Gather Adendo de processamento de dados

Este Adendo de Processamento de Dados entra em vigor a partir de 30 de setembro de 2024

Este Adendo de Processamento de Dados e seus Anexos (o "Adendo" ou "DPA") reflete o acordo entre as partes com relação ao Processamento de Dados Pessoais pela Gather Presence, Inc. ("Gather", também "nós" ou "nos") em nome do Cliente (também "você") em conexão com os Termos de Serviço do site, a Política de Privacidade doGather ou outro contrato escrito ou eletrônico entre o Gather e você que rege o uso dos Serviços do Gather (coletivamente, o "Contrato"). 

Precisa de uma cópia assinada? Envie um e-mail para support@gather.town

1. Definições 

"Afiliada" significa qualquer entidade que, direta ou indiretamente, controle, seja controlada ou esteja sob controle comum com a entidade em questão. "Controle", para fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% das participações com direito a voto da entidade em questão.

"Gather Services" significa os serviços escolhidos pelo Cliente, conforme especificado no Contrato. 

"CCPA" significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code §1798.100 et seq, e suas regulamentações de implementação. 

"Controlador" significa a entidade que determina as finalidades e os meios do Processamento de Dados Pessoais, incluindo, conforme aplicável, qualquer "empresa", conforme esse termo é definido pela CCPA. 

"Cliente" significa a entidade que assinou o Contrato juntamente com suas Afiliadas que assinaram Formulários de Pedido. 

"Dados do Cliente" significa qualquer coisa definida no Contrato como "Dados do Cliente", desde que esses dados sejam dados eletrônicos ou informações enviadas por ou para o Cliente aos Serviços do Gather . 

"Leis de Proteção de Dados" significa as leis, regras e regulamentos de proteção de dados ou privacidade da União Europeia, do Espaço Econômico Europeu e seus estados membros, da Suíça, do Reino Unido e dos Estados Unidos e seus estados, aplicáveis ao Processamento de Dados Pessoais nos termos deste Adendo. 

"Titular dos Dados" significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem. 

"GDPR" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). 

"Dados pessoais" significa qualquer informação relacionada a uma pessoa física identificada ou identificável que o Cliente fornece ao Gather como parte dos Serviços do Gather , quando esses dados forem Dados do Cliente. 

"Processo" ou "Processamento" significa qualquer operação ou conjunto de operações realizadas pelo Gather como parte dos Serviços Gather em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados. 

"Processador" significa a entidade que processa os Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, qualquer "provedor de serviços", conforme esse termo é definido pela CCPA. 

"Incidente de segurança" significa uma violação confirmada de segurança que levou à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados de outra forma por um indivíduo não autorizado.

"Cláusulas contratuais padrão" significa o acordo firmado por e entre o Cliente e Gather e anexado a este Adendo como Anexo 1, de acordo com a Decisão da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros nos termos da Decisão de Execução da Comissão 914/2021/UE.

"Subprocessador" significa um terceiro, incluindo uma entidade sob controle comum ou controlada por Gather, designado para Processar Dados Pessoais em conexão com o Contrato. 

"Autoridade supervisora" terá o significado dado no GDPR. 

Os termos em letras maiúsculas usados, mas não definidos neste Adendo, terão os significados fornecidos no Contrato. 

2. Processamento de dados pessoais

2.1. As partes reconhecem e concordam que, com relação ao Processamento de Dados Pessoais, o Cliente é o Controlador e o Gather é o Processador. 

2.2. O objeto do Processamento nos termos deste Adendo são os Dados Pessoais. A duração do Processamento nos termos deste Adendo é o prazo do Contrato, sujeito ao direito do Gatherde reter os Dados Pessoais conforme descrito neste Adendo. A finalidade do Processamento de Dados Pessoais nos termos deste Adendo é para que o Gather forneça os Serviços do Gather ao Cliente nos termos do Contrato. A natureza do Processamento é o fornecimento dos Serviços Gather , conforme descrito mais especificamente no Contrato. O tipo de Dados Pessoais são os dados coletados e processados pelo Cliente, a seu critério exclusivo, por meio do uso dos Serviços do Gather pelo Cliente. Os titulares dos dados são os usuários finais do Cliente que acessam e usam o(s) aplicativo(s) móvel(is), site(s), plataforma, IoT ou outro(s) aplicativo(s) do Cliente. 

2.3. O Gather somente processará Dados Pessoais de acordo com as disposições deste Adendo, as instruções do Cliente e as Leis de Proteção de Dados aplicáveis ao fornecimento dos Serviços do Gather pelo Gather. O Cliente deverá garantir que todas as instruções fornecidas pelo Cliente ao Gather com relação ao Processamento de Dados Pessoais estejam em conformidade com todas as Leis de Proteção de Dados aplicáveis, incluindo (se aplicável) a CCPA. O Cliente concorda ainda que quaisquer instruções fornecidas a Gather com relação ao Processamento de Dados Pessoais não farão com que Gather viole quaisquer Leis de Proteção de Dados aplicáveis, incluindo (se aplicável) a CCPA. 

2.4. O Cliente deverá, em seu uso dos Serviços do Gather , Processar Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados e, se aplicável, da CCPA, incluindo, mas não se limitando a, fornecer quaisquer avisos necessários e obter quaisquer consentimentos necessários dos Titulares dos Dados relacionados ao uso do Gather como Processador. As decisões e ações do Cliente relativas ao Processamento e uso de Dados Pessoais deverão estar em conformidade com as Leis de Proteção de Dados, a CCPA e os termos do Contrato e deste Adendo. O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais. 

