Este Aditivo de Processamento de Dados entra em vigor a partir de 23 de dezembro de 2025
Este Aditivo de Processamento de Dados e seus Anexos (o “Aditivo” ou “DPA”) reflete o acordo das partes em relação ao Processamento de Dados Pessoais da Gather Presence, Inc. (“Gather”, também “nós”) em nome do Cliente (também “você”) em conexão com o site Termos de Serviço, Política de Privacidade da Gather, Política de Privacidade Grapevine, Termos de Serviço Grapevine, ou outro acordo escrito ou eletrônico entre a Gather e você que rege o uso dos Serviços Gather (coletivamente, o “Acordo”).
Precisa de uma cópia assinada? Envie um e-mail para support@gather.town
1. Definições
“Afiliada” significa qualquer entidade que direta ou indiretamente controla, é controlada por, ou está sob controle comum com a entidade em questão. “Controle”, para fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% dos direitos de voto da entidade em questão.
“Serviços Gather” significa os serviços escolhidos pelo Cliente, conforme especificado no Acordo.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Code §1798.100 et seq, e seus regulamentos de implementação.
“Controlador” significa a entidade que determina os propósitos e meios do Processamento de Dados Pessoais, incluindo, conforme aplicável, qualquer “negócio” conforme definido pela CCPA.
“Cliente” significa a entidade que executou o Acordo junto com suas Afiliadas que assinaram Formulários de Pedido.
“Dados do Cliente” significa qualquer coisa definida no Acordo como “Dados do Cliente”, desde que tais dados sejam dados eletrônicos ou informações submetidas pelo Cliente ou para o Cliente aos Serviços Gather.
“Leis de Proteção de Dados” significa as leis, regras e regulamentos de proteção ou privacidade de dados da União Europeia, do Espaço Econômico Europeu e seus estados membros, Suíça, o Reino Unido e os Estados Unidos e seus estados, aplicáveis ao Processamento de Dados Pessoais sob este Aditivo.
“Pessoa em Relação a Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se referem.
“GDPR” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas em relação ao processamento de dados pessoais e sobre a livre circulação de tais dados, revogando a Diretiva 95/46/EC (Regulamento Geral de Proteção de Dados).
“Dados Pessoais” significa qualquer informação relativa a uma pessoa física identificada ou identificável que o Cliente fornece à Gather como parte dos Serviços Gather, onde tais dados são Dados do Cliente.
“Processar” ou “Processamento” significa qualquer operação ou conjunto de operações que é realizado pela Gather como parte dos Serviços Gather em Dados Pessoais ou em conjuntos de Dados Pessoais, sejam ou não por meios automatizados.
“Processador” significa a entidade que Processa Dados Pessoais em nome do Controlador, incluindo, conforme aplicável, qualquer “fornecedor de serviços” conforme definido pela CCPA.
“Incidente de Segurança” significa uma violação confirmada de segurança que levou à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada de, ou acesso a, Dados Pessoais transmitidos, armazenados ou de outra forma Processados por um indivíduo não autorizado.
“Cláusulas Contratuais Padrão” significa o acordo executado entre Cliente e Gather e anexo a este Aditivo como Anexo 1 de acordo com a Decisão da Comissão Europeia de 4 de junho de 2021 sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros sob a Decisão de Implementação da Comissão 914/2021/UE.
“Subprocessador” significa um terceiro, incluindo uma entidade sob controle comum com ou controlada pela Gather, nomeado para Processar Dados Pessoais em conexão com o Acordo.
“Autoridade de Supervisão” terá o significado dado no GDPR.
Os termos em maiúsculas usados, mas não definidos neste Aditivo, terão os significados fornecidos no Acordo.
2. Processamento de Dados Pessoais
2.1. As partes reconhecem e concordam que, em relação ao Processamento de Dados Pessoais, o Cliente é o Controlador e a Gather é o Processador.
2.2. O objeto do Processamento sob este Aditivo são os Dados Pessoais. A duração do Processamento sob este Aditivo é pelo prazo do Acordo, sujeito ao direito de retenção da Gather de Dados Pessoais conforme descrito neste Aditivo. O propósito do Processamento de Dados Pessoais sob este Aditivo é permitir que a Gather forneça os Serviços Gather ao Cliente de acordo com o Acordo. A natureza do Processamento é a prestação dos Serviços Gather, conforme mais detalhadamente descrito no Acordo. O tipo de Dados Pessoais são os dados coletados e processados pelo Cliente, a seu critério exclusivo, através do uso dos Serviços Gather pelo Cliente. Os sujeitos dos dados são os usuários finais do Cliente que acessam e usam o(s) aplicativo(s) móvel(is), site(s), plataforma, IoT ou outro(s) aplicativo(s) do Cliente.
2.3. A Gather somente Processará os Dados Pessoais de acordo com as disposições deste Aditivo, instruções do Cliente e Leis de Proteção de Dados aplicáveis à prestação dos Serviços Gather pela Gather. O Cliente deverá garantir que quaisquer instruções fornecidas pelo Cliente à Gather em relação ao Processamento de Dados Pessoais estejam em conformidade com todas as Leis de Proteção de Dados aplicáveis, incluindo (se aplicável) a CCPA. O Cliente ainda concorda que quaisquer instruções que fornece à Gather em relação ao Processamento de Dados Pessoais não causarão à Gather estar em violação de quaisquer Leis de Proteção de Dados aplicáveis, incluindo (se aplicável) a CCPA.
2.4. O Cliente deverá, em seu uso dos Serviços Gather, Processar Dados Pessoais de acordo com os requisitos das Leis de Proteção de Dados e, se aplicável, a CCPA, incluindo, mas não se limitando a, fornecer quaisquer avisos exigidos e obter quaisquer consentimentos necessários dos Sujeitos dos Dados relacionados ao uso da Gather como Processador. As decisões e ações do Cliente em relação ao Processamento e uso de Dados Pessoais devem estar em conformidade com as Leis de Proteção de Dados, a CCPA e os termos do Acordo e deste Aditivo. O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu Dados Pessoais.
