Cláusulas Contratuais Padrão (SCC, Standard Contractual Clauses) (Processador a Processador)
Estas Cláusulas Contratuais Padrão estão anexadas e fazem parte do Adendo de Processamento de Dados da monday.com, disponível em https://www.monday.com/terms/dpa, ou outro contrato entre o Cliente e a monday.com que rege o processamento de Dados Pessoais contidos nos Dados de Clientes (o “DPA”). Salvo definido de outra forma neste anexo, os termos em maiúsculas usados nestas Cláusulas Contratuais Padrão têm os significados atribuídos a eles no DPA.
SEÇÃO I
Cláusula 1
Propósito e escopo
(a) O propósito destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) para a transferência de dados a um país terceiro.
(b) As Partes:
(i) a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante denominados “entidade(s)’) transferindo os dados pessoais, conforme listado no Anexo I.A (doravante cada “exportador de dados”), e
(ii) as entidade(s) em um país terceiro recebendo os dados pessoais de um exportador de dados, direta ou indiretamente via outra entidade que seja Parte destas Cláusulas, conforme listado no Anexo I.A (doravante cada “importador de dados”)
concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”)
(c) As Cláusulas se aplicam em relação à transferência de dados pessoais, conforme especificado no Anexo I.B.
(d) O Apêndice destas Cláusulas que contém os Anexos lá referenciados forma parte integral destas Cláusulas.
Cláusula 2
Efeito e inalterabilidade destas Cláusulas
(a) Estas Cláusulas definem salvaguardas apropriadas, incluindo direitos executáveis de titulares dados e medidas legais aplicáveis, de acordo com os Artigos 46(1) e 46(2)(c) do Regulamento (UE) 2016/679 e, com relação a transferências de dados de controladores a processadores e/ou processadores a processadores, cláusulas contratuais padrão de acordo com o Artigo 28(7) de Regulamento (UE) 2016/679, contanto que não sejam modificados, exceto para selecionar o(s) Módulo(s) apropriados ou adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão determinadas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou salvaguardas adicionais, contanto que não contradigam, direta ou indiretamente, estas Cláusulas ou violem direitos ou liberdades fundamentais de titulares de dados.
(b) Estas Cláusulas são estabelecidas sem prejuízo às obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679. virtude do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
(a) Titulares de dados podem invocar e executar estas Cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou importador de dados, considerando as seguintes exceções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(a), (c) e (d) e 8.9(a), (c), (d), (e), (f) e (g);
(iii) Cláusula 9(a), (c), (d) e (e);
(iv) Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18(a) e (b).
(b) Parágrafo (a) é estabelecido sem prejuízo aos direitos de titulares de dados sob o Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
(a) Onde forem usados nestas Cláusulas os termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado atribuído a eles no Regulamento.
(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) Estas Cláusulas não devem ser interpretadas de maneira conflituosa com os direitos e obrigações abrangidos pelo Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas Cláusulas e as disposições de contratos relacionados entre as Partes, existentes no momento em que estas Cláusulas são aceitas ou celebrados posteriormente, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência(s)
Os detalhes da(s) transferência(s), em especial as categorias de dados pessoais que são transferidos e o(s) fim(ns) para os quais são transferidos, são especificados no Anexo I.B.
Cláusula 7 – Opcional
Não usada.
SEÇÃO II – OBRIGAÇÃO DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que empenhou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas organizacionais e técnicas apropriadas, de cumprir suas obrigações sob estas Cláusulas.
8.1 Instruções
(a) O exportador de dados informou o importador de dados que atua como processador sob as instruções de seu(s) controlador(es), as quais o exportador de dados disponibilizará ao importador de dados antes do processamento.
(b) O importador de dados processará os dados pessoais apenas seguindo instruções documentadas do controlador, conforme comunicado ao importador de dados pelo exportador de dados, e quaisquer instruções documentadas adicionais do exportador de dados. Tais informações adicionais não devem entrar em conflito com as instruções do controlador. O controlador ou exportador de dados poderá fornecer instruções documentadas adicionais sobre o processamento de dados ao longo da duração do contrato.
(c) O importador de dados informará imediatamente o exportador de dados caso não seja capaz de seguir tais instruções. Se o importador de dados não for capaz de seguir as instruções do controlador, o exportador de dados notificará o controlador imediatamente.
(d) O exportador de dados garante que impôs as mesmas obrigações de proteção de dados ao importador de dados conforme definido no contrato ou outra lei sob a legislação da União ou de um Estado-membro entre o controlador e o exportador de dados.
8.2 Limitação de finalidade
O importador de dados processará os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme definido no Anexo I.B, salvo em caso de instruções adicionais do controlador, conforme comunicado ao importador de dados pelo exportador de dados, ou do exportador de dados.
8.3 Transparência
Mediante solicitação, o exportador de dados disponibilizará sem custos uma cópia destas Cláusulas, incluindo o Apêndice conforme concluído pelas Partes, ao titular de dados. Na medida necessária para proteger segredos de negócio ou outras informações confidenciais, incluindo dados pessoais, o exportador de dados poderá ocultar partes do texto do Apêndice antes de compartilhar a cópia, mas fornecerá um resumo significativo em seções onde o titular de dados não seria capaz de entender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular de dados os porquês das seções ocultadas sem, na medida do possível, revelar as informações ocultadas.
8.4 Precisão
Se o importador de dados tomar ciência de que os dados pessoais que recebeu são imprecisos, ou obsoletos, importador de dados informará o exportador de dados sem atrasos indevidos. Nesse caso, o importador de dados cooperará com o exportador de dados para retificar ou apagar os dados.