3. Transferências internacionais de dados pessoais

Os Dados Pessoais que o Gather processa em nome do Cliente serão transferidos, armazenados e processados nos Estados Unidos. O Cliente, por meio deste instrumento, consente com a transferência dos Dados Pessoais para os Estados Unidos e consente com o armazenamento e o Processamento dos Dados Pessoais nos Estados Unidos pelo Gather para que o Gather forneça os Serviços do Gather . Se o Cliente estiver transferindo Dados Pessoais da União Europeia, do Espaço Econômico Europeu e/ou de seus estados membros ("EEE"), da Suíça e do Reino Unido, a transferência ocorrerá por meio das Cláusulas Contratuais Padrão anexadas como Anexo 1 a este Adendo. As Cláusulas Contratuais Padrão não se aplicarão aos Dados Pessoais que não forem transferidos para fora da União Europeia, do EEE e/ou de seus estados membros, da Suíça e do Reino Unido. 

4. Solicitações de terceiros e confidencialidade

4.1. O Gather não divulgará Dados Pessoais a nenhum indivíduo ou a terceiros, exceto: (i) a pedido do Cliente; (ii) conforme previsto neste Adendo; (iii) conforme necessário para fornecer os Serviços do Gather ; ou (iv) conforme exigido pela lei aplicável ou por uma ordem válida e vinculativa de uma agência de aplicação da lei. Exceto quando exigido de outra forma por lei, o Gather notificará prontamente o Cliente sobre qualquer intimação, ordem judicial, administrativa ou arbitral de uma agência executiva ou administrativa ou outra autoridade governamental ("Demanda") que receber e que esteja relacionada aos Dados Pessoais. Mediante solicitação do Cliente, o Gather fornecerá ao Cliente informações razoáveis em sua posse que possam responder à Demanda e qualquer assistência razoavelmente necessária para que o Cliente responda à Demanda em tempo hábil. O Cliente reconhece que o Gather não tem a responsabilidade de interagir diretamente com a entidade que está fazendo a Demanda. 

4.2. O Gather garantirá que todos os funcionários ou aqueles que têm autoridade para acessar ou processar os Dados Pessoais estejam vinculados a obrigações de confidencialidade com relação aos Dados Pessoais. O Gather garantirá que seus funcionários ou aqueles que têm autoridade para processar os Dados Pessoais não os processem, exceto de acordo com as instruções do Cliente. O Gather garantirá que todos os funcionários tenham recebido treinamento sobre as leis relacionadas ao manuseio de Dados Pessoais e estejam cientes dos deveres do Gathere de seus deveres e obrigações pessoais de acordo com essas leis e este Adendo.

5. Solicitação do titular dos dados

Gather notificará prontamente o Cliente se o Gather receber uma solicitação de um Titular de Dados para exercer o direito de acesso do Titular de Dados, o direito de corrigir ou retificar, o direito de se opor ao Processamento, o direito de apagar ("direito de ser esquecido"), a portabilidade de dados, restringir o processamento ou o direito de não estar sujeito a uma tomada de decisão individual automatizada, sendo cada uma dessas solicitações uma "Solicitação do Titular de Dados". Gather A Kyocera fornecerá toda a assistência razoável e oportuna ao Cliente, incluindo medidas técnicas e organizacionais apropriadas, na medida do possível, para permitir que o Cliente responda a qualquer solicitação de um Titular de Dados. Caso qualquer solicitação de um Titular de Dados seja feita diretamente para Gather, Gather deverá informar imediatamente o Cliente e fornecer os detalhes completos da solicitação ao Cliente. 

6. Segurança

Gather implementou e manterá medidas técnicas e organizacionais adequadas, controles internos e rotinas de segurança de informações para garantir um nível de segurança adequado ao risco de perda acidental, destruição, alteração, divulgação ou acesso não autorizado ou destruição ilegal de Dados Pessoais. 

7. Notificação de incidentes de segurança

No caso de um Incidente de Segurança que afete os Dados Pessoais do Cliente, o Gather notificará o Cliente dentro de 72 horas a partir do momento em que o Gather tomar conhecimento do Incidente de Segurança. Além disso, o Gather investigará o Incidente de Segurança e fornecerá ao Cliente informações sobre o Incidente de Segurança suficientes para que o Cliente cumpra com quaisquer requisitos de notificação de violação de dados de acordo com as Leis de Proteção de Dados. O Gather também tomará medidas razoáveis para mitigar os efeitos e minimizar qualquer dano resultante do Incidente de Segurança. GatherA obrigação da Gather de relatar ou responder a um Incidente de Segurança, conforme previsto neste documento, não é e não será interpretada como um reconhecimento pela de qualquer falha ou responsabilidade com relação ao Incidente de Segurança. 

8. Auditoria e registros

8.1. As partes concordam que qualquer auditoria realizada nos termos deste Adendo, inclusive nos termos das Cláusulas 5(f) ou 12(2) das Cláusulas Contratuais Padrão da UE, deverá ser realizada de acordo com as especificações identificadas nesta Seção 8.1. O Cliente não poderá realizar uma auditoria mais de uma vez por ano civil, a menos que o Cliente seja obrigado ou solicitado a realizar uma auditoria por uma Autoridade de Supervisão ou qualquer autoridade reguladora semelhante responsável pela aplicação das Leis de Proteção de Dados em qualquer país ou território. O Cliente pode entrar em contato com o Gather de acordo com a cláusula "Aviso" do Contrato para solicitar uma auditoria no local dos procedimentos do Gatherrelacionados à proteção de Dados Pessoais. Antes que o Cliente possa realizar uma auditoria no local dos procedimentos do Gather, o Gather e o Cliente deverão concordar mutuamente com o cronograma, o escopo e a duração da auditoria. O Cliente deverá reembolsar o Gather por quaisquer custos e despesas incorridos pelo Gather como resultado da auditoria. Além disso, a auditoria deverá ser conduzida de forma a evitar causar (ou, se não puder ser evitada, minimizar) qualquer dano, lesão ou interrupção das instalações virtuais, equipamentos, pessoal e operações comerciais da Gatherenquanto o pessoal do Cliente estiver nessas instalações virtuais no curso de tal auditoria ou inspeção. Qualquer auditoria conduzida sob esta Seção 8.1 deverá ser limitada às instalações virtuais do Gather(oGather não tem um local físico de negócios). Se as Cláusulas Contratuais Padrão da UE se aplicarem, nada neste documento deverá ser interpretado como afetando os direitos de qualquer Autoridade Supervisora ou titular de dados de acordo com as Cláusulas Contratuais Padrão da UE. 