3. Transferências Internacionais de Dados Pessoais
Os Dados Pessoais que a Gather Processa em nome do Cliente serão transferidos, armazenados e Processados nos Estados Unidos. O Cliente, por meio deste, consente com a transferência dos Dados Pessoais para os Estados Unidos e consente com o armazenamento e Processamento dos Dados Pessoais nos Estados Unidos pela Gather, a fim de que a Gather forneça os Serviços Gather. Se o Cliente estiver transferindo Dados Pessoais da União Europeia, Espaço Econômico Europeu e/ou seus estados membros (“EEA”), Suíça e Reino Unido, então a transferência ocorrerá através das Cláusulas Contratuais Padrão anexadas como Anexo 1 a este Aditivo. As Cláusulas Contratuais Padrão não se aplicarão a Dados Pessoais que não são transferidos fora da União Europeia, EEA e/ou seus estados membros, Suíça e Reino Unido.
4. Solicitações de Terceiros e Confidencialidade
4.1. A Gather não divulgará Dados Pessoais a qualquer indivíduo ou a terceiros, exceto: (i) a pedido do Cliente; (ii) conforme previsto neste Aditivo; (iii) conforme necessário para fornecer os Serviços Gather; ou (iv) conforme exigido pela legislação aplicável ou uma ordem válida e vinculante de uma agência de aplicação da lei. Exceto conforme exigido pela lei, a Gather notificará prontamente o Cliente sobre qualquer intimação, ordem judicial, administrativa ou arbitral de uma agência executiva ou administrativa ou outra autoridade governamental (“Demanda”) recebida, e que se relaciona com os Dados Pessoais. A pedido do Cliente, a Gather fornecerá ao Cliente informações razoáveis em sua posse que possam ser relevantes para a Demanda e qualquer assistência razoável necessária para o Cliente responder à Demanda em tempo hábil. O Cliente reconhece que a Gather não tem a responsabilidade de interagir diretamente com a entidade que faz a Demanda.
4.2. A Gather garantirá que todos os funcionários ou aqueles que têm autoridade para acessar ou Processar os Dados Pessoais estejam vinculados a obrigações de confidencialidade em relação aos Dados Pessoais. A Gather garantirá que seus funcionários ou aqueles que têm autoridade para Processar Dados Pessoais não os processarão, exceto sob as instruções do Cliente. A Gather garantirá que todos os funcionários tenham recebido treinamento nas leis relacionadas ao manuseio de Dados Pessoais; e estejam cientes tanto dos deveres da Gather quanto de seus deveres e obrigações pessoais sob essas leis e este Aditivo.
5. Solicitação de Dados dos Sujeitos
A Gather notificará prontamente o Cliente se a Gather receber uma solicitação de um Sujeito dos Dados para exercer o direito de acesso, direito de corrigir ou retificar, direito de se opor ao Processamento, direito de apagamento (‘direito ao esquecimento’), portabilidade de dados, restrição de processamento, ou direito de não ser submetido a uma tomada de decisão individual automatizada, cada solicitação sendo uma “Solicitação de Dados do Sujeito”. A Gather fornecerá toda a assistência razoável e oportuna ao Cliente, incluindo medidas técnicas e organizacionais apropriadas, na medida do possível, para permitir que o Cliente responda a qualquer solicitação desse tipo de um Sujeito dos Dados. No caso de qualquer solicitação de um Sujeito dos Dados ser feita diretamente à Gather, a Gather deverá prontamente informar o Cliente e fornecer todos os detalhes da solicitação ao Cliente.
6. Segurança
A Gather implementou e manterá medidas técnicas e organizacionais apropriadas, controles internos e rotinas de segurança da informação para garantir um nível de segurança apropriado ao risco de perda acidental, destruição, alteração, divulgação não autorizada ou acesso, ou destruição ilegal de Dados Pessoais.
7. Notificação de Incidente de Segurança
No caso de um Incidente de Segurança que afete os Dados Pessoais do Cliente, a Gather notificará o Cliente em até 72 horas a partir do momento em que a Gather tomar conhecimento do Incidente de Segurança. Além disso, a Gather investigará o Incidente de Segurança e fornecerá ao Cliente informações sobre o Incidente de Segurança suficientes para que o Cliente cumpra com quaisquer requisitos de notificação de violação de dados sob as Leis de Proteção de Dados. A Gather também tomará medidas razoáveis para mitigar os efeitos e minimizar qualquer dano resultante do Incidente de Segurança. A obrigação da Gather de relatar ou responder a um Incidente de Segurança conforme previsto neste documento não deve e não será interpretada como um reconhecimento pela Gather de qualquer falha ou responsabilidade em relação ao Incidente de Segurança.
8. Auditoria e Registros
8.1. As partes concordam que qualquer auditoria realizada sob este Aditivo, incluindo sob as Cláusulas 5(f) ou 12(2) das Cláusulas Contratuais Padrão da UE, será conduzida de acordo com as especificações identificadas nesta Seção 8.1. O Cliente não poderá conduzir uma auditoria mais de uma vez por ano civil, a menos que o Cliente seja exigido ou solicitado a conduzir uma auditoria por uma Autoridade de Supervisão ou qualquer autoridade reguladora similar responsável pela aplicação das Leis de Proteção de Dados em qualquer país ou território. O Cliente pode contatar a Gather de acordo com a cláusula de “Aviso” do Acordo para solicitar uma auditoria no local dos procedimentos da Gather relacionados à proteção de Dados Pessoais. Antes que o Cliente possa conduzir uma auditoria in loco dos procedimentos da Gather, a Gather e o Cliente devem mutuamente concordar com o momento, escopo e duração da auditoria. O Cliente deverá reembolsar a Gather por quaisquer custos e despesas incorridos pela Gather como resultado da auditoria. Além disso, a auditoria será conduzida de tal forma a evitar causar (ou, se não puder ser evitada, minimizar) qualquer dano, lesão ou interrupção nas instalações virtuais, equipamentos, pessoal e operações comerciais da Gather enquanto o pessoal do Cliente estiver nessas instalações virtuais durante tal auditoria ou inspeção. Qualquer auditoria realizada sob esta Seção 8.1 será limitada às instalações virtuais da Gather (a Gather não possui um local físico de negócios). Se as Cláusulas Contratuais Padrão da UE se aplicarem, então nada neste documento será interpretado como afetando os direitos de qualquer Autoridade de Supervisão ou dos sujeitos dos dados sob as Cláusulas Contratuais Padrão da UE.