8.5 Duração do processamento e apagamento ou retorno dos dados
O processamento por parte do importador de dados ocorrerá apenas pela duração especificada no Anexo I.B. O processamento por parte do importador de dados ocorrerá apenas pela duração especificada no Anexo I.B. Após a prestação dos serviços de processamento, o importador de dados excluirá, à escolha do exportador de dados, todos os dados pessoais processados em nome do controlador e certificará ao exportador de dados que o fez ou retornará ao exportador de dados todos os dados pessoais processados em nome do exportador de dados e excluirá as cópias existentes. Até que os dados sejam excluídos ou retornados, o importador de dados continuará a assegurar a conformidade com estas Cláusulas. Caso a legislação local aplicável ao importador de dados proíba o retorno ou exclusão dos dados pessoais, o importador de dados garante que continuará a assegurar a conformidade com estas Cláusulas e processará os dados apenas na medida e pela duração necessária sob a legislação local. Isso é estabelecido sem prejuízo à Cláusula 14, em especial o requisito para que o importador de dados sob a Cláusula 14(e) notifique o exportador de dados ao longo da duração do contrato se tiver motivos para crer que está ou se tornou sujeito a leis ou práticas não alinhadas com os requisitos sob a Cláusula 14(a).
8.6 Segurança do processamento
(a) O importador de dados e, durante a transmissão, o exportador de dados implementarão medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo proteção contra falhas de segurança que levem à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos dados (doravante denominado “vazamento de dados pessoais”). Ao avaliar o nível de segurança adequado, as eles tomarão a devida ciência do estado da arte, custos de implementação, natureza, escopo, contexto e propósito(s) do processamento e os riscos ao titular de dados no processamento. As Partes considerarão, em especial, recursos de criptografia e pseudonimização, incluindo durante a transmissão, quando o propósito do processamento puder ser alcançado dessa maneira. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais ao titular de dados específico permanecerão, quando possível, sob controle exclusivo do exportador de dados ou do controlador. Ao cumprir suas obrigações sob este parágrafo, o importador de dados implementará ao menos as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados conduzirá verificações regulares para garantir que essas medidas continuem a fornecer o nível de segurança adequado.
(b) O importador de dados concederá acesso aos dados a membros de sua equipe apenas na medida em que for estritamente necessário para implementar, gerir e monitorar o contrato. Garantirá que pessoas autorizadas para processar dados pessoais se comprometeram à confidencialidade ou estão sob obrigações legais de confidencialidade adequadas.
(c) Em caso de um vazamento de dados relacionado aos dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados tomará as medidas apropriadas para lidar com o vazamento, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também notificará sem atrasos indevidos o exportador de dados e o controlador, quando apropriado e viável, o controlador após tomar ciência de um vazamento. Tal notificação conterá os detalhes do ponto de contato onde mais informações podem ser obtidas, uma descrição da natureza do vazamento (incluindo, quando possível, categorias e números aproximados de titulares de dados e registros de dados pessoais afetados), suas prováveis consequências e as medidas tomadas ou propostas para lidar com o vazamento, incluindo medidas para mitigar seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial conterá as informações disponíveis no momento e informações adicionais serão, conforme se tornarem disponíveis, subsequentemente fornecidas sem atrasos indevidos.
(d) O importador de dados cooperará com e assistirá o exportador de dados para habilitar o exportador de dados a cumprir suas obrigações sob o Regulamento (UE) 2016/679, em especial para notificar seu controlador para que este possa, por sua vez, notificar a autoridade de controle competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis
Quando uma transferência envolver dados pessoais que revelam origem étnica ou racial, opiniões políticas, crenças religiosas ou filosóficas, participação em sindicatos, dados genéticos ou dados biométricos para o fim exclusivo de identificar uma pessoa física, dados relativos ao estado de saúde, vida sexual ou orientação sexual do indivíduo ou dados relativos à condenações criminais ou crimes (doravante denominado “dados sensíveis”), o importador de dados aplicará as restrições específicas e/ou salvaguardas adicionais definidas no Anexo I.B.
8.8 Transferências subsequentes
O importador de dados apenas divulgará os dados pessoais a um terceiro sob instruções documentadas do controlador, conforme comunicado ao importador de dados pelo exportador de dados. Além disso, os dados poderão ser divulgados a um terceiro localizado fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante definido como “transferência subsequente”) apenas se o terceiro estiver ou concorda em estar vinculado por estas Cláusulas, sob o Módulo apropriado, ou se:
(i) a transferência subsequente é feita para um país beneficiário de uma decisão de adequação de acordo com o artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
(ii) o terceiro de outra forma garante salvaguardas adequadas de acordo com os Artigos 46 e 47 do Regulamento (UE) 2016/679;
(iii) a transferência subsequente é necessária para estabelecer, exercer ou defender reivindicações jurídicas no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou
(iv) a transferência subsequente é necessária para proteger interesses vitais do titular de dados ou outra pessoa física.
Qualquer transferência subsequente está sujeita à conformidade por parte do importador de dados com todas as outras salvaguardas sob estas Cláusulas, em especial a limitação de finalidade.
8.9 Documentação e conformidade
(a) O importador de dados lidará de imediato e adequadamente com indagações do exportador de dados ou do controlador relacionadas ao processamento sob estas Cláusulas.
(b) As partes devem ser capazes de demonstrar conformidade com estas Cláusulas. Em especial, o importador de dados manterá a documentação apropriada sobre as atividades de processamento empenhadas em nome do controlador.
(c) O importador de dados disponibilizará ao exportador de dados, que, por sua vez, disponibilizará ao controlador, todas as informações necessárias para demonstrar conformidade com as obrigações definidas nestas Cláusulas.
(c) O importador de dados permitirá e contribuirá com auditorias conduzidas pelo exportador de dados das atividades de processamento abrangidas nestas Cláusulas em intervalos razoáveis ou se houver sinais de não conformidade. O mesmo se aplicará quando o exportador de dados solicitar uma auditoria sob instruções do controlador. Ao determinar uma auditoria, o exportador de dados poderá considerar as certificações relevantes do importador de dados.
(e) Se uma auditoria for conduzida sob instruções do controlador, o exportador de dados disponibilizará os resultados ao controlador.
(f) O exportador de dados poderá escolher conduzir a auditoria por conta própria ou via um auditor independente designado. As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e serão, quando apropriado, desempenhadas com aviso prévio razoável.
(g) As Partes disponibilizarão as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, às autoridades de controle competentes mediante solicitação.
