Este Acordo de Processamento de Dados ("Acordo") faz parte do Contrato de Serviços ("Acordo Principal") entre a TeleRetro (a "Empresa") e o cliente da TeleRetro identificado no documento de pedido da TeleRetro aplicável para serviços da TeleRetro (o "Processador de Dados") (juntos denominados como as "Partes").
CONSIDERANDO QUE
(A) A Empresa atua como um Controlador de Dados.
(B) A Empresa deseja subcontratar certos Serviços, que implicam o processamento de dados pessoais, ao Processador de Dados.
(C) As Partes procuram implementar um acordo de processamento de dados que esteja em conformidade com os requisitos do atual arcabouço legal em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/EC (Regulamento Geral sobre a Proteção de Dados).
(D) As Partes desejam estabelecer seus direitos e obrigações.
FICA ACORDADO O SEGUINTE:
1. Definições e Interpretação
1.1 Salvo definição em contrário aqui presente, termos e expressões em maiúsculas usados neste Acordo terão o seguinte significado:
1.1.1 “Acordo” significa este Acordo de Processamento de Dados e todos os Anexos;
1.1.2 “Dados Pessoais da Empresa” significa quaisquer Dados Pessoais Processados por um Processador Contratado em nome da Empresa conforme ou em conexão com o Acordo Principal;
1.1.3 “Processador Contratado” significa um Subprocessador;
1.1.4 “Leis de Proteção de Dados” significa as Leis de Proteção de Dados da UE e, na medida aplicável, as leis de proteção de dados ou privacidade de qualquer outro país;
1.1.5 “EEE” significa o Espaço Econômico Europeu;
1.1.6 “Leis de Proteção de Dados da UE” significa a Diretiva da UE 95/46/EC, conforme transposta para a legislação doméstica de cada Estado-Membro e conforme alterada, substituída ou superada de tempos em tempos, incluindo pelo GDPR e leis que implementam ou complementam o GDPR;
1.1.7 “GDPR” significa o Regulamento Geral sobre a Proteção de Dados 2016/679 da UE;
1.1.8 “Transferência de Dados” significa:
1.1.8.1 uma transferência de Dados Pessoais da Empresa da Empresa para um Processador Contratado; ou
1.1.8.2 uma transferência subsequente de Dados Pessoais da Empresa de um Processador Contratado para um Subprocessador Contratado, ou entre duas instalações de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis de Proteção de Dados (ou pelos termos de acordos de transferência de dados estabelecidos para abordar as restrições de transferência de dados das Leis de Proteção de Dados);
1.1.9 “Serviços” significa os serviços online de retrospectiva ágil que a Empresa fornece.
1.1.10 “Subprocessador” significa qualquer pessoa nomeada por ou em nome do Processador para processar Dados Pessoais em nome da Empresa em conexão com o Acordo.
1.2 Os termos, “Comissão”, “Controlador”, “Sujeito de Dados”, “Estado-Membro”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Processamento” e “Autoridade Supervisora” terão o mesmo significado que no GDPR, e seus termos correlatos serão interpretados de acordo.
2. Processamento de Dados Pessoais da Empresa
2.1 O Processador deve:
2.1.1 cumprir todas as Leis de Proteção de Dados aplicáveis no Processamento de Dados Pessoais da Empresa; e
2.1.2 não Processar Dados Pessoais da Empresa senão com base nas instruções documentadas relevantes da Empresa.
2.2 A Empresa instrui o Processador a processar Dados Pessoais da Empresa.
3. Pessoal do Processador
O Processador deve tomar medidas razoáveis para garantir a confiabilidade de qualquer empregado, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, garantindo em cada caso que o acesso seja estritamente limitado àqueles indivíduos que precisam conhecer/acessar os relevantes Dados Pessoais da Empresa, estritamente necessário para os propósitos do Acordo Principal, e para cumprir com as Leis Aplicáveis no contexto das obrigações desse indivíduo para com o Processador Contratado, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.
4. Segurança
4.1 Levando em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do Processamento, bem como o risco de variabilidade de probabilidade e severidade para os direitos e liberdades das pessoas naturais, o Processador deve, em relação aos Dados Pessoais da Empresa, implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas referidas no Artigo 32(1) do GDPR.
4.2 Na avaliação do nível apropriado de segurança, o Processador deve levar em conta em particular os riscos apresentados pelo Processamento, em particular de uma Violação de Dados Pessoais.
5. Subprocessamento
5.1 O Processador não deve nomear (ou divulgar quaisquer Dados Pessoais da Empresa a) qualquer Subprocessador a menos que exigido ou autorizado pela Empresa.
6. Direitos do Sujeito dos Dados
6.1 Levando em conta a natureza do Processamento, o Processador deve assistir a Empresa implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações da Empresa, conforme razoavelmente entendido pela Empresa, para responder a solicitações de exercício de direitos do Sujeito dos Dados sob as Leis de Proteção de Dados.