8.2. A Gather manterá um registro de qualquer Processamento de Dados Pessoais que realizar em nome do Cliente, o qual estará disponível para a Autoridade de Supervisão relevante mediante solicitação, e incluirá:
o nome e detalhes de contato da Gather e do Cliente em nome de quem está atuando, e, quando aplicável, o representante do Cliente e o oficial de proteção de dados;
as categorias de Processamento realizadas em nome do Cliente;
transferências de Dados Pessoais para um terceiro país ou organização internacional e a base na qual tais transferências estão em conformidade; e
uma descrição das medidas de segurança dos dados tomadas pela Gather.
9. Subprocessadores
Você concorda que podemos contratar Subprocessadores para Processar Dados Pessoais em seu nome. Atualmente, nomeamos como Subprocessadores os terceiros listados no Anexo 3 deste DPA. Notificaremos você se adicionarmos ou substituirmos quaisquer Subprocessadores listados no Anexo 3 com pelo menos 30 dias de antecedência a tais mudanças, se você optar por receber tal e-mail antes de qualquer mudança completando o formulário disponível aqui.
Ao contratarmos Subprocessadores, imporemos termos de proteção de dados aos Subprocessadores que proporcionem ao menos o mesmo nível de proteção para Dados Pessoais que aqueles neste DPA (incluindo, quando apropriado, as Cláusulas Contratuais Padrão), na medida aplicável à natureza dos serviços prestados por tais Subprocessadores. Permaneceremos responsáveis por cada Subprocessador pelo cumprimento das obrigações deste DPA e por quaisquer atos ou omissões desse Subprocessador que nos causem violação de quaisquer obrigações sob este DPA
O Cliente pode se opor ao uso de um novo Subprocessador pela Gather notificando a Gather prontamente por escrito dentro de trinta (30) dias após o recebimento da notificação da Gather sobre o novo Subprocessador. Se o Cliente se opuser ao novo Subprocessador, a Gather usará esforços razoáveis para disponibilizar uma mudança nos Serviços ou no uso dos Serviços pelo Cliente para evitar o Processamento de Dados Pessoais pelo Subprocessador ao qual o Cliente tenha se oposto. Se a Gather não conseguir disponibilizar tal mudança dentro de trinta (30) dias do recebimento da notificação do Cliente, então o Cliente poderá rescindir aqueles Serviços que não possam ser fornecidos sem o uso do Subprocessador ao qual o Cliente tenha se oposto. Se o Cliente rescindir os Serviços, a Gather reembolsará ao Cliente quaisquer taxas pré-pagas cobrindo o restante do prazo especificado no documento de pedido aplicável após a data efetiva da rescisão. Não obstante qualquer disposição aqui fornecida, o Cliente reconhece e concorda que a Gather pode usar os Subprocessadores identificados no Anexo 3 para fornecer os Serviços Gather. A Gather permanece responsável por seus Subprocessadores e responsável por seus atos e omissões como pelos próprios atos e omissões e quaisquer referências às obrigações, atos e omissões da Gather neste Aditivo serão interpretadas como referindo-se também aos Subprocessadores da Gather. As partes concordam que quaisquer direitos de auditoria fornecidos sob os termos deste Aditivo não se estendem às instalações dos Subprocessadores da Gather.
10. Avaliação de Impacto de Proteção de Dados e Consulta Prévia
Mediante solicitação do Cliente, a Gather deverá fornecer assistência razoável ao Cliente com quaisquer avaliações de impacto de proteção de dados e consultas prévias com autoridades de supervisão, que o Cliente considerar razoavelmente necessárias para o Cliente de acordo com o Artigo 35 ou 36 do GDPR, em cada caso apenas em relação ao Processamento de Dados Pessoais por e levando-se em conta a natureza do Processamento e as informações disponíveis para a Gather.
11. Rescisão
11.1 Este Aditivo continuará em pleno vigor até a expiração ou rescisão do Acordo.
11.2 Após a expiração ou rescisão do Acordo, o Cliente poderá extrair Dados Pessoais dos Serviços Gather. Até trinta (30) dias após a exclusão de um espaço virtual pelo Cliente, a Gather excluirá os Dados Pessoais de acordo com os termos do Acordo, exceto conforme exigido por lei ou, se permitido pela lei aplicável, para resolver disputas ou impor os acordos legais e políticas da Gather. A Gather poderá reter Dados Pessoais necessários para fornecer os Serviços ou informações que estejam disponíveis a outros Clientes, tais como através de publicações ou conversas públicas, incluindo conforme descrito na Seção 5.5(d) dos Termos de Serviço.
12. Disposições Específicas do CCPA
12.1 A Gather está agindo como um “Provedor de Serviços” em nome do Cliente, um “Negócio”, de acordo com a CCPA. A Gather não reterá, usará ou divulgará Dados do Cliente que lhe foram divulgados pelo Cliente para qualquer fim que não seja o objetivo específico de fornecer os Serviços Gather de acordo com os termos do Acordo ou conforme previsto de outra forma na CCPA.
12.2 A Gather não venderá quaisquer Dados do Cliente para terceiros por consideração monetária ou de outro tipo de valor.
12.3 A Gather não reterá, usará ou divulgará quaisquer Dados do Cliente fora do relacionamento comercial direto entre a Gather e o Cliente, exceto conforme possa ser fornecido na CCPA.