Cláusula 9
Uso de subprocessadores
(a) O importador de dados conta com a autorização geral do controlador para interagir com o(s) subprocessador(es) listado(s) em uma lista acordada. O importador de dados informará especificamente o controlador por escrito sobre qualquer alteração pretendida à lista via a adição ou substituição de subprocessadores com ao menos dez (10) dias úteis de antecedência, dando, assim, tempo o suficiente para que o controlador possa apresentar uma objeção a tais alterações antes da interação com o(s) subprocessador(es). O importador de dados fornecerá ao controlador as informações necessárias para permitir que o controlador exerça seu direito de objeção. O importador de dados informará o exportador de dados sobre a interação com o(s) subprocessador(es).
(b) Quando o importador de dados interagir com um subprocessador para desempenhar atividades de processamento específicas (em nome do controlador), fará isso por meio de um contrato escrito que abrange, essencialmente, as mesmas obrigações de proteção de dados que vinculam o importador de dados a estas Cláusulas, incluindo em termos de direitos de terceiros beneficiários para titulares de dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados garantirá que o subprocessador cumpre as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
(c) O importador de dados fornecerá, mediante solicitação do exportador de dados ou do controlador, uma cópia de tal contrato de subprocessador e quaisquer emendas subsequentes. Na medida necessária para proteger segredos de negócio ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá ocultar seções do texto do contrato antes de compartilhar uma cópia.
(d) O importador de dados permanecerá totalmente responsável e responderá ao exportador de dados pelo desempenho das obrigações do subprocessador sob seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações sob o contrato.
(e) O importador de dados deverá firmar uma cláusula de terceiro beneficiário com o subprocessador, na qual – caso o importador de dados tenha factualmente desaparecido, legalmente deixado de existir ou tornado-se insolvente – o exportador de dados terá o direito de extinguir o contrato com o subprocessador e instruir o subprocessador a apagar ou retornar os dados pessoais.
Cláusula 10
Direitos das pessoas em causa
(a) O importador de dados notificará o exportador de dados e, quando apropriado, o controlador de imediato sobre qualquer solicitação do titular de dados recebida sem responder a essa solicitação, salvo autorização por parte do controlador para fazê-lo.
(b) O importador de dados auxiliará, quando apropriado em cooperação com o exportador de dados, o controlador no cumprimento das obrigações para responder às solicitações dos titulares de dados para o exercício de seus direitos sob o Regulamento (UE) 2016/679 ou Regulamento (UE) 2018/1725, conforme aplicável. Nesse quesito, as Partes definirão no Anexo II as medidas técnicas e organizacionais adequadas, levando em conta a natureza do processamento, pelo qual a assistência será prestada, bem como o escopo e a medida em que a assistência é necessária.
(c) No cumprimento de suas obrigações sob os parágrafos (a) e (b), o importador de dados cumprirá as instruções do controlador, conforme comunicadas pelo exportador de dados.
Cláusula 11
Indenização
(a) O importador de dados informará os titulares de dados de forma transparente e em formato facilmente acessível, por meio de notificação individual ou sem seu site, sobre um ponto de contato autorizado para lidar com reclamações. Lidará de imediato com quaisquer reclamações de titulares de dados recebidas.
(b) Em caso de disputa entre o titular de dados e alguma das Partes em relação à conformidade com estas Cláusulas, a Parte em questão empenhará seu melhor esforço para solucionar o problema de forma amigável e em tempo hábil. Cada Parte manterá a outra informada sobre tais disputas e, quando apropriado, cooperará para resolvê-las.
(c) Caso um titular de dados invocar um direito de terceiro beneficiário de acordo com a Cláusula 3, o importador de dados aceitará a decisão do titular de dados para:
(i) protocolar uma petição com a autoridade de controle no Estado-membro em que o titular reside ou trabalha, ou a autoridade de controle competente de acordo com a Cláusula 13;
(ii) encaminhe a disputa aos tribunais competentes atentando-se à Cláusula 18.
(d) As Partes aceitam que o titular de dados possa ser representado por um órgão, organização ou associação sem fins lucrativos sob as condições definidas no Artigo 80(1) do Regulamento (UE) 2016/679.
(e) O importador de dados obedecerá decisões vinculantes sob a legislação aplicável da UE ou do Estado-membro.
(f) O importador de dados aceita que a escolha feita pelo titular de dados não prejudicará os direitos materiais e processuais do titular de buscar tutelas de acordo com a legislação aplicável.
Cláusula 12
Responsabilidade
(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar á(s) outra(s) Parte(s) por meio de qualquer violação destas Cláusulas.
(b) O importador de dados será responsável perante o titular de dados, e o titular de dados terá direito a receber compensação por qualquer dano material ou não material causado pelo importador de dados ou seu subprocessador ao titular de dados por meio da violação de direitos de terceiros beneficiários sob estas Cláusulas.
(c) Não obstante o parágrafo (b), o exportador de dados sera responsável perante o titular de dados, e o titular de dados terá direito a receber compensação por qualquer dano material ou não material causado pelo exportador de dados ou o importador de dados (ou seu subprocessador) ao titular de dados por meio da violação de direitos de terceiros beneficiários sob estas Cláusulas. Isso é estabelecido sem prejuízo à responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, à responsabilidade do controlador sob o Regulamento (UE) 2016/679 ou o Regulamento (UE) 2018/1725, conforme aplicável.
(d) As Partes concordam que se o exportador de dados for responsabilizado sob o parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), o exportador de dados terá direito a reivindicar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelos danos.
(e) Quando mais de uma Parte for responsabilizada por qualquer dano causado ao titular de dados como resultado da violação destas Cláusulas, todas as Partes responsáveis serão responsabilizadas em conjunto e individualmente perante, e o titular de dados tem o direito de protocolar um processo em tribunal contra qualquer dessas Partes.
(f) As Partes concordam que se uma das Partes for responsabilizada sob o parágrafo (e), a Parte responsabilizada terá direito de reivindicar da(s) outra(s) Parte(s) a parte da compensação correspondente à responsabilidade da(s) Parte(s) pelo dano.
