Contrato de processamento de dados

Em vigor a partir de 26 de novembro de 2025

De acordo com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/EC (o "GDPR"), assim como as leis de proteção de dados aplicáveis no Reino Unido da Grã-Bretanha e Irlanda do Norte, a ESET (o "Subcontratante") e o Cliente (o "Responsável pelo Tratamento") estão entrando em uma relação contratual de tratamento de dados para definir os termos e condições para o tratamento de dados pessoais, a forma de sua proteção e para definir outros direitos e obrigações de ambas as partes em relação ao processamento de dados pessoais dos titulares dos dados por conta do Responsável pelo Tratamento durante o curso da execução do objeto dos Termos como o contrato principal.

1. Dados pessoais. Para fornecer os Serviços em conformidade com os Termos, pode ser necessário que o Subcontratante processe informações relacionadas a uma pessoa física identificada ou identificável (os "Dados Pessoais") em nome do Responsável pelo Tratamento.
2. Autorização. O Responsável pelo Tratamento autoriza o Subcontratante para processar Dados Pessoais, incluindo as instruções a seguir:
   1. a "finalidade do tratamento" significa a prestação dos Serviços solicitados conforme definido nos Anexos em conformidade com os Termos.
   2. o "período de tratamento" significa o período durante o qual os Serviços serão prestados.
   3. o "escopo e categorias de Dados Pessoais" inclui quaisquer Dados Pessoais fornecidos ou disponibilizados pelo Responsável pelo Tratamento durante a prestação de Serviços, em particular quaisquer Dados Pessoais enviados em solicitações de Serviço ou durante o processo de lidar com quaisquer solicitações de Serviço, ou quaisquer Dados Pessoais que podem estar acessíveis ou disponíveis para o Subcontratante caso o Responsável pelo Tratamento tenha concedido acesso temporário ou permanente aos seus Produtos ou dispositivos durante a execução dos Serviços.
   4. o "Titular dos Dados" significa quaisquer pessoas físicas que sejam usuários autorizados dos dispositivos do Controlador e/ou funcionários ou contratados do Responsável pelo Tratamento e, se aplicável, de suas entidades afiliadas, assim como quaisquer pessoas cujos dados possam ser fornecidos ou disponibilizados pelo Responsável pelo Tratamento ao Subcontratante durante a execução dos Serviços.
   5. as "operações de tratamento" significam todas as operações necessárias para fins de tratamento.
   6. as "Instruções documentadas" significam instruções para o tratamento de Dados Pessoais descritos nos Termos, seus Anexos, documentação do Serviço ou em solicitações de prestação do Serviço.
3. Obrigações do Subcontratante. O Subcontratante será obrigado a fazer o seguinte:
   1. processar Dados Pessoais com a finalidade de fornecer os Serviços em conformidade com os Termos e apenas pelos motivos das Instruções documentadas, inclusive com relação a transferências de Dados Pessoais para um país terceiro, a menos que seja exigido pela legislação da UE ou dos estados membros ou pela legislação do Reino Unido; em tais casos, o Subcontratante deve informar ao Responsável pelo Tratamento sobre tais requisito legal antes do processamento, a menos que a lei proíba tais informações por motivos importantes de interesse público.
   2. instruir as pessoas autorizadas a processar os Dados Pessoais (doravante as "Pessoas Autorizadas") sobre seus direitos e deveres de acordo com o GDPR, sobre sua responsabilidade em caso de violação dos deveres e garantir que as Pessoas Autorizadas que sejam autorizadas a processar os Dados Pessoais comprometeram-se a manter a confidencialidade e a seguir as instruções Documentadas.
   3. Tomar todas as medidas relacionadas com a segurança do tratamento, conforme exigido pelo art. 32 do GDPR, levando em consideração a tecnologia mais recente, os custos de implementação e a natureza, escopo, contexto e finalidades do tratamento, assim como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, para garantir um nível de segurança no tratamento dos Dados Pessoais do Controlador que seja adequado ao risco.
   4. Atendendo à natureza do tratamento, auxiliar o Responsável pelo tratamento através das medidas técnicas e organizativas adequadas, na medida do possível, ao cumprimento da obrigação do Responsável pelo tratamento de responder aos pedidos de exercício dos direitos do Titular dos Dados previstos no Capítulo III do RGPD.
   5. Mediante solicitação, fornecer assistência razoável ao Responsável pelo Tratamento para garantir o cumprimento das obrigações nos termos dos Artigos 32 a 36 do GDPR, levando em consideração a natureza do processamento e as informações disponíveis para o Subcontratante. O Subcontratante notificará o Responsável pelo Tratamento sobre qualquer violação do processamento de dados pessoais ou da segurança dos dados pessoais imediatamente após tal descoberta. O Subcontratante deve cooperar de forma razoável em uma investigação e correção de tal violação e tomar medidas razoáveis para limitar outras implicações negativas.