13. Disposições Diversas
As partes não antecipam a transferência de dados sensíveis como parte do Acordo. A responsabilidade de cada parte por danos advindos ou relacionados a este Aditivo, seja contratual, extracontratual ou sob qualquer teoria de responsabilidade, está sujeita à seção ‘Limitação de Responsabilidade’ do Acordo. Se houver conflito entre qualquer disposição deste Aditivo e qualquer disposição no Acordo, este Aditivo prevalecerá. Exceto pelas alterações feitas por este Aditivo, o Acordo permanece inalterado e em pleno vigor e efeito. Este Aditivo não restringirá quaisquer Leis de Proteção de Dados aplicáveis. Se qualquer disposição neste Aditivo for ineficaz ou nula, isso não afetará as disposições restantes. As partes substituirão a disposição ineficaz ou nula por uma disposição legal que reflita o propósito comercial da disposição ineficaz ou nula. Caso uma disposição necessária esteja faltando, as partes adicionarão uma apropriada de boa-fé. Em caso de conflito, a ordem de precedência em relação ao Processamento de Dados Pessoais será este Aditivo e, em seguida, o Acordo. Se as Cláusulas Contratuais Padrão da UE forem parte integrante deste Aditivo, então as Cláusulas Contratuais Padrão da UE prevalecerão. Este Aditivo substitui e substitui todos os acordos, comunicações e outros entendimentos anteriores escritos e orais relacionados ao assunto deste Aditivo. Este Aditivo pode ser executado em uma ou mais contrapartes, cada uma das quais será considerada um original e todas as quais tomadas em conjunto serão consideradas constituir um único e mesmo documento.
Cláusulas Contratuais Padrão
SEÇÃO I
Cláusula 1
Propósito e escopo
(a) O propósito destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas físicas em relação ao processamento de dados pessoais e sobre a livre circulação de tais dados (Regulamento Geral de Proteção de Dados) (1) para a transferência de dados pessoais para um terceiro país.
(b) As Partes:
a(s) pessoa(s) singular(es) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante ‘entidade(s)’) transferindo os dados pessoais, conforme listado no Anexo I.A (doravante cada ‘exportador de dados’), e
a(s) entidade(s) em um terceiro país recebendo os dados pessoais do exportador de dados, direta ou indiretamente via outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A (doravante cada ‘importador de dados’) concordaram com estas cláusulas contratuais padrão (doravante: ‘Cláusulas’).
(c) Estas Cláusulas aplicam-se em relação à transferência de dados pessoais conforme especificado no Anexo I.B.
(d) O Apêndice destas Cláusulas contendo os Anexos nelas mencionados forma uma parte integrante destas Cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
(a) Estas Cláusulas estabelecem salvaguardas adequadas, incluindo direitos de sujeito dos dados aplicáveis e recursos legais eficazes, nos termos do Artigo 46(1) e Artigo 46(2)(c) do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do Artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede as Partes de incluir as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou adicionar outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos sujeitos dos dados.
(b) Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito por força do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
(a) Os sujeitos dos dados podem invocar e fazer cumprir estas Cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou o importador de dados, com as exceções a seguir:
Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
Cláusula 8 –Cláusula 8.1(b), 8.9(a), (c), (d) e (e);
Cláusula 9 –Cláusula 9(a), (c), (d) e (e);
Cláusula 12 –Cláusula 12(a), (d) e (f);
Cláusula 13;
Cláusula 15.1(c), (d) e (e);
Cláusula 16(e);
Cláusula 18 – Cláusula 18(a) e 18(b);
(b) O parágrafo (a) não prejudica os direitos dos sujeitos dos dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
(a) Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que nesse Regulamento.
(b) Estas Cláusulas deverão ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
(c) Estas Cláusulas não deverão ser interpretadas de forma a conflitar com os direitos e obrigações fornecidos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
No caso de uma contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que essas Cláusulas são acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da transferência(s)
Os detalhes da(s) transferência(s), e em particular as categorias de dados pessoais que são transferidas e o(s) propósito(s) para os quais são transferidas, são especificados no Anexo I.B.
Cláusula 7
Cláusula de adesão
(a) Uma entidade que não é Parte destas Cláusulas pode, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador de dados ou como importador de dados, completando o Apêndice e assinando o Anexo I.A.
(b) Uma vez que tenha completado o Apêndice e assinado o Anexo I.A, a entidade aderente se tornará Parte destas Cláusulas e terá os direitos e obrigações de um exportador de dados ou importador de dados, de acordo com sua designação no Anexo I.A.
(c) A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas durante o período anterior à sua adesão.
SEÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que fez esforços razoáveis para determinar que o importador de dados é capaz, através da implementação de medidas técnicas e organizacionais adequadas, de satisfazer suas obrigações sob estas Cláusulas.
8.1. Instruções
(a) O importador de dados deverá processar os dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados poderá dar tais instruções durante toda a duração do contrato.
(b) O importador de dados deverá informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2. Limitação de propósito
O importador de dados deverá processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo I.B, a menos que por instruções adicionais do exportador de dados.
8.3. Transparência
Mediante solicitação, o exportador de dados deverá disponibilizar ao sujeito dos dados uma cópia destas Cláusulas, incluindo o Apêndice conforme completado pelas Partes, gratuitamente. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice destas Cláusulas antes de compartilhar uma cópia, mas fornecerá um resumo significativo onde o sujeito dos dados de outra forma não seria capaz de compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes deverão fornecer ao sujeito dos dados as razões para as redações, na medida do possível, sem revelar as informações redactadas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos Artigos 13 e 14 do Regulamento (UE) 2016/679.
8.4. Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, deverá informar o exportador de dados sem demora injustificada. Nesses casos, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.
8.5. Duração do processamento e apagamento ou retorno dos dados
O processamento pelo importador de dados deve ocorrer apenas pelo período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, à escolha do exportador de dados, apagar todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e apagar as cópias existentes. Até que os dados sejam apagados ou retornados, o importador de dados deve continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam o retorno ou apagamento dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e processará apenas na medida e pelo tempo necessário sob essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência para o importador de dados, sob a Cláusula 14(e), de notificar o exportador de dados ao longo da duração do contrato se tiver razões para acreditar que está ou se tornou sujeito a leis ou práticas não alinhadas com os requisitos da Cláusula 14(a).
8.6. Segurança do processamento
(a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação ou acesso não autorizado ou ilegal a esses dados (doravante ‘violação de dados pessoais’). Na avaliação do nível adequado de segurança, as Partes devem levar em conta o estado da arte, os custos de implementação, a natureza, escopo, contexto e propósito(s) do processamento e os riscos envolvidos no processamento para os sujeitos dos dados. As Partes devem especialmente considerar a criptografia ou pseudonimização, incluindo durante a transmissão, onde o propósito do processamento pode ser cumprido dessa maneira. No caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um sujeito específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. Cumprindo com suas obrigações sob este parágrafo, o importador de dados deverá, pelo menos, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança.
