Regulamento Geral de Proteção de Dados da União Europeia e Adendo sobre
Transferências de Dados
Choose your language
Esta versão traduzida é incluída apenas como conveniência. Em caso de qualquer diferença de significado ou interpretação entre esta versão traduzida e a versão em inglês, a versão em inglês prevalecerá.
Regulamento Geral de Proteção de Dados da União Europeia e Adendo sobre
Transferências de Dados
Este Adendo ao Processamento de Dados (“Adendo”) é parte e modifica os Termos e Condições de Guidepoint Advisors entre a Guidepoint Global, LLC e o Conselheiro (doravante “Contrato” ou “oContrato”). Este Adendo é feito entre a Guidepoint Global, LLC, sediada na 730 Third Avenue, Nova York, NY 10017 (“Processador” e/ou “Importador de Dados”), por um lado, e Advisor (“Controlador” e/ou “Exportador de Dados”), por outro lado, tendo sido este último considerado parte do Adendo por ter tido conhecimento do conteúdo e por ter decidido não se opor tempestivamente. Este Adendo é realizado e celebrado ou a partir da data do Contrato ou no dia 25 de maio de 2018, qualquer data que for mais posterior (“Data Efetiva“). O Controlador e o Processador são às vezes referidos individualmente como “Parte” e coletivamente como “Partes”.
Para os fins deste Adendo e salvo indicação em contrário, os termos em letras maiúsculas aqui terão o mesmo significado que as definições usadas no Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”) ou nas Cláusulas Contratuais Padrão para a Transferência de Dados Pessoais para Processadores de dados estabelecidos em países terceiros, contidos no anexo à “Decisão 2010/87/EC da Comissão Europeia de 5 de fevereiro de 2010 sobre cláusulas contratuais padrões para a transferência de dados pessoais para processadores estabelecidos em países terceiros” (“Cláusulas contratuais padrão” ou “Cláusulas” aqui anexadas como Anexo 1).
Este Adendo se aplica a Dados Pessoais coletados ou fornecidos por Titulares dos Dados na União Europeia. Este Adendo também se aplica, na parte relevante, a quaisquer Dados Pessoais que sejam processados na UE.
CONSIDERANDOS
CONSIDERANDO QUE, de acordo com a prestação de serviços do Processador nos termos do Contrato, o Processador poderá receber custódia ou armazenar, processar ou obter acesso a determinados arquivos de dados que possam conter Dados Pessoais, conforme definido pelo GDPR, conforme descrito no Apêndice 1; e
CONSIDERANDO QUE as Partes desejam assegurar que as salvaguardas adequadas estejam em vigor com relação à proteção da privacidade dos Titulares dos Dados em conformidade com o GDPR e, portanto, desejam alterar o Acordo de acordo com os termos e condições estabelecidos neste documento; e
CONSIDERANDO QUE, as leis europeias de proteção de dados exigem que os exportadores de dados nos países da UE/EEE ofereçam proteção adequada para transferências de Dados Pessoais para países fora da UE/EEE, e essa proteção pode ser obtida exigindo que os importadores de dados entrem na Norma Cláusulas contratuais para a transferência de dados pessoais para países terceiros nos termos da Decisão da Comissão 2004/915/CE de 27 de dezembro de 2004 (conforme alterada ou substituída de tempos em tempos).
AGORA, PORTANTO, por e em consideração das promessas e acordos mútuos aqui contidos, e outras considerações boas e valiosas, cujo recebimento e suficiência sejam aqui reconhecidos, as Partes aqui por meio deste acordam o seguinte:
ALTERAÇÕES AO ACORDO
Anexo 1
Cláusulas contratuais padrão (processadores)
Para efeitos do GDPR e do Artigo n.º 26.2 da Directiva 95/46/CE, para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados, o importador de dados e o exportador de dados, tal como identificados no Acordo, cada “Parte” e juntas “as Partes”,
ACORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar salvaguardas adequadas com relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência pelo exportador de dados ao importador de dados dos dados pessoais especificados no Apêndice 1 .
