Este Adendo de Processamento de Dados, incluindo os Anexos 1 e 2 ("DPA"), estabelece os termos essenciais exigidos pela Sojern, Inc., uma corporação de Delaware com seu principal local de negócios localizado em 575 Market Street, 4º Andar, São Francisco, CA 94105 EUA ("Sojern"). Para os fins deste DPA, a empresa que é parte do Contrato (conforme definido abaixo) no qual este DPA está incorporado é referida como "Empresa".
"Acordo" significa todos os acordos entre as partes nos quais a Sojern recebe, coleta, acessa ou de outra forma processa Dados Pessoais para os fins estabelecidos no acordo de provedor de dados ou de serviço aplicável. Este DPA incorpora os termos e condições do Acordo conforme estabelecido abaixo. Em caso de conflito entre o DPA e o Acordo, os termos deste DPA prevalecerão. Todos os termos em maiúsculas usados, mas não definidos aqui, terão seus respectivos significados conforme estabelecido no acordo de serviço.
"Dados Pessoais" significam qualquer informação relacionada a uma pessoa natural identificada ou identificável que possa ser identificada direta ou indiretamente.
"Serviço" significa os serviços fornecidos pela Sojern ou pela Empresa, conforme aplicável, nos termos do Contrato.
Para os fins do processamento realizado pela Sojern nos termos do Acordo, o papel da Sojern como processador de dados ou controlador de dados em relação aos Dados Pessoais processados pela Sojern será estabelecido no Acordo aplicável.
Exceto conforme expressamente permitido aqui ou por escrito pela Empresa, a Sojern não divulgará, venderá, distribuirá ou transmitirá Dados Pessoais para qualquer terceiro, nem usará os Dados Pessoais para qualquer finalidade que não seja fornecer à Empresa o Serviço sob o Contrato, e de acordo com todas as leis aplicáveis de privacidade e proteção de dados. A Sojern garantirá que cada pessoa autorizada a processar Dados Pessoais esteja sujeita a um dever de confidencialidade em relação a esses Dados Pessoais.
Cada parte certifica que entende suas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados e processará Dados Pessoais de acordo com todas as leis aplicáveis de privacidade e proteção de dados. Quando a Sojern atua como um processador de dados, a Sojern realizará o processamento conforme documentado e instruído pela Empresa no Acordo, a menos que seja informada de outra forma por uma autoridade regulatória de que tal processamento não esteja em conformidade com as leis aplicáveis de privacidade e proteção de dados, caso em que a Sojern fornecerá prontamente à Empresa um aviso por escrito sobre esse aviso regulatório e poderá interromper o processamento de Dados Pessoais até que a questão regulatória seja resolvida.
Na extensão exigida pela Lei de Proteção de Dados aplicável, a Empresa somente instruirá a Sojern a Processar Dados Pessoais para os fins permitidos pelas leis aplicáveis de privacidade e proteção de dados e divulgará Dados Pessoais à Sojern apenas para os fins limitados e especificados especificados no Acordo. A Empresa reserva-se o direito, mediante aviso razoável, de tomar medidas razoáveis e apropriadas para ajudar a garantir que a Sojern utilize os Dados Pessoais transferidos de maneira consistente com as obrigações da Sojern nos termos das leis aplicáveis de privacidade e proteção de dados, incluindo medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais. A Sojern notificará a Empresa se determinar que não pode mais cumprir suas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados.
Cada parte manterá um registro escrito ou eletrônico do processamento de Dados Pessoais. Cada parte cooperará razoavelmente com a outra parte para cumprir as leis aplicáveis de privacidade e proteção de dados em relação a avaliações de impacto de dados, registros de processamento, solicitações relacionadas ou consultas com dados. Cada parte manterá um registro escrito ou eletrônico do processamento de Dados Pessoais. Cada parte cooperará razoavelmente com a outra parte para cumprir as leis aplicáveis de privacidade e proteção de dados em relação a avaliações de impacto de dados, registros de processamento, solicitações relacionadas ou consultas com autoridades de proteção de dados e auditorias de acordo com o Acordo aplicável para permitir que a Empresa confirme que a Sojern cumpriu com suas obrigações nos termos das leis aplicáveis de privacidade e proteção de dados e do Acordo.