(b) O importador de dados deverá conceder acesso aos dados pessoais apenas aos membros de seu pessoal na medida estritamente necessária para a implementação, gestão e monitoramento do contrato. Deve garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido a manter a confidencialidade ou estejam sob uma obrigação legal adequada de confidencialidade.
(c) No caso de uma violação de dados pessoais envolvendo dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar medidas adequadas para lidar com a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deverá notificar o exportador de dados sem demora injustificável após ter tomado conhecimento da violação. Tal notificação deve conter os detalhes de um ponto de contato onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, se possível, categorias e número aproximado de sujeitos e registros de dados pessoais envolvidos), suas possíveis consequências e as medidas tomadas ou propostas para lidar com a violação, incluindo, se apropriado, medidas para mitigar seus efeitos adversos possíveis. Quando e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial incluirá as informações então disponíveis e as informações adicionais, conforme se tornem disponíveis, serão fornecidas posteriormente sem demora injustificável.
(d) O importador de dados deverá cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra suas obrigações sob o Regulamento (UE) 2016/679, em particular para notificar a autoridade de supervisão competente e os sujeitos dos dados afetados, levando em consideração a natureza do processamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis
Quando a transferência envolver dados pessoais revelando origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou associação sindical, dados genéticos ou biométricos para identificar exclusivamente uma pessoa natural, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relacionados a condenações e delitos criminais (doravante ‘dados sensíveis’), o importador de dados deverá aplicar as restrições específicas e/ou salvaguardas adicionais descritas no Anexo I.B.
8.8 Transferências subsequentes
O importador de dados deverá divulgar os dados pessoais a um terceiro apenas mediante instruções documentadas do exportador de dados. Além disso, os dados podem ser divulgados a um terceiro localizado fora da União Europeia (4) (no mesmo país que o importador de dados ou em outro terceiro país, doravante ‘transferência subsequente’) somente se o terceiro estiver ou concordar em se vincular a estas Cláusulas sob o Módulo apropriado, ou se:
a transferência subsequente for para um país beneficiando-se de uma decisão de adequação nos termos do Artigo 45 do Regulamento (UE) 2016/679 que cubra a transferência subsequente;
o terceiro garantir salvaguardas adequadas nos termos dos Artigos 46 ou 47 do Regulamento (UE) 2016/679 em relação ao processamento em questão;
a transferência subsequente for necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou
a transferência subsequente for necessária para proteger os interesses vitais do sujeito dos dados ou de outra pessoa natural.
Qualquer transferência subsequente está sujeita à conformidade pelo importador de dados com todas as outras salvaguardas destas Cláusulas, em particular a limitação de propósito.
8.9 Documentação e conformidade
(a) O importador de dados deverá lidar prontamente e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
(b) As Partes deverão ser capazes de demonstrar conformidade com estas Cláusulas. Em particular, o importador de dados deverá manter documentação apropriada sobre as atividades de processamento realizadas em nome do exportador de dados.
(c) O importador de dados deverá disponibilizar ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indicações de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em consideração certificações relevantes mantidas pelo importador de dados.
(d) O exportador de dados pode escolher realizar a auditoria por si próprio ou designar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, onde apropriado, ser realizadas com aviso prévio razoável.
(e) As Partes deverão disponibilizar as informações mencionadas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade de supervisão competente mediante solicitação.
Cláusula 9
Uso de Subprocessadores
(a) O importador de dados tem autorização geral do exportador de dados para o engajamento de Subprocessador(es) a partir de uma lista acordada. O importador de dados deverá informar especificamente o exportador de dados por escrito sobre quaisquer alterações pretendidas a essa lista através da adição ou substituição de Subprocessadores, pelo menos trinta (30) dias de antecedência, permitindo assim ao exportador de dados tempo suficiente para ser capaz de se opor a tais alterações antes do engajamento do(s) Subprocessador(es). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção.
(b) Onde o importador de dados contratar um Subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deverá fazê-lo por meio de um contrato escrito que forneça, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados sob estas Cláusulas, incluindo em termos de direitos de terceiro beneficiário para sujeitos dos dados. (8) As Partes concordam que, ao cumprir com esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8. O importador de dados deverá garantir que o Subprocessador cumpra com as obrigações às quais o importador de dados está sujeito nos termos destas Cláusulas.
(c) O importador de dados deverá fornecer, a pedido do exportador de dados, uma cópia de tal acordo de Subprocessador e de quaisquer alterações subsequentes ao exportador de dados. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados poderá reduzir o texto do acordo antes de compartilhar uma cópia.
(d) O importador de dados deverá permanecer totalmente responsável para o exportador de dados pelo desempenho das obrigações do Subprocessador sob seu contrato com o importador de dados. O importador de dados deverá notificar o exportador de dados sobre qualquer falha do Subprocessador em cumprir suas obrigações sob esse contrato.
(e) O importador de dados deverá acordar uma cláusula de terceiro beneficiário com o Subprocessador, pela qual – no caso de o importador de dados ter desaparecido de fato, deixado de existir legalmente ou se tornado insolvente – o exportador de dados terá o direito de rescindir o contrato com o Subprocessador e instruir o Subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10
Direitos dos sujeitos dos dados
(a) O importador de dados deverá notificar prontamente o exportador de dados sobre qualquer solicitação que tenha recebido de um sujeito dos dados. Não deverá responder a essa solicitação por si mesmo, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
(b) O importador de dados deverá ajudar o exportador de dados a cumprir suas obrigações de responder às solicitações dos sujeitos dos dados para o exercício de seus direitos sob o Regulamento (UE) 2016/679. Nesse sentido, as Partes deverão estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, levando em consideração a natureza do processamento, pelas quais a assistência será prestada, bem como o escopo e a extensão da assistência exigida.
(c) Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.