Cláusula 1
Definições
Para os propósitos das Cláusulas:
(a) “Dados pessoais”, “categorias especiais de dados”, “processo/tratamento”, “controlador”, “processador”, “titular de dados” e “autoridade de supervisão” têm o mesmo significado que na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados;
(b) “exportador de dados” significa o controlador que transfere os dados pessoais;
(c) o “importador de dados” significa o processador que concorda em receber do exportador de dados dados pessoais destinados a serem processados em seu nome após a transferência de acordo com suas instruções e os termos das Cláusulas e que não está sujeito a um sistema de um terceiro país que garanta uma proteção adequada na acepção do Artigo 25(1) da Diretiva 95/46/CE;
(d) o “sub-processador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro sub-processador do importador de dados que concorde em receber do importador de dados ou de qualquer outro sub-processador de dados pessoais do importador de dados exclusivamente destinados ao processamento atividades a serem realizadas em nome do exportador de dados após a transferência de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato escrito;
(e) a “Legislação aplicável de proteção de dados”, a legislação que protege os direitos e liberdades fundamentais dos indivíduos e, em particular, o direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento no Estado-Membro. em que o exportador de dados estiver estabelecido;
(f) “medidas de segurança técnica e organizacional” querem dizer as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilegal ou a perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o tratamento envolver a transmissão de dados por uma rede e contra todas as outras formas ilegais de processamento.
Cláusula 2
Detalhes da transferência
Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicáveis, são especificados no Apêndice 1, que forma parte integrante das Cláusulas.
Cláusula 3
Cláusula de Beneficiário de Terceiros
1.O titular dos dados pode fazer valer contra o exportador de dados esta Cláusula, a Cláusula 4 (b) a (i), a Cláusula 5 (a) a (e) e (g) a (j), a Cláusula 6 (1) e (2), a Cláusula 7, a Cláusula 8 (2) e Cláusulas 9 a 12 como beneficiário de terceiros.
2.O titular dos dados poderá impor esta Claúsula contra o importador de dados, a Cláusula 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados tiver efetivamente desaparecido ou deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força da lei, em decorrência da qual assume os direitos e obrigações do exportador de dados. caso em que o titular dos dados poderá aplicá-los contra essa entidade.
3.O titular dos dados poderá impor esta Cláusula contra o importador de dados, a Cláusula 5(a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados tiver efetivamente desaparecido ou deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido integralmente as obrigações legais do exportador de dados por contrato ou por força de lei, em decorrência da qual assume os direitos e obrigações do exportador de dados. caso em que o titular dos dados pode aplicá-los contra essa entidade. Tal responsabilidade de terceiros do sub-processador deverá ser limitada às suas próprias operações de processamento de acordo com as Cláusulas.
4.As partes não se opõem a que um titular de dados seja representado por uma associação ou outro organismo, se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.
Cláusula 4
Obrigações do Exportador de Dados
O exportador de dados concorda e garante que:
(a) o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizado em conformidade com as disposições pertinentes da lei de proteção de dados aplicável (e, quando aplicável, terá sido notificado às autoridades competentes do Estado-Membro em que o exportador de dados estiver estabelecido) e não infrinja as disposições pertinentes desse Estado;
(b) instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá ao importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;
(c) o importador de dados prestará garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste contrato;
(d) após a avaliação dos requisitos da lei aplicável de proteção de dados, as medidas de segurança sejam apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas assegurem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o estado da arte e o custo de sua implementação;
(e) o exportador assegurará o cumprimento das medidas de segurança;
(f) se a transferência envolver categorias especiais de dados, a pessoa em causa terá sido informada ou será informada antes ou logo que possível da transferência de que os dados poderiam ser transmitidos a um país terceiro que não conferisse proteção adequada, na acepção da Directiva 95/46 / CE;
(g) encaminhará qualquer notificação recebida do importador de dados ou de qualquer sub-processador de acordo com os termos da Cláusula 5 (b) e Cláusula 8 (3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar o suspensão;
(h) disponibilizar aos titulares dos dados mediante solicitação uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato para serviços de subprocessamento que tenha de ser feita de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, em cujo caso poderá remover tais informações comerciais;
(i) que, no caso de subprocessamento, a atividade de processamento será realizada de acordo com a Cláusula 11 por um sub-processador que confira pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular de dados que o importador de dados de acordo com as cláusulas; e
(j) assegurará o cumprimento da Cláusula 4 (a) a (i).
