião da autoridade de supervisão quanto ao processamento dos dados transferidos;

f) que, a pedido do Exportador de Dados, sujeitará suas instalações de processamento de dados a uma auditoria das atividades de processamento cobertas por estas cláusulas, a ser realizada pelo Exportador de Dados ou por um órgão de supervisão composto por membros independentes com as qualificações profissionais necessárias, sujeito a obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o consentimento da autoridade de supervisão;

g) que disponibilizará ao titular dos dados, se assim solicitar, uma cópia dessas Cláusulas ou de qualquer contrato de subcontratação do processamento de dados, salvo se as Cláusulas ou o contrato contiverem informações comerciais, caso em que poderá remover tais informações, exceto o Anexo 2, que será substituído por uma descrição resumida das medidas de segurança, pois o titular dos dados não poderá obter uma cópia do Exportador de Dados;

h) no caso de subcontratação confidencial do processamento de dados, garantirá que informe previamente o Exportador de Dados e obtenha seu consentimento por escrito;

i) que os serviços de processamento fornecidos pelo processador de dados deverão cumprir a Cláusula 11;

j) que enviará prontamente uma cópia de qualquer contrato de subcontratação do processamento de dados celebrado por ele sob estas Cláusulas ao Exportador de Dados.

Cláusula 6

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido dano por violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por uma parte ou por um processador de dados poderá obter compensação do Exportador de Dados pelo dano sofrido.

2. Se um titular de dados for impedido de mover uma ação de indenização conforme referido no parágrafo 1 contra o Exportador de Dados por falha do Importador de Dados ou de seu processador de dados em cumprir qualquer de suas obrigações sob a Cláusula 3 ou a Cláusula 11 porque o Exportador de Dados desapareceu fisicamente, deixou de existir legalmente ou tornou-se insolvente, o Importador de Dados concorda que o titular dos dados poderá apresentar uma reclamação contra ele como se fosse o Exportador de Dados, salvo se todas as obrigações legais do Exportador de Dados tiverem sido transferidas, por contrato ou por operação de lei, para seu sucessor, contra quem o titular dos dados poderá exercer seus direitos. O Importador de Dados não poderá se eximir de sua responsabilidade por uma violação de suas obrigações por parte de um processador de dados.

3. Se um titular de dados for impedido de mover a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação do processador de dados de suas obrigações sob a Cláusula 3 ou a Cláusula 11, porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir legalmente ou se tornaram insolventes, o processador de dados concorda que o titular dos dados poderá apresentar uma reclamação contra ele em relação às suas próprias atividades de processamento, de acordo com estas cláusulas, como se fosse o Exportador de Dados ou o Importador de Dados, salvo se todas as obrigações legais do Exportador de Dados ou do Importador de Dados tiverem sido transferidas, por contrato ou por operação de lei, para o sucessor legal, contra quem os direitos e obrigações do Exportador de Dados ou do Importador de Dados estejam, e contra quem o titular dos dados possa exercer tais cláusulas. A responsabilidade do processador de dados deve limitar-se às suas próprias atividades de processamento de acordo com estas cláusulas.

 

 

Cláusula 7

Mediação e jurisdição

1. O Importador de Dados concorda que, se sob as cláusulas, o titular dos dados invocar contra ele o direito de beneficiário de terceiros e/ou reivindicar indenização pelo prejuízo sofrido, aceitará a decisão do titular dos dados:

a) submeter a disputa à mediação por uma pessoa independente ou, quando apropriado, pela autoridade de supervisão;

b) levar a disputa aos tribunais do Estado-Membro onde o Exportador de Dados está baseado.

2. As partes concordam que a escolha feita pelo titular dos dados não afetará o direito processual ou substantivo do titular dos dados de obter reparação de acordo com outras disposições da lei nacional ou internacional.