Cláusula 11
Reparação
(a) O importador de dados deverá informar os sujeitos dos dados de forma transparente e de fácil acesso, através de notificação individual ou em seu site, sobre um ponto de contato autorizado a lidar com reclamações. Deverá lidar prontamente com quaisquer reclamações que receber de um sujeito dos dados.
(b) No caso de uma disputa entre um sujeito dos dados e uma das Partes em relação à conformidade com estas Cláusulas, essa Parte deverá usar seus melhores esforços para resolver a questão de forma amigável em tempo hábil. As Partes deverão manter-se informadas sobre tais disputas e, quando apropriado, cooperar na sua resolução.
(c) Onde o sujeito dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deverá aceitar a decisão do sujeito dos dados de:
registrar uma reclamação junto à autoridade de supervisão no Estado-Membro de sua residência habitual ou local de trabalho, ou à autoridade de supervisão competente nos termos da Cláusula 13;
referir a disputa aos tribunais competentes dentro do significado da Cláusula 18.
(d) As Partes aceitam que o sujeito dos dados pode ser representado por uma entidade sem fins lucrativos, organização ou associação, sob as condições estabelecidas no Artigo 80(1) do Regulamento (UE) 2016/679.
(e) O importador de dados deverá cumprir uma decisão que seja vinculativa nos termos da legislação da UE ou do Estado-Membro aplicável.
(f) O importador de dados concorda que a escolha feita pelo sujeito dos dados não prejudicará seus direitos substantivos e processuais de buscar recursos de acordo com as leis aplicáveis.
Cláusula 12
Responsabilidade
(a) Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
(b) O importador de dados será responsável perante o sujeito dos dados, e o sujeito dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais que o importador de dados ou seus Subprocessadores causarem ao sujeito dos dados ao violar os direitos de terceiro beneficiário nos termos destas Cláusulas.
(c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o sujeito dos dados, e o sujeito dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou seus Subprocessadores) causarem ao sujeito dos dados ao violar os direitos de terceiro beneficiário nos termos destas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador sob o Regulamento (UE) 2016/679 ou Regulamento (UE) 2018/1725, conforme aplicável.
(d) As Partes concordam que, se o exportador de dados for considerado responsável nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seus Subprocessadores), terá direito de reclamar do importador de dados a parte da compensação correspondente à responsabilidade do importador de dados pelo dano.
(e) Onde mais de uma Parte for responsável por quaisquer danos causados ao sujeito dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o sujeito dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
(f) As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), terá direito de reclamar da(s) outra(s) Parte(s) a parte da compensação correspondente à responsabilidade dela(s) pelo dano.
(g) O importador de dados não pode invocar a conduta de um Subprocessador para evitar sua própria responsabilidade.
Cláusula 13
Supervisão
(a) Onde o exportador de dados estiver estabelecido em um Estado-Membro da UE: A autoridade de supervisão responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.
Onde o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do âmbito de aplicação territorial do Regulamento (UE) 2016/679 de acordo com o Artigo 3(2) e tiver nomeado um representante nos termos do Artigo 27(1) do Regulamento (UE) 2016/679: A autoridade de supervisão do Estado-Membro em que o representante do exportador de dados estiver estabelecido, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.
Onde o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver dentro do âmbito de aplicação territorial do Regulamento (UE) 2016/679 de acordo com o Artigo 3(2), sem, no entanto, ter que nomear um representante nos termos do Artigo 27(2) do Regulamento (UE) 2016/679: A autoridade de supervisão de um dos Estados-Membros em que os sujeitos dos dados cujos dados pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.
(b) O importador de dados concorda em se submeter à jurisdição e cooperar com a autoridade de supervisão competente em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir medidas adotadas pela autoridade de supervisão, incluindo medidas reparatórias e compensatórias. Deve fornecer à autoridade de supervisão uma confirmação por escrito de que as ações necessárias foram tomadas.
SEÇÃO III – LEIS LOCAIS E OBRIGAÇÕES EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Leis locais e práticas que afetam a conformidade com as Cláusulas
(a) As Partes garantem que não têm motivos para acreditar que as leis e práticas no país terceiro de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizam o acesso por autoridades públicas, impedem o importador de dados de cumprir suas obrigações sob estas Cláusulas. Isso se baseia na compreensão de que leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.
(b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), levaram em conta, em particular, os seguintes elementos:
as circunstâncias específicas da transferência, incluindo o comprimento da cadeia de processamento, o número de atores envolvidos e os canais de transmissão usados; transferências subsequentes pretendidas; o tipo de destinatário; o propósito do processamento; as categorias e formato dos dados pessoais transferidos; o setor econômico em que ocorre a transferência; o local de armazenamento dos dados transferidos;
as leis e práticas do país terceiro de destino – incluindo aquelas que exigem a divulgação de dados para autoridades públicas ou autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência e das limitações e salvaguardas aplicáveis (12);
quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes estabelecidas para complementar as salvaguardas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.
(c) O importador de dados garante que, ao realizar a avaliação sob o parágrafo (b), fez seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados na garantia de conformidade com estas Cláusulas.
(d) As Partes concordam em documentar a avaliação sob o parágrafo (b) e disponibilizá-la à autoridade de supervisão competente mediante solicitação.
(e) O importador de dados concorda em notificar prontamente o exportador de dados se, após ter aceito estas Cláusulas e durante a vigência do contrato, tiver razão para acreditar que está ou se tornou sujeito a leis ou práticas não alinhadas com os requisitos sob o parágrafo (a), incluindo após uma mudança nas leis do terceiro país ou uma medida (como um pedido de divulgação) indicando uma aplicação de tais leis na prática que não está alinhada com os requisitos no parágrafo (a).
(f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados de outra forma tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deverá prontamente identificar medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir segurança e confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados deverá suspender a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para tal transferência, ou se instruído pela autoridade de supervisão competente a fazê-lo. Neste caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Onde o contrato for rescindido nos termos desta Cláusula, a Cláusula 16(d) e (e) se aplicarão.
