Portal jurídico da monday.com

Ultima atualização: fevereiro 11, 2021

Adendo de Processamento de Dados (DPA)

Ultima atualização: fevereiro 11, 2021

Assine a versão online

Este Adendo de Tratamento de Dados (“DPA”) faz parte dos Termos de Serviço da monday.com ou outro contrato que reger o uso dos serviços da monday.com (o “Contrato”) celebrado por você, o Cliente (conforme definido no Contrato) (coletivamente, “você”, “seu”, “Cliente”), e a monday.com Ltd. (“monday.com”, ”nós”, “nos”, “nosso”) para refletir o acordo das partes em relação ao Tratamento de Dados Pessoais pela monday.com exclusivamente em nome do Cliente. Ambas as partes são referidas como as “Partes”, e cada uma, como “Parte”.

Os termos em letras maiúsculas não definidos neste documento terão os significados atribuídos a tais termos no Contrato.

Ao usar o Serviço, o Cliente aceita este DPA, e você declara e garante que tem plenos poderes para obrigar o Cliente a este DPA. Se você não puder ou não concordar em cumprir e se obrigar a este DPA, ou se não tiver poderes para obrigar o Cliente ou qualquer outra entidade, não nos forneça Dados Pessoais.

No caso de qualquer conflito entre determinadas disposições deste DPA e as disposições do Contrato, as disposições do DPA prevalecerão sobre as disposições conflitantes do Contrato apenas em relação ao Tratamento de Dados Pessoais

DEFINIÇÕES

Definições:

“Afiliada”

significa qualquer pessoa jurídica que, direta ou indiretamente, controla, é controlada ou está sob controle comum com a pessoa jurídica em questão. O “Controle”, para efeitos da presente definição, significa a propriedade direta ou indireta ou o controle de mais de 50% dos direitos a voto da pessoas jurídica em questão.

“Afiliada Autorizada”

significa qualquer Afiliada do Cliente que tenha permissão explícita para usar o Serviço, nos termos do Contrato entre o Cliente e a monday.com, mas que não tenha firmado contrato próprio com a monday.com e não seja um “Cliente”, como definido no Contrato.

“CCPA”

significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Código Civil da Califórnia, §§ 1798.100 ss. seq.

Os termos “Responsável pelo Tratamento”, “Pessoa em Causa”, “Estado-Membro”, “Subcontratante”, “Tratamento” e “Autoridade de Controle”

têm os significados atribuídos no RGPD. Os termos “Empresa”, “Finalidade Comercial”, “Cliente” e “Prestador de Serviço” têm os significados atribuídos na CCPA.

Para fins de clareza no âmbito deste DPA, “Responsável pelo Tratamento”

significa também “Empresa”, e “Subcontratante” significa também “Prestador de Serviço”. Da mesma forma, o Subprocessador do Subcontratante também se refere ao conceito de Prestador de Serviço.

“Leis de Proteção de Dados”

significa todas as leis e normas de privacidade e proteção de dados, incluindo as leis e normas da União Europeia, do Espaço Econômico Europeu e seus Estados-Membros, Suíça, Reino Unido e Estados Unidos da América, conforme aplicáveis ao Tratamento de Dados Pessoais regido pelo Contrato.

“Pessoas em Causa”

significa a pessoa identificada ou identificável a quem os Dados Pessoais se relacionam.

“RGPD”

significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

“Dados Pessoais” ou “Informações Pessoais”

significa qualquer informação que identifique, se relacione, descreva, seja capaz de estar associada ou possa razoavelmente estar vinculada, direta ou indiretamente, a uma pessoa física identificada ou identificável ou Consumidor (conforme definido na CCPA) e que seja tratada pela monday.com exclusivamente em nome do Cliente, conforme este DPA e o Contrato entre o Cliente e Subcontratante.

“Documentação de Segurança”

significa a Documentação de Segurança aplicável ao Serviço adquirido pelo Cliente, conforme atualizada periodicamente, e acessível pelo site https://monday.com/trustcenter/datasecure/, ou conforme razoavelmente disponibilizado de outra forma pela monday.com.