Cláusula 5
Obrigações do importador de dados
O importador de dados concorda e garante que:
(a) processará os dados pessoais somente em nome do exportador de dados e em conformidade com as instruções e as Cláusulas; se não puder realizar essa conformidade por qualquer motivo, ele concorda em informar prontamente ao exportador de dados sobre a incapacidade de realizar tal tarefa, caso o exportador de dados terá o direito de suspender a transferência de dados e/ou rescindir o contrato;
(b) não terá motivos para crer que a legislação que é aplicável o impeça de cumprir as instruções recebidas do exportador de dados e das obrigações decorrentes do contrato e que, em caso de alteração desta legislação, que seja provável que tenha um efeito adverso substancial sobre as garantias e obrigações estipuladas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso o exportador de dados tenha o direito de suspender a transferência de dados e/ou rescindir o contrato;
(c) não implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;
(d) que notificará imediatamente o exportador de dados sobre:
(i) qualquer pedido legalmente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, salvo disposição em contrário, tal como a proibição do direito penal de preservar a confidencialidade de uma investigação de aplicação da lei,
(ii) qualquer acesso acidental ou não autorizado, e
(iii) qualquer pedido recebido diretamente dos titulares de dados sem responder a esse pedido, a menos que tiver sido autorizado de outra forma a fazê-lo;
(e) lidar prontamente com todas as investigações do exportador de dados relacionadas ao seu processamento dos dados pessoais sujeitos à transferência e atender ao parecer da autoridade supervisora no que diz respeito ao processamento de dados transferidos;
(f) a pedido do exportador de dados, submeter as instalações de processamento de dados à auditoria das atividades de processamento abrangidas pelas Cláusulas que serão realizadas pelo exportador de dados ou por um organismo de inspeção composto por membros independentes e de posse das qualificações profissionais exigidas, vinculadas por um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;
(g) disponibilizar ao titular dos dados mediante solicitação uma cópia das Cláusulas, ou qualquer contrato existente para subprocessamento, a menos que as Cláusulas ou contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção do apêndice 2, que devera ser substituído por uma descrição sumária das medidas de segurança nos casos em que a pessoa em causa não possa obter uma cópia do exportador de dados;
(h) que, em caso de subprocessamento, tenha informado previamente ao exportador de dados e obtido consentimento prévio por escrito;
(i) que os serviços de processamento pelo sub-processador serão executados de acordo com a Cláusula 11;
(j) enviar prontamente uma cópia de qualquer contrato de sub-processador que conclua de acordo com as Cláusulas ao exportador de dados.
Cláusula 6
Passivo
1.As partes concordam que qualquer titular de dados, que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou sub-processador terá direito a receber uma compensação do exportador de dados pelo dano sofrido.
2.Se o titular dos dados não puder apresentar um pedido de indemnização, nos termos do n.º 1, contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu sub-processador de qualquer das obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir em lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade obrigações legais do exportador de dados por contrato de por força de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade.
O importador de dados não poderá invocar uma violação por um sub-processador de suas obrigações, a fim de evitar seus próprios passivos.
3.Se o titular dos dados não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados com relação aos nºs 1 e 2, decorrentes de uma violação pelo sub-processador de qualquer das obrigações referidas na cláusula 3 ou na cláusula 11, porque: tanto o exportador de dados quanto o importador de dados desapareceram efetivamente ou deixaram de existir em lei ou se tornaram insolventes, o sub-processador concorda que o titular dos dados poderá emitir uma reclamação contra o sub-processador de dados com relação às suas próprias operações de processamento de acordo com as Cláusulas, como se fossem o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou importador de dados por contrato ou por força de lei, caso em que o titular de dados poderá impor seus direitos contra essa entidade. A responsabilidade do sub-processador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
Cláusula 7
Mediação e jurisdição
1.O importador de dados concorda que, se o titular dos dados invocar direitos de beneficiário de terceiros e/ou indenização de danos por danos de acordo com as Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
(a) encaminhar a disputa à mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
(b) encaminhar o litígio aos tribunais do Estado-Membro em que o exportador de dados estiver estabelecido.
2.As partes concordam que a escolha feita pelo titular dos dados não prejudicará os direitos substantivos ou processuais de buscar soluções em conformidade com outras disposições do direito nacional ou internacional.
Cláusula 8
Cooperação com as autoridades de supervisão
1.O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade de supervisão, se assim o solicitar, ou se tal depósito for exigido pela lei de proteção de dados aplicável.
