logo main
  • Pt
    English
    Portuguese
    Spanish
    • EntrarComece grátis

    Apêndice 1 ao Contrato de Licença da Albato

    ACORDO DE TRATAMENTO DE DADOS

    (CONTROLADOR PARA PROCESSADOR)

    Este Acordo de Tratamento de Dados (“DPA”) integra o Contrato de Licença (“Contrato de Licença”) celebrado entre você (“você”, “Cliente” ou “seu”) e a Albato Limited, Chipre, HE 420916 (“Fornecedor”, “Processador” ou “nós”), conjuntamente referidos como as “Partes” e individualmente como uma “Parte”. Este Acordo rege os termos legais para o processamento pelo Provedor dos dados pessoais que você possa precisar processar usando os Serviços Albato. Este DPA faz parte do Contrato de Licença. Você não precisa assiná-lo adicionalmente ao Contrato de Licença em si, mas caso precise apenas de uma cópia assinada do DPA, entre em contato conosco pelo e-mail support@albato.com. A pedido de um titular de dados ou de outra pessoa com direito a receber informações relevantes, uma Parte deverá disponibilizar gratuitamente ao titular dos dados uma cópia deste DPA, incluindo os Anexos preenchidos pelas Partes. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, uma Parte poderá redigir parte do texto do DPA (incluindo qualquer Anexo) antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não for capaz de compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das ocultações, na medida do possível, sem revelar as informações ocultadas.

    CONSIDERAÇÕES

    (A) O Cliente atua como Controlador, que determina os propósitos e meios do processamento de dados pessoais;

    (B) O Provedor atua como Processador, que processa dados pessoais em nome do Controlador (ressaltando que nada deve limitar o direito do Processador de atuar como processador para outros controladores, sejam clientes do Processador ou não, e de atuar como controlador em relações com quaisquer terceiros);

    (C) As Partes buscam implementar um acordo de processamento de dados que esteja em conformidade com os requisitos do atual marco legal em relação ao processamento de dados e desejam assegurar o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) e, na máxima extensão possível, de outras legislações de proteção de dados;

    (D) O DPA (Acordo de Processamento de Dados) se aplica ao processamento de dados pessoais conforme especificado no Anexo 1;

    (E) Os Anexos ao DPA fazem parte integrante deste DPA;

    (F) As Partes desejam estabelecer seus direitos e obrigações.

    FOI ACORDADO O SEGUINTE:

    1. Definições e Interpretação

    1.1 A menos que definido de outra forma neste documento, termos e expressões em maiúsculas utilizados neste DPA terão os seguintes significados:

    1.1.1. Termos e expressões definidos no Contrato de Licença terão o significado atribuído a eles no referido Contrato;

    1.1.2. “DPA” significa este Acordo de Processamento de Dados e todos os seus Anexos;

    1.1.3. “Dados Pessoais do Controlador” significa quaisquer Dados Pessoais processados pelo Processador em nome do Controlador de acordo com ou em conexão com o Contrato de Licença;

    1.1.4. “EEE” significa o Espaço Econômico Europeu;

    1.1.5. “Leis de Proteção de Dados da UE” significa a Diretiva 95/46/CE da UE, transposta para a legislação doméstica de cada Estado-Membro e alterada, substituída ou atualizada de tempos em tempos, incluindo pela GDPR e leis que implementam ou complementam a GDPR;

    1.1.6. “GDPR” significa o Regulamento Geral de Proteção de Dados da UE 2016/679;

    1.1.7. “Transferência de Dados” significa:

    1.1.7.1. uma transferência dos Dados Pessoais do Controlador do Controlador para o Processador; ou

    1.1.7.2. uma transferência subsequente dos Dados Pessoais do Controlador do Processador para um Subcontratado, ou entre dois estabelecimentos do Processador, em cada caso, onde tal transferência não seria proibida pelas Leis de Proteção de Dados (ou pelos termos de acordos de transferência de dados estabelecidos para abordar as restrições de transferência de dados das Leis de Proteção de Dados);

    1.1.8. “Serviços” significa os serviços de assinatura fornecidos pelo Provedor ao Cliente sob o Contrato de Licença, consistindo em serviços baseados na web, integração de aplicações e vinculação de dados acessados através do site da Albato.

    1.1.9. “Subcontratado” significa qualquer pessoa nomeada pelo ou em nome do Processador para processar Dados Pessoais em nome do Cliente em conexão com o Contrato de Licença.

