Sojern Inc. Aditamento de Processamento de Dados

Última atualização: 14 de setembro de 2022

Este Adendo de Processamento de Dados, incluindo os Anexos 1 e 2 ("DPA"), estabelece os termos essenciais exigidos pela Sojern, Inc., uma corporação de Delaware com seu principal local de negócios localizado em 575 Market Street, 4º andar, San Francisco, CA 94105 EUA ("Sojern"). Para os fins deste DPA, a empresa que é parte do Contrato (conforme definido abaixo) no qual este DPA está incorporado é referida como "Empresa".

1. Definições

"Acordo" significa todos os acordos entre as partes nos quais a Sojern recebe, coleta, acessa ou de outra forma processa Dados Pessoais para os fins previstos no acordo do provedor de dados ou de serviço aplicável. Este DPA incorpora os termos e condições do Acordo conforme estabelecido abaixo. No caso de conflito entre o DPA e o Acordo, os termos deste DPA prevalecerão. Todos os termos em maiúsculas utilizados, mas não definidos aqui, terão seus respectivos significados conforme estabelecido no Acordo.

"Dados Pessoais" significam qualquer informação relacionada a uma pessoa natural identificada ou identificável que pode ser identificada diretamente ou indiretamente.

"Serviço" significa os serviços prestados pela Sojern ou pela Empresa, conforme aplicável, nos termos do Acordo.

2. Aplicação da DPA

Para os fins do processamento realizado pela Sojern nos termos do Contrato, o papel da Sojern como um processador de dados ou controlador de dados com relação aos Dados Pessoais processados pela Sojern será estabelecido no Contrato aplicável.

3. Uso de Dados Pessoais

Salvo se expressamente permitido aqui ou por escrito pela Empresa, a Sojern não divulgará, venderá, distribuirá ou transmitirá Dados Pessoais a terceiros, nem usará Dados Pessoais para qualquer fim que não seja fornecer à Empresa o Serviço nos termos do Acordo e de acordo com todas as leis aplicáveis de privacidade e proteção de dados.

4. Conformidade com a Lei; Outras Instruções

Cada parte certifica que compreende suas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados e processará Dados Pessoais de acordo com todas as leis aplicáveis de privacidade e proteção de dados. Quando a Sojern atua como um processador de dados, a Sojern realizará o processamento conforme documentado e instruído pela Empresa no Contrato, a menos que seja informada por uma autoridade reguladora de que tal processamento não está em conformidade com as leis aplicáveis de privacidade e proteção de dados, caso em que a Sojern fornecerá prontamente à Empresa um aviso por escrito sobre esse aviso regulatório e poderá interromper o processamento de Dados Pessoais até que a questão regulatória seja resolvida.

5. Registros; Cooperação para Cumprimento

Cada parte manterá um registro escrito ou eletrônico do processamento de Dados Pessoais. Cada parte cooperará razoavelmente com a outra parte para cumprir as leis aplicáveis de privacidade e proteção de dados em relação a avaliações de impacto de dados, registros de processamento, solicitações relacionadas ou consultas às autoridades de proteção de dados, e auditorias de acordo com o Contrato aplicável para permitir que a Empresa confirme se a Sojern cumpriu com suas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados e o Contrato.

6. Política de Privacidade do Sojern

As partes reconhecem que a Sojern não mantém uma relação direta com os indivíduos cujos Dados Pessoais são fornecidos à Sojern. Como tal, quando exigido pelas leis aplicáveis de privacidade e proteção de dados, a Empresa disponibilizará a Política de Privacidade da Sojern em http://www.sojern.com/privacy/privacy-policy/ para os indivíduos cujos Dados Pessoais são processados pela Sojern.

