Updated: 05/09/2021
Processar dados pessoais de uma forma segura, justa e transparente é extremamente importante para nós na Chatra. Como parte deste esforço, nós processamos dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (“GDPR”) e a Lei de Proteção de Dados do Reino Unido de 2018 naquilo que for aplicável. Nós também processamos dados pessoais de acordo com as Leis de Proteção de Dados de países e territórios não pertencentes à União Europeia que regem as formas de processamento de vários tipos de dados pessoais, incluindo a Lei Geral de Proteção de Dados do Brasil (“LGPD”), a Lei de Privacidade do Consumidor da Califórnia (“CCPA”), a Lei de Prestação de Contas e Portabilidade de Seguro de Saúde (“HIPAA”) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamentos (“PCI”).
Para melhor proteger os dados pessoais dos indivíduos, nós oferecemos estes termos para reger o manuseio de dados pessoais seus e da Chatra (o “Aditivo de Processamento de Dados” ou “DPA”). Este DPA é parte e modifica os Termos de Uso (“ToS”) e não requer nenhuma ação de sua parte.
Se você não concorda com este DPA, você pode interromper o uso dos serviços da Chatra e cancelar sua conta.
É importante que todas as partes entendam os dados de quem e quais dados são protegidos por este DPA. Cada parte tem as respectivas obrigações de proteção de dados pessoais; portanto, as seguintes definições explicam o escopo deste DPA e os compromissos mútuos para proteger os dados pessoais.
“Chatra”, “nós” ou “nosso” refere-se ao provedor do site e serviços da Chatra (em conjunto denominados “Serviço da Chatra”).
“Você” ou “Cliente” refere-se à empresa ou organização que se cadastrar para usar o Serviço da Chatra para gerenciar os relacionamentos com seus consumidores ou usuários de serviço.
“Parte” refere-se à Chatra e/ou ao cliente, dependendo do contexto.
“Colaboradores” refere-se àqueles indivíduos que são empregados ou contratados para realizar um serviço em nome de uma das partes. Os colaboradores podem ter direitos sobre os seus dados pessoais (incluindo informações de contato comercial) se residirem na União Europeia (“UE”). É importante deixar claro como os direitos dos colaboradores são protegidos.
“Subprocessador” é um Terceiro, prestadores de serviços independentes e fornecedores que fornecem serviços e produtos específicos relacionados ao site da Chatra e nossos serviços, como hospedagem, processamento de cartão de crédito e rastreamento de fraude e hospedagem de lista de mala direta ("terceiro" ou "prestador de serviço externo" terá o mesmo significado).
“Incidente” significa: (a) uma reclamação ou solicitação com relação ao exercício dos direitos de um indivíduo de acordo com o GDPR e a LGPD; (b) uma investigação ou apreensão dos dados pessoais por autoridades governamentais ou uma indicação específica de que tal investigação ou apreensão é iminente; ou (c) qualquer violação da segurança e/ou confidencialidade conforme estabelecido neste DPA levando à, acidental ou ilegal, destruição, perda, alteração, divulgação não autorizada ou acesso aos dados pessoais ou qualquer indicação de que tal violação tenha ocorrido ou está prestes a acontecer.
Os termos “Titulares dos Dados”, “Dados pessoais”, “Estado-membro”, “Controlador”, “Processador” e “Processamento” possuem o mesmo sentido estabelecido no GDPR e na LGPD e seus termos sinônimos devem ser entendidos desta forma.
“Lei de Proteção de Dados” significa toda a legislação aplicável relacionada à proteção de dados e privacidade, incluindo, mas não se limitando ao GDPR e à LGPD, juntamente com quaisquer leis nacionais implementadas em qualquer Estado-membro da União Europeia ou, na medida aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído de tempos em tempos.
“SCCs” referem-se às cláusulas contratuais padrão a serem adotadas por processadores conforme aprovado pela Comissão Europeia ou pela Autoridade de Proteção de Dados da Suíça (conforme aplicável).