    1.2 Os termos “Comissão”, “Controlador”, “Titular dos Dados”, “Estado-Membro”, “Dados Pessoais”, “Dados Sensíveis”, “Violação de Dados Pessoais”, “Processamento” e “Autoridade Supervisora” terão o mesmo significado que no GDPR, e seus termos cognatos serão interpretados de acordo.

    GARANTIA GERAL

    O Controlador garante que utilizou esforços razoáveis para determinar que o Processador é capaz, por meio da implementação de medidas técnicas e organizacionais adequadas, de cumprir suas obrigações sob este DPA (Acordo de Processamento de Dados).

    3. PROCESSAMENTO DOS DADOS PESSOAIS DO CONTROLADOR. MEDIDAS DE SEGURANÇA

    3.1 O Processador deverá:

    3.1.1. cumprir todas as Leis de Proteção de Dados aplicáveis no Processamento dos Dados Pessoais do Controlador; e

    3.1.2. não Processar os Dados Pessoais do Controlador exceto conforme as instruções documentadas do Controlador relevante. Sem limitar outros meios de fornecer instruções, o Controlador instrui o Processador a processar, durante o prazo deste DPA, os dados pessoais de acordo com as instruções automatizadas feitas pelo Controlador por meio do Serviço do Processador conectado ao produto de Software do Processador, em conformidade com o Contrato de Licença ao qual este DPA está incorporado. Qualquer instrução via os referidos Serviços/Software será considerada como fornecida pelo Controlador; e o Controlador concorda e reconhece que o Controlador, e não o Processador, é responsável pela escolha de qualquer funcionalidade dos Serviços/Software e sua implementação sob o Contrato de Licença, e você utilizará a funcionalidade dos Serviços/Software com o devido cuidado e utilizando mecanismos razoavelmente seguros, bem como suas decisões internas de sistemas e software; e

    3.1.3. processar os Dados Pessoais do Controlador dentro da lista (mas não obrigatoriamente todas as vezes todos os dados listados) indicada no Anexo 1 deste documento. O Controlador garante que os Dados Pessoais do Controlador a serem processados pelo Processador sob este DPA não incluirão quaisquer Dados Sensíveis.

    3.1.4. processar os dados pessoais para a lista de Titulares de Dados indicada no Anexo 1 deste documento;

    3.1.5. O Processador processará os Dados Pessoais do Controlador apenas para os propósitos específicos da transferência, conforme estabelecido no Anexo 2 deste documento, a menos que haja novas instruções do Controlador; e

    3.1.5. O Processador processará/armazenará os Dados Pessoais do Controlador apenas pelo período especificado no Anexo 3 deste documento, e após o término do fundamento legal para manter os dados pessoais relevantes, o Processador os apagará ou destruirá.

    3.2. O Controlador garante e assegura que utiliza os Serviços/Software e fornece ao Processador para processamento os dados pessoais apenas em conformidade com a Legislação de Proteção de Dados aplicável, incluindo, sem limitação, o cumprimento de todos os direitos dos Titulares de Dados, fornecendo todos os avisos e informações necessários a eles e possuindo todos os consentimentos e autorizações necessários dos Titulares de Dados. Os dados pessoais a serem processados pelo Processador não são vendidos ao Processador ou fornecidos por qualquer contraprestação, sendo processados como parte da funcionalidade dos Serviços/Software sob o Contrato de Licença como parte dos Serviços.

    3.3. Caso o Processador tenha qualquer obstáculo legal ou técnico para processar os dados pessoais sob as instruções do Controlador, o Processador informará o Controlador e aguardará instruções atualizadas.

    3.4. As Transferências de Dados para fora do EEE (Espaço Econômico Europeu) serão feitas em conformidade com a Legislação de Proteção de Dados, lista de subcontratados, decisões de adequação ou outro acordo entre as Partes.

    4. PESSOAL DO PROCESSADOR

    4.1. O Processador tomará medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratante que possa ter acesso aos Dados Pessoais do Controlador, assegurando, em cada caso, que o acesso seja estritamente limitado àqueles indivíduos que precisam conhecer/acessar os Dados Pessoais do Controlador relevantes, conforme estritamente necessário para os fins do Contrato de Licença, e para cumprir as Leis de Proteção de Dados no contexto das obrigações desse indivíduo para com o Processador, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou legais de sigilo.