(g) O importador de dados não poderá invocar a conduta de um subprocessador para evitar se furtar às suas próprias responsabilidades.
Cláusula 13
(a) Se o exportador de dados for sediado em um estado-membro da UE: a autoridade de controle responsável por garantir conformidade por parte do exportador de dados ao Regulamento (UE) 2016/679 em relação à transferência de dados, conforme indicado no Anexo I.C, atuará como a autoridade de controle competente.
Se o exportador de dados não for sediado em um Estado-membro da UE, mas estiver sob o escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, designar um representante de acordo com o Artigo 27(2) do Regulamento (UE) 2016/679: a autoridade de controle de um dos Estados-membros em que o titular de dados, cujos dados pessoais são transferidos sob estas Cláusulas em conexão à oferta de bens e serviços ao titular, ou cujo comportamento é monitorado, estiver localizado, conforme indicado no Anexo I.C, atuará como a autoridade de controle competente. |
(b) O importador de dados concorda em se submeter à jurisdição de e cooperar com a autoridade de controle competente em qualquer procedimento que vise garantir a conformidade com estas Cláusulas. Em especial, o importador de dados concorda em responder a indagações, submeter-se a auditorias e cumprir medidas adotadas pela autoridade de controle, incluindo medidas compensatórias e corretivas. O importador de dados fornecerá à autoridade de controle uma confirmação por escrito de que as medidas necessárias foram tomadas
SEÇÃO III – LEGISLAÇÃO LOCAL E OBRIGAÇÕES EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Legislação e práticas locais afetando a conformidade com as Cláusulas
(a) As Partes garantem que não têm motivo para crer que as leis e práticas do país terceiro de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo qualquer exigência para divulgar dados pessoais ou medidas autorizando o acesso por autoridades públicas, impedem o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso é baseado no entendimento de que as leis e práticas que respeitam a essência de direitos e liberdades fundamentais e não excedem o necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não contradizem estas Cláusulas.
(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), tomaram devida ciência dos seguintes elementos em especial:
(i) as circunstâncias específicas da transferência, incluindo o tamanho da cadeia de processamento, o número de atores envolvidos e os canais de transmissão usados; transferências subsequentes pretendidas; o tipo de destinatário; o propósito do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino – incluindo aquelas que exigem a divulgação de dados a autoridades públicas ou a autorização de acesso por tais autoridades – relevantes à luz das circunstâncias de transferência específicas e as limitações e salvaguardas aplicáveis;
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais estabelecidas para complementar as salvaguardas sob estas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento de dados pessoais no país de destino.
(c) O importador de dados garante que, na condução das tarefas sob o parágrafo (b), empenhou seus melhores esforços para fornecer as informações relevantes ao exportador de dados e concorda que continuará a cooperar com o exportador de dados para garantir conformidade com estas Cláusulas.
(d) As Partes concordam em documentar a avaliação sob o parágrafo (b) e disponibilizá-la às autoridades de controle competentes mediante solicitação.
(e) O importador de dados concorda em notificar o exportador de dados de imediato se, após concordar com estas Cláusulas e pelo período de vigência do contrato, tiver motivos para crer que está ou se tornou sujeito à leis e práticas não alinhadas com os requisitos sob o parágrafo (a), incluindo após uma mudança na legislação do país terceiro ou uma medida (como uma solicitação de divulgação) indicando a aplicação de tais leis na prática de forma não alinhada com os requisitos do parágrafo (a). O exportador de dados encaminhará a notificação ao controlador.
(f) Após notificação de acordo com o parágrafo (e), ou se o exportador de dados de outra forma tiver motivos para crer que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados identificará de imediato as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e confidencialidade) a serem adoadas pelo exportador de dados e/ou importador de dados para lidar com a situação, consultando o controlador quando apropriado. O exportador de dados suspenderá a transferência de dados se considerar que as salvaguardas apropriadas para tal transferência não puderem ser garantidas, ou se instruído pelo controlador ou por uma autoridade de controle competente a fazê-lo. Nesse caso, o exportador de dados terá direito a extinguir o contrato, na medida em que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer seu direito de extinção apenas em relação à Parte relevante, salvo acordo em contrário com as outras Partes. Se o contrato for extinguido de acordo com esta Cláusula, as Cláusulas 16(d) e (e) se aplicarão.
Cláusula 15
Obrigações do importador de dados em caso de acesso pelas autoridades públicas
15.1 Notificação
(a) O importador de dados concorda em notificar de imediato o exportador de dados e, quando possível, o titular de dados (se necessário com a ajuda do exportador de dados) se:
(i) receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades jurídicas, sob as leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação incluirá informações sobre os dados pessoais solicitados, a base legal para a solicitação e a resposta fornecida; ou
(ii) tomar ciência de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas conforme as leis do país de destino; tal notificação incluirá todas as informações disponíveis para o importador.
O exportador de dados encaminhará a notificação ao controlador.
(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular de dados sob as leis do país de destino, o importador de dados concorda em empenhar os melhores esforços para obter uma renúncia dessa proibição, buscando comunicar o máximo de informações possível, o quanto antes. O importador de dados concorda em documentar seus melhores esforços para demonstrá-los mediante solicitação do exportador de dados.
(c) Se permitido sob as leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em especial, números de solicitações, tipos de dados solicitados, autoridade(s) solicitadora(s), se as solicitações foram contestadas e o resultado dessas contestações, etc.). O exportador de dados encaminhará a notificação ao controlador.
(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las às autoridades de controle relevantes mediante solicitação.
(e) Os parágrafos (a) a (c) não prejudicam as obrigações do importador de dados de acordo com as Cláusulas 14(e) e 16 a informar o exportador de dados de imediato caso não seja capaz de cumprir estas Cláusulas.