Para facilitar a leitura, não usamos letras maiúsculas nos termos definidos neste DPA. Termos definidos são termos definidos, independentemente de seu formato.
a. Cada parte concorda que os dados pessoais devem ser tratados como informações confidenciais neste DPA. Além disso, com relação aos dados pessoais uns dos outros, cada parte deve sempre cumprir as leis aplicáveis à proteção de dados na jurisdição relevante.
b. Os Dados Pessoais permanecerão propriedade da parte divulgadora. A Chatra reconhece que o cliente é o controlador e mantém o controle sobre os dados pessoais do titular dos dados.
c. A Chatra processará os dados pessoais do cliente apenas na medida estritamente necessária para fornecer os serviços de acordo com os ToS e quaisquer outras instruções do cliente que sejam mutuamente acordadas por escrito. Os detalhes do processamento de dados pessoais, conforme exigido pelo artigo 28(3) do GDPR, são apresentados no Anexo B. A Chatra concorda que:
d. Quando do encerramento de sua conta, a Chatra excluirá, ou a pedido do cliente retornará, todos os dados pessoais de acordo com nosso backup padrão e política de retenção de dados de acordo com os ToS, normalmente, no máximo 90 dias, a menos que sejamos obrigados a reter dados pessoais devido às leis da União Europeia, dos Estados Membros ou dos Estados Unidos. Nesse caso, a Chatra reserva-se o direito de reter dados pessoais.
e. As partes reconhecem que o cliente pode, de tempos em tempos, estar na posse de dados pessoais relativos aos colaboradores da Chatra em relação com o uso do Serviço da Chatra. A Chatra garante que forneceu todas as notificações necessárias e obteve todos os consentimentos, autorizações, aprovações e/ou acordos necessários, conforme exigido por qualquer lei aplicável, a fim de permitir: (i) a divulgação dos dados pessoais dos colaboradores da Chatra ao cliente em conexão com o uso que o cliente faz do Serviço da Chatra; e (ii) o processamento adicional de tais dados pessoais da Chatra pelo cliente com o propósito de usar o Serviço da Chatra.
a. As partes reconhecem que a Chatra pode envolver subprocessadores terceirizados em conexão com as obrigações assumidas nos ToS. Para cada subprocessador contratado pela Chatra, firmaremos um contrato por escrito contendo obrigações de proteção de dados não menos protetoras do que aquelas indicadas neste documento e, conforme necessário para proteger os dados pessoais do cliente, de acordo com o padrão exigido pelo GDPR e pela LGPD.
b. A Chatra disponibilizará ao cliente a lista atual de subprocessadores publicando essa lista online em: https://chatra.com.br/gdpr/sub-processors/. Se o cliente optar por receber notificações, enviando-nos um e-mail para [email protected], a Chatra notificará o cliente por escrito, inclusive por e-mail, com pelo menos 10 dias de antecedência, se adicionar ou remover subprocessadores. O cliente pode se opor à contratação ou substituição de um subprocessador, desde que tal objeção seja baseada em motivos razoáveis relacionados à proteção de dados. A Chatra envidará esforços razoáveis para trabalhar de boa-fé com o cliente para encontrar uma solução alternativa aceitável e razoável. Se as partes não conseguirem concordar com uma solução alternativa, o cliente pode suspender ou encerrar sua conta.
c. O cliente reconhece e concorda que o cliente é o único responsável por se inscrever para receber notificações de subprocessadores conforme estabelecido acima. A Chatra não terá nenhuma obrigação de informar o cliente de quaisquer novos subprocessadores se o cliente não se inscrever para receber tais notificações de acordo com esta Seção 2.b.
d. Para evitar qualquer dúvida, a autorização acima para a contratação de subprocessadores constitui consentimento prévio por escrito do cliente para a realização de subprocessamento pela Chatra para fins da Cláusula 11 das Cláusulas Contratuais Padrão.
a. O cliente garante que possui todos os direitos necessários para fornecer à Chatra os dados pessoais para processamento em relação à prestação do Serviço da Chatra.
b. Na medida exigida pela lei aplicável, o cliente é responsável por garantir que quaisquer consentimentos do titular dos dados que possam ser necessários para este processamento sejam obtidos e por garantir que um registro de tais consentimentos seja mantido, incluindo qualquer consentimento para usar dados pessoais obtidos de terceiros. Caso tal consentimento seja revogado por um titular dos dados, o cliente é responsável por comunicar tal revogação à Chatra, e a Chatra permanece responsável por implementar qualquer instrução do cliente com relação ao processamento posterior desses dados pessoais ou de acordo com qualquer uma das obrigações legais da Chatra.
