Data Processing Agreement
Em conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/EC (referido doravante como "GDPR"), o Provedor (referido doravante como o "Processador") e Você (referido doravante como "Controlador") estão entrando no relacionamento contratual de processamento de dados para definir os termos e condições para o processamento de dados pessoais, a maneira de sua proteção, e também para definir outros direitos e obrigações de ambas as partes no processamento de dados pessoais de titulares de dados em nome do Controlador durante o curso da execução do objeto destes Termos como o contrato principal.
1. Tratamento de dados pessoais. Os serviços prestados em conformidade com estes Termos incluem o tratamento de informações relacionadas a uma pessoa física identificada ou identificável listada na Política de Privacidade (doravante os "Dados Pessoais").
2. Autorização. O Responsável pelo Tratamento autoriza o Subcontratante para processar Dados Pessoais, incluindo as instruções a seguir:
(i) "Finalidade do processamento" significa a prestação de serviços em conformidade com estes Termos. O Subcontratante só pode processar Dados Pessoais em nome do Responsável pelo Tratamento em relação à prestação de serviços solicitados pelo Responsável pelo Tratamento. Todas as informações coletadas para fins adicionais serão processadas fora da relação contratual Responsável pelo Tratamento-Subcontratante.
(ii) período de processamento significa o período iniciado quando se inicia a cooperação sob estes Termos e terminando na rescisão dos serviços,
(iii) o escopo e as categorias de dados pessoais devem incluir dados pessoais gerais, excluindo toda e qualquer categoria especial de dados pessoais,
(iv) “Titular dos dados” significa a pessoa física como usuário autorizado dos dispositivos do Controlador,
(v) operações de processamento são todas e quaisquer operações necessárias para a finalidade de processamento,
(vi) “Instruções documentadas” significa instruções descritas nestes Termos, seus Anexos, na Política de Privacidade e na documentação do serviço. O Responsável pelo Tratamento será responsável pela responsabilidade legal do processamento de Dados Pessoais pelo Subcontratante em relação às respectivas disposições aplicáveis da lei de proteção de dados.
3. Obrigações do Subcontratante. O Processador será obrigado a:
(i) processar Dados Pessoais apenas com base nas Instruções documentadas e para os fins definidos nos Termos, seus Anexos, na Política de Privacidade e na documentação de serviço,
(ii) garantir que as pessoas autorizadas a processar os Dados Pessoais se comprometam com a confidencialidade e seguem as Instruções documentadas,
(iii) implementar e seguir as medidas descritas nos Termos, seus Anexos, na Política de Privacidade e na documentação de serviço,
(iv) auxiliar o Responsável pelo Tratamento a responder a solicitações dos Titulares dos Dados relacionadas aos seus direitos. O Subcontratante não deve corrigir, remover ou restringir o tratamento de Dados Pessoais sem as instruções do Responsável pelo Tratamento. Todas as solicitações do Titular dos Dados relacionadas a Dados Pessoais processados em nome do Responsável pelo Tratamento serão encaminhadas ao Responsável pelo Tratamento sem atraso.
(v) auxiliar o Responsável pelo Tratamento com a notificação de violação de dados pessoais à autoridade supervisora e ao Titular dos Dados,
(vi) remover ou devolver todos os Dados Pessoais ao Responsável pelo Tratamento após o fim do período de tratamento,
(vii) manter um registro atualizado de todas as categorias de atividades de processamento que ele realizou em nome do Controlador,
(viii) disponibilizar todas as informações necessárias para demonstrar conformidade como parte dos Termos, seus Anexos, da Política de Privacidade e da documentação de serviço disponíveis ao Responsável pelo Tratamento.
4. Contratação de outro Subcontratante. O Subcontratante tem o direito de contratar outro subcontratante para realizar atividades de tratamento específicas, como o fornecimento de armazenamento em nuvem e infraestrutura para o serviço, em conformidade com estes Termos, seus Anexo, a Política de Privacidade e a documentação do serviço. Atualmente, a Microsoft fornece armazenamento em nuvem e infraestrutura como parte do Azure Cloud Service. Mesmo neste caso, o Processador permanecerá o único ponto de contato e a parte responsável pela conformidade.
5. Território de processamento. O Processador garante que o processamento ocorra no Espaço Econômico Europeu ou em um país designado como seguro por decisão da Comissão Europeia, com base na decisão do Controlador. As Cláusulas Contratuais Padrão serão aplicadas em caso de transferências e tratamentos localizados fora do Espaço Econômico Europeu ou de um país designado como seguro por decisão da Comissão Europeia, por solicitação do Responsável pelo Tratamento.
6. Segurança. O Processador é certificado pela ISO 27001:2013 e usa a estrutura da ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. A conformidade com os requisitos regulatórios e contratuais é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e operações do Processador, e as medidas necessárias são realizadas continuamente para garantir a conformidade. O Subcontratante organizou a segurança de dados usando ISMS com base em ISO 27001. A documentação de segurança inclui principalmente documentos de política para segurança da informação, segurança física e segurança de equipamentos, gerenciamento de incidentes, tratamento de vazamentos de dados e incidentes de segurança, etc.
7. Informações de contato do Subcontratante. Todas as notificações, solicitações, demandas e outras comunicações relacionadas à proteção de dados pessoais devem ser endereçadas à ESET, spol. s.r.o., aos cuidados de: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.