    5. SEGURANÇA

    5.1. Levando em consideração o estado da arte, os custos de implementação, a natureza, o escopo, o contexto e os fins do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, o Processador implementará, em relação aos Dados Pessoais do Controlador, medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado a esse risco, incluindo, quando aplicável, as medidas mencionadas no Artigo 32(1) do GDPR. A lista das principais medidas de segurança está detalhada no Anexo 4 deste documento.

    5.2. Ao avaliar o nível adequado de segurança, o Processador levará em consideração, em particular, os riscos apresentados pelo Processamento, especialmente em caso de uma Violação de Dados Pessoais.

    6. SUBCONTRATAÇÃO

    6.1 As Partes concordam que o Processador tem autorização geral do Controlador para utilizar os serviços de Subcontratados da lista indicada no Anexo 5 deste documento. O Processador pode alterar essa lista com um aviso prévio por escrito de 30 dias ao Controlador. Caso o Controlador se oponha razoavelmente às alterações na lista de Subcontratados, apresentando preocupações justificadas quanto à segurança dos dados pessoais, o único e exclusivo recurso do Controlador será a rescisão do Contrato de Licença por conveniência, com um aviso prévio por escrito de 15 dias.

    7. DIREITOS DOS TITULARES DE DADOS

    7.1 Considerando a natureza do Processamento, o Processador auxiliará o Controlador implementando medidas técnicas e organizacionais adequadas, na medida do possível, para o cumprimento das obrigações do Controlador, conforme razoavelmente entendido pelo Controlador, de responder a solicitações para exercer os direitos dos Titulares de Dados sob as Leis de Proteção de Dados.

    7.2 O Processador deverá:

    7.2.1 notificar prontamente o Controlador se receber uma solicitação de um Titular de Dados sob qualquer Lei de Proteção de Dados em relação aos Dados Pessoais do Controlador, desde que a responsabilidade geral de responder aos Titulares de Dados seja do Controlador; e

    7.2.2 garantir que não responderá a essa solicitação, exceto conforme as instruções documentadas do Controlador ou conforme exigido pelas leis aplicáveis às quais o Processador está sujeito. Nesse caso, o Processador informará o Controlador sobre esse requisito legal, na medida permitida pelas leis aplicáveis, antes de responder à solicitação.

    8. VIOLAÇÃO DE DADOS PESSOAIS

    8.1 O Processador notificará o Controlador sem demora indevida ao tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Controlador, fornecendo ao Controlador informações suficientes para permitir que ele cumpra quaisquer obrigações de relatar ou informar os Titulares de Dados sobre a Violação de Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados.

    8.2 O Processador cooperará com o Controlador e tomará medidas comerciais razoáveis, conforme orientado pelo Controlador, para auxiliar na investigação, mitigação e remediação de cada Violação de Dados Pessoais.

    9. AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E CONSULTA PRÉVIA

    9.1 O Processador prestará assistência razoável ao Controlador em quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias com Autoridades de Supervisão ou outras autoridades competentes em privacidade de dados, que o Controlador razoavelmente considerar necessárias conforme o artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Legislação de Proteção de Dados, em cada caso, exclusivamente em relação aos dados pessoais processados sob este DPA, e levando em consideração a natureza do processamento e as informações disponíveis para o Processador.

    10. DIREITOS DE AUDITORIA

    10.1 Sujeito a esta seção 10, o Processador disponibilizará ao Controlador, mediante solicitação, todas as informações razoavelmente necessárias para demonstrar conformidade com este DPA, e permitirá e contribuirá para auditorias, incluindo inspeções, realizadas pelo Controlador ou por um auditor designado pelo Controlador, em relação ao processamento dos Dados Pessoais do Controlador sob este DPA. Qualquer auditoria e fornecimento de informações serão por conta e custo do Controlador.

    10.2 Os direitos de informação e auditoria do Controlador surgem sob a seção 10.1 acima apenas na medida em que o Contrato de Licença não preveja de outra forma o direito/possibilidade do Controlador de receber informações e direitos de auditoria que atendam aos requisitos relevantes da Legislação de Proteção de Dados.

    11. DISPOSIÇÕES GERAIS

    11.1 Confidencialidade. Cada Parte deve manter em sigilo as informações que receber sobre a outra Parte e seus negócios em conexão com este DPA ("Informações Confidenciais") e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que:

    (a) a divulgação seja exigida por lei;

    (b) as informações relevantes já estejam no domínio público.