c. O cliente entende, como controlador, que é responsável (entre o cliente e a Chatra) por:
d. A Chatra deve auxiliar o cliente implementando medidas técnicas e organizacionais adequadas, na medida em que isso seja razoável e comercialmente possível, no cumprimento das obrigações do cliente de responder às solicitações de indivíduos para exercer direitos nos termos do GDPR e da LGPD.
e. A Chatra deve auxiliar o cliente implementando medidas técnicas e organizacionais adequadas, na medida em que isso seja razoável e comercialmente possível, para garantir o cumprimento dos artigos 32 a 36 (inclusive) do GDPR.
f. Mediante solicitação por escrito, a Chatra deve disponibilizar ao cliente informações razoavelmente necessárias para demonstrar o cumprimento de suas obrigações nos termos deste DPA. A empresa não tem nenhum direito independente de auditar as medidas técnicas e/ou organizacionais da Chatra.
a. Quando qualquer das partes tomar conhecimento de um incidente que afeta o processamento de dados pessoais, ela deve notificar imediatamente a outra parte sobre o incidente e deve cooperar razoavelmente a fim de permitir que a outra parte realize uma investigação completa sobre o incidente para formular uma resposta correta e tomar outras medidas adequadas em relação ao incidente.
b. Ambas as partes devem, em todo o tempo, estabelecer procedimentos escritos que lhes permitam responder prontamente à outra parte sobre um incidente. Quando for razoavelmente provável que o incidente requeira uma notificação de violação de dados de acordo com as leis aplicáveis, a parte responsável pelo incidente deve, sem demora injustificada, notificar a outra parte acerca do conhecimento de tal incidente.
c. Quaisquer notificações feitas de acordo com este capítulo devem ser enviadas para [email protected] (quando feitas para a Chatra) e para o nosso ponto de contato com você (quando feitas para o cliente) e devem conter: (i) uma descrição da natureza do incidente, incluindo, quando possível, as categorias e número aproximado de indivíduos envolvidos e as categorias e número aproximado de registros envolvidos; (ii) o nome e detalhes de contato do ponto de contato com quem mais informações podem ser obtidas; (iii) uma descrição das consequências prováveis do incidente; e (iv) uma descrição das medidas tomadas ou propostas para lidar com o incidente, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
a. A responsabilidade de cada parte com relação à outra parte referente a ou em conexão com este DPA será limitada de acordo com o estabelecido nos ToS.
b. O cliente reconhece que a Chatra depende do cliente para orientação quanto à extensão do direito da Chatra de processar os dados pessoais do cliente em nome do cliente na execução dos Serviços. Consequentemente, a Chatra não será responsável nos termos dos ToS por qualquer reclamação apresentada por um titular dos dados decorrente de qualquer ação ou omissão da Chatra, na medida em que tal ação ou omissão resultar das instruções do cliente ou se o cliente descumprir suas obrigações nos termos da legislação aplicável de proteção de dados.
a. Este DPA entrou em vigor em 23 de março de 2021 e deve continuar em vigor até que seja modificado ou encerrado de acordo com os ToS.
b. Término ou expiração deste DPA não desobriga as partes das obrigações de confidencialidade aqui previstas.
a. Local dos data centers. O cliente reconhece que a Chatra pode transferir e processar dados pessoais para e nos EUA e em qualquer outro lugar do mundo onde a Chatra, seus afiliados ou seus subprocessadores mantenham operações de processamento de dados. A Chatra garantirá em todo o tempo que tais transferências sejam feitas de acordo com os requerimentos das Leis de Proteção de Dados.
b. Transferências de Dados Europeus. Na medida em que a Chatra seja a receptora de dados pessoais protegidos pela Lei de Proteção de Dados da União Europeia (“Dados da UE”), as partes concordam que a Chatra disponibilizará os mecanismos listados abaixo:
a. Na medida em que a Chatra processa dados pessoais originados e protegidos por Leis de Proteção de Dados em uma das jurisdições listadas no Anexo A, então os termos específicos do Anexo A com relação à(s) jurisdição(ões) aplicável(is) ("Termos Específicos da Jurisdição") se aplicam além dos termos deste DPA. Em caso de qualquer conflito ou ambiguidade entre os Termos Específicos da Jurisdição e quaisquer outros termos deste DPA, os Termos Específicos da Jurisdição prevalecerão, mas apenas na medida da aplicabilidade dos Termos Específicos da Jurisdição à Chatra.