“Subprocessador”

significa qualquer terceiro que trate Dados Pessoais sob a instrução ou supervisão da monday.com.

“Cláusulas Contratuais Padrão”

significa as cláusulas contratuais padrão e anexos e apêndices relacionados disponíveis em www.monday.com/terms/scc  (“SCC da monday.com”) ou, com relação a transferências subsequentes de Subcontratante para Subprocessador, nos termos da Seção C do Anexo A das SCC da monday.com, também as cláusulas contratuais padrão para a transferência de dados pessoais para subcontratantes ou subprocessadores estabelecidos em países terceiros, conforme eventualmente adotadas pela Comissão Europeia ao abrigo da Diretiva 95/46/CE ou do RGPD, conforme aplicável.

TRATAMENTO DE DADOS PESSOAIS

Funções das Partes.

As Partes reconhecem e concordam que, no que diz respeito ao Tratamento de Dados Pessoais realizado exclusivamente em nome do Cliente, (i) o Cliente é o Responsável pelo Tratamento dos Dados Pessoais contidos nos Dados do Cliente (conforme definido no Contrato), (ii) a monday.com é o Subcontratante dos Dados Pessoais contidos nos Dados do Cliente; (iii) para os fins da CCPA (e na medida do aplicável), o Cliente é a “Empresa”, e a monday.com é o “Prestador de Serviço” (como tais termos são definidos na CCPA) no que diz respeito ao Tratamento de Dados Pessoais descrito nesta Seção  2.1. Os termos “Responsável pelo Tratamento” e “Subcontratante” abaixo significam Cliente e monday.com, respectivamente.

Tratamento de Dados Pessoais pelo Cliente.

O Cliente, no uso do Serviço e nas instruções do Cliente ao Subcontratante, deverá cumprir as Leis de Proteção de Dados. O Cliente deverá estabelecer e manter todas as bases jurídicas necessárias para coletar, tratar e transferir para o Subcontratante os Dados Pessoais e autorizar o Tratamento por parte do Subcontratante e as atividades de Tratamento do Subcontratante em nome do Cliente, incluindo a busca de “fins comerciais”, conforme definido pela CCPA.

Tratamento de Dados Pessoais pelo Subcontratante.

Ao tratar exclusivamente em nome do Cliente sob o Contrato, o Subcontratante deverá tratar os Dados Pessoais para os seguintes fins: (i) Tratamento de acordo com o Contrato e este DPA; (ii) Tratamento para que o Cliente possa usar o Serviço; (iii) Tratamento para cumprir instruções razoáveis e documentadas do Cliente, quando tais instruções forem consistentes com os termos do Contrato, sobre a forma como o Tratamento deve ser executado; (iv) tornar os Dados Pessoais totalmente anônimos, não identificáveis e não pessoais; (v) Tratamento conforme exigido pelas leis aplicáveis ao Subcontratante, desde que o Subcontratante informe o Cliente do requisito legal antes do Tratamento, a menos que essa lei proíba essa informação por motivos relevantes de interesse público.

O Subcontratante deverá informar o Cliente, sem demora injustificada, se, na opinião do Subcontratante, uma instrução para o Tratamento de Dados Pessoais dada pelo Cliente violar as Leis de Proteção de Dados pertinentes. Na medida em que o Subcontratante não puder cumprir uma instrução do Cliente, o Subcontratante (i) deverá informar o Cliente, fornecendo detalhes relevantes do problema, (ii) o Subcontratante poderá, sem responsabilidade para com o Cliente, interromper temporariamente todo o Tratamento dos Dados Pessoais afetados (exceto armazenamento seguro desses dados) e/ou suspender o acesso à Conta, e (iii) se as Partes não concordarem com uma resolução do problema em questão e os custos pertinentes, o Cliente poderá, como seu único recurso, rescindir o Contrato e este DPA em relação ao Tratamento afetado, e o Cliente deverá pagar ao Subcontratante todos os valores devidos ao Subcontratante ou vencidos antes da data de rescisão. O Cliente não terá mais pretensões contra o Subcontratante (incluindo, entre outros, solicitar reembolsos pelo Serviço) após a rescisão do Contrato e do DPA conforme descrito neste parágrafo.