7. Aviso, Consentimento e Opção de Recusa

A Empresa deverá notificar e obter consentimento dos indivíduos conforme exigido pelas leis aplicáveis de privacidade e proteção de dados no que diz respeito à coleta, uso e divulgação de Dados Pessoais pela Empresa. Se as leis aplicáveis de privacidade e proteção de dados exigirem mecanismos pelos quais os indivíduos possam exercer direitos, incluindo, mas não se limitando a, direitos de exclusão, a Empresa (ou outra parte responsável pela coleta de Dados Pessoais em nome da Empresa) deverá disponibilizar tal mecanismo aos indivíduos. A Empresa será presumida ter fornecido as notificações apropriadas e obtido os consentimentos apropriados, se necessário, de quaisquer indivíduos cujos Dados Pessoais sejam fornecidos à Sojern.

8. Direitos de Privacidade Individuais

Cada parte cooperará razoavelmente com a outra parte em resposta a quaisquer pedidos ou reclamações de indivíduos relacionados ao processamento de Dados Pessoais nos termos do Contrato e referentes aos direitos de privacidade nos termos das leis de privacidade e proteção de dados aplicáveis. Se a Sojern receber um pedido de um indivíduo, a Sojern prontamente: (a) encaminhará o pedido à Empresa para gerenciamento do pedido; e (b) onde a Sojern for um processador de dados, implementará a decisão da Empresa em relação à forma como o pedido será gerenciado.

9. Dados Pessoais da UE

Na medida em que os Dados Pessoais originados fora dos EUA (incluindo a Área Econômica Europeia (AEE), Reino Unido ou Suíça) são transferidos para a Sojern, o processamento de dados requer adequação às leis do país da Empresa, e a adequação necessária pode ser atendida pelos termos deste DPA, então as partes concordam que este DPA incorpora por referência, conforme aplicável, as cláusulas contratuais padrão (UE) 2021/914 da Comissão Europeia para a transferência de Dados Pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 pelos controladores da UE/AEE para processadores estabelecidos fora da UE/AEE ("Módulo 2") e/ou por controladores da UE/AEE para controladores estabelecidos fora da UE/AEE ("Módulo 1"), e conforme forem emendadas ou substituídas de tempos em tempos pela Comissão Europeia (coletivamente, as "Cláusulas"). Para fins de conveniência, as Cláusulas hiperlinkadas acima são geradas com base no texto disponibilizado pela Comissão Europeia com o único propósito de incorporar as Cláusulas no Acordo, selecionar o(s) Módulo(s) apropriado(s) e adicionar informações no Apêndice conforme permitido pelas Cláusulas. Para fins de transferências de Dados Pessoais, a Empresa será o "exportador de dados" e a Sojern será o "importador de dados" (mesmo que a Empresa seja uma entidade localizada fora da UE/AEE, desde que a Empresa esteja sujeita ao Regulamento (UE) 2016/679). Quando as Cláusulas se aplicam, a Empresa e a Sojern serão consideradas terem celebrado as Cláusulas em seus respectivos nomes e por conta própria, e os nomes, endereços, detalhes de contato, funções e atividades relacionadas aos Dados Pessoais transferidos sob essas Cláusulas serão fornecidos no Acordo. A execução do Acordo será considerada a execução das Cláusulas, especificamente a execução do Anexo I.A das Cláusulas. Na medida em que houver qualquer conflito entre os termos deste DPA e as Cláusulas, as Cláusulas aplicáveis prevalecerão.