8.2. OGather manterá um registro de qualquer Processamento de Dados Pessoais realizado em nome do Cliente, que deverá ser disponibilizado à Autoridade Supervisora relevante mediante solicitação, e que deverá incluir: 

1. o nome e os detalhes de contato do Gather e do Cliente em nome do qual está agindo e, quando aplicável, do representante do Cliente e do responsável pela proteção de dados; 
2. as categorias de Processamento realizadas em nome do Cliente; 
3. transferências de dados pessoais para um terceiro país ou organização internacional e a base sobre a qual essas transferências estão em conformidade; e 
4. uma descrição das medidas de segurança de dados adotadas por Gather. 

9. Subprocessadores

Você concorda que podemos contratar subprocessadores para processar dados pessoais em seu nome. Atualmente, designamos como subprocessadores os terceiros listados no Anexo 3 deste DPA. Nós o notificaremos se adicionarmos ou substituirmos quaisquer Subprocessadores listados no Anexo 3, pelo menos 30 dias antes de tais alterações, se você optar por receber esse e-mail antes de tais alterações, preenchendo o formulário disponível aqui.

Quando contratarmos Subprocessadores, imporemos termos de proteção de dados aos Subprocessadores que forneçam, no mínimo, o mesmo nível de proteção para os Dados Pessoais que os deste ATD (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), na medida aplicável à natureza dos serviços prestados por tais Subprocessadores. Permaneceremos responsáveis pela conformidade de cada Subprocessador com as obrigações deste DPA e por quaisquer atos ou omissões de tal Subprocessador que nos levem a violar quaisquer de suas obrigações nos termos deste DPA

O Cliente poderá se opor ao uso de um novo Subprocessador pelo Gathernotificando o Gather prontamente por escrito dentro de trinta (30) dias após o recebimento do aviso do Gathercom relação ao novo Subprocessador. Se o Cliente contestar o novo Subprocessador, o Gather envidará esforços razoáveis para disponibilizar uma alteração nos Serviços ou no uso dos Serviços pelo Cliente para evitar o Processamento de Dados Pessoais pelo Subprocessador contestado pelo Cliente. Se o Gather não puder disponibilizar essa alteração no prazo de 30 (trinta) dias após o recebimento da notificação do Cliente, o Cliente poderá rescindir os Serviços que não podem ser fornecidos sem o uso do Subprocessador contestado. Se o Cliente rescindir os Serviços, o Gather reembolsará ao Cliente quaisquer taxas pré-pagas que cubram o restante do prazo especificado no documento de pedido aplicável após a data efetiva da rescisão. Não obstante qualquer disposição aqui contida, o Cliente reconhece e concorda que o Gather pode usar os Subprocessadores identificados no Anexo 3 para fornecer os Serviços do Gather . O Gather permanece responsável por seus Subprocessadores e por seus atos e omissões, assim como por seus próprios atos e omissões, e quaisquer referências às obrigações, atos e omissões do Gatherneste Adendo devem ser interpretadas como se referindo também aos Subprocessadores do Gather. As partes concordam que quaisquer direitos de auditoria fornecidos sob os termos deste Adendo não se estendem às instalações dos Subprocessadores do Gather. 

10. Avaliação do impacto da proteção de dados e consulta prévia

Mediante solicitação do Cliente, o Gather fornecerá assistência razoável ao Cliente com quaisquer avaliações de impacto de proteção de dados e consultas prévias com autoridades de supervisão, que o Cliente considere razoavelmente exigidas pelo Artigo 35 ou 36 do GDPR, em cada caso exclusivamente em relação ao Processamento de Dados Pessoais por e levando em consideração a natureza do Processamento e as informações disponíveis para Gather.

11. Rescisão

11.1 Este Adendo deverá continuar em pleno vigor até a expiração ou rescisão do Contrato. 

11.2 Após a expiração ou rescisão do Contrato, o Cliente poderá extrair os Dados Pessoais dos Serviços do Gather . No prazo de 30 (trinta) dias a partir da exclusão de um espaço virtual pelo Cliente, o Gather excluirá os Dados Pessoais de acordo com os termos do Contrato, exceto conforme exigido por lei ou, se permitido pela lei aplicável, para resolver disputas ou aplicar os acordos e políticas legais do Gather. 

12. Disposições específicas da CCPA

12.1 OGather está agindo como um "Provedor de Serviços" em nome do Cliente, um "Negócio", de acordo com a CCPA. O Gather não reterá, usará ou divulgará os Dados do Cliente divulgados a ele pelo Cliente para qualquer finalidade que não seja a finalidade específica de fornecer os Serviços do Gather de acordo com os termos do Contrato ou conforme disposto de outra forma na CCPA. 