a. Após a entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”) no Brasil, o seguinte será aplicável: cada parte é responsável pelo cumprimento de suas respectivas obrigações estabelecidas na LGPD e o Cliente só emitirá instruções de Processamento, conforme estabelecido na Seção 1 (Compromissos em relação aos dados pessoais) do DPA, que permitem que a Chatra cumpra as obrigações previstas na LGPD. Para os fins da Seção 7 (Transferência Internacional de Dados), as Cláusulas Contratuais Padrão serão usadas para transferências para Países Não Adequados, de acordo com o GDPR.
a. As definições de: “controlador” inclui “Negócios”; “processador” inclui “Provedor de Serviços”; “titular de dados” inclui “Consumidor”; “dados pessoais” inclui “Informações Pessoais”; em cada caso, conforme definido na CCPA.
b. “Processo,” “Processado” ou “Processamento” significa qualquer operação ou conjunto de operações que é executada em Informações Pessoais ou em conjuntos de Informações Pessoais, seja ou não por meios automatizados.
c. As obrigações da Chatra em relação às solicitações do titular dos dados, conforme descrito na Seção 3(d) e 3(e) (direitos do titular dos dados e cooperação) deste DPA, aplicam-se aos direitos do Consumidor descritos no CCPA.
d. Não obstante qualquer disposição em contrário, as Informações Pessoais do Cliente são as Informações Pessoais que a Chatra processa em nome do Cliente nos termos deste Contrato. A Chatra pode Processar Informações Pessoais do Cliente com o único propósito de cumprir suas obrigações nos termos do Contrato e não deve usar as Informações Pessoais do Cliente para qualquer outra finalidade sem o consentimento expresso por escrito do Cliente. Em particular, a Chatra não poderá: (i) vender, conforme definido no CCPA, Informações Pessoais do Cliente ou compartilhar Informações Pessoais do Cliente com terceiros sem a permissão do Cliente; (ii) reter ou divulgar Informações Pessoais do Cliente para qualquer propósito diferente dos fins especificados neste Contrato, incluindo reter, usar ou divulgar Informações Pessoais do Cliente para um propósito comercial que não seja fornecer seus serviços ao Cliente; e (iii) reter, usar ou divulgar as Informações Pessoais do Cliente fora do relacionamento comercial da Chatra com o Cliente. As partes reconhecem que qualquer divulgação de Informações Pessoais do Cliente de acordo com o Contrato não confere qualquer valor sob o Contrato.
e. A Chatra cumprirá todos os requisitos aplicáveis da CCPA na execução de suas obrigações nos termos do Contrato, incluindo a implementação e manutenção de medidas de segurança razoáveis adequadas à natureza das Informações Pessoais, a fim de proteger as Informações Pessoais do Cliente contra acesso não autorizado, destruição, uso, modificação ou divulgação. A Chatra compromete-se a reparar qualquer dano que qualquer pessoa possa sofra devido ao Processamento realizado em violação às suas obrigações legais, regulatórias e contratuais, exceto se a Chatra provar que não é responsável por tais danos.
f. A Chatra poderá despersonalizar ou agregar dados pessoais como parte da execução do Serviço especificado neste DPA e no Contrato.
g. Quando subprocessadores processam dados pessoais de nossos clientes, a Chatra adota medidas para garantir que tais subprocessadores sejam Prestadores de Serviços nos termos da CCPA com os quais a Chatra firmou contratos escritos que incluem termos substancialmente similares aos deste DPA ou são de outra forma isentos da definição de “venda” da CCPA. A Chatra conduz diligências devidas apropriadas em seus subprocessadores.
a. A Chatra toma medidas para garantir que os subprocessadores da Chatra, conforme descrito na Seção 2 do DPA, sejam terceiros nos termos da PIPEDA, com os quais a Chatra celebrou um contrato por escrito que inclui termos substancialmente semelhantes aos deste DPA. A Chatra conduz a devida diligência em seus subprocessadores.
b. A Chatra implementará e manterá medidas razoáveis de segurança apropriadas à natureza das Informações Pessoais, conforme estabelecido na Seção 1 do DPA.
a. A Lei de Proteção de Dados Pessoais (Zakon o zaštiti podataka o ličnosti; Diário Oficial da República da Sérvia, n° 87/2018).
a. As Regulamentações sobre Proteção de Dados, Privacidade e Comunicações Eletrônicas (Emendas etc.) (Saída da UE) de 2019, conforme alterada, suplantada ou substituída, assim que entrar em vigor e a Lei de Proteção de Dados do Reino Unido de 2018.