   6. O Responsável pelo Tratamento poderá escolher remover ou devolver todos os Dados Pessoais processados em nome do Responsável pelo Tratamento dentro de 30 (trinta) dias úteis após o término da prestação de Serviços relacionados ao processamento e remover cópias existentes, a menos que a lei da UE ou a lei do estado membro da UE exija o armazenamento desses Dados Pessoais. O Responsável pelo Tratamento se compromete a informar o Subcontratante sobre sua decisão no prazo de dez (10) dias após o término do Período de Processamento. Esta disposição não prejudica o direito do Subcontratante de conservar os Dados Pessoais na medida necessária para efeitos de arquivo nos termos da legislação especial ou com o objetivo de estabelecer, exercer ou defender-se de ações judiciais.
   7. Manter um registro atualizado de todas as categorias de atividades de processamento que ele realizou em nome do Responsável pelo Tratamento,
   8. Disponibilizar ao Responsável pelo Tratamento todas as informações necessárias para demonstrar conformidade como parte dos Termos, seus Anexos e documentação de Serviços e, se estritamente necessário, permitir auditorias realizadas pelo Responsável pelo Tratamento ou outro auditor enviado pelo responsável pelo tratamento em relação ao processamento realizado dentro o escopo deste Contrato. No caso de auditoria ou controle do processamento de Dados Pessoais do lado do Responsável pelo Tratamento, o Responsável pelo Tratamento será obrigado a informar o Subcontratante por escrito pelo menos dez (10) dias antes da auditoria ou controle planejado.
4. Contratação de outro Subcontratante. O Subcontratante geralmente tem o direito de contratar outro subcontratante (o "Subprocessador") para realizar atividades de tratamento específicas em conformidade com os Termos, principalmente deste Contrato e da documentação dos Serviços. O Subcontratante deve garantir que tal Subprocessador esteja vinculado às mesmas obrigações estabelecidas neste Contrato. Mesmo neste caso, o Subcontratante permanecerá totalmente responsável perante o Responsável pelo Tratamento pelo processamento de quaisquer Dados Pessoais pelo Subprocessador. Para fins de execução dos Serviços, o Subcontratante contrata o Distribuidor como seu Subprocessador. O Subcontratante deve informar o Responsável pelo Tratamento sobre quaisquer alterações pretendidas relativas à adição ou substituição de outros subprocessadores, dando ao Responsável pelo Tratamento a oportunidade de se opor a tais alterações. Quaisquer objeções a um novo subprocessador devem ser recebidas em até 7 (sete) dias úteis após a notificação, caso contrário, o novo subprocessador será considerado aceito pelo Responsável pelo Tratamento. Se o Responsável pelo Tratamento se opuser razoavelmente a um novo Subprocessador e a objeção não puder ser resolvida satisfatoriamente dentro de um prazo razoável, o Responsável pelo Tratamento poderá rescindir este Contrato sem penalidade mediante notificação por escrito dentro de 30 (trinta) dias ao Subcontratante. Se a objeção do Responsável pelo Tratamento permanecer sem solução 30 (trinta) dias depois de ser criada e nenhum aviso de rescisão tiver sido recebido, considera-se que o Responsável pelo Tratamento aceita o novo Subprocessador.
5. Território de processamento. O Subcontratante garante que o tratamento ocorra no Espaço Econômico Europeu ou em um país designado como seguro por decisão da Comissão Europeia, com base na decisão do Responsável pelo Tratamento. Cláusulas contratuais padrão (disponíveis aqui: Cláusulas contratuais padrão | Serviços ESET | Ajuda on-line da ESET) serão aplicáveis no caso de transferências e tratamento de Dados Pessoais localizados fora do Espaço Econômico Europeu ou de um país designado como seguro por decisão da Comissão Europeia.
6. Segurança. O Processador é certificado pela ISO 27001 e usa a estrutura da ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. A conformidade com os requisitos regulatórios e contratuais é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e processos do Subcontratante, e as medidas necessárias são realizadas continuamente para garantir a conformidade. O Subcontratante organizou a segurança dos dados usando ISMS com base na ISO 27001. A documentação de segurança inclui principalmente documentos de política para segurança da informação, segurança física e segurança de equipamentos, gerenciamento de incidentes, tratamento de vazamentos de dados, incidentes de segurança, etc.
7. Medidas Técnicas e Organizacionais. O Subcontratante deve proteger os Dados Pessoais contra danos e destruição casuais e ilegais, perda casual, mudança, acesso não autorizado e divulgação. Para cumprir este objetivo, o Subcontratante deverá adotar as medidas técnicas e organizativas adequadas ao modo de tratamento e ao risco que representa o tratamento dos direitos dos Titulares dos Dados em conformidade com os requisitos do GDPR. Uma descrição detalhada das medidas técnicas e organizacionais está declarada na documentação de segurança relacionada ao Produto específico.
8. Informações de contato do Subcontratante. Todas as notificações, solicitações, demandas e outras comunicações relacionadas à proteção de dados pessoais devem ser endereçadas à ESET, spol. s.r.o., aos cuidados de: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.