Detalhes do Tratamento.

O objeto do Tratamento de Dados Pessoais pelo Subcontratante é a prestação do Serviço nos termos do Contrato. A duração do Tratamento, a natureza e a finalidade do Tratamento, os tipos de Dados Pessoais e as categorias de Pessoas em Causa dos Dados Tratados ao abrigo deste DPA são especificados no Anexo 1 (Detalhes do Tratamento) deste DPA.

Padrão de Cuidado da CCPA; ausência de venda de Informações Pessoais.

O Subcontratante reconhece e confirma que não recebe ou trata quaisquer Informações Pessoais como contraprestação por quaisquer serviços ou outros itens que o Subcontratante fornece ao Cliente sob o Contrato. O Subcontratante não terá, derivará ou exercerá quaisquer direitos ou benefícios em relação às Informações Pessoais Tratadas em nome do Cliente, e poderá usar e divulgar Informações Pessoais exclusivamente para os fins para os quais essas Informações Pessoais lhe foram fornecidas, conforme estipulado no Contrato e neste DPA. O Subcontratante certifica que compreende as regras, requisitos e definições da CCPA e concorda em abster-se de vender (como tal termo é definido na CCPA) quaisquer Informações Pessoais Tratadas sob o presente sem o consentimento prévio por escrito do Cliente, nem tomará qualquer ação que faça com que a transferência de Informações Pessoais de ou para o Subcontratante sob o Contrato ou este DPA qualifique como “venda” de tais Informações Pessoais segundo a CCPA.

DIREITOS DAS PESSOAS EM CAUSA

Solicitações das Pessoas em Causa.

O Subcontratante deverá, na medida do legalmente permitido, notificar prontamente o Cliente ou encaminhar a Pessoa em Causa ou Consumidor, conforme o caso, ao Cliente, se o Subcontratante receber uma solicitação de uma Pessoa em Causa ou Consumidor para exercer seus direitos (na medida do que lhe for disponível nos termos da lei pertinente) de acesso, direito a retificação, restrição ao tratamento, apagamento (“direito a ser esquecido”), portabilidade de dados, objeção ao tratamento, direito de não ser sujeito a uma tomada de decisão individual automatizada, optar pela exclusão da venda de Informações Pessoais ou o direito não ser discriminado pelo exercício de quaisquer direitos do consumidor da CCPA (“Solicitação da Pessoa em Caus”). Tendo em conta a natureza do Tratamento, o Subcontratante deverá ajudar o Cliente através de medidas técnicas e organizacionais apropriadas, na medida em que isso seja possível e razoável, para o cumprimento da obrigação do Cliente de responder a uma Solicitação da Pessoa em Causa ao abrigo das Leis de Proteção de Dados. O Subcontratante pode encaminhar as Solicitações recebidas da Pessoa em Causa, e as Pessoa em Causa que as fizerem, diretamente ao Cliente para o tratamento dessas solicitações.

FUNCIONÁRIOS DO SUBCONTRATANTE

Confidencialidade.

O Subcontratante deve garantir que seus funcionários envolvidos no Tratamento de Dados Pessoais se comprometam com confidencialidade.

Divulgações permitidas.

Sem derrogar a Seção2.3 acima e a Seção5 abaixo, o Subcontratante poderá divulgar e tratar os Dados Pessoais (a) na medida exigida por um tribunal de jurisdição competente ou outra autoridade governamental ou semigovernamental competente, ou (b) de outra forma, conforme exigido pelas Leis de Proteção de Dados pertinentes (nesse caso, o Subcontratante deverá informar o Cliente da exigência legal antes da divulgação, a menos que legalmente proibido de fazê-lo), ou (c) conforme “for preciso saber”, sob obrigação de confidencialidade, em relação a seus consultores jurídicos, contábeis e de proteção de dados.