15.2 Análise de legalidade e minimização de dados
(a) O importador de dados concorda em analisar a legalidade da solicitação para divulgar, em especial se está no escopo de poderes concedidos à autoridade pública solicitante, e contestá-la se, após análise cuidadosa, concluir que existem justificativas razoáveis para consider a solicitação ilegal sob as leis do país de destino, obrigações aplicáveis sob lei internacional e princípios de cooperação jurídica internacional. O importador de dados buscará, sob as mesmas condições, as possibilidades de recorrer. Ao contestar uma solicitação, o importador de dados buscará medidas provisórias visando suspender os efeitos da solicitação até que uma autoridade jurídica competente decida seu mérito. O importador de dados não divulgará dados pessoais solicitados até ser exigido a fazê-lo sob as regras de procedimento aplicáveis. Esses requerimentos não prejudicam as obrigações do importador de dados sob a Cláusula 14(e).
(b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação à solicitação de divulgação e, na medida do permissível sob as leis do país de destino, disponibilizar a documentação ao exportador de dados. O importador de dados disponibilizará à autoridade de controle competente mediante solicitação. O exportador de dados disponibilizará a avaliação ao controlador.
(c) O importador de dados concorda em fornecer o mínimo de informações legalmente permissível ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.
SEÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não conformidade com as Cláusulas e extinção
(a) O importador de dados informará o exportador de dados de imediato se for incapaz de cumprir estas Cláusulas, por qualquer motivo.
(b) Caso o importador de dados esteja em violação destas Cláusulas ou seja incapaz de cumprir estas Cláusulas, o exportador de dados suspenderá a transferência de dados pessoais ao importador de dados até que a conformidade seja garantida ou o contrato extinto. Isso é estabelecido sem prejuízo à Cláusula 14(f).
(c) O exportador de dados terá o direito de extinguir o contrato, na medida em que diz respeito ao processamento de dados pessoais sob estas Cláusulas, se:
(i) exportador de dados suspendeu a transferência de dados pessoais ao importador de dados de acordo com o parágrafo (b) e conformidade com estas Cláusulas não foi restaurada em um período razoável e em qualquer caso dentro de um mês de suspensão;
(ii) o importador de dados está em violação significativa ou persistente destas Cláusulas; ou
(iii) o importador de dados falha em cumprir a decisão vinculante de um tribunal competente ou autoridade de controle em relação a suas obrigações sob estas Cláusulas.
Nesses casos, informará a autoridade de controle competente e o controlador sobre tal não conformidade. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer seu direito de extinção do contrato apenas em relação à Parte relevante, salvo acordo em contrário entre as Partes.
(d) Dados pessoais transferidos antes da extinção do contrato de acordo com o parágrafo (c) devem, à escolha do exportador de dados, ser imediatamente retornados ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplicará a qualquer cópia dos dados. O importador de dados certificará ao exportador de dados a exclusão dos dados. Até que os dados sejam excluídos ou retornados, o importador de dados continuará a assegurar a conformidade com estas Cláusulas. Caso a legislação local aplicável ao importador de dados proíba o retorno ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a assegurar a conformidade com estas Cláusulas e processará os dados apenas na medida e pela duração necessária sob a legislação local.
(e) Cada Parte poderá revogar seu consentimento em estar vinculada a estas Cláusulas se (i) a Comissão Europeia adotar uma decisão de acordo com o Artigo 45(3) do Regulamento (UE) 2016/679 que abrange a transferência de dados pessoais à qual estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 se tornar parte de uma estrutura legal do país ao qual os dados pessoais são transferidos. Isso é estabelecido sem prejuízo a outras obrigações aplicáveis ao processamento em questão sob o Regulamento (UE) 2016/679.
Cláusula 17
Legislação regente
Estas Cláusulas serão regidas pela legislação de um dos Estados-membros da UE, contanto que tal legislação permita direitos de terceiros beneficiários. As Partes concordam que essa deve ser a legislação da República da Irlanda
Cláusula 18
Escolha de foro e jurisdição
(a) Qualquer disputa decorrente destas Cláusulas será resolvida por tribunais de um Estado-membro da UE.
(b) As Partes concordam que esses devem ser tribunais da República da Irlanda.
(c) Um titular de dados também poderá mover procedimentos legais contra o exportador de dados e/ou importador de dados perante os tribunais do Estado-membro em que o titular de dados reside.
(d) As Partes concordam em se submeter à jurisdição de tais tribunais.
ANEXO I
- LISTA DAS PARTES
Exportador(es) de dados:
Nome: entidade classificada como “Cliente” no DPA ou Contrato.
Endereço: endereço do Cliente conforme especificado no DPA ou Contrato.
Nome, cargo e informações de contato da pessoa: as informações de contato associadas ao Cliente, conforme especificado no DPA ou Contrato.
Atividades relevantes para a transferência de dados sob estas Cláusulas: as atividades especificadas na Seção 2.3 e Suplemento 1 do DPA.
Assinatura e data: ao celebrar o Contrato e DPA, e usar os Serviços para Transferências no EEE, considera-se que o exportador de dados assinou estas Cláusulas Contratuais Padrão e seus respectivos Anexos.
Função (controlador/processador): processador.
Importador(es) de dados:
Nome: monday.com conforme especificado no DPA.
Endereço: endereço da monday.com conforme especificado no Contrato.
Nome, cargo e informações de contato da pessoa: as informações de contato da monday.com especificadas no Contrato.
Atividades relevantes para a transferência de dados sob estas Cláusulas:
as atividades especificadas na Seção 2.3 e Suplemento 1 do DPA.
Assinatura e data: ao celebrar o Contrato e DPA, e participar de Transferências no EEE, como o importador de dados em nome do exportador de dados, considera-se que o importador de dados assinou estas Cláusulas Contratuais Padrão e seus respectivos Anexos.
Função (controlador/processador): processador.
- DESCRIÇÃO DE TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos
As categorias de titulares de dados são descritas no Suplemento 1 (Detalhes de Processamento) do DPA.
Categorias de dados pessoais transferidos
As categorias de titulares de dados são descritas no Suplemento 1 (Detalhes de Processamento) do DPA.
Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que consideram integralmente a natureza dos dados e os riscos envolvidos, como a estrita limitação de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que passaram por treinamento especializado), manutenção de registros de acessos ao dados, restrições para transferências subsequentes ou medidas de segurança adicionais.
As Partes não pretendem transferir Dados Sensíveis, exceto de acordo com a Seção 2.5 do DPA.