As partes reconhecem que a Sojern não mantém uma relação direta com os indivíduos cujos Dados Pessoais são fornecidos à Sojern. Portanto, quando exigido pelas leis aplicáveis de privacidade e proteção de dados, a Empresa disponibilizará a Política de Privacidade da Sojern em https://www.sojern.com/privacy/privacy-policy/ para os indivíduos cujos Dados Pessoais são processados pela Sojern.
A empresa deverá notificar e obter consentimento dos indivíduos conforme exigido pelas leis aplicáveis de privacidade e proteção de dados em relação à coleta, uso e divulgação de Dados Pessoais pela Empresa. Se as leis aplicáveis de privacidade e proteção de dados exigirem mecanismos pelos quais os indivíduos possam exercer direitos, incluindo, mas não se limitando a direitos de exclusão, a Empresa (ou outra parte responsável pela coleta de Dados Pessoais em nome da Empresa) deverá fornecer tais mecanismos aos indivíduos. A Empresa será presumida ter fornecido avisos apropriados e obtido consentimentos apropriados, se necessário, de quaisquer indivíduos cujos Dados Pessoais sejam fornecidos à Sojern. A Empresa deverá fornecer prontamente, mediante solicitação e a qualquer momento pela Sojern, prova de que obteve os consentimentos apropriados dos indivíduos relevantes.
Cada parte cooperará razoavelmente com a outra parte em resposta a quaisquer pedidos ou reclamações de indivíduos relacionados ao processamento de Dados Pessoais sob o Acordo e referentes aos direitos de privacidade nos termos das leis aplicáveis de privacidade e proteção de dados. Se a Sojern receber um pedido de um indivíduo, a Sojern o encaminhará prontamente para a Empresa para gerenciamento do pedido; e quando a Sojern for um processador de dados, implementará a decisão da Empresa em relação a como o pedido será gerenciado.
As partes reconhecem que os Dados Pessoais originários fora dos EUA (incluindo a Área Econômica Europeia (EEA), o Reino Unido ou a Suíça) podem ser transferidos ou processados pela Sojern em um país ou território reconhecido como garantindo proteção adequada sob a lei de privacidade e proteção de dados relevante. As partes também concordam que transferências de tais Dados Pessoais para a Sojern podem ser feitas de acordo com uma solução, diferente das cláusulas contratuais padrão, que permite a transferência legal de dados pessoais para um terceiro país de acordo com a lei aplicável de privacidade e proteção de dados (uma "Solução de Transferência"). Isso inclui, mas não se limita a, um quadro de proteção de dados aprovado reconhecido como garantindo que entidades participantes forneçam proteção adequada dos Dados Pessoais.