12.2 O Gather não venderá nenhum Dado do Cliente a terceiros em troca de dinheiro ou outra consideração valiosa.  

12.3 O Gather não reterá, usará ou divulgará quaisquer Dados do Cliente fora do relacionamento comercial direto entre o Gather e o Cliente, exceto conforme previsto na CCPA. 

13. Diversos

As partes não preveem a transferência de dados confidenciais como parte do Contrato. A responsabilidade de cada parte decorrente de ou relacionada a este Adendo, seja em contrato, ato ilícito ou sob qualquer teoria de responsabilidade, está sujeita à seção "Limitação de responsabilidade" do Contrato. Se houver conflito entre qualquer disposição deste Adendo e qualquer disposição do Contrato, este Adendo prevalecerá. Exceto pelas alterações feitas por este Adendo, o Contrato permanece inalterado e em pleno vigor e efeito. Este Adendo não restringirá nenhuma lei de proteção de dados aplicável. Se qualquer disposição deste Adendo for ineficaz ou nula, isso não afetará as disposições restantes. As partes deverão substituir a disposição ineficaz ou nula por uma disposição legal que reflita o objetivo comercial da disposição ineficaz ou nula. Caso uma disposição necessária esteja faltando, as partes deverão adicionar uma disposição apropriada de boa fé. Em caso de conflito, a ordem de precedência com relação ao Processamento de Dados Pessoais deverá ser este Adendo e, em seguida, o Contrato. Se as Cláusulas contratuais padrão da UE forem parte integrante deste Adendo, as Cláusulas contratuais padrão da UE prevalecerão. Este Adendo prevalece e substitui todos os acordos, comunicações e outros entendimentos anteriores, escritos e verbais, relacionados ao assunto deste Adendo. Este Adendo pode ser assinado em uma ou mais vias, sendo que cada uma delas será considerada um original e todas juntas serão consideradas como um único e mesmo documento. 

Cláusulas contratuais padrão 

SEÇÃO I

Cláusula 1

Objetivo e escopo

(a) O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (1) para a transferência de dados pessoais para um terceiro país.

(b) As Partes:

1. a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante "entidade(s)") que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante cada "exportador de dados"), e
2. a(s) entidade(s) em um terceiro país que receber(em) os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade que também seja Parte destas Cláusulas, conforme listado no Anexo I.A (doravante denominada "importador de dados"), concordou(aram) com estas cláusulas contratuais padrão (doravante denominadas "Cláusulas").

(c) Estas Cláusulas se aplicam com relação à transferência de dados pessoais, conforme especificado no Anexo I.B.

(d) O Apêndice a estas Cláusulas, contendo os Anexos nele mencionados, é parte integrante destas Cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

(a) Estas Cláusulas estabelecem salvaguardas adequadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

(b) Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3

Beneficiários terceiros

(a) Os titulares de dados podem invocar e aplicar estas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:

1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
2. Cláusula 8 -Cláusula 8.1(b), 8.9(a), (c), (d) e (e); 
3. Cláusula 9 -Clausula 9(a), (c), (d) e (e); 
4. Cláusula 12 -Clausula 12(a), (d) e (f);
5. Cláusula 13;
6. Cláusula 15.1(c), (d) e (e);
7. Cláusula 16(e);
8. Cláusula 18 - Cláusulas 18(a) e 18(b);

(b) O parágrafo (a) não prejudica os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

(a) Quando estas Cláusulas utilizarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.

(b) Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

(c) Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos, estão especificados no Anexo I.B.

‍

Cláusula 7

Cláusula de ancoragem

(a) Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.

(b) Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e as obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.

(c) A entidade aderente não terá nenhum direito ou obrigação decorrente destas Cláusulas do período anterior ao de se tornar uma Parte.

SEÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destas Cláusulas.

8.1. Instruções de uso

(a) O importador de dados processará os dados pessoais somente mediante instruções documentadas do exportador de dados. O exportador de dados poderá dar essas instruções durante toda a vigência do contrato.

(b) O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.

8.2. Limitação de propósito

O importador de dados processará os dados pessoais somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados.

8.3. Transparência

Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice, conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não puder, de outra forma, compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível, sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.

8.4. Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, ele deverá informar o exportador de dados sem atrasos indevidos. Nesse caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.

8.5. Duração do processamento e exclusão ou devolução de dados

O processamento pelo importador de dados somente ocorrerá pelo período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, a critério do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente os processará na medida e pelo tempo exigidos pela lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados, de acordo com a Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com as exigências da Cláusula 14(a).

8.6. Segurança do processamento

(a) O importador de dados e, durante a transmissão, também o exportador de dados implementarão medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante denominada "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, as Partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados. As Partes deverão considerar, em especial, o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. Ao cumprir as obrigações previstas neste parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível adequado de segurança.

(b) O importador de dados concederá acesso aos dados pessoais a membros de sua equipe somente na medida estritamente necessária para a implementação, gerenciamento e monitoramento do contrato. Ele deverá garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade.

(c) No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados nos termos destas Cláusulas, o importador de dados tomará as medidas apropriadas para resolver a violação, inclusive medidas para mitigar seus efeitos adversos. O importador de dados também notificará o exportador de dados sem atrasos indevidos após ter tomado conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão), suas consequências prováveis e as medidas tomadas ou propostas para solucionar a violação, incluindo, quando apropriado, medidas para atenuar seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.

(d) O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade supervisora competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.

8.7 Dados confidenciais

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante denominados "dados sensíveis"), o importador de dados deverá aplicar as restrições específicas e/ou garantias adicionais descritas no Anexo I.B.