SUBPROCESSADORES

Nomeação de Subprocessadores.

O Cliente reconhece e concorda que (a) Afiliadas do Subcontratante podem ser mantidas como Subprocessadores; e (b) o Subcontratante e as Afiliadas do Subcontratante podem contratar Subprocessadores terceiros em conexão com a prestação do Serviço.

Lista dos Subprocessadores atuais e notificação de novos Subprocessadores.

O Subcontratante disponibiliza ao Cliente a lista atual de Subprocessadores utilizados pelo Subcontratante para processar Dados Pessoais em www.monday.com/terms/subprocessors.

Essa lista de Subprocessadores inclui as identidades desses Subprocessadores e o país da entidade (“Lista de Subprocessadores”). A Lista de Subprocessadores na data da primeira utilização do Serviço pelo Cliente é considerada autorizada quando da primeira utilização do Serviço. O cliente poderá razoavelmente se opor ao uso de um Subprocessador existente pelo Subcontratante, fornecendo uma objeção por escrito a legal@monday.com. No caso de o Cliente razoavelmente se opor a um Subprocessador existente, conforme permitido nas frases anteriores, o Cliente poderá, como recurso exclusivo, rescindir o Contrato aplicável e este DPA apenas em relação àqueles Serviços que não puderem ser fornecidos pelo Subcontratante sem o uso do Subprocessador objetado, mediante notificação por escrito ao Subcontratante, desde que todos os valores devidos ao abrigo do Contrato antes da data de rescisão em relação ao Tratamento em causa tenham sido devidamente pagos ao Subcontratante. O Cliente não terá outras pretensões contra o Subcontratante devido a (i) uso passado de Subprocessadores aprovados antes da data de objeção ou (ii) rescisão do Contrato (incluindo, entre outros, solicitação de reembolsos) e do DPA na situação descrita neste parágrafo.

A página de Internet do Subcontratante, acessível em www.monday.com/terms/subprocessors ,

oferece um mecanismo para assinar notificações de novos Subprocessadores usados para tratar Dados Pessoais, as quais o Cliente deverá assinar, e, quando o Cliente assinar, o Subcontratante deverá fornecer notificação de qualquer novo Subprocessador antes de autorizar esses novos Subprocessadores a tratar Dados Pessoais em conexão com a prestação do Serviço.

Direito de objeção a novos Subprocessadores.

O Cliente poderá razoavelmente opor-se ao uso, por parte do Subcontratante, de um novo Subprocessador, por razões relacionadas à proteção dos Dados Pessoais destinados a serem tratados por tal Subprocessador, notificando o Subcontratante imediatamente por escrito dentro de três (3) dias úteis após o recebimento da notificação do Subcontratante de acordo com o mecanismo estabelecido no ponto 5.2.2. Essa objeção por escrito deve incluir as razões para se opor ao uso desse novo Subprocessador por parte do Subcontratante. A não oposição a esse novo Subprocessador por escrito no prazo de três (3) dias úteis após a notificação do Subcontratante será considerada aceitação do novo Subprocessador. No caso de o Cliente razoavelmente se opuser a um novo Subprocessador, conforme permitido nas frases anteriores, o Subcontratante deverá envidar esforços razoáveis para disponibilizar ao Cliente uma alteração no Serviço ou recomendar uma alteração comercialmente razoável na configuração ou uso do Serviço pelo Cliente para evitar Tratamento de Dados Pessoais pelo novo Subprocessador objetado sem onerar excessivamente o Cliente. Se o Subcontratante não puder disponibilizar essa alteração no prazo de trinta (30) dias, o Cliente poderá, como recurso exclusivo, rescindir o Contrato aplicável e este DPA apenas em relação aos Serviços que não puderem ser fornecidos pelo Subcontratante sem o uso do novo Subprocessador objetado, fornecendo notificação por escrito ao Subcontratante. Todos os valores devidos ao abrigo do Contrato antes da data de rescisão em relação ao Tratamento em causa deverão ser devidamente pagos ao Subcontratante. Até que uma decisão seja tomada em relação ao novo Subprocessador, o Subcontratante poderá suspender temporariamente o Tratamento dos Dados Pessoais afetados e/ou suspender o acesso à Conta. O Cliente não terá outras pretensões contra o Subcontratante devido à rescisão do Contrato (incluindo, entre outros, solicitação de reembolsos) e/ou do DPA na situação descrita neste parágrafo.