Para efeitos do artigo 26(2), da Diretiva 95/46/CE, aplicáveis à transferência de dados pessoais para processadores estabelecidos em países terceiros que não assegurem um nível adequado de proteção de dados
| Nome da organização exportadora de dados (o exportador de dados): | Roger Wilco LLC (o importador de dados) |
|---|---|
| Endereço: | 501 Silverside Rd, Suite 105 Wilmington, DE 19809, EUA |
| Telefone: | 1-703-232-1443 |
| E-mail: | [email protected] |
a seguir denominadas individualmente “parte” e coletivamente “partes”,
ACORDARAM as seguintes cláusulas contratuais (a seguir denominadas “Cláusulas”), de modo a apresentarem garantias adequadas relativas à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas para a transferência pelo exportador de dados para o importador de dados pessoais especificados no Anexo 1.
Definições
Para efeitos das presentes Cláusulas:
a. “dados pessoais”, “categorias especiais de dados”, “processar/processamento”, “processador”, “titular dos dados” e “autoridade de controle” têm o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção dos indivíduos no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados;
b. “exportador de dados” significa o controlador que transfere os dados pessoais;
c. “importador de dados” é o processador que concorda em receber, do exportador de dados, dados pessoais para serem processados por ordem deste depois da transferência, em conformidade com as suas instruções e nos termos das Cláusulas e que não está sujeito a um sistema de um país terceiro que assegure uma proteção adequada na acepção do artigo 25(1), da Diretiva 95/46/CE;
d. “subprocessador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que aceite receber, do importador de dados ou de qualquer outro subprocessador do importador de dados, dados pessoais destinados exclusivamente a atividades de processamento a serem realizadas por ordem do exportador de dados após a transferência, em conformidade com as suas instruções, as condições previstas nas Cláusulas e as condições do subcontrato escrito;
e. “Legislação sobre proteção de dados aplicável” significa a legislação que protege os direitos e as liberdades fundamentais das pessoas e, em especial, o seu direito à privacidade no que diz respeito ao processamento dos seus dados pessoais, aplicável a um controlador de dados no Estado-membro em que o exportador de dados está estabelecido;
f. “Medidas de segurança técnicas e organizacionais” significa aquelas medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizado, especialmente quando o processamento implicar a sua transmissão por rede e contra qualquer outra forma de processamento ilícito.
Detalhes da transferência
Os detalhes da transferência e em especial as categorias especiais de dados pessoais, quando aplicável, são especificados no Anexo 1, que é parte integrante das presentes Cláusulas.
Cláusula do terceiro beneficiário
a. O titular dos dados pode fazer aplicar contra o exportador de dados esta Cláusula, a Cláusula 4(b) a (i), a Cláusula 5(a) a (e) e (g) a (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, na qualidade de terceiro beneficiário.
b. O titular dos dados pode fazer aplicar contra o importador de dados esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6 e a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, em caso de desaparecimento de fato ou de extinção legal do exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei e, consequentemente, assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade.
c. O titular dos dados pode fazer aplicar contra o subprocessador esta Cláusula, a Cláusula 5(a) a (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, em caso de desaparecimento de fato ou de extinção legal do exportador e do importador de dados ou se estes se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados mediante contrato ou por força da lei e, consequentemente, assuma os direitos e obrigações do exportador de dados, podendo nesse caso o titular dos dados invocá-los contra tal entidade. Esta responsabilidade civil do subprocessador é limitada às suas próprias atividades de processamento de dados nos termos das presentes Cláusulas.
d. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo se, expressamente, assim o desejar e a legislação nacional permitir.