6.2 O Processador deve:
6.2.1 notificar imediatamente a Empresa se receber uma solicitação de um Sujeito dos Dados sob qualquer Lei de Proteção de Dados em relação aos Dados Pessoais da Empresa; e
6.2.2 garantir que não responda a essa solicitação, exceto pelas instruções documentadas da Empresa ou conforme exigido pelas Leis Aplicáveis às quais o Processador está sujeito, caso em que o Processador deve, na medida do permitido pelas Leis Aplicáveis, informar a Empresa sobre esse requisito legal antes que o Processador Contratado responda à solicitação.
7. Violação de Dados Pessoais
7.1 O Processador deve notificar a Empresa sem demora indevida assim que tomar conhecimento de uma Violação de Dados Pessoais afetando os Dados Pessoais da Empresa, fornecendo à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de relatar ou informar Sujeitos dos Dados sobre a Violação de Dados Pessoais sob as Leis de Proteção de Dados.
7.2 O Processador deve cooperar com a Empresa e tomar medidas comerciais razoáveis conforme direcionado pela Empresa para ajudar na investigação, mitigação e remediação de cada Violação de Dados Pessoais desse tipo.
8. Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia
8.1 O Processador deve fornecer assistência razoável à Empresa com quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias com Autoridades de Supervisão ou outras autoridades competentes de privacidade de dados, que a Empresa razoavelmente considerar ser necessárias pelo artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso exclusivamente em relação ao Processamento de Dados Pessoais da Empresa por, e levando em conta a natureza do Processamento e informações disponíveis aos, Processadores Contratados.
9. Exclusão ou retorno dos Dados Pessoais da Empresa
9.1 Sujeito a esta seção 9, o Processador deve prontamente e em qualquer caso dentro de 10 dias úteis da data de cessação de quaisquer Serviços envolvendo o Processamento de Dados Pessoais da Empresa (a "Data de Cessação"), excluir e providenciar a exclusão de todas as cópias desses Dados Pessoais da Empresa.
10. Direitos de Auditoria
10.1 Sujeito a esta seção 10, o Processador deve disponibilizar à Empresa, mediante solicitação, todas as informações necessárias para demonstrar conformidade com este Acordo, e deve permitir e contribuir para auditorias, incluindo inspeções, pela Empresa ou um auditor mandatado pela Empresa em relação ao Processamento dos Dados Pessoais da Empresa pelos Processadores Contratados.
10.2 Direitos de informação e auditoria da Empresa surgem sob a seção 10.1 apenas na medida em que o Acordo de outra forma não lhes confere direitos de informação e auditoria que atendam aos requisitos relevantes da Lei de Proteção de Dados.
11. Transferência de Dados
11.1 O Processador não pode transferir ou autorizar a transferência de Dados para países fora da UE e/ou do Espaço Econômico Europeu (EEE) sem o consentimento prévio por escrito da Empresa. Se os dados pessoais processados sob este Acordo forem transferidos de um país dentro do Espaço Econômico Europeu para um país fora do Espaço Econômico Europeu, as Partes devem garantir que os dados pessoais estejam adequadamente protegidos. Para alcançar isso, as Partes devem, a menos que acordado de outra forma, contar com cláusulas contratuais padrão aprovadas pela UE para a transferência de dados pessoais.
12. Termos Gerais
12.1 Confidencialidade. Cada Parte deve manter este Acordo e as informações que recebe sobre a outra Parte e seu negócio em conexão com este Acordo ("Informações Confidenciais") em confidencialidade e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que: (a) a divulgação seja exigida por lei; (b) as informações relevantes já estejam no domínio público.
12.2 Avisos. Todos os avisos e comunicações dados sob este Acordo devem ser por escrito e serão entregues pessoalmente, enviados por correio ou enviados por email para o endereço ou endereço de email indicado no cabeçalho deste Acordo ou em tal outro endereço conforme notificado de tempos em tempos pelas Partes alterando o endereço.
13. Lei Aplicável e Jurisdição
13.1 Este Acordo de Processamento de Dados é regido por e interpretado de acordo com as leis e jurisdição listadas abaixo:
| País ou região | Escolha da lei | Jurisdição |
|---|---|---|
| Outros países e regiões onde a TeleRetro está disponível | Leis da Inglaterra e do País de Gales | Exclusiva |
| Estados Unidos | Estado da Califórnia, Estados Unidos | Exclusiva; Cortes Estaduais e Federais da Califórnia do Norte, Califórnia |
13.2 Qualquer disputa que surgir em conexão com este Acordo de Processamento de Dados, que as Partes não serão capazes de resolver amigavelmente, será submetida à jurisdição exclusiva dos tribunais especificados na tabela acima, dependendo do país ou região do Cliente.
Experimente uma retro melhor
Crie uma retro em segundos e veja por si mesmo.