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1. Notificação
(a) O importador de dados concorda em notificar o exportador de dados e, se possível, o sujeito dos dados prontamente (se necessário, com a ajuda do exportador de dados) se:
receber uma solicitação vinculativa legalmente de uma autoridade pública, incluindo autoridades judiciais, sob as leis do país de destino, para a divulgação de dados pessoais transferidos, nos termos destas Cláusulas; tal notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para o pedido e a resposta fornecida; ou
tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos nos termos destas Cláusulas, de acordo com as leis do país de destino; tal notificação deve incluir todas as informações disponíveis para o importador.
(b) Se o importador de dados for proibido de notificar o exportador de dados e/ou o sujeito dos dados ao abrigo das leis do país de destino, o importador de dados concorda em fazer seus melhores esforços para obter uma renúncia da proibição, com o objetivo de comunicar o máximo de informações possível, assim que possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los mediante solicitação do exportador de dados.
(c) Onde permitido sob as leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, tantas informações relevantes quanto possíveis sobre os pedidos recebidos (em particular, número de pedidos, tipo de dados solicitados, autoridade(s) solicitante(s), se os pedidos foram contestados e o resultado de tais contestações, etc.).
(d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade de supervisão competente mediante solicitação.
(e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados nos termos da Cláusula 14(e) e Cláusula 16 de informar prontamente o exportador de dados quando não for capaz de cumprir estas Cláusulas.
15.2. Revisão de legalidade e minimização de dados
(a) O importador de dados concorda em revisar a legalidade do pedido de divulgação, em particular, se permanecer dentro dos poderes conferidos à autoridade pública solicitante, e a contestar o pedido, se, após avaliação cuidadosa, concluir que há motivos razoáveis para considerar que o pedido é ilegal de acordo com as leis do país de destino, obrigações aplicáveis ao abrigo do direito internacional e princípios de comity internacional. O importador de dados deve, nas mesmas condições, buscar os recursos de apelação. Ao contestar um pedido, o importador de dados deverá procurar medidas provisórias com o objetivo de suspender os efeitos do pedido até que a autoridade judicial competente tenha decidido sobre seus méritos. Não deverá divulgar os dados pessoais solicitados até que seja requerido a fazê-lo de acordo com as regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).
(b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação ao pedido de divulgação e, na medida do possível, disponibilizar a documentação ao exportador de dados. Também deverá disponibilizá-la à autoridade de supervisão competente mediante solicitação.
(c) O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a um pedido de divulgação, com base em uma interpretação razoável do pedido.
SEÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não conformidade com as Cláusulas e rescisão
(a) O importador de dados deverá informar prontamente o exportador de dados se não for capaz de cumprir estas Cláusulas, por qualquer motivo.
(b) No caso de o importador de dados estar em violação destas Cláusulas ou ser incapaz de cumprir estas Cláusulas, o exportador de dados deverá suspender a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente garantida ou o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).
(c) O exportador de dados terá direito de rescindir o contrato, visto que diz respeito ao processamento de dados pessoais sob estas Cláusulas, onde:
o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados, nos termos do parágrafo (b), e a conformidade com estas Cláusulas não é restabelecida dentro de um tempo razoável e, em qualquer caso, dentro de um mês da suspensão;
o importador de dados está em violação substancial ou persistente destas Cláusulas; ou
o importador de dados não cumpre uma decisão vinculativa de um tribunal competente ou autoridade de supervisão em relação às suas obrigações sob estas Cláusulas.
Nesses casos, deverá informar a autoridade de supervisão competente sobre tal não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer este direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
(d) Os dados pessoais que tenham sido transferidos antes da rescisão do contrato, nos termos do parágrafo (c), deverão, à escolha do exportador de dados, ser imediatamente retornados ao exportador de dados ou apagados em sua totalidade. O mesmo se aplicará a quaisquer cópias dos dados.] O importador de dados deverá certificar o apagamento dos dados ao exportador de dados. Até que os dados sejam apagados ou retornados, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam o retorno ou apagamento dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e processará os dados apenas na medida e pelo tempo necessário sob essa lei local.
(e) Qualquer das Partes pode revogar seu acordo em estar vinculada por estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do Artigo 45(3) do Regulamento (UE) 2016/679 que cubra a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 tornar-se parte do arcabouço jurídico do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicadas ao processamento em questão, sob o Regulamento (UE) 2016/679.
Cláusula 17
Lei aplicável
Estas Cláusulas serão governadas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiro beneficiário. As Partes concordam que estas Cláusulas serão regidas de acordo com a seção 'Entidade Contratante; Lei Aplicável; Aviso' dos Termos Jurisdicionais Específicos ou, se tal seção não especificar um Estado-Membro da UE, pela lei da República da Irlanda (sem referência a princípios de conflitos de leis)
Cláusula 18
Escolha do fórum e jurisdição
(a) Qualquer disputa decorrente destas Cláusulas deverá ser resolvida pelos tribunais de um Estado-Membro da UE.
(b) As Partes concordam que esses devem ser os tribunais da Irlanda.
(c) Um sujeito dos dados também pode mover processos legais contra o exportador de dados e/ou o importador de dados perante os tribunais do Estado-Membro em que ele/ela tem sua residência habitual.
(d) As Partes concordam em submeter-se à jurisdição de tais tribunais.
ADITAMENTO DO REINO UNIDO E SUIÇA ÀS CLÁUSULAS CONTRATUAIS PADRÃO
(a) Este Aditamento altera as Cláusulas Contratuais Padrão na medida necessária para que operem para transferências feitas pelo exportador de dados ao importador de dados, na medida em que o GDPR do Reino Unido ou DPA suíço (conforme definido no Gather Data Processing Addendum) se aplicam ao processamento do exportador de dados ao fazer essa transferência.