Contratos com Subprocessadores.

O Subcontratante ou Afiliada do Subcontratante celebrou um contrato escrito com cada Subprocessador contendo salvaguardas apropriadas para a proteção dos Dados Pessoais. Se o Subcontratante contratar um novo Subprocessador para a realização de atividades específicas de Tratamento em nome do Cliente, obrigações de proteção de dados iguais ou substancialmente similares às estabelecidas no presente APD devem ser impostas a esse novo Subprocessador por meio de um contrato, particularmente prevendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de forma que o tratamento cumpra os requisitos do RGPD. Caso o novo Subprocessador não cumpra suas obrigações de proteção de dados, o Subcontratante permanecerá totalmente responsável perante o Cliente pelo desempenho das obrigações do novo Subprocessador.

Segurança

Controles de Proteção de Dados Pessoais.

O Subcontratante deverá manter medidas técnicas e organizacionais padrão do setor para proteção dos Dados Pessoais tratados aqui (incluindo proteção contra tratamento não autorizado ou ilegal e contra destruição acidental ou ilegal, perda, alteração, dano, divulgação não autorizada ou acesso aos Dados Pessoais), confidencialidade e integridade dos Dados Pessoais, incluindo as medidas estabelecidas na Documentação de Segurança, que podem ser alteradas periodicamente. Mediante solicitação razoável do Cliente, o Subcontratante deverá ajudar o Cliente, às custas do Cliente, a garantir o cumprimento das obrigações nos termos dos Artigos 32 a 36 do RGPD, tendo em conta a natureza do tratamento e as informações disponíveis ao Subcontratante dos Dados.

Auditorias e inspeções.

Mediante notificação escrita do Cliente, com 14 dias de antecedência, a intervalos razoáveis (não mais do que uma vez a cada 12 meses) e sujeito a compromissos rigorosos de confidencialidade por parte do Cliente, o Subcontratante deverá disponibilizar ao Cliente que não seja concorrente do Subcontratante (ou a um auditor externo independente e confiável do Cliente, que não seja concorrente do Subcontratante e que não esteja em conflito com o Subcontratante, ressalvados seus compromissos de confidencialidade e não concorrência) todas as informações necessárias para demonstrar o cumprimento do presente APD e permitir e contribuir para auditorias, incluindo inspeções, realizadas por eles (desde que essas informações, auditorias, inspeções e seus resultados, incluindo os documentos que refletem o resultado da auditoria e/ou as inspeções, só sejam utilizados pelo Cliente para avaliar a conformidade com este APD e não sejam utilizados para qualquer outro fim ou divulgados a terceiros sem aprovação prévia por escrito do Subcontratante. Mediante a primeira solicitação do Subcontratante, o Cliente deverá devolver todos os registros ou documentação em sua posse ou controle que foram fornecidos pelo Subcontratante no contexto da auditoria e/ou da inspeção). O Cliente será totalmente responsável por arcar com todos os custos e despesas decorrentes ou relacionados com esta Seção. Se e na medida em que as Cláusulas Contratuais Padrão se aplicarem, nada nesta Seção 6.2 varia ou modifica as Cláusulas Contratuais Padrão nem afeta os direitos de qualquer autoridade de controle ou pessoa em causa segundo as Cláusulas Contratuais Padrão.