A frequência da transferência (por exemplo, se os dados são transferidos de uma única vez ou de forma contínua).
Dados Pessoais são transferidos de forma contínua de acordo com o uso dos Serviços por parte do Cliente e o envio de Dados Pessoais.
Natureza do processamento
A natureza do processamento é descrita no Suplemento 1 (Detalhes de Processamento) do DPA.
Propósito(s) de transferência de dados e processamento adicional
O propósito do processamento é descrito no Suplemento 1 (Detalhes de Processamento) do DPA.
O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar o período
O período pelo qual os Dados Pessoais serão retidos é a duração do Contrato, salvo acordado de outra forma no Contrato e/ou DPA.
Para transferências a subprocessadores, especificar também o assunto em questão, natureza e duração do processamento
Em relação a transferências aos Subprocessadores, o assunto em questão e a natureza do processamento são definidos no link detalhado na Seção 5.2.1 do DPA. A duração do processamento por Subprocessadores é a duração do Contrato, salvo acordado de outra forma no Contrato e/ou DPA.
- AUTORIDADE DE CONTROLE COMPETENTE
Identificar a(s) autoridade(s) de controle competente(s) de acordo com a Cláusula 13
A autoridade de controle competente do exportador de dados será determinada de acordo com o RGPD (GDPR).
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS INCLUINDO MEDIDAS TÉCNICAS E ORGANIZAÇÕES PARA GARANTIR A SEGURANÇA DOS DADOS
Descrição de medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo qualquer certificação relevante) para garantir um nível apropriado de segurança, considerando a natureza, escopo, contexto e propósito do processamento e os riscos para os direitos e liberdades de pessoas físicas.
As medidas técnicas e organizacionais (incluindo as certificações do importador de dados), bem como o escopo e a medida em que a assistência é necessária para responder às solicitações dos titulares de dados, são descritas do DPA em Documentação de Segurança.
Para transferências a (sub) processadores, também descrever as medidas técnicas e organizacionais específicas tomadas pelo (sub) processador para ser capaz de prestar assistência ao controlador e, para transferências de processador para subprocessador, ao exportador de dados.
As medidas técnicas e organizacionais que o importador de dados imporá aos subprocessadores estão descritas no DPA.
ANEXO III
TRANSFERÊNCIAS INTERNACIONAIS DO REINO UNIDO
Tabela 1: As Partes: conforme estipulado no Anexo I.A.
Tabela 2: As Cláusulas Contratuais Padrão (SCCs), Módulos e Cláusulas Selecionadas: conforme estipulado no Anexo I.
Tabela 3: Informações do Apêndice: as informações que devem ser fornecidas para os módulos selecionados conforme definido no Apêndice das SCCs da UE (além das Partes) e que para este Anexo III estão definidas no Anexo I.
Celebrando este Anexo III:
- Cada Parte concorda em estar vinculada aos termos e condições definidos neste Anexo III, em troca de a outra Parte também concordar em estar vinculada por Anexo III.
- Embora o Anexo I.A e a Cláusula 7 das SCCs da UE exijam a assinatura das Partes, para os fins de realizar Transferências do Reino Unido, as Partes poderão celebrar este Anexo III de forma as torna legalmente vinculadas às Partes e permite que titulares de dados exerçam seus direitos conforme definido neste Anexo III. Celebrar este Anexo III terá o mesmo efeito que assinar as SCCs da UE e qualquer parte das SCCs da UE.
Interpretação deste Anexo III:
- Onde forem usados neste Anexo III termos definidos nas SCCs da UE, esses termos terão o mesmo significado atribuído a eles nas SCCs da UE. Além disso, os seguintes termos terão os seguintes significados:
Adendo às SCCs da UE | A(s) versão(ões) das SCCs da UE às quais este Anexo III é anexado, conforme definido na Tabela 2, incluindo as Informações do Apêndice. |
Informações do Apêndice | Conforme definido na Tabela 3. |
Salvaguardas Apropriadas | O padrão de proteção para dados pessoais e direitos de titulares de dados, que é exigido pelas Leis de Proteção de Dados do Reino Unido quando as Partes fazem uma Transferência do Reino Unido com base em cláusulas padrão de proteção de dados sob o Artigo 46(2)(d) do GDPR do Reino Unido. |
Cláusulas Contratuais Padrão | Conforme definido do DPA. |
ICO | Gabinete do Comissário de Informação do Reino Unido. |
Anexo III | Este Anexo III, que é composto deste Anexo III incorporando SCCs da UE. |
Adendo do Reino Unido | Conforme definido do DPA. |
Leis de Proteção de Dados do Reino Unido | Todas as leis relativas à proteção de dados, processamento de dados pessoais, privacidade e/ou comunicação eletrônica em vigor em cada período no Reino Unido, incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018. |
GDPR do Reino Unido | Conforme definido na Seção 3 da Lei de Proteção de Dados de 2018. |
Reino Unido | O Reino Unido da Grã-Bretanha e Irlanda do Norte. |
Transferência do Reino Unido | Uma transferência abrangida pelo Capítulo V do GDPR do Reino Unido. |
- Este Anexo III deve sempre ser interpretado de forma consistente com as Leis de Proteção de Dados do Reino Unido e de forma a cumprir as obrigações das Partes em implementar as Salvaguardas Apropriadas.
- Se as disposições incluídas no Adendo às SCCs da UE alterarem as SCCs da UE de qualquer forma não permitida sob as SCCs da UE ou este Anexo III, tal(is) emenda(s) não serão incorporadas por este Anexo III e a disposição equivalente das SCCs da UE tomará seu lugar.
- Se houver qualquer inconsistência ou conflito entre as Leis de Proteção de Dados do Reino Unido e este Anexo III, as Leis de Proteção de Dados do Reino Unido prevalecerão.
- Se o significado deste Anexo III não estiver claro ou houver mais de um significado, o significado que mais se aproxima das Leis de Proteção de Dados do Reino Unido prevalecerá.