Obrigações do exportador de dados
O exportador de dados concorda e garante:
a. Que o processamento dos dados pessoais, incluindo a própria transferência, foi e continuará a ser feito de acordo com as disposições pertinentes da legislação sobre proteção de dados aplicável (e que, se aplicável, foi notificada às entidades competentes do Estado-membro em que o exportador de dados está estabelecido) e que não viola as disposições pertinentes desse Estado;
b. Que deu e continuará a dar instruções ao importador de dados durante os serviços de processamento de dados pessoais para processar os dados pessoais transferidos apenas por ordem do exportador de dados e em conformidade com a legislação sobre proteção de dados aplicável e com as Cláusulas;
c. Que o importador de dados oferecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Anexo 2 do presente contrato;
d. Que, depois de avaliar os requisitos da legislação sobre proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a divulgação ou o acesso não autorizados, especificamente quando o processamento implicar a sua transmissão por rede e contra qualquer outra forma de processamento ilícito e que estas medidas asseguram um nível de segurança adequado em relação aos riscos que o processamento representa e à natureza dos dados a proteger, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação;
e. Que zelará pelo cumprimento das medidas de segurança;
f. Que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado, ou será informado antes ou o mais rápido possível após a transferência, de que os seus dados poderão ser transmitidos para um país terceiro que não garante um nível de proteção adequado na acepção da Diretiva 95/46/CE;
g. Que enviará qualquer notificação recebida do importador de dados ou de qualquer subprocessador à autoridade de controle responsável pela proteção dos dados, nos termos da Cláusula 5(b) e da Cláusula 8(3), se decidir continuar a transferência ou levantar a suspensão;
h. Que disponibilizará aos titulares dos dados, mediante pedido, um exemplar das Cláusulas, com exceção do Anexo 2, e uma descrição resumida das medidas de segurança, bem como um exemplar de qualquer contrato de subprocessamento que tenha de ser celebrado em conformidade com as Cláusulas, a menos que estas ou o contrato contenham informações comerciais, caso em que poderá suprimir essas informações;
i. Que, em caso de subprocessamento, a atividade de processamento é realizada em conformidade com a Cláusula 11 por um subprocessador que assegure pelo menos o mesmo nível de proteção dos dados pessoais e dos direitos dos titulares dos dados que o importador de dados em conformidade com as Cláusulas; e
j. Que zelará pelo cumprimento da Cláusula 4(a) a (i).
Obrigações do importador de dados
O importador de dados concorda e garante:
a. Que processará os dados pessoais apenas por ordem do exportador de dados e em conformidade com as suas instruções e as Cláusulas; no caso de não poder cumprir estas obrigações por qualquer razão, concorda em informar imediatamente o exportador de dados desse fato, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
b. Que não tem qualquer razão para crer que a legislação que lhe é aplicável o impede de respeitar as instruções recebidas do exportador de dados e as obrigações que lhe incumbem por força do contrato e que, no caso de haver uma alteração nesta legislação que possa ter um efeito adverso substancial nas garantias e obrigações conferidas pelas Cláusulas, notificará imediatamente essa alteração ao exportador de dados, logo que dela tiver conhecimento, tendo neste caso o exportador de dados o direito de suspender a transferência de dados e/ou de rescindir o contrato;
c. Que aplicou as medidas de segurança técnicas e organizacionais previstas no Anexo 2 antes de processar os dados pessoais transferidos;
d. Que notificará imediatamente o exportador de dados acerca de:
e. Que responderá rápida e adequadamente a todos os pedidos de informação do exportador de dados relacionados com o processamento efetuado dos dados pessoais objeto da transferência e que se submeterá às recomendações da autoridade de controle relativamente ao processamento dos dados transferidos;
f. Que, a pedido do exportador de dados, submeterá os seus meios de processamento de dados a auditoria das atividades de processamento abrangidas pelas Cláusulas, que será efetuada pelo exportador de dados ou por auditores independentes que possuam as qualificações profissionais exigidas e estejam vinculados por um dever de confidencialidade, escolhido pelo exportador de dados e, se necessário, de acordo com a autoridade de controle;
g. Que colocará à disposição do titular dos dados, mediante pedido, um exemplar das Cláusulas ou de qualquer contrato existente de subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá suprimir as informações comerciais, com exceção do Anexo 2, que é substituído por uma descrição resumida das medidas de segurança, no caso de o titular dos dados não poder obter um exemplar do exportador de dados;
h. Que, em caso de subprocessamento, informou previamente o exportador de dados e obteve o seu consentimento prévio por escrito;
i. Que os serviços de processamento de dados efetuados pelo subprocessador serão prestados em conformidade com a Cláusula 11;
j. Que envia rapidamente ao exportador de dados uma cópia de qualquer acordo de subprocessamento que celebrar nos termos das Cláusulas.