  1. Controlador para Controlador. Para os fins do Módulo 1, (i) o Anexo 1 a este Acordo de Proteção de Dados substituirá o Anexo 1.B do Módulo 1; (ii) o Anexo 2 a este Acordo de Proteção de Dados substituirá o Anexo II do Módulo 1; e (iii) sob a Cláusula 11(a) do Módulo 1, o texto opcional fornecido é selecionado; (iv) sob a Cláusula 17 do Módulo 1, a OPÇÃO 1 é selecionada, e o Estado-Membro da UE é a Irlanda; e (v) sob a Cláusula 18(b) do Módulo 1, os tribunais da Irlanda são selecionados.
  2. Controlador para Processador. Para os propósitos do Módulo 2, (i) o Anexo 1 a este ANP substituirá o Anexo 1.B do Módulo 2; (ii) o Anexo 2 deste ANP substituirá o Anexo II do Módulo 2; (iii) ao abrigo da Cláusula 9(a) do Módulo 2, a OPÇÃO 2: AUTORIZAÇÃO ESCRITA GERAL é selecionada, e o período de aviso prévio é de trinta (30) dias; (iv) ao abrigo da Cláusula 11(a) do Módulo 2, o texto opcional fornecido é selecionado; (v) ao abrigo da Cláusula 17 do Módulo 2, a OPÇÃO 1 é selecionada, e o Estado-Membro da UE é a Irlanda; e (vi) ao abrigo da Cláusula 18(b) do Módulo 2, os tribunais da Irlanda são selecionados.
  3. A Seção 702 do FISA e a Ordem Executiva 12333. A Sojern deverá notificar imediatamente a Empresa e cessar a aceitação de Dados Pessoais se a Sojern tomar conhecimento de que passou a estar sujeita a requisitos de compartilhamento ou divulgação de dados conforme previsto na Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) e/ou na Ordem Executiva 12333 dos Estados Unidos. Se orientações adicionais forem divulgadas pelo Conselho Europeu de Proteção de Dados ou outra autoridade reguladora pela qual a Empresa é regulada sobre quais medidas adicionais adequadas são necessárias para a exportação internacional de Dados Pessoais, a Sojern deverá implementar prontamente quaisquer medidas adicionais adequadas.

10. Salvaguardas de Segurança

Cada parte deve implementar e manter medidas técnicas, físicas e organizacionais apropriadas para proteger Dados Pessoais contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.

  1. Violação de Dados Pessoais. Ao tomar conhecimento de uma violação de dados pessoais nos termos das leis aplicáveis de privacidade e proteção de dados, cada parte notificará a outra por escrito sem demora indevida e dentro do prazo exigido pelas leis aplicáveis de privacidade e proteção de dados. Cada parte cooperará razoavelmente com a outra para mitigar, sempre que possível, os efeitos adversos de uma violação de dados pessoais.
  2. Armazenamento de Dados; Exclusão de Dados Pessoais após o Término. A Sojern implementa medidas de segurança técnica para proteger contra o acesso não autorizado a Dados Pessoais, incluindo a criptografia de Dados Pessoais em formato eletrônico durante o trânsito e em repouso no armazenamento em redes ou sistemas da Sojern. As obrigações da Sojern em relação aos Dados Pessoais no caso de rescisão do Contrato são estabelecidas na seção Termo e Rescisão do Contrato, sujeito a quaisquer termos de retenção de dados do Contrato aplicável.

11. Sub-processadores

A empresa concede autorização geral à Sojern para usar outros processadores de dados para o processamento de Dados Pessoais ("Sub-processadores"), que estão vinculados por obrigações de confidencialidade e proteção de dados consistentes com este DPA, listados em www.sojern.com/legal/partner-list/. Quando exigido pelo Contrato ou quando a Sojern atua como processador de dados, a Sojern informará a Empresa sobre quaisquer alterações referentes à adição ou substituição de Sub-processadores, atualizando a lista acima mencionada, dando assim à Empresa a oportunidade de se opor a tais alterações, e instruções para objeções são fornecidas no mesmo URL. Se a Empresa se opuser razoavelmente a uma alteração e a Sojern não conseguir resolver tal objeção, a Empresa poderá rescindir o Contrato e o DPA.

12. Aplicação do DPA

Este DPA permanecerá em pleno vigor e efeito até que ocorra o último de (a) o(s) Acordo(s) permanecer em vigor e (b) a Sojern reter cópias de Dados Pessoais. Qualquer das partes pode rescindir este DPA imediatamente após uma violação material deste DPA ou se uma autoridade reguladora e/ou um tribunal com jurisdição constatar que o processamento de Dados Pessoais pelas partes viola materialmente as leis aplicáveis de privacidade e proteção de dados, desde que a parte não infratora forneça aviso da alegada violação, e tal violação tenha permanecido sem correção por um período de quinze (15) dias após tal aviso.