8.8 Transferências subsequentes

O importador de dados somente divulgará os dados pessoais a um terceiro mediante instruções documentadas do exportador de dados. Além disso, os dados somente poderão ser divulgados a um terceiro localizado fora da União Europeia (4) (no mesmo país que o importador de dados ou em outro país terceiro, doravante denominada "transferência subsequente") se o terceiro estiver ou concordar em se vincular a estas Cláusulas, sob o Módulo apropriado, ou se:

1. a transferência subsequente é para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
2. o terceiro garanta de outra forma as salvaguardas apropriadas de acordo com os artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;
3. A transferência subsequente é necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou
4. a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.

Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções previstas nestas Cláusulas, em especial a limitação de finalidade.

8.9 Documentação e conformidade

(a) O importador de dados deverá tratar pronta e adequadamente as consultas do exportador de dados relacionadas ao processamento nos termos destas Cláusulas.

(b) As Partes deverão ser capazes de demonstrar a conformidade com estas Cláusulas. Em especial, o importador de dados deverá manter a documentação adequada sobre as atividades de processamento realizadas em nome do exportador de dados.

(c) O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados poderá levar em conta as certificações relevantes mantidas pelo importador de dados.

(d) O exportador de dados pode optar por realizar a auditoria por conta própria ou solicitar um auditor independente. As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.

(e) As Partes disponibilizarão as informações mencionadas nas alíneas (b) e (c), inclusive os resultados de quaisquer auditorias, à autoridade supervisora competente, mediante solicitação.

Cláusula 9

Uso de subprocessadores

(a) O importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessador(es) de uma lista acordada. O importador de dados informará especificamente o exportador de dados, por escrito, sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos 30 (trinta) dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder se opor a essas alterações antes da contratação do(s) subprocessador(es). O importador de dados fornecerá ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção.

(b) Quando o importador de dados contratar um Subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), ele deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para os titulares dos dados. (8) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8. O importador de dados deverá garantir que o Subprocessador cumpra as obrigações às quais o importador de dados está sujeito nos termos destas Cláusulas.

(c) O importador de dados deverá fornecer, mediante solicitação do exportador de dados, uma cópia desse contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o importador de dados poderá redigir o texto do contrato antes de compartilhar uma cópia.

(d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do Subprocessador nos termos de seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do Subprocessador em cumprir suas obrigações nos termos desse contrato.

(e) O importador de dados acordará uma cláusula de terceiro beneficiário com o Subprocessador, segundo a qual, caso o importador de dados tenha desaparecido de fato, deixado de existir legalmente ou se tornado insolvente, o exportador de dados terá o direito de rescindir o contrato do Subprocessador e de instruir o Subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10

Direitos do titular dos dados

(a) O importador de dados deverá notificar prontamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados. Ele não responderá a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

(b) O importador de dados deve ajudar o exportador de dados a cumprir suas obrigações de responder às solicitações dos titulares de dados para o exercício de seus direitos nos termos do Regulamento (UE) 2016/679. A esse respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais apropriadas, levando em conta a natureza do processamento, por meio das quais a assistência será prestada, bem como o escopo e a extensão da assistência necessária.

(c) Ao cumprir suas obrigações de acordo com os parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.

Cláusula 11

Reparação

(a) O importador de dados deverá informar aos titulares dos dados, em formato transparente e de fácil acesso, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a lidar com reclamações. Ele deverá lidar prontamente com quaisquer reclamações que receber de um titular de dados.

(b) Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito ao cumprimento destas Cláusulas, a Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil. As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.

(c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deverá aceitar a decisão do titular dos dados de:

1. apresentar uma reclamação à autoridade supervisora do Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13;
2. encaminhar a disputa aos tribunais competentes de acordo com o significado da Cláusula 18.

(d) As Partes aceitam que o titular dos dados possa ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no Artigo 80(1) do Regulamento (UE) 2016/679.

(e) O importador de dados deverá cumprir uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado-Membro.

(f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar recursos de acordo com as leis aplicáveis.

Cláusula 12

Responsabilidade civil

(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar(em) à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.

(b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber indenização, por quaisquer danos materiais ou morais que o importador de dados ou seu Subprocessador causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.

(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber indenização, por quaisquer danos materiais ou morais que o exportador de dados ou o importador de dados (ou seu Subprocessador) causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.

(d) As Partes concordam que, se o exportador de dados for considerado responsável, nos termos do parágrafo (c), por danos causados pelo importador de dados (ou seu Subprocessador), ele terá o direito de reivindicar do importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelo dano.

(e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.

(f) As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.

(g) O importador de dados não poderá invocar a conduta de um Subprocessador para evitar sua própria responsabilidade.

Cláusula 13

Supervisão

(a) Quando o exportador de dados estiver estabelecido em um Estado Membro da UE: A autoridade de supervisão responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.

Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver abrangido pelo escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu artigo 3(2) e tiver nomeado um representante nos termos do artigo 27(1) do Regulamento (UE) 2016/679: A autoridade supervisora do Estado Membro no qual o representante, na acepção do artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do Regulamento (UE) 2016/679: A autoridade supervisora de um dos Estados-Membros em que os titulares de dados cujos dados pessoais são transferidos nos termos destas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

(b) O importador de dados concorda em se submeter à jurisdição da autoridade supervisora competente e cooperar com ela em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, inclusive medidas corretivas e compensatórias. Ele deverá fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.

SEÇÃO III - LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam a conformidade com as Cláusulas

(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas. Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas Cláusulas.