GERENCIAMENTO E NOTIFICAÇÃO DE INCIDENTES DE DADOS

O Subcontratante mantém políticas e procedimentos de gerenciamento de incidentes de segurança e, na medida exigida pelas Leis de Proteção de Dados pertinentes, notificará o Cliente sem demora indevida após tomar conhecimento da destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais tratados em nome do Cliente, incluindo Dados Pessoais transmitidos, armazenados ou processados de outra forma pelo Subcontratante ou seus Subprocessadores dos quais o Subcontratante tomar conhecimento (“Incidente de Dados”). O Subcontratante deverá envidar esforços razoáveis para identificar a causa desse Incidente de Dados e tomar as medidas que o Subcontratante considere necessárias e razoáveis a fim de corrigir a causa de tal Incidente de Dados na medida em que a correção esteja dentro do controle razoável do Subcontratante. As obrigações aqui descritas não se aplicarão a incidentes causados pelo Cliente ou pelos usuários do Cliente. O Cliente não deverá fazer, divulgar, liberar ou publicar qualquer nota, admissão de responsabilidade, comunicação, press release ou relatório sobre qualquer Incidente de Dados que identifique direta ou indiretamente o Subcontratante (inclusive em qualquer procedimento jurídico ou em qualquer notificação a autoridades reguladoras ou de controle ou indivíduos afetados) sem a aprovação prévia por escrito do Subcontratante, a menos que, e exclusivamente na medida em que, o Cliente seja obrigado a fazê-lo de acordo com as Leis de Proteção de Dados pertinentes. Neste último caso, a menos que proibido por lei, o Cliente deverá fornecer ao Subcontratante uma notificação escrita e com antecedência razoável para dar ao Subcontratante a oportunidade de se opor a tal divulgação e, em qualquer caso, o Cliente deverá limitar a divulgação ao escopo mínimo exigido.

DEVOLUÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS

Após a rescisão do Contrato e sujeito a ele, o Subcontratante deverá, à escolha do Cliente (indicado através do Serviço ou em notificação escrita ao Subcontratante), eliminar ou devolver ao Cliente todos os Dados Pessoais que tratar exclusivamente em nome do Cliente, da maneira descrita no Contrato, e o Subcontratante deverá excluir as cópias existentes desses Dados Pessoais, a menos que as Leis de Proteção de Dados exijam ou autorizem o armazenamento dos Dados Pessoais. Na medida em que for autorizado ou exigido pela lei pertinente, o Subcontratante também poderá reter uma cópia dos Dados Pessoais exclusivamente para fins de prova e/ou para a propositura, exercício ou defesa de pretensões jurídicas e/ou para o cumprimento de obrigações jurídicas.

TRANSFERÊNCIAS DE DADOS INTERNACIONAIS.

Transferências do EEE, da Suíça e do Reino Unido para países que oferecem nível adequado de proteção de dados.

Dados Pessoais podem ser transferidos dos Estados-Membros da UE, dos três países membros do EEE (Noruega, Liechtenstein e Islândia) (coletivamente, “EEE”), da Suíça e do Reino Unido (“Reino Unido”) para países que oferecerem um nível adequado de proteção de dados ao abrigo ou nos termos das decisões de adequação publicadas pelas autoridades competentes de proteção de dados do EEE, da União Europeia, dos Estados-Membros ou da Comissão Europeia, ou da Suíça ou do Reino Unido, conforme relevante (“Decisões de Adequação”), conforme pertinente, sem que seja necessária qualquer salvaguarda adicional.

Transferências para outros países.

Se o Tratamento de Dados Pessoais pelo Subcontratante incluir transferências (diretamente ou através de transferência posterior) do EEE, Suíça e/ou Reino Unido para outros países que não tenham sido sujeitos a uma decisão de adequação relevante, e tais transferências não forem realizadas através de um mecanismo de conformidade alternativo reconhecido adotado pelo Subcontratante para a transferência lícita de dados pessoais (conforme definido no RGPD) para fora do EEE, Suíça ou Reino Unido, conforme aplicável, as Cláusulas Contratuais Padrão serão aplicadas.