Responsabilidade
a. As partes acordam que qualquer titular dos dados que tenha sofrido danos resultantes de qualquer descumprimento das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem o direito de obter indenização do exportador de dados pelos danos sofridos.
b. Se o titular dos dados não puder ajuizar uma ação de reparação em conformidade com o parágrafo 1 contra o exportador de dados, por descumprimento pelo importador de dados ou o seu subprocessador de quaisquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, devido ao desaparecimento de fato ou à extinção legal ou à insolvência do exportador de dados, o importador de dados concorda que o titular dos dados possa ajuizar uma ação como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode reclamar os seus direitos a essa entidade. O importador de dados não pode invocar o descumprimento por um subprocessador das suas obrigações para se eximir de suas próprias responsabilidades.
c. Se o titular dos dados não puder ajuizar a ação referida nos parágrafos 1 e 2 contra o exportador ou o importador de dados, por descumprimento pelo subprocessador de quaisquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, devido ao desaparecimento de fato ou à extinção legal ou à insolvência do exportador e do importador de dados, o subprocessador aceita que o titular dos dados ajuíze contra ele uma ação relativamente às suas próprias atividades de processamento de dados nos termos das Cláusulas, como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações legais do exportador ou do importador de dados, mediante contrato ou por força da lei, caso em que o titular dos dados pode reclamar seus direitos contra essa entidade. A responsabilidade do subprocessador é limitada às suas próprias atividades de processamento de dados nos termos das Cláusulas.
Mediação e jurisdição
a. O importador de dados concorda que se o titular dos dados invocar contra ele os direitos de terceiro beneficiário e/ou exigir uma indenização por perdas e danos nos termos das Cláusulas, o importador de dados aceitará a decisão do titular dos dados de:
b. As partes acordam que a opção do titular dos dados não prejudicará seus direitos materiais ou processuais de obter reparação em conformidade com outras disposições do direito nacional ou internacional.
Cooperação com as autoridades de controle
a. O exportador de dados concorda em protocolar um exemplar do presente contrato na autoridade de controle se esta solicitar ou se a legislação sobre proteção de dados aplicável assim o exigir.
b. As partes acordam que a autoridade de controle tem o direito de realizar auditorias no importador de dados ou em qualquer subprocessador com o mesmo âmbito e nas mesmas condições das auditorias efetuadas ao exportador de dados, em conformidade com a legislação sobre proteção de dados aplicável.
c. O importador de dados notificará imediatamente o exportador de dados da existência de legislação que lhe é aplicável ou a qualquer subprocessador e que impede a realização de uma auditoria ao importador de dados ou a qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, o exportador de dados tem o direito de adotar as medidas previstas na Cláusula 5(b).
Lei aplicável
As Cláusulas são regidas pelas leis do Estado-membro onde o exportador de dados está estabelecido.
Alteração do contrato
As partes comprometem-se a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas de cunho comercial sempre que necessário, desde que estas não contrariem a Cláusula.
Subprocessamento
a. O importador de dados não subcontratará nenhuma das suas atividades de processamento executadas por ordem do exportador de dados nos termos das Cláusulas sem o consentimento prévio e por escrito deste. Sempre que o importador de dados subcontratar as suas obrigações nos termos das presentes Cláusulas, com o consentimento do exportador de dados, fará apenas mediante acordo escrito com o subprocessador que imponha a este último as mesmas obrigações do importador de dados nos termos das Cláusulas. Em caso de descumprimento pelo subprocessador das obrigações em matéria de proteção de dados que lhe sejam atribuídas nos termos do referido acordo escrito, o importador de dados continua a ser plenamente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos do referido acordo.
