Acordo de Processamento de Dados

.


Este é um acordo de processamento de dados ("DPA" por suas siglas em inglês) para o produto chamado Deyel oferecido pela Optaris Inc., e inclui as cláusulas contratuais padrão adotadas pela Comissão Europeia, conforme for, e reflete o acordo das partes que regem o processamento de dados pessoais sob os termos de serviço da Optaris ("ToS" por suas siglas em inglês). Este DPA é uma emenda aos Termos de Serviço, é efetivo a partir de sua incorporação aos mesmos e fará parte dos ToS. O termo deste DPA seguirá o termo dos ToS; e os termos definidos de outra maneira terão o significado que está estabelecido nos Termos de Serviço.

O GDPR (por suas siglas em inglês) protege o direito fundamental dos interessados da União Europeia à privacidade e a proteção de dados pessoais. Introduz requisitos sólidos que elevarão e harmonizarão os padrões de proteção de dados, segurança e cumprimento.


1.Definições

"Controlador": pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, só ou conjuntamente com outros, determina os propósitos e meios do Processamento de Dados Pessoais.

“Cliente”:refere-se à entidade que você representa.

“Dados do Cliente”: refere-se aos " dados pessoais" (tal como são definidos no GDRP) que são introduzidos nas contas de AWS do Cliente.

“Lei de proteção de dados”: refere-se a toda a legislação relacionada com a proteção de dados e a privacidade, incluindo, entre outras, a Diretriz de proteção de dados da UE 95/46/EC e todas as leis e regulamentações locais que modificam ou substituem qualquer delas, incluindo o GDPR, junto com leis nacionais de aplicação em qualquer estado membro da União Europeia ou, na medida aplicável, em qualquer outro país, segundo for modificado, derrogado, consolidado ou substituído periodicamente.

“Sujeito dos dados”: refere-se ao indivíduo com quem se relacionam os dados pessoais.

“GDPR”: refere-se ao Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção das pessoas físicas em relação com o tratamento de dados pessoais e a livre circulação destes dados, e pelo que se derroga a Diretriz 95/46 /EC (Regulamento geral de proteção de dados).

“Instrução”: é a instrução escrita e documentada, emitida pelo Controlador ao Processador para que realize uma ação específica com relação aos dados pessoais (incluindo, entre outros, despersonalização, bloqueio, eliminação, disponibilização).

“Dados pessoais”: significa qualquer informação relacionada com um indivíduo identificável contida nos dados do cliente e protegida de maneira similar aos dados pessoais ou informação de identificação pessoal segundo a Lei de Proteção de Dados aplicável.

"Incumprimento da proteção de dados pessoais" significa uma violação da segurança que conduz à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado ou ilegal dos Dados pessoais transmitidos, armazenados ou processados de outra maneira.

"Processamento": qualquer operação ou conjunto de operações realizada sobre os dados pessoais, que abrange a recopilação, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, difusão ou disponibilização de outra maneira, alinhamento ou combinação, restrição ou destruição de dados pessoais. Os termos "processo", "processos" e "processado" serão interpretados de maneira similar. "Processador": pessoa física ou jurídica, autoridade pública, agência ou outro organismo que processa os Dados pessoais em nome do Controlador. "Incidente de segurança": significa uma violação da segurança de AWS que gera a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente.


2. Assunto e Natureza do processamento

O processamento de dados pessoais por parte do processador é a execução dos serviços que o controlador solicita. Os dados pessoais estarão sujeitos às atividades de processamento que forem especificadas nos Termos de serviço e a um pedido específico.


3. Tipos de Dados pessoais e propósito de processamento.

A informação de contato, cujo alcance é determinado e controlado pelo cliente a seu exclusivo critério, e outros dados pessoais como dados de navegação (incluindo a informação de uso do website), correio eletrônico, dados de uso do sistema, dados de integração de aplicativos e outros dados eletrônicos enviados, armazenados e recebidos pelos usuários finais através da Plataforma Deyel serão processados com o fim de proporcionar os serviços estabelecidos e acertados nos termos de serviço e por qualquer pedido aplicável.


4. Categoria de sujeitos dos dados.

Os contatos do Controlador e outros usuários finais, incluindo os empregados, contratistas, colaboradores, clientes, prospectos, provedores e subcontratistas do Controlador. Os sujeitos de dados também incluem indivíduos que tentam se comunicar ou transferir dados pessoais aos usuários finais do controlador.