- Qualquer referência a legislações (ou disposições específicas da legislação) refere-se à legislação (ou disposição específica) conforme pode ser alterada ao longo do tempo. Isso inclui casos em que a legislação (ou disposição específica) foi consolidada, promulgada novamente e/ou substituída depois de firmar este DPA.
Hierarquia:
- Embora a Cláusula 5 das SCCs da UE defina que as SCCs da UE prevalecerão sobre todos os contratos relacionados entre as Partes, as Partes concordam que, para uma Transferência do Reino Unido, a hierarquia na Seção 10 abaixo prevalecerá.
- Quando houver qualquer inconsistência ou conflito entre este Anexo III e o Adendo às SCCs da UE (conforme aplicável), este Anexo III prevalecerá sobre o Adendo às SCCs da UE, exceto se (e na medida em que) os termos inconsistentes ou conflituosos do Adendo às SCCs da UE fornecer maior proteção aos titulares de dados, caso em que esses termos prevalecerão sobre as disposições deste Anexo III.
- Se este Anexo III incorporar o Adendo às SCCs da UE que foram firmadas para proteger transferências submetidas ao Regulamento Geral de Proteção de dados (UE) 2016/679, as Partes reconhecem que nada neste Anexo III impacta as cláusulas do Adendo às SCCs da UE.
Incorporação e mudanças às SCCs da UE:
- Este Anexo III incorpora as cláusulas do Adendo às SCCs da UE, que são alteradas na medida em que for necessário para:
- Juntas, operam para transferências de dados feitas pelo exportador de dados ao importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao realizar a transferência de dados, e fornecem as Salvaguardas Apropriadas para essas transferências de dados;
- Seções 9 a 11 prevalecem sobre a Cláusula 5 (Hierarquia) das SCCs da UE; e
- Este Anexo III (incluindo o Adendo às SCCs da UE incorporados nele) é (1) regido pelas leis da Inglaterra e País de Gales e (2) qualquer disputa decorrente dele será resolvida por tribunais da Inglaterra e País de Gales, em cada caso salvo se as leis e/ou tribunais da Escócia ou Irlanda do Norte tiverem sido expressamente selecionados pelas Partes.
- Salve se as partes tiverem concordado em alterações alternativas que atendam aos requisitos da Seção 12 acima, as disposições da Seção 15 abaixo se aplicarão.
- Nenhuma alteração das SCCs da UE poderá ser feita, exceto para atender aos requisitos da Seção 12 acima.
- As seguintes alterações ao Adendo às SCCs da UE (para os fins da Seção 12 acima) são realizadas:
- Referências a “Cláusulas” se referem a este Anexo III, incorporando o Adendo às SCCs da UE;
- Na Cláusula 2, remova as palavras:
“e, em relação a transferência de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão de acordo com o Artigo 28(7) do
Regulamento (UE) 2016/679″;
- Cláusula 6 (Descrição da(s) transferência(s) é substituída por:
“Os detalhes da(s) transferência(s) e em especial as categorias de dados pessoais transferidas e o(s) propósito(s) por que são transferidas) são aqueles especificados no Anexo I.B onde as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao fazer a transferência.”;
- Cláusula 8.8 é substituída por:
“a transferência subsequente é para um país beneficiário de regulações de adequação de acordo com a Seção 17A do GDPR do Reino Unido que aborda transferências subsequentes;”
- Referências ao “Regulamento (UE) 2016/679”, “Regulamento (UE) 2016/679 do Parlamento Europeu e o Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas em relação ao processamento de dados e liberdade de movimento de tais dados (Regulamento Geral sobre a Proteção de Dados)” e “aquele Regulamento” são substituídas por “Leis de Proteção de Dados do Reino Unido”. Referências a Artigo(s) específico(s) do “Regulamento (UE) 2016/679” são substituídos por um Artigo ou Seção equivalente das Leis de Proteção de Dados do Reino Unido;
- Referências ao Regulamento (UE) 2018/1725 foram removidas;
- Referências à “União Europeia”, “União”, “UE”, “Estado-membro da UE”, “Estado-membro” e “UE ou Estado-membro” são substituídas por “Reino Unido”;
- Cláusula 13(a) e Parte C do Anexo I não são usados;
- Os termos “autoridade de controle competente” e “autoridade de controle” são ambos substituídos por “Comissário de Informação”;
- A Cláusula 16(e), subseção (i) é substituída por:
“o Secretário de Estado cria regulações de acordo com a Seção 17A da Lei de Proteção de Dados de 2018 que abrangem a transferência de dados pessoais aos quais estas cláusulas se aplicam;”;
- Cláusula 17 é substituída por:
“Estas Cláusulas são regidas pelas leis da Inglaterra e do País de Gales.”;
- Cláusula 18 é substituída por:
“Qualquer disputa decorrente destas Cláusulas será resolvida por tribunais da Inglaterra e do País de Gales. Um titular de dados também poderá mover procedimentos legais contra o exportador de dados e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em se submeter à jurisdição de tais tribunais.”; e
- As notas explicativas às SCCs da UE não fazem parte deste Anexo III, exceto as notas explicativas 8, 9, 10 e 11.
Alterações a este Anexo III:
- As Partes podem concordar em alterar a Cláusula 17 e/ou 18 deste Anexo III para se referir as leis e/ou tribunais da Escócia ou Irlanda do Norte.
- Se as Partes desejarem alterar o formato das informações incluídas nas Tabelas 1, 2 ou 3 deste Anexo III, elas podem fazê-lo concordando com a alteração por escrito, contanto que a alteração não reduza as Salvaguardas Apropriadas.
- Periodicamente, o ICO poderá emitir um Adendo do Reino Unido que:
- Faz alterações proporcionais e razoáveis ao Adendo do Reino Unido, incluindo a correção de erros no Anexo III; e/ou
- Reflete alterações nas Leis de Proteção de Dados do Reino Unido;
O Adendo do Reino Unido revisado especificará a data de início a partir da qual as alterações ao Adendo do Reino Unido entraram em vigor e se as Partes precisam revisar o Anexo III, incluindo as Informações do Apêndice. O Anexo III será automaticamente alterado conforme definido na versão revisada do Adendo do Reino Unido a partir da data de início especificada.