b. O contrato escrito prévio firmado entre o importador de dados e o subprocessador deve prever igualmente uma cláusula do terceiro beneficiário, tal como previsto na Cláusula 3, para os casos em que o titular dos dados não puder ajuizar a ação indenizatória referida no parágrafo 1 da Cláusula 6 contra o exportador ou o importador de dados por estes terem desaparecido de fato ou terem sido extintos legalmente ou por terem se tornado insolventes e nenhuma entidade sucessora ter assumido a totalidade das obrigações do exportador ou do importador de dados, mediante contrato ou por força da lei. Esta responsabilidade civil do subprocessador é limitada às suas próprias atividades de processamento de dados nos termos das Cláusulas.
c. As disposições relativas aos aspectos ligados à proteção de dados no que se refere ao subprocessamento, referida no parágrafo 1, são regidas pelo direito do Estado-membro onde o exportador de dados está estabelecido.
d. O exportador de dados manterá uma lista dos contratos de subprocessamento celebrados nos termos das Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5(j), que será atualizada pelo menos uma vez por ano. Esta lista será colocada à disposição da autoridade de controle de proteção de dados do exportador de dados.
Obrigação depois de terminados os serviços de processamento de dados pessoais
a. As partes acordam que, após terminada a prestação de serviços de processamento de dados, o importador de dados e o seu subprocessador, conforme preferência do exportador de dados, devolverão todos os dados pessoais transferidos e as suas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, exceto se a legislação imposta ao importador de dados o impedir de devolver ou destruir a totalidade ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante a confidencialidade dos dados pessoais transferidos e não voltará a processar ativamente os dados pessoais transferidos.
b. O importador de dados e o seu subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de controle, submeterão os seus meios de processamento de dados a uma auditoria das medidas referidas no parágrafo 1.
Este Anexo inclui certos detalhes do processamento de dados pessoais como requerido pelos formulários do Artigo 28(3) do GDPR e parte das Cláusulas e deve ser preenchido e assinado pelas partes. Os Estados-membros podem completar ou especificar, de acordo com os seus procedimentos nacionais, quaisquer informações adicionais necessárias que este Anexo deve conter.
A plataforma da Chatra atende a uma ampla base de clientes e usuários finais que se estende por todo o espectro de atividades. A Chatra não controla nem limita o conteúdo que os usuários finais de nossos clientes enviam por meio do uso da nossa ferramenta. Considerando isso, a natureza do produto e o papel da Chatra como processador, não é possível fazer uma lista absoluta de categorias de dados recebidos e processados.
Exportador de dados
O exportador de dados é a entidade identificada como “Cliente” no DPA ou “você” nos Termos de Uso.
Importador de dados
O importador de dados é a Roger Wilco LLC.
Titulares dos dados
Os titulares dos dados incluem os clientes e usuários finais do exportador de dados.
Categorias de dados
Os titulares dos dados podem fazer upload, enviar ou de qualquer forma fornecer certos dados pessoais à Chatra, e sua extensão é normalmente determinada e controlada por nosso cliente a seu exclusivo critério e pode incluir, mas não se limitar, aos seguintes tipos de dados:
Categorias especiais de dados (se for o caso)
A Chatra processa dados que podem incluir, mas não se limitam a, categorias especiais de dados: dados de saúde, dados genéticos, origem racial e étnica, orientação sexual e/ou hábitos, opinião política, afiliação ou crenças religiosas, filiação apolítica ou não sindical, condenações criminais e ofensas.
Processamento de dados
Os dados pessoais serão processados de acordo com os Termos de Uso (incluindo este DPA) e podem ser submetidos às seguintes atividades de processamento:
Natureza e propósito do processamento: os Dados Pessoais são Processados com o propósito de entregar o serviço da Chatra e suportar o site da Chatra, a plataforma e outros serviços relacionados, especificamente descritos neste DPA.
Duração e assunto processados: o assunto e a duração do processamento dos dados pessoais são definidos nos Termos de Uso.
Exclusão ou Devolução de Dados Pessoais: depois da expiração ou término do uso dos Serviços pelo exportador de dados, o importador de dados excluirá ou devolverá os Dados Pessoais de acordo com os Termos de Uso (incluindo este DPA).
Este Anexo é parte integrante das Cláusulas e deve ser preenchido e assinado pelas partes.
| EXPORTADOR DE DADOS | IMPORTADOR DE DADOS |
|---|---|
| Nome: | Nome: |
| Assinatura autorizada: | Assinatura autorizada: |