13. Lei Aplicável

Este DPA será considerado como tendo sido feito e será interpretado de acordo com as leis do Estado da Califórnia, EUA, sem considerar suas disposições de conflitos de leis.

HORÁRIO 1

Descrição da Transferência

Categorias de titulares de dados cujos dados pessoais são transferidos

Viajantes e outros clientes da Empresa.

Categorias de dados pessoais transferidos

Os Dados Pessoais transferidos pela Empresa são fornecidos de acordo com o Contrato e podem incluir, mas não se limitam a:

  • Informações relacionadas a um identificador online exclusivo, como um ID de cookie, ID de dispositivo móvel, endereço de e-mail hash, ID de publicidade e números de ID de cliente atribuídos pela empresa,
  • Informações relacionadas ao dispositivo de um indivíduo, como endereço IP, tipo de dispositivo, tipo de navegador, data e hora dos cliques e visitas à web, URLs visitados e outras informações técnicas.
  • Informações relacionadas à viagem de um indivíduo, como o número e os tipos de viajantes, moeda/taxas/tarifas/taxas, informações de busca e reserva (como data de partida e chegada, e país ou cidade de destino), informações sobre programas de recompensas ou fidelidade e preferências de acomodação ou serviços (como quarto, assento de voo ou tipo de carro, e preferências de instalações e comodidades).
Dados sensíveis transferidos (se aplicável) e aplicação de restrições ou salvaguardas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação de finalidade rigorosa, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

Nenhum

A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).

Em uma base contínua, durante a duração do Acordo aplicável.

Natureza do processamento

Coleta de informações de navegação online por meio de cookies e outras tecnologias de rastreamento.

Finalidade(s) da transferência de dados e processamento adicional

Para qualquer fim legal relacionado com os Serviços fornecidos ao abrigo do Acordo entre o exportador de dados e o importador de dados, especialmente publicidade direcionada com base em informações de navegação online. Não é permitido nenhum processamento adicional para qualquer fim legal relacionado com os Serviços fornecidos ao abrigo do Acordo entre o exportador de dados e o importador de dados, especialmente publicidade direcionada com base em informações de navegação online.

O período durante o qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios utilizados para determinar esse período

Durante a vigência do Acordo aplicável, salvo se, a critério do exportador de dados, os Dados Pessoais forem excluídos ou devolvidos.

Para transferências para (sub-)processadores, também especifique o assunto, a natureza e a duração do processamento

Os sub-processadores são listados em www.sojern.com/legal/partner-list/ conforme permitido pelo Modelo 1 Cláusula 9(a).

  • Assunto do processamento: Os sub-processadores fornecem infraestrutura e serviços de hospedagem, armazenamento e processamento para permitir que a Sojern forneça serviços aos seus clientes. Além disso, os sub-processadores veiculam anúncios digitais em sites, aplicativos móveis e outras propriedades conectadas à Internet, emitem relatórios sobre o desempenho de campanhas publicitárias e fornecem uma plataforma que facilita a venda de impressões/estoque online por meio de leilões em tempo real.
  • Natureza do processamento: Os provedores de hospedagem na nuvem armazenam e processam dados fornecidos pelos clientes da Sojern, e as plataformas do lado da demanda processam dados para compra de mídia programática e serviços de publicidade.
  • Duração do processamento: Pelo período do acordo entre Sojern e os sub-processadores, sujeito aos períodos de retenção nele contidos.
Autoridade Supervisora Competente

A autoridade de supervisão de um dos Estados-Membros no qual os titulares dos dados cujos Dados Pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.

HORÁRIO 2

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS, PARA GARANTIR A SEGURANÇA DOS DADOS

1. Geral. A Sojern estabelecerá, implementará e manterá medidas administrativas, técnicas e organizacionais apropriadas que visam proteger contra o processamento não autorizado ou ilegal de Dados Pessoais e contra a perda acidental ou destruição, ou dano a, Dados Pessoais. Essas medidas serão adequadas para cumprir as leis de proteção de dados aplicáveis e a Sojern cumprirá a todo momento com suas políticas de segurança da informação e programa de segurança da informação.