- Se o ICO emitir uma versão revisada do Adendo do Reino Unido sob a Seção 18, se qualquer Parte tiver, como resultado direto das mudanças ao Adendo do Reino Unido, um aumento significativo, desproporcional e demonstrável em
- Custos diretos ao desempenhar suas obrigações sob este Anexo III; e/ou
- Seu risco sob este Anexo III,
e, em ambos os casos, tiver primeiro tomado medidas razoáveis para reduzir seus custos ou riscos de forma a torná-los insignificativos ou proporcionais, então a Parte em questão poderá extinguir este Anexo III ao fim de um período razoável de aviso prévio fornecendo um aviso por escrito à outra Parte antes da data de início da versão revisada do Adendo do Reino Unido.
- As Partes não precisam consentir a qualquer terceiro para realizar alterações a este Anexo III, mas qualquer mudança deve ser feita de acordo com estes termos.
ANEXO IV
TRANSFERÊNCIAS INTERNACIONAIS DA SUÍÇA
As Partes concordam que as SCCs da UE, conforme alterado pelo Anexo I, serão ajustadas conforme definido abaixo de forma que a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 (a “FADP”, e conforme revisada em 25 de setembro de 2020, a “FADP Revisada”) se aplica às Transferências da Suíça:
- Referências às SCCs da UE se referem às SCCs da UE conforme alteradas pelo Anexo IV;
- O Comissário Federal de Informação de Proteção de Dados da Suíça (“FDPIC”) será a Autoridade de Controle exclusiva para Transferências da Suíça e sujeito exclusivamente ao FADP;
- Os termos “Regulamento Geral de Proteção de Dados” ou “Regulamento (UE) 2016/679” conforme utilizados nas SCCs da UE devem ser interpretados para incluir o FADP em relação às Transferências da Suíça.
- Referências ao Regulamento (UE) 2018/1725 foram removidas.
- As Transferências da Suíça sujeiras tanto ao FADP quanto ao GDPR serão tratadas pela Autoridade de Controle da UE designada no Anexo I;
- referências à “União”, “UE” e “Estado-membro da UE” não devem ser interpretadas de forma a excluir a possibilidade de Titulares de Dados na Suíça exercerem seus direitos em seu país de residência (Suíça) de acordo com a Cláusula 18(c) das SCCs da UE;
- Quando as Transferências da Suíças estiverem sujeitas ao FADP, todas as referências ao GDPR nas SCCs da UE devem ser entendidas como referências ao FADP;
- Quando as Transferências da Suíças estiverem sujeitas tanto ao FADP e o GDPR, da UE todas as referências ao GDPR nas SCCs da UE devem ser entendidas como referências ao FADP na medida em que as Transferências da Suíça estão sujeitas ao FADP;
- As SCCs da Suíça também protegem Dados Pessoais de entidades legais até a entrada em vigor do FADP revisado.
ANEXO V
SALVAGUARDAS ADICIONAIS
- Em qualquer transferência em que as Cláusulas Contratuais Padrão se aplicam, as Partes concordam em complementá-las com as seguintes declarações e salvaguardas, quando apropriado:
(a) O importador de dados implementará e manterá de acordo com as boas práticas da indústria medidas para proteger os Dados Pessoais contra a intercepção (incluindo no trânsito entre o exportador de dados e o importador de dados e entre diferentes sistemas e serviços). Isso inclui implementar e manter uma rede de proteção criada para negar a invasores a capacidade de interceptar dados e criptografia de Dados Pessoais durante o trânsito ou em armazenamento para impedir que invasores possam ler os dados.
(b) O importador de dados empenhará esforços comercialmente razoáveis para resistir, estando sujeito à legislação aplicável, a qualquer solicitação de monitoramento em maça relacionado aos Dados Pessoais protegidos sob o GDPR, o GDPR do Reino Unido ou o FADP, incluindo sob a seção 702 of the Lei de Vigilância de Inteligência Estrangeira dos Estados Unidos da América (“FISA”);
(c) Se o importador de dados tomar ciência de que qualquer autoridade governamental (incluindo segurança pública) deseja obter acesso a ou uma cópia de alguns ou todos os Dados Pessoais, seja de forma voluntária ou obrigatória, salve em casos onde seja legalmente proibido ou sob compulsão legal em contrário:
(i) O importador de dados informará a autoridade governamental relevante que o importador de dados é um processador de Dados Pessoais e que o exportador de dados não autorizou o importador de dados a divulgar os Dados Pessoais à autoridade governamental e informará a autoridade governamental relevante que toda e qualquer solicitação ou demandas de acesso a Dados Pessoais devem, portanto, ser notificadas ou entregues ao exportador de dados por escrito;
(ii) O importador de dados usará mecanismos jurídicos comercialmente razoáveis para contestar tal demanda de acesso a Dados Pessoais que estão sob controle do importador de dados. Não obstante o exposto, (a) o exportador de dados reconhece que tal contestação nem sempre será razoável ou possível à luz da natureza, escopo, contexto e propósitos do acesso por autoridade governamental, e (b) se, considerando a natureza, escopo, contexto e propósitos do acesso de autoridade governamental a Dados Pessoais, o importador de dados tiver uma crença razoável e em boa-fé de que acesso urgente é necessário para prevenir um risco iminente de dano físico grave a algum indivíduo ou entidade, esta subseção (e) (II) não se aplicará. Nesse caso, o importador de dados notificará o exportador de dados, o quanto antes, após o acesso por autoridade governamental, e fornecerá ao exportador de dados os detalhes relevantes sobre o ocorrido, salve quando o importador de dados esteja legalmente proibido de fazê-lo.
- Uma vez a cada 12 meses, o importador de dados informará ao exportador de dados, mediante solicitação por escrito do exportador de dados, os tipos de demandas legais vinculantes para Dados Pessoais que o importador de dados recebeu e apenas na medida em que tais demandas foram recebidas, incluindo ordens de segurança nacional ou diretivas, que abrangerão qualquer processo emitido sob a seção 702 do FISA.