5. Responsabilidade do cliente

O controlador será o único responsável por cumprir com os requisitos legais relacionados com a proteção de dados e a privacidade, em particular com respeito à divulgação e transferência de dados pessoais ao processador e o processamento de dados pessoas. Para evitar dúvidas, as instruções do Controlador para o Processamento de Dados Pessoais deverão cumprir com a Lei de Proteção de Dados. O Controlador informará ao Processador sem demora indevida e de maneira exaustiva sobre qualquer erro ou irregularidade relacionada com as disposições legais sobre o Processamento de Dados Pessoais.


6. Obrigações do processador

O controlador será o único responsável por cumprir com os requisitos legais relacionados com a proteção de dados e a privacidade, em particular com respeito à divulgação e transferência de dados pessoais ao processador e ao processamento de dados pessoais. Para evitar dúvidas, as instruções do Controlador para o Processamento de Dados Pessoais requerem cumprir com a Lei de Proteção de Dados. El Controlador informará ao Processador sem demora indevida e de maneira exaustiva sobre qualquer erro ou irregularidade relacionada com as disposições legais sobre o Processamento de Dados Pessoais (além de armazenar e manter a segurança dos Dados pessoais afetados) até o momento em que o Controlador emitir novas instruções que o Processador puder cumprir.
O Processador tomará as medidas técnicas e organizativas apropriadas para proteger adequadamente os Dados pessoais contra a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados pessoais. Estas medidas incluem, mas não se limitam a:

  1. A prevenção de que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados pessoais (controle de acesso físico),
  2. A prevenção do uso de sistemas de processamento de dados pessoais sem autorização (controle de acesso lógico).
  3. Assegurar que os Dados pessoais não possam ser lidos, copiados, modificados ou eliminados sem autorização durante a transmissão eletrônica, o transporte ou o armazenamento em meios de armazenamento, e que possam ser estabelecidas e verificadas as entidades intervenientes em qualquer transferência de Dados pessoais (controle de transferência de dados).
  4. Assegurar-se de que os Dados pessoais sejam processados unicamente de acordo com as Instruções (controle de instruções).
  5. Assegurar-se que os dados pessoais estejam protegidos contra a destruição ou perda acidental (controle de disponibilidade).
  6. Assegurar-se que os dados pessoais estejam respaldados e mantidos utilizando os padrões da indústria.
  7. Assegurar-se que os provedores de infraestrutura utilizem esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99.77% para o acesso aos serviços do Processador.


7. Retificação, Restrição e Segurança dos Dados

O Processador proporcionará assistência razoável, inclusive mediante medidas técnicas e organizativas apropriadas e levando em conta a natureza do Processamento, para permitir que o Controlador responda a qualquer solicitação dos Sujeitos de dados que busquem exercer seus direitos sob a Lei de Proteção de Dados com respeito aos dados pessoais (incluindo o acesso, retificação, restrição, eliminação ou portabilidade dos Dados pessoais, conforme for, na medida permitida pela lei. Se esta solicitação for feita diretamente ao Processador, o Processador informará de imediato ao Controlador e aconselhará os Sujeitos de Dados que apresentem sua solicitação ao Controlador. O controlador será o único responsável por responder às solicitações de qualquer interessado. O Controlador reembolsará o Processador os custos derivados desta assistência.


8. Violações aos dados pessoais.

O Processador notificará ao Controlador assim que for possível quando tiver conhecimento de qualquer violação aos Dados Pessoais que os afetar. Sob solicitação do Controlador, o Processador proporcionará de imediato toda a assistência razoável necessária para permitir que este notifique os incumprimentos de Dados Pessoais relevantes às autoridades competentes e/ou os Sujeitos de Dados afetados, se assim for requerido pela aplicação da Lei de Proteção de Dados.


9. Subprocessadores

O Processador terá direito a contratar subprocessadores para cumprir com as obrigações definidas nos Termos de Serviço na medida que o controlador não possa cumprir com os termos de serviço de Optaris. Quando o Processador envolve os subprocessadores, estes deverão cumprir com os mesmos termos de serviço e obrigações que aplicadas ao Processador sob este DPA.
Aqui está a lista de subprocessadores

  1. Amazon Web Services, Inc. (https://aws.amazon.com/compliance/)
  2. Google, Inc. (https://cloud.google.com/security/compliance)


10. Transferência de Dados Pessoais

O Controlador reconhece e aceita que, em relação com o desempenho dos serviços sob os ToS, os Dados pessoais serão transferidos a AWS (Amazon Web Services, Inc) nos Estados Unidos. Amazon Web Services, Inc. tem várias certificações para implementar salvaguardas apropriadas para tais transferências em conformidade com o Artigo 46 do GDPR.