Quando a transferência de Dados Pessoais for feita conforme as Cláusulas Contratuais Padrão, o “Importador de Dados” será o Subcontratante ou seu Subprocessador, conforme for o caso e conforme determinado pelo Subcontratante, e o “Exportador de Dados” será o Responsável pelo Tratamento desses Dados Pessoais. Se necessário, o Subcontratante garantirá que seu Subprocessador celebre Cláusulas Contratuais Padrão diretamente com o Cliente, e nesse caso o Cliente emite aqui ao Subcontratante uma instrução e mandato para assinar as Cláusulas Contratuais Padrão com qualquer Subprocessador em nome do Cliente. As Cláusulas Contratuais Padrão não se aplicarão a Dados Pessoais relacionados a indivíduos localizados fora do EEE ou que não sejam transferidos, diretamente ou através de transferência posterior, para fora do EEE.

AFILIADAS AUTORIZADAS

Relação contratual.

As Partes reconhecem e concordam que, ao assinar o DPA, o Cliente celebra o DPA em seu próprio nome e, conforme aplicável, em nome de suas Afiliadas Autorizadas, caso em que cada Afiliada Autorizada concorda em ser vinculada às obrigações do Cliente sob este DPA, se e na medida em que o Cliente tratar Dados Pessoais em nome de tais Afiliadas Autorizadas, qualificando-as assim como o “Responsáveis pelo Tratamento”. Todo acesso e uso do Serviço por Afiliadas Autorizadas deve cumprir os termos e condições do Contrato e deste DPA, e qualquer violação por uma Afiliada Autorizada dos termos e condições neles contidos será considerada uma violação pelo Cliente.

Comunicação.

O Cliente permanecerá responsável por coordenar toda a comunicação com o Subcontratante nos termos do Contrato e deste DPA e terá o direito de efetuar e receber em nome de suas Afiliadas Autorizadas qualquer comunicação em relação a este DPA.

OUTRAS DISPOSIÇÕES

Avaliação de impacto de proteção de dados.

Mediante solicitação razoável do Cliente, o Subcontratante deverá fornecer ao Cliente, às custas do Cliente, cooperação e assistência razoáveis necessárias para cumprir a obrigação do Cliente sob o RGPD (conforme aplicável) de realizar uma avaliação de impacto de proteção de dados relacionada ao uso do Serviço pelo Cliente, na medida em que o Cliente não tiver de outra forma acesso às informações relevantes e na medida em que essas informações estiverem disponíveis ao Subcontratante. O Subcontratante deverá fornecer, às custas do Cliente, assistência razoável ao Cliente na cooperação ou consulta prévia com a Autoridade de Controle no desempenho de suas tarefas relacionadas com esta Seção 11.1, na medida exigida pelo RGPD.

Modificações pelo Cliente.

O Cliente poderá, mediante notificação escrita ao Subcontratante com pelo menos quarenta e cinco (45) dias de antecedência, solicitar por escrito quaisquer variações deste DPA que forem exigidas como resultado de qualquer alteração ou decisão de autoridade competente sob quaisquer Leis de Proteção de Dados para permitir que o tratamento dos Dados Pessoais do Cliente seja realizado (ou continue a ser realizado) sem violação dessas Leis de Proteção de Dados. Mediante tal aviso: (a) o Subcontratante deverá envidar esforços comercialmente razoáveis para acomodar a modificação solicitada pelo Cliente ou a que o Subcontratante acreditar ser necessária; e (b) o Cliente não deverá reter ou atrasar de forma não razoável sua anuência com quaisquer variações subsequentes a este DPA propostas pelo Subcontratante para proteger o Subcontratante contra riscos adicionais ou para indenizar e compensar o Subcontratante por quaisquer outras medidas e custos associados às variações realizadas neste a pedido do Cliente. As Partes devem discutir prontamente as variações propostas e negociar de boa fé com vistas a acordar e implementar essas ou variações alternativas destinadas a cumprir os requisitos identificados na notificação do Cliente assim que for razoavelmente possível. No caso de as Partes não conseguirem chegar a tal acordo no prazo de 30 dias após tal notificação, o Cliente ou o Subcontratante poderão, mediante notificação por escrito à outra Parte, com efeito imediato, rescindir o Contrato na medida relacionada com o Serviço afetado pelas variações propostas (ou falta das mesmas). O Cliente não terá mais pretensões contra o Subcontratante (incluindo, entre outros, solicitar reembolsos pelo Serviço) após a rescisão do Contrato e do DPA conforme descrito neste parágrafo.

