Contrato de processamento de dados
Em conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, revogando a Diretiva 95/46/EC (referido doravante como "GDPR"), o Provedor (referido doravante como o "Processador") e Você (referido doravante como "Controlador") estão entrando no relacionamento contratual de processamento de dados para definir os termos e condições para o processamento de dados pessoais, a maneira de sua proteção, e também para definir outros direitos e obrigações de ambas as partes no processamento de dados pessoais de titulares de dados em nome do Controlador durante o curso da execução do objeto destes Termos como o contrato principal.
1. Tratamento de dados pessoais. Os serviços prestados em conformidade com estes Termos incluem o tratamento de informações relacionadas a uma pessoa física identificada ou identificável listada na Política de Privacidade (doravante os "Dados Pessoais").
2. Autorização. O Responsável pelo Tratamento autoriza o Subcontratante para processar Dados Pessoais, incluindo as instruções a seguir:
(i) "Finalidade do processamento" significa a prestação de serviços em conformidade com estes Termos. O Subcontratante só pode processar Dados Pessoais em nome do Responsável pelo Tratamento em relação à prestação de serviços solicitados pelo Responsável pelo Tratamento. Todas as informações coletadas para fins adicionais serão processadas fora da relação contratual Responsável pelo Tratamento-Subcontratante.
(ii) período de processamento significa o período iniciado quando se inicia a cooperação sob estes Termos e terminando na rescisão dos serviços,
(iii) Escopo e Categorias de Dados pessoais. Os Serviços são pretendidos apenas para o tratamento de dados pessoais. Porém, o Responsável pelo Tratamento é o único responsável pela determinação do escopo de dados pessoais.
(iv) “Titular dos dados” significa a pessoa física como usuário autorizado dos dispositivos do Controlador,
(v) operações de processamento são todas e quaisquer operações necessárias para o processamento,
(vi) “Instruções documentadas” significa instruções descritas nestes Termos, seus Anexos, na Política de Privacidade e na documentação do serviço. O Responsável pelo Tratamento será responsável pela responsabilidade legal do processamento de Dados Pessoais pelo Subcontratante em relação às respectivas disposições aplicáveis da lei de proteção de dados.
3. Obrigações do Subcontratante. O Processador será obrigado a:
(i) processar Dados Pessoais apenas com base nas Instruções documentadas e para os fins definidos nos Termos, seus Anexos, na Política de Privacidade e na documentação de serviço,
(ii) instruir as pessoas autorizadas a processar os Dados Pessoais (doravante as "Pessoas Autorizadas") sobre seus direitos e deveres de acordo com o GDPR, sobre sua responsabilidade em caso de violação e garantir que as Pessoas Autorizadas comprometeram-se a manter a confidencialidade e a seguir as instruções Documentadas,
(iii) implementar e seguir as medidas descritas nos Termos, seus Anexos, na Política de Privacidade e na documentação de serviço,
(iv) auxiliar o Responsável pelo Tratamento a responder a solicitações dos Titulares dos Dados relacionadas aos seus direitos. O Subcontratante não deve corrigir, remover ou restringir o tratamento de Dados Pessoais sem as instruções do Responsável pelo Tratamento. Todas as solicitações do Titular dos Dados relacionadas a Dados Pessoais processados em nome do Responsável pelo Tratamento serão encaminhadas ao Responsável pelo Tratamento sem atraso.
(v) auxiliar o Responsável pelo Tratamento com a notificação de violação de dados pessoais à autoridade supervisora e ao Titular dos Dados, O Subcontratante notificará o Responsável pelo Tratamento sobre qualquer violação do processamento de dados pessoais ou da segurança dos dados pessoais imediatamente após tal descoberta. O Subcontratante deve cooperar de forma razoável em uma investigação e correção de tal violação e tomar medidas razoáveis para limitar outras implicações negativas.
(vi) por escolha do Responsável pelo Tratamento remover ou devolver todos os Dados Pessoais ao Responsável pelo Tratamento após o fim do Período de Tratamento. O Responsável pelo Tratamento se compromete a informar o Subcontratante sobre sua decisão no prazo de dez (10) dias após o término do Período de Processamento. Essa disposição não afetará o direito do Subcontratante de manter os Dados Pessoais na extensão necessária para fins de arquivamento no interesse público, fins de pesquisa científica, fins estatísticos ou para o estabelecimento, exercício ou defesa de reivindicações judiciais.
(vii) manter um registro atualizado de todas as categorias de atividades de processamento que ele realizou em nome do Controlador,
(viii) disponibilizar todas as informações necessárias para demonstrar conformidade como parte dos Termos, seus Anexos, da Política de Privacidade e da documentação de serviço disponíveis ao Responsável pelo Tratamento. No caso de auditoria ou controle do processamento de Dados Pessoais do lado do Responsável pelo Tratamento, o Responsável pelo Tratamento será obrigado a informar o Subcontratante por escrito pelo menos dez (30) dias antes da auditoria ou controle planejado.
4. Contratação de outro Subcontratante. O Subcontratante tem o direito de contratar outro subcontratante para realizar atividades de tratamento específicas, como o fornecimento de armazenamento em nuvem e infraestrutura para o serviço, em conformidade com estes Termos, seus Anexo, a Política de Privacidade e a documentação do serviço. Atualmente, a Microsoft fornece armazenamento em nuvem e infraestrutura como parte do Azure Cloud Service. Mesmo neste caso, o Processador permanecerá o único ponto de contato e a parte responsável pela conformidade. O Subcontratante se compromete a informar o Responsável pelo Tratamento sobre qualquer adição ou substituição de outro subcontratante para fins da possibilidade de contestar tal alteração.
5. Território de processamento. O Processador garante que o processamento ocorra no Espaço Econômico Europeu ou em um país designado como seguro por decisão da Comissão Europeia, com base na decisão do Controlador. As Cláusulas Contratuais Padrão serão aplicadas em caso de transferências e tratamentos localizados fora do Espaço Econômico Europeu ou de um país designado como seguro por decisão da Comissão Europeia, por solicitação do Responsável pelo Tratamento.
6. Segurança. O Processador é certificado pela ISO 27001:2013 e usa a estrutura da ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. A conformidade com os requisitos regulatórios e contratuais é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e operações do Processador, e as medidas necessárias são realizadas continuamente para garantir a conformidade. O Subcontratante organizou a segurança de dados usando ISMS com base em ISO 27001. A documentação de segurança inclui principalmente documentos de política para segurança da informação, segurança física e segurança de equipamentos, gerenciamento de incidentes, tratamento de vazamentos de dados e incidentes de segurança, etc.
7. Medidas Técnicas e Organizacionais. O Subcontratante deve proteger os Dados Pessoais contra danos e destruição casuais e ilegais, perda casual, mudança, acesso não autorizado e divulgação. Para cumprir este objetivo, o Subcontratante deverá adotar as medidas técnicas e organizativas adequadas ao modo de tratamento e ao risco que representa o tratamento dos direitos dos Titulares dos Dados em conformidade com os requisitos do GDPR. Uma descrição detalhada das medidas técnicas e organizacionais consta da Política de Segurança.
8. Informações de contato do Subcontratante. Todas as notificações, solicitações, demandas e outras comunicações relacionadas à proteção de dados pessoais devem ser endereçadas à ESET, spol. s.r.o., aos cuidados de: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.