(b) As Partes declaram que, ao fornecer a garantia mencionada no parágrafo (a), elas levaram em consideração, em especial, os seguintes elementos:

1. As circunstâncias específicas da transferência, inclusive a extensão da cadeia de processamento, o número de agentes envolvidos e os canais de transmissão usados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos;
2. as leis e práticas do terceiro país de destino - inclusive aquelas que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por tais autoridades - relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis (12);
3. quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes postas em prática para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.

(c) O importador de dados garante que, ao realizar a avaliação prevista no parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.

(d) As Partes concordam em documentar a avaliação realizada nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente, mediante solicitação.

(e) O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com os requisitos do parágrafo (a), inclusive após uma alteração nas leis do país terceiro ou uma medida (como uma solicitação de divulgação) que indique uma aplicação de tais leis na prática que não esteja de acordo com os requisitos do parágrafo (a). 

(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não poderá mais cumprir suas obrigações nos termos destas Cláusulas, o exportador de dados identificará prontamente as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência, ou se for instruído pela autoridade supervisora competente a fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que ele se refira ao processamento de dados pessoais de acordo com estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, aplicar-se-á a Cláusula 16(d) e (e).

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

15.1. Notificação

(a) O importador de dados concorda em notificar o exportador de dados e, quando possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se

1. receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou
2. tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, em conformidade com as leis do país de destino; essa notificação deverá incluir todas as informações disponíveis ao importador.

(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma isenção da proibição, com o objetivo de comunicar o máximo de informações possível, o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los mediante solicitação do exportador de dados.

(c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.). 

(d) O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.

(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, de acordo com a Cláusula 14(e) e a Cláusula 16, de informar prontamente o exportador de dados quando não puder cumprir essas Cláusulas.

15.2. Revisão da legalidade e minimização de dados

(a) O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis de acordo com o direito internacional e os princípios de cortesia internacional. O importador de dados deverá, sob as mesmas condições, buscar possibilidades de recurso. Ao contestar uma solicitação, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre seus méritos. Ele não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Essas exigências não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).

(b) O importador de dados concorda em documentar sua avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Ele também deverá disponibilizá-la à autoridade supervisora competente, mediante solicitação. 

(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

SEÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16

Não conformidade com as Cláusulas e rescisão

(a) O importador de dados deverá informar prontamente o exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.

(b) Caso o importador de dados esteja violando estas Cláusulas ou não possa cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente assegurada ou o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).

(c) O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais nos termos destas Cláusulas, quando

1. o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não for restabelecida em um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
2. o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou
3. o importador de dados deixar de cumprir uma decisão vinculante de um tribunal competente ou de uma autoridade supervisora com relação às suas obrigações nos termos destas Cláusulas.

Nesses casos, ele deverá informar a autoridade supervisora competente sobre essa não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.

(d) Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplicará a quaisquer cópias dos dados]. O importador de dados deverá certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente processará os dados na medida e pelo tempo exigidos pela lei local.

(e) Qualquer uma das Partes poderá revogar seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do Artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17

Legislação aplicável

Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que estas Cláusulas serão regidas de acordo com a seção "Entidade Contratante; Lei Aplicável; Aviso" dos Termos Específicos de Jurisdição ou, se essa seção não especificar um Estado Membro da UE, pela lei da República da Irlanda (sem referência a conflitos de princípios legais)

Cláusula 18

Escolha de foro e jurisdição

(a) Qualquer controvérsia decorrente destas Cláusulas será resolvida pelos tribunais de um Estado Membro da UE.

(b) As Partes concordam que esses serão os tribunais da Irlanda.

(c) O titular dos dados também pode mover uma ação judicial contra o exportador e/ou importador de dados perante os tribunais do Estado Membro em que tem sua residência habitual.

(d) As Partes concordam em se submeter à jurisdição de tais tribunais.

ADENDO DO REINO UNIDO E DA SUÍÇA ÀS CLÁUSULAS CONTRATUAIS PADRÃO

(a) Este Adendo altera as Cláusulas Contratuais Padrão na medida do necessário para que elas operem para transferências feitas pelo exportador de dados para o importador de dados, na medida em que o GDPR do Reino Unido ou a DPA da Suíça (conforme definido no Adendo sobre Processamento de Dados do site Gather ) se apliquem ao processamento do exportador de dados ao fazer essa transferência.

(b) As Cláusulas Contratuais Padrão devem ser alteradas com as seguintes modificações:

(i) as referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências ao GDPR do Reino Unido ou à DPA da Suíça (conforme aplicável);

(ii) as referências a artigos específicos do "Regulamento (UE) 2016/679" devem ser substituídas pelo artigo ou seção equivalente do GDPR do Reino Unido ou da DPA da Suíça (conforme aplicável);

(iii) as referências ao Regulamento (UE) 2018/1725 devem ser removidas;

(iv) as referências à "UE", "União" e "Estado Membro" serão substituídas por referências ao "Reino Unido" ou à "Suíça" (conforme aplicável);

(v) A Cláusula 13(a) e a Parte C do Anexo II não são utilizadas e a "autoridade supervisora competente" será o Comissário de Informações do Reino Unido ou o Comissário Federal de Informações sobre Proteção de Dados da Suíça (conforme aplicável);

(vi) as referências à "autoridade supervisora competente" e aos "tribunais competentes" serão substituídas por referências ao "Information Commissioner" e aos "tribunais da Inglaterra e do País de Gales" ou ao "Swiss Federal Data Protection Information Commissioner" e aos "tribunais aplicáveis da Suíça" (conforme aplicável);

(vii) na Cláusula 17, as Cláusulas Contratuais Padrão serão regidas pelas leis da Inglaterra e do País de Gales ou da Suíça (conforme aplicável); e

(viii) na medida em que o GDPR do Reino Unido se aplique ao processamento, a Cláusula 18 deverá ser substituída para declarar: "Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais da Inglaterra e do País de Gales. Um titular de dados também poderá mover ações judiciais contra o exportador e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em se submeter à jurisdição de tais tribunais"; e

(ix) na medida em que a DPA suíça se aplique ao processamento, a Cláusula 18 deverá ser substituída para declarar: "Qualquer controvérsia decorrente destas Cláusulas deverá ser resolvida pelos tribunais competentes da Suíça. As Partes concordam em se submeter à jurisdição de tais tribunais".