Modificações pelo Subcontratante.

 Mediante notificação escrita com no mínimo trinta (30) dias calendário de antecedência, o Subcontratante poderá variar os termos deste DPA e/ou quaisquer Cláusulas Contratuais Padrão pertinentes, nos termos da Seção 9 deste DPA, conforme necessário para permitir que o Tratamento de Dados Pessoais seja realizado (ou continue a ser realizado) sem violação de Leis de Proteção de Dados pertinentes ou para proteger de outra forma os interesses do Subcontratante e/ou Cliente, em cada caso conforme razoavelmente determinado pelo Subcontratante, a seu critério. O uso contínuo do Serviço pelo Cliente após a expiração do prazo da notificação significará sua aceitação dos termos revisados. As Partes devem discutir prontamente as variações propostas e negociar de boa fé com vistas a acordar e implementar essas ou variações alternativas destinadas a cumprir os requisitos identificados na notificação do Cliente assim que for razoavelmente possível. No caso de as Partes não conseguirem chegar a tal acordo no prazo de 30 dias após tal notificação, o Cliente ou o Subcontratante poderão, mediante notificação por escrito à outra Parte, com efeito imediato, rescindir o Contrato na medida relacionada com o Serviço afetado pelas variações propostas (ou falta das mesmas). O Cliente não terá mais pretensões contra o Subcontratante (incluindo, entre outros, solicitar reembolsos pelo Serviço) após a rescisão do Contrato e do DPA conforme descrito neste parágrafo.

ANEXO 1 – PORMENORES DO TRATAMENTO

Natureza e finalidade do tratamento

  1. Prestar o Serviço ao Cliente;
  2. Executar o Contrato, este DPA e/ou outros contratos assinados pelas Partes;
  3. Agir de acordo com as instruções do Cliente, quando tais instruções forem consistentes com os termos do Contrato;
  4. Prestar suporte e manutenção técnica, se acordado no Contrato;
  5. Prevenir, mitigar e investigar os riscos de incidentes de segurança de dados, fraude, erro ou qualquer atividade ilegal ou proibida;
  6. Resolver controvérsias;
  7. Aplicar o Contrato, este DPA e/ou defender os direitos do Subcontratante;
  8. Cumprir as leis e normas pertinentes;
  9. Todas as tarefas relacionadas a qualquer um dos itens acima.

Duração do Tratamento

Sujeito a qualquer Seção do DPA e/ou do Contrato que trate da duração do Tratamento e as consequências da expiração ou rescisão do mesmo, o Subcontratante deverá tratar Dados Pessoais de acordo com o DPA e o Contrato durante a vigência do Contrato, salvo acordo em contrário por escrito.

Tipo de Dados Pessoais

O Cliente poderá enviar ao Serviço Dados Pessoais cuja extensão será determinada e controlada pelo Cliente, a seu exclusivo critério.

Categorias de Pessoas em Causa

O Cliente poderá enviar ao Serviço Dados Pessoais que podem incluir, entre outros, Dados Pessoais relacionados às seguintes categorias de Pessoas em Causa:

  • Funcionários, agentes, consultores e freelancers do Cliente (pessoas físicas)
  • Clientes potenciais, clientes, parceiros comerciais e fornecedores do Cliente (pessoas físicas)
  • Funcionários ou pontos de contato dos clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente
  • Qualquer terceiro pessoa física com quem o Cliente decida se comunicar através do Serviço.

AVISO: Esta versão é uma tradução do original em inglês, fornecida apenas para fins de conveniência. O original em inglês é a versão oficial e juridicamente vinculante, e prevalecerá em caso de discrepância.

Capacitando equipes para realizar mais, em conjunto

Avaliação grátis de 14 dias | Não é necessário cartão de crédito