    11.2 Notificações. Todas as notificações e comunicações feitas sob este DPA devem ser por escrito e serão entregues pessoalmente, enviadas por correio ou por e-mail para o endereço ou endereço de e-mail indicado pelas Partes ao celebrar ou executar o Contrato de Licença, incluindo o DPA, ou para outro endereço notificado pelas Partes de tempos em tempos.

    12. LEI APLICÁVEL. AUTORIDADE SUPERVISORA COMPETENTE

    12.1 Este Acordo é regido pelas leis da República de Chipre.

    12.2 Autoridade Supervisora Competente: Comissário para a Proteção de Dados Pessoais

    15, Rua Kypranoros, 1061 Nicósia, Caixa Postal 23378, 1682 Nicósia E-mail: commissioner@dataprotection.gov.cy

    Anexo 1 Categorias de titulares de dados cujos dados pessoais são processados Os dados do Controlador e/ou dos clientes do Controlador. Categorias de dados pessoais processados Nome, nome da empresa, e-mail, número de telefone, informações sobre o formulário de lead onde a solicitação foi deixada e outros dados conforme solicitado pelo Controlador, inclusive por meio da interface da Albato. Natureza do processamento Qualquer operação ou conjunto de operações que seja realizada sobre Dados Pessoais ou conjuntos de Dados Pessoais, com ou sem meios automatizados, ou seja, registro, armazenamento, adaptação ou alteração, estruturação, transmissão (transferência), exclusão ou destruição, criptografia, extração de dados, uso.

    Anexo 2 Propósito(s) para os quais os dados pessoais são processados em nome do controlador Os dados pessoais serão utilizados para a execução dos serviços descritos no Contrato ao qual este DPA está incorporado.

    Anexo 3 Duração do processamento O processamento de dados será realizado pelo período até a rescisão do Contrato ao qual este DPA está incorporado.

    Anexo 4

    Principais medidas de segurança

    • Política de controle de acesso implementada • Treinamento de funcionários sobre proteção de dados e segurança da informação • Monitoramento da composição de hardware, software e ferramentas de segurança da informação • Regras para uso de e-mail e proteção contra spam • Análise interna de riscos de segurança da informação realizada anualmente • Política de segurança da informação implementada • Diferenciação de direitos de acesso • Um registro de ativos de informação é mantido • Inventário de ativos de informação realizado anualmente • Política de gerenciamento de riscos • Áreas de responsabilidade para segurança da informação são definidas e distribuídas • Disposições de segurança da informação incluídas em contratos com contrapartes • NDAs (Acordos de Confidencialidade) assinados com funcionários • Funcionários têm acesso a material de treinamento sobre segurança da informação • Quando um funcionário deixa a empresa, ele precisa concluir as etapas relacionadas à segurança da informação estabelecidas em uma lista de verificação • Política de confidencialidade • Política de mesa limpa • Política de tela limpa • Política de bloqueio de tela • Backup diário de dados • Registro de incidentes de segurança da informação • Varredura externa de aplicações web para vulnerabilidades • Uma ACL (Lista de Controle de Acesso) é configurada entre VLANs • Regras são configuradas para filtrar tráfego de entrada; todas as portas estão bloqueadas • Os canais de transferência de dados recomendados são fornecidos nas instruções do produto • Contratos de Licença são assinados com contrapartes • Lista formalizada de cargos autorizados a processar dados pessoais • Logins e saídas da conta de administrador são registrados • O administrador pode diferenciar regras de acesso para o pessoal • Backups de dados excluídos são armazenados por 1 mês • O Processador autorizou as pessoas responsáveis pela comunicação com o Controlador e forneceu meios de comunicação para garantir que toda a assistência necessária será fornecida ao Controlador em caso de necessidade de dados pessoais armazenados nos backups; • O Processador fornece identificação e autorização de usuários do sistema Albato; • Os dados pessoais são protegidos durante a transmissão pelo Processador usando SSL/TLS; • A segurança de TI é garantida por meio de Revisão de Código, que obrigatoriamente inclui revisão de segurança do código

    Anexo 5 Nome: Amazon Web Services, Inc. e/ou suas afiliadas (“AWS”) Endereço: P.O. Box 81226, Seattle, WA 98108-1226 Nome, cargo e detalhes de contato da pessoa responsável: Data Protection Officer, e-mail: aws-EU-privacy@amazon.com Descrição do processamento (incluindo uma delimitação clara de responsabilidades no caso de vários subprocessadores autorizados): Armazenamento de dados