APÊNDICE

ANEXO I

A. LISTA DE PARTES

EXPORTADOR DE DADOS

Nome: O Cliente, conforme definido no Contrato (em seu nome e em nome das Afiliadas Permitidas) 

Endereço: O endereço do Cliente, conforme estabelecido no Contrato (se aplicável)

Nome, cargo e detalhes de contato da pessoa de contato: Os detalhes de contato do Cliente, conforme estabelecido no Contrato e/ou conforme estabelecido na Conta Gather do Cliente

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Processamento de Dados Pessoais em conexão com o uso do Cliente dos Serviços de Assinatura do Gather nos termos dos Termos de Serviço ao Cliente do Gather

Função (controlador/processador): Controlador de dados

IMPORTADOR DE DADOS

Nome: Gather Presence, Inc.

Endereço: 2261 Market Street #4095 * São Francisco, CA 94114

Nome, cargo e detalhes de contato da pessoa de contato: security@gather.town

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Os serviços conforme definidos nos Termos de Serviços da Gather Presence, Inc. ( https://www.gather.town/terms-of-service)

Função (controlador/processador): Processador de dados

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

Salvo disposição em contrário do exportador de dados, os dados pessoais do GDPR transferidos estão relacionados às seguintes categorias de titulares de dados: Cliente e usuários finais do Cliente, incluindo os funcionários e contratados do Cliente.

Categorias de dados pessoais transferidos

Você pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada por você a seu critério exclusivo, e que pode incluir, mas não se limita às seguintes categorias de Dados Pessoais: 

a. Informações de contato 

b. Quaisquer outros Dados Pessoais enviados, enviados ou recebidos por você ou por seus usuários finais por meio dos Serviços.

Para obter mais detalhes, visite nossa Política de Privacidade: https://www.gather.town/privacy-policy#Personal-Data

Dados confidenciais transferidos e restrições ou proteções aplicadas

As partes não preveem a transferência de dados confidenciais.

A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua).

Base contínua.

Natureza e finalidade das transferências e do processamento

Os dados são transferidos e processados para facilitar o fornecimento do Site e dos Serviços e o suporte relacionado aos Serviços.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Retemos seus Dados Pessoais somente pelo tempo necessário para os fins comerciais legítimos, conforme definido na Política de Privacidade da Gather Presence, Inc(https://www.gather.town/privacy-policy), e não mais do que trinta dias (30) após o encerramento de sua conta de usuário, a menos que uma política diferente seja acordada em um contrato firmado ou se formos legalmente obrigados a reter os dados por períodos mais longos.

C. AUTORIDADE SUPERVISORA COMPETENTE

Para os fins das Cláusulas Contratuais Padrão, a autoridade supervisora que atuará como autoridade supervisora competente é (i) quando o Cliente estiver estabelecido em um Estado Membro da UE, a autoridade supervisora responsável por garantir a conformidade do Cliente com o GDPR; (ii) quando o Cliente não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo extraterritorial do GDPR e tiver nomeado um representante, a autoridade supervisora do Estado Membro da UE no qual o representante do Cliente estiver estabelecido; ou (iii) quando o Cliente não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo extraterritorial do GDPR sem precisar nomear um representante, a autoridade supervisora do Estado Membro da UE no qual os Titulares dos Dados estiverem predominantemente localizados. Em relação aos Dados Pessoais sujeitos ao GDPR do Reino Unido ou à DPA da Suíça, a autoridade supervisora competente é o Comissário de Informações do Reino Unido ou o Comissário Federal de Proteção de Dados e Informações da Suíça (conforme aplicável).

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Atualmente, observamos as Medidas de Segurança descritas neste Anexo II. Todos os termos em letras maiúsculas não definidos de outra forma abaixo terão os significados estabelecidos no DPA acima ou, alternativamente, no Contrato.

1. Gather criptografa os Dados Pessoais, o que protege os Dados Pessoais durante a transmissão e o armazenamento

Os dados recebidos pelo aplicativo Gather são criptografados em trânsito usando HTTPS, TLS e DTLS/SRTP, e os dados são criptografados em repouso com AES256. O Gather não armazena registros de vídeo, áudio ou bate-papo em seus servidores.

2. Gather Garante a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento, além de garantir a qualidade dos dados

A gerência aprovou e implementou uma Política de Classificação e Manuseio de Dados para reduzir os riscos envolvidos no manuseio de dados de clientes. A política é aplicável a toda a organização e aos contratados relevantes.

3. Gather garante a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico

Gather tem um Plano de Recuperação de Desastres em vigor no caso de um evento que afete os data centers ou outras instalações de informática da Gather. 

4. Gather tem processos para testar, avaliar e avaliar a eficácia das medidas técnicas e organizacionais para fortalecer nossa postura de segurança.

Gather tem um conjunto de políticas e controles de segurança da informação monitorados continuamente quanto à eficácia e auditados periodicamente por terceiros.

5. Gather identificação e autorização do usuário, monitoramento do status da configuração.

Gather tem uma Política de Controle de Rede e Acesso que se aplica a todos os funcionários, contratados e terceiros do Gather que usam seus recursos eletrônicos e todos os usuários devem ser autenticados. O Gather aplica regras de conformidade e testa controles de segurança para garantir a segurança das operações.