Na medida em que Dados Pessoais originários fora dos EUA (incluindo a Área Econômica Europeia (EEA), Reino Unido ou Suíça) são transferidos para a Sojern, o processamento de dados requer adequação sob as leis do país da Empresa, não se aplica decisão de adequação ou Solução de Transferência, e a adequação necessária pode ser atendida pelos termos deste DPA, então as partes concordam que este DPA incorpora por referência, conforme aplicável, as cláusulas contratuais padrão (EU) 2021/914 da Comissão Europeia para a transferência de Dados Pessoais para países terceiros nos termos do Regulamento (EU) 2016-679 por controladores da UE/EEA para processadores estabelecidos fora da UE/EEA (“Módulo 2”) e/ou por controladores da UE/EEA para controladores estabelecidos fora da UE/EEA (“Módulo 1”), e conforme sejam alteradas ou substituídas de tempos em tempos pela Comissão Europeia (coletivamente, as “Cláusulas”). Por razões de conveniência, as Cláusulas hiperlinkadas acima são geradas com base no texto disponibilizado pela Comissão Europeia com o único propósito de incorporar as Cláusulas no Acordo, selecionar o(s) Módulo(s) apropriado(s), e adicionar informações no Apêndice conforme permitido pelas Cláusulas. Para fins de transferências de Dados Pessoais, a Empresa será o “exportador de dados” e a Sojern será o “importador de dados” (mesmo que a Empresa seja uma entidade localizada fora da UE/EEA, desde que a Empresa esteja sujeita ao Regulamento (EU) 2016-679). Quando as Cláusulas se aplicam, a Empresa e a Sojern serão consideradas terem celebrado as Cláusulas em seus respectivos nomes e por conta própria, e os nomes, endereços, detalhes de contato, funções e atividades relacionadas aos Dados Pessoais transferidos sob essas Cláusulas serão fornecidos no Acordo. A execução do Acordo será considerada a execução das Cláusulas, especificamente a execução do Anexo I.A das Cláusulas. Na medida em que haja algum conflito entre os termos deste DPA e as Cláusulas, as Cláusulas aplicáveis prevalecerão e terão precedência.
Cada parte deve implementar e manter medidas técnicas, físicas e organizacionais apropriadas para proteger os Dados Pessoais contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental.
A empresa concede uma autorização geral à Sojern para usar outros processadores de dados para o processamento de Dados Pessoais (“Sub-processadores”), que estão vinculados por obrigações de confidencialidade e proteção de dados consistentes com este Acordo de Processamento de Dados e leis aplicáveis de privacidade e proteção de dados, listados em www.sojern.com/legal/partner-list/. Quando necessário pelo Acordo ou quando a Sojern estiver atuando como processador de dados, a Sojern informará a Empresa sobre quaisquer alterações referentes à adição ou substituição de Sub-processadores atualizando a lista acima mencionada, dando à Empresa a oportunidade de objetar tais alterações, e instruções para objeções são fornecidas no mesmo URL. Se a Empresa objetar razoavelmente a uma alteração e a Sojern não conseguir resolver tal objeção, a Empresa poderá rescindir o Acordo e o DPA.
Este DPA permanecerá em pleno vigor e efeito até a data mais tardia em que (a) o(s) Acordo(s) permanecer em vigor, e (b) a Sojern mantém cópias dos Dados Pessoais. Qualquer das partes pode rescindir este DPA imediatamente em caso de violação material deste DPA ou se uma autoridade reguladora e/ou um tribunal com jurisdição determinar que o tratamento de Dados Pessoais pelas partes viola materialmente as leis aplicáveis de privacidade e proteção de dados, desde que a parte não infratora forneça aviso da alegada violação, e essa violação não tenha sido corrigida em um período de quinze (15) dias após tal aviso.
Este DPA será considerado como tendo sido feito e será interpretado de acordo com as leis do Estado da Califórnia, EUA, sem considerar as disposições de conflitos de leis.
Viajantes e outros clientes da Empresa.
Os Dados Pessoais transferidos pela Empresa são fornecidos de acordo com o Contrato e podem incluir, mas não se limitam a:
Nenhum
Em uma base contínua, durante a vigência do Contrato aplicável.
Coleta de informações de navegação online por meio de cookies e outras tecnologias de rastreamento.
Para qualquer fim lícito relacionado com os Serviços fornecidos nos termos do Acordo entre o exportador de dados e o importador de dados, em particular a publicidade direcionada com base em informações de navegação online. Não é permitido nenhum processamento adicional.
Durante a vigência do Acordo aplicável, a menos que, a critério do exportador de dados, os Dados Pessoais sejam excluídos ou.
Os sub-processadores estão listados em www.sojern.com/legal/partner-list/ conforme permitido pelo Modelo 1 Cláusula 9(a).
A autoridade de supervisão de um dos Estados-Membros onde os titulares de dados cujos Dados Pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.