2. Políticas e Padrões de Segurança da Informação. A Sojern manterá políticas, padrões e procedimentos de segurança da informação. Essas políticas, padrões e procedimentos devem ser atualizados e revisados sempre que houver mudanças relevantes nos sistemas de informação que usam ou armazenam Dados Pessoais.

3. Gerenciamento de Vulnerabilidades. A Sojern manterá um programa de gerenciamento de vulnerabilidades para todos os sistemas que processam Dados Pessoais, que inclui, sem limitação, varreduras de vulnerabilidades internas e externas com classificação de riscos e planos formais de remediação para abordar quaisquer vulnerabilidades identificadas.

4. Avaliação de Risco. A Sojern realizará avaliações periódicas de risco para identificar e avaliar riscos razoavelmente previsíveis para a segurança, confidencialidade e integridade de registros contendo Dados Pessoais e avaliar e aprimorar, quando necessário, a eficácia de suas salvaguardas para limitar esses riscos.

5. Classificação de Dados. A Sojern manterá políticas e procedimentos para classificar ativos de informações confidenciais, esclarecer responsabilidades de segurança e promover conscientização para todos os funcionários.

6. Criptografia. A Sojern implementará mecanismos de criptografia padrão do setor e conjuntos de cifras fortes (recomenda-se AES de 256 bits) para armazenamento e transmissão. A Sojern aceitará conexões por canais criptografados (recomenda-se TLS).

7. Segurança de Rede. A Sojern irá proteger sua rede empregando uma abordagem de defesa em profundidade que utiliza equipamentos disponíveis comercialmente e técnicas padrão da indústria, incluindo, sem limitação, firewalls, sistemas de detecção de intrusão, listas de controle de acesso e protocolos de roteamento.

8. Controle de Vírus e Malware. A Sojern protegerá os Dados Pessoais de códigos maliciosos e instalará e manterá software de proteção antivírus e contra malware em qualquer sistema que manipule Dados Pessoais.

9. Controle de Acesso. A Sojern seguirá o princípio do mínimo privilégio, onde o acesso aos Dados Pessoais é concedido apenas àqueles dentro da organização que tenham necessidade de negócios para tal acesso, e as permissões serão limitadas ao mínimo exigido para realizar a função de trabalho específica.

10. Local de Processamento. Os Dados Pessoais serão processados pela Sojern nos Estados Unidos, sujeito às leis de proteção de dados aplicáveis que possam exigir o contrário.

11. Resposta a Incidentes. A Sojern manterá um programa de resposta a incidentes de segurança de dados e documentará todos os incidentes de segurança de dados suspeitos. A Sojern investigará quaisquer incidentes de segurança de dados e tomará todas as medidas necessárias para eliminar ou conter o incidente de segurança de dados.

12. Pessoal. A Sojern manterá um programa de conscientização e treinamento em segurança da informação e treinará o pessoal crítico da Sojern sobre medidas de proteção de dados e proteções gerais de cibersegurança.

13. Fornecedor. A Sojern manterá um programa de gestão de fornecedores que avaliará todos os fornecedores com quem a Sojern troca Dados Pessoais. Tais fornecedores serão obrigados a cumprir padrões de segurança de dados não menos restritivos do que os estabelecidos neste documento.

Gracias por suscribirse a nuestro boletín.
¡Uy! Algo salió mal al enviar el formulario. Por favor, inténtelo de nuevo.
Producto
Plataforma de marketing para viajerosSoluciones de experiencia para huéspedesPrivacidad y datos
Recursos
Perspectivas de viajeBlogInformesHistorias de éxitoPreguntas frecuentes sobre cookies
Empresa
Por qué SojernAsóciese con nosotrosCarrerasPrensaCentro de privacidad