6. Avaliação e correção contínuas de vulnerabilidades.

Gather faz revisões anuais de suas políticas de informação e usa uma empresa terceirizada para realizar testes de penetração em nossa rede e aplicativos anualmente, além de realizar varreduras recorrentes de vulnerabilidade. 

Gather prioriza vulnerabilidades críticas de segurança que afetam a privacidade ou a segurança do usuário acima de todas as outras tarefas de engenharia quando o Gather toma conhecimento delas.

7. Gather Política de Segurança da Informação Corporativa

Gather tem várias políticas internas de segurança da informação em vigor, incluindo as seguintes:

• Política de uso aceitável
• Política de classificação e tratamento de dados
• Política de controle de rede e acesso
• Manual de Administração de Segurança
• Plano de resposta a incidentes de segurança
• Processo de gerenciamento de risco do fornecedor
• Ciclo de vida do desenvolvimento de software
  

Gather tem capacidade limitada para compartilhar essas políticas e, na medida em que elas estão disponíveis para serem compartilhadas, é necessário um acordo de confidencialidade. 

Gather tem sua certificação de conformidade SOC 2.

ANEXO III

LISTA DE SUBPROCESSADORES

1.

Nome: Grão

Página da Web: https://grain.com

Localização: Estados Unidos

Descrição do processamento: Registro de reuniões, anotações e resumos automatizados

2.

Nome: Google Cloud

Página da Web: https://cloud.google.com/

Localização: Informações completas aqui: 

• https://cloud.google.com/about/locations
• https://www.google.com/about/datacenters/locations/

Descrição do processamento: Provedor de hospedagem em nuvem

3.

Nome: Mailgun

Página da Web: https://www.mailgun.com/

Localização: Estados Unidos

Descrição do processamento: Serviço de entrega de e-mail

4.

Nome: Amazon Web Services

Página da Web: https://aws.amazon.com/

Localização: Estados Unidos

Descrição do processamento: Provedor de hospedagem em nuvem

5.

Nome: Amplitude

Página da Web: https://aws.amplitude.com/

Localização: Estados Unidos

Descrição do processamento: Análise de dados

6.

Nome: Cloudflare

Página da Web: https://cloudflare.com/

Localização: Estados Unidos

Descrição do processamento: Provedor de hospedagem em nuvem

7.

Nome: New Relic

Página da Web: https://newrelic.com/

Localização: Estados Unidos

Descrição do processamento: Análise de dados

8.

Nome: Testar RTCs

Página da Web: https://testrtc.com/

Localização: Estados Unidos

Descrição do processamento: Monitoramento de aplicativos

9.

Nome: Twilio

Página da Web: https://twilio.com/

Localização: Estados Unidos

Descrição do processamento: Mensagens

10.

Nome: LiveKit

Página da Web: https://livekit.io/

Localização: Estados Unidos

Descrição do processamento: Vídeo

11.

Nome: CockroachDB

Página da Web: https://www.cockroachlabs.com/

Localização: Estados Unidos

Descrição do processamento: banco de dados distribuído com SQL padrão para aplicativos em nuvem.

12. 

Nome: Floco de Neve

Página da Web: https://www.snowflake.com/en/

Localização: Estados Unidos

Descrição do processamento: data warehouse centralizado 

13.

Nome: Enterpret

Página da Web: https://www.enterpret.com/

Localização: Estados Unidos

Descrição do processamento: repositório de feedback do cliente

14.

Nome: Censo

Página da Web: https://www.getcensus.com/

Localização: Estados Unidos

Descrição do processamento: Ferramenta ETL reversa

15.

Nome: HubSpot

Página da Web: https://www.hubspot.com/

Localização: Estados Unidos

Descrição do processamento: plataforma de gerenciamento de relacionamento com o cliente

16. 

Nome: Sendbird, Inc.

Página da Web: https://sendbird.com/

Localização: Estados Unidos

Descrição do processamento: bate-papo no aplicativo

17. 

Nome: Statsig

Página da Web: https://statsig.com/

Localização: Estados Unidos

Descrição do processamento: Gating e sinalizadores de recursos

18. 

Nome: Listra

Página da Web: https://stripe.com/

Localização: Estados Unidos

Descrição do processamento: Faturamento, faturamento e pagamentos. 

19. 

Nome: Sigma

Página da Web: https://www.sigmacomputing.com/

Localização: Estados Unidos

Descrição do processamento: Análise de dados

20. 

Nome: Zendesk

Página da Web: https://www.zendesk.com/

Localização: Estados Unidos

Descrição do processamento: Suporte ao cliente

21. 

Nome: Vanta

Página da Web: https://www.vanta.com/

Localização: Estados Unidos

Descrição do processamento: Solicitações de segurança e conformidade do cliente

22.

Nome: InteractionLabs

Página da Web: https://www.interactionlabs.ai

Localização: Estados Unidos

Descrição do processamento: Análise de dados de uso para ajudar na depuração de problemas

23.

Nome: Zapier

‍Página da Web: https://zapier.com

‍Localização: Estados Unidos

‍Descriçãodo processamento: Exportação de dados do cliente quando solicitado pelo cliente

24.

Nome: Clay Labs Inc. ‍

Página da Web: https://clay.com‍

Localização: Estados Unidos ‍

Descrição do processamento: Plataforma de gerenciamento de relacionamento.

25.

Nome: Konfetti, Inc.‍

Página da Web: https://getkoala.com‍

Localização: Estados Unidos‍

Descrição do processamento: Análise avançada para rastrear o envolvimento com o site.