1. Geral. A Sojern estabelecerá, implementará e manterá medidas administrativas, técnicas e organizacionais apropriadas destinadas a proteger contra o processamento não autorizado ou ilegal de Dados Pessoais e contra a perda acidental ou destruição, ou dano a, Dados Pessoais. Essas medidas serão adequadas para cumprir as leis aplicáveis de proteção de dados e a Sojern cumprirá o tempo todo com suas políticas de segurança da informação e programa de segurança da informação.
2. Políticas e Normas de Segurança da Informação. A Sojern manterá políticas, normas e procedimentos de segurança da informação. Essas políticas, normas e procedimentos devem ser mantidos atualizados e revisados sempre que relevantes mudanças forem feitas nos sistemas de informação que usam ou armazenam Dados Pessoais.
3. Gerenciamento de Vulnerabilidades. A Sojern manterá um programa de gerenciamento de vulnerabilidades para todos os sistemas que processam Dados Pessoais, que inclui, sem limitação, a realização de varreduras de vulnerabilidades internas e externas com descoberta de classificação de riscos e planos formais de remediação para abordar quaisquer vulnerabilidades identificadas. processar Dados Pessoais, que inclui, sem limitação, a realização de varreduras de vulnerabilidades internas e externas com descoberta de classificação de riscos e planos formais de remediação para abordar quaisquer vulnerabilidades identificadas.
4. Avaliação de Risco. A Sojern realizará avaliações periódicas de risco para identificar e avaliar riscos razoavelmente previsíveis para a segurança, confidencialidade e integridade de registros contendo Dados Pessoais e avaliar e melhorar, quando necessário, a eficácia de suas salvaguardas para limitar esses riscos.
5. Classificação de Dados. A Sojern manterá políticas e procedimentos para classificar ativos de informações sensíveis, esclarecer responsabilidades de segurança e promover conscientização para todos os funcionários.
6. Criptografia. A Sojern implementará mecanismos de criptografia padrão da indústria e conjuntos de cifras robustos (é recomendado o AES de 256 bits) para armazenamento e transmissão. A Sojern aceitará conexões por canais criptografados (é recomendado o TLS).
7. Segurança de Rede. A Sojern protegerá sua rede empregando uma abordagem de defesa em profundidade que utiliza equipamentos comercialmente disponíveis e técnicas padrão da indústria, incluindo sem limitação firewalls, sistemas de detecção de intrusão, listas de controle de acesso e protocolos de roteamento.
8. Controlos de Vírus e Malware. A Sojern protegerá os Dados Pessoais contra códigos maliciosos e instalará e manterá software de proteção contra vírus e malware em qualquer sistema que lide com Dados Pessoais.
9. Controle de Acesso. A Sojern irá praticar o princípio do menor privilégio, onde o acesso aos Dados Pessoais é concedido apenas àqueles dentro da organização que têm uma necessidade de negócio para tal acesso e as permissões serão limitadas ao mínimo necessário para realizar a função de trabalho específica.
10. Local de Processamento. Os Dados Pessoais serão processados pela Sojern nos Estados Unidos, sujeito às leis de proteção de dados aplicáveis que possam exigir o contrário.
11. Resposta a Incidentes. A Sojern manterá um programa de resposta a incidentes de segurança de dados e documentará todos os incidentes de segurança de dados suspeitos. A Sojern investigará quaisquer incidentes de segurança de dados e tomará todas as medidas necessárias para eliminar ou conter o incidente de segurança de dados.
12. Pessoal. A Sojern manterá um programa de conscientização e treinamento em segurança da informação e treinará pessoal crítico da Sojern sobre medidas de proteção de dados e proteções gerais de cibersegurança.
13. Fornecedor. A Sojern manterá um programa de gestão de fornecedores que avaliará todos os fornecedores com os quais a Sojern troca Dados Pessoais. Tais fornecedores serão mantidos a padrões de segurança de dados não menos restritivos do que os estabelecidos aqui.