2.As partes concordam que a autoridade supervisora terá o direito de realizar uma auditoria do importador de dados e de qualquer sub-processador, importador esse que terá o mesmo escopo e estará sujeito às mesmas condições aplicáveis a uma auditoria do exportador de dados de acordo com os dados aplicáveis. lei de proteção.
3.O importador de dados deverá informar prontamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer sub-processador que impeça a realização de uma auditoria do importador de dados, ou de qualquer sub-processador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5 (b).
Cláusula 9
Legislação aplicável
As cláusulas serão regidas pela lei do Estado-Membro em que o exportador de dados estiver estabelecido.
Cláusula 10
Variação do contrato
As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões relacionadas a negócios quando necessário, desde que elas não contradigam a Cláusula.
Cláusula 11
Subprocessamento
1.O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados referente às Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar as obrigações de acordo com as Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um acordo escrito com o sub-processador que impõe as mesmas obrigações ao sub-processador impostas ao importador de dados de acordo com as Cláusulas. Quando o sub-processador deixar de cumprir as obrigações de proteção de dados, conforme o acordo por escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do sub-processador nos termos desse contrato.
2.O contrato escrito prévio entre o importador de dados e o sub-processador deverá também prever uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder apresentar o pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram ou deixaram de existir legalmente ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou do importador de dados por contrato ou por força de lei. A responsabilidade de terceiros do sub-processador deverá ser limitada às próprias operações de processamento de acordo as Cláusulas.
3.As disposições relacionadas aos aspectos de proteção de dados para o subprocesso do contrato menconadas no Parágrafo 1 regem-se pela lei do Estado-Membro em que o exportador de dados estiver estabelecido.
4.O exportador de dados deverá manter uma lista de acordos de subprocessamento concluídos de acordo com as Cláusulas e que tenham sido notificados pelo importador de dados de acordo com a Cláusula 5 (j), que deverá ser atualizada pelo menos uma vez por ano. A lista deverá estar disponível para a autoridade supervisora de proteção de dados do exportador de dados.
Cláusula 12
A obrigação após o término dos serviços de processamento de dados pessoais
1.As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o sub-processador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados. dados pessoais e certificar ao exportador de dados que o concluiu, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados certifica que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.
2.O importador de dados e o sub-processador garantem que, a pedido do exportador de dados e/ou da autoridade de supervisão, apresentará os seus meios de processamento de dados para uma auditoria das medidas referidas no Parágrafo 1.
APÊNDICE 1 DAS CLÁUSULAS CONTRATUAIS PADRÃO
Este Apêndice faz parte das Cláusulas e deverá ser preenchido e assinado pelas partes.
Os Estados-Membros podem completar ou especificar, de acordo com os respectivos procedimentos nacionais, qualquer informação adicional necessária que deva constar do presente apêndice.
Exportador de dados
O exportador de dados é (especifique brevemente as atividades relevantes para a transferência):
O Controlador (exportador de dados) contratou o Importador de Dados para a oportunidade de potencialmente prestar serviços de consultoria ou relacionados aos clientes do Importador de Dados, em troca de pagamento do Importador de Dados.
Importador de Dados
O Importador de Dados é (especifique brevemente as atividades relevantes para a transferência):
Guidepoint é o importador de dados. O Controlador (Exportador de Dados) contratou o Importador de Dados para a oportunidade de potencialmente prestar serviços de consultoria ou relacionados aos clientes do Importador de Dados, em troca de pagamento do Importador de Dados.
Sujeitos de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:
Categorias de dados
Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:
Categorias especiais de dados (se apropriado)
Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:
Nenhum.
Operações de processamento
Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:
Os dados relevantes para os titulares de dados listados são usados para permitir que o Processador preste serviços e suporte ao Controlador no curso normal, incluindo envolvimento em comunicações para uma variedade de propósitos relacionados a negócios, conformidade legal (incluindo conformidade com o GDPR e memorização de instruções escritas) e outros usos comerciais relevantes e previstos no âmbito do Contrato.
APÊNDICE 2 DAS CLÁUSULAS CONTRATUAIS PADRÃO
Este Apêndice faz parte das Cláusulas e deverá ser preenchido e assinado pelas partes.
Descrição das medidas técnicas e organizacionais de proteção implementadas pelo importador de dados de acordo com as Cláusulas 4 (d) e 5 (c) (ou documento/legislação anexa):