Cláusula 8

Colaboração com autoridades de supervisão

1. O Exportador de Dados concorda em depositar uma cópia do presente contrato na autoridade de supervisão, se esta assim exigir ou se tal depósito for previsto pela legislação de proteção de dados aplicável.

2. As partes concordam que a autoridade de supervisão poderá realizar verificações no Importador de Dados e em qualquer processador de dados na mesma medida e sob as mesmas condições que as verificações realizadas no Exportador de Dados, de acordo com a legislação de proteção de dados aplicável.

3. O Importador de Dados informará o Exportador de Dados o mais breve possível sobre a existência de legislação que envolva o Importador de Dados ou qualquer processador de dados que impeça a verificação no Importador de Dados ou em qualquer processador de dados, de acordo com o parágrafo 2. Nesse caso, o Exportador de Dados poderá tomar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As cláusulas se aplicam e são regidas pela lei do Estado-Membro onde o Exportador de Dados está estabelecido.

Cláusula 10

Alteração do contrato

As partes comprometem-se a não modificar as presentes cláusulas. As partes permanecem livres para incluir outras cláusulas comerciais que considerem necessárias, desde que não contradigam as presentes cláusulas.

Cláusula 11

Subcontratação subsequente

1. O Importador de Dados não deverá subcontratar nenhuma de suas atividades de processamento realizadas em nome do Exportador de Dados sob estas cláusulas sem o consentimento prévio por escrito do Exportador de Dados. O Importador de Dados só poderá subcontratar suas obrigações sob estas Cláusulas mediante consentimento do Exportador de Dados, por meio de um contrato escrito com o processador de dados impondo ao processador as mesmas obrigações que as impostas ao Importador de Dados sob estas Cláusulas. Se o processador de dados não puder cumprir suas obrigações de proteção de dados sob esse contrato escrito, o Importador de Dados continuará totalmente responsável perante o Exportador de Dados pelo cumprimento dessas obrigações.

2. O contrato escrito prévio entre o Importador de Dados e o processador de dados também deverá incluir uma cláusula de beneficiário de terceiros, conforme disposto na Cláusula 3, para os casos em que o titular dos dados seja impedido de mover a reclamação por danos referida na Cláusula 6 (1), contra o Exportador de Dados ou o Importador de Dados, porque o Exportador de Dados ou o Importador de Dados tenham desaparecido fisicamente, deixado de existir legalmente ou se tornado insolventes, e todas as obrigações legais do Exportador de Dados ou do Importador de Dados não tenham sido transferidas, por contrato ou por operação de lei, para outro sucessor. A responsabilidade do processador de dados deve limitar-se às suas próprias atividades de processamento de acordo com estas cláusulas.

3. As disposições relativas aos aspectos de proteção de dados da subcontratação do processamento de dados do contrato referido no parágrafo 1 serão regidas pela lei do Estado-Membro onde o Exportador de Dados está estabelecido.

4. O Exportador de Dados deverá manter uma lista dos contratos de subcontratação do processamento de dados celebrados sob estas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que deverá ser atualizada pelo menos uma vez por ano. Essa lista será disponibilizada à autoridade de proteção de dados do Exportador de Dados.

Cláusula 12

Obrigações após o término dos serviços de processamento de dados pessoais

1. As partes concordam que, ao concluir os serviços de processamento de dados, o Importador de Dados e o processador de dados devolverão, à conveniência do Exportador de Dados, todos os dados pessoais transferidos e cópias deles ao Exportador de Dados, ou destruirão todos esses dados e fornecerão prova da destruição ao Exportador de Dados, salvo se a legislação impuser ao Importador de Dados a proibição de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o Importador de Dados garante que assegurará a confidencialidade dos dados pessoais transferidos e que não processará mais ativamente esses dados.

2. O Importador de Dados e o processador de dados garantirão que, se assim solicitado pelo Exportador de Dados e/ou pela autoridade de supervisão, eles sujeitarão seus meios de processamento de dados à verificação das medidas referidas no parágrafo 1.