(b) As Cláusulas Contratuais Padrão serão alteradas com as seguintes modificações:
(i) referências ao "Regulamento (UE) 2016/679" devem ser interpretadas como referências ao GDPR do Reino Unido ou DPA suíço (conforme aplicável);
(ii) referências a artigos específicos do "Regulamento (UE) 2016/679" devem ser substituídas pelo artigo ou seção equivalente do GDPR do Reino Unido ou DPA suíço (conforme aplicável);
(iii) referências ao Regulamento (UE) 2018/1725 devem ser removidas;
(iv) referências a "UE", "União" e "Estado-Membro" devem ser substituídas por referências ao "Reino Unido" ou "Suíça" (conforme aplicável);
(v) A Cláusula 13(a) e a Parte C do Anexo II não são usadas, e a "autoridade de supervisão competente" será o Comissário de Informações do Reino Unido ou o Comissário Federal de Proteção de Dados e Informações da Suíça (conforme aplicável);
(vi) referências à "autoridade de supervisão competente" e "tribunais competentes" devem ser substituídas por referências ao "Comissário de Informações" e aos "tribunais da Inglaterra e País de Gales" ou ao "Comissário Federal de Proteção de Dados da Suíça" e "tribunais aplicáveis da Suíça" (conforme aplicável);
(vii) na Cláusula 17, as Cláusulas Contratuais Padrão serão regidas pelas leis da Inglaterra e País de Gales ou Suíça (conforme aplicável); e
(viii) na medida em que o GDPR do Reino Unido se aplica ao processamento, a Cláusula 18 será substituída para declarar: “Qualquer disputa decorrente destas Cláusulas deverá ser resolvida pelos tribunais da Inglaterra e País de Gales. Um sujeito dos dados também pode mover processos legais contra o exportador de dados e/ou o importador de dados perante os tribunais de qualquer país no Reino Unido. As Partes concordam em submeter-se à jurisdição de tais tribunais”; e
(ix) na medida em que o DPA suíço se aplica ao processamento, a Cláusula 18 será substituída para declarar: “Qualquer disputa decorrente destas Cláusulas deverá ser resolvida pelos tribunais competentes da Suíça. As Partes concordam em submeter-se à jurisdição de tais tribunais”.
APÊNDICE
ANEXO I
A. LISTA DE PARTES
EXPORTADOR DE DADOS
Nome: O Cliente, conforme definido no Acordo (em nome dele mesmo e Afiliadas Permitidas)
Endereço: O endereço do Cliente, conforme estabelecido no Acordo (se aplicável)
Nome, posição e detalhes de contato da pessoa de contato: Os detalhes de contato do Cliente, conforme estabelecido no Acordo e/ou conforme estabelecido na Conta de Gather do Cliente
Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: Processamento de Dados Pessoais em relação ao uso dos Serviços de Assinatura Gather pelo Cliente sob os Termos de Serviço do Cliente Gather
Papel (controlador/processador): Controlador de Dados
IMPORTADOR DE DADOS
Nome: Gather Presence, Inc.
Endereço: 2261 Market Street #4095 * San Francisco, CA 94114
Nome, posição e detalhes de contato da pessoa de contato: security@gather.town
Atividades relevantes para os dados transferidos ao abrigo destas Cláusulas: Os serviços conforme definidos nos Termos de Serviços da Gather Presence, Inc ( https://www.gather.town/terms-of-service)
Papel (controlador/processador): Processador de Dados
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de sujeitos de dados cujos dados pessoais são transferidos
A menos que previsto de outra forma pelo Exportador de Dados, os Dados Pessoais transferidos pelo GDPR referem-se às seguintes categorias de sujeitos de dados: Cliente e usuários finais do Cliente, incluindo funcionários e contratados do Cliente.
Categorias de dados pessoais transferidos
Você pode enviar Dados Pessoais para os Serviços, cuja extensão é determinada e controlada por você a seu critério exclusivo, e que pode incluir, mas não está limitado às seguintes categorias de Dados Pessoais:
a. Informações de Contato
b. Quaisquer outros Dados Pessoais enviados por você, enviados a você ou recebidos por você, ou seus usuários finais, via Serviços.
Para detalhes adicionais, você pode visitar nossa Política de Privacidade: https://www.gather.town/privacy-policy#Personal-Data
Dados Sensíveis transferidos e restrições aplicadas ou salvaguardas
As partes não preveem a transferência de dados sensíveis.
A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua).
Base contínua.
Natureza e propósito das transferências e processamento
Os dados são transferidos e processados para facilitar a prestação do Site e Serviços e suporte relacionado aos Serviços.
O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período
Reteremos seus Dados Pessoais apenas pelo tempo necessário para os propósitos comerciais legítimos conforme estabelecido na Política de Privacidade da Gather Presence, Inc (https://www.gather.town/privacy-policy), e não mais do que trinta dias (30) após você encerrar sua conta de usuário, a menos que uma política diferente seja acordada de outra forma em um acordo executado, ou se formos legalmente obrigados a reter os dados por períodos mais longos.
C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Para os fins das Cláusulas Contratuais Padrão, a autoridade de supervisão que atuará como autoridade de supervisão competente é (i) onde o Cliente está estabelecido em um Estado-Membro da UE, a autoridade de supervisão responsável por garantir a conformidade do Cliente com o GDPR; (ii) onde o Cliente não está estabelecido em um Estado-Membro da UE, mas se enquadra no âmbito territorial do GDPR e nomeou um representante, a autoridade de supervisão do Estado-Membro da UE em que o representante do Cliente está estabelecido; ou (iii) onde o Cliente não está estabelecido em um Estado-Membro da UE, mas se enquadra no âmbito territorial do GDPR sem necessidade de nomear um representante, a autoridade de supervisão do Estado-Membro da UE em que os Sujeitos dos Dados estão predominantemente localizados. Em relação aos Dados Pessoais sujeitos ao GDPR do Reino Unido ou DPA suíço, a autoridade de supervisão competente é o Comissário de Informações do Reino Unido ou o Comissário Federal de Proteção de Dados e Informações da Suíça (conforme aplicável).
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Atualmente, observamos as Medidas de Segurança descritas neste Anexo II. Todos os termos em maiúsculas não definidos de outra forma a seguir terão os significados estabelecidos no DPA acima ou, alternativamente, no Acordo.
A Gather criptografa Dados Pessoais, o que protege Dados Pessoais durante a transmissão e durante o armazenamento
Os dados recebidos pelo aplicativo Gather são criptografados em trânsito usando HTTPS, TLS e DTLS/SRTP, e os dados são criptografados em repouso com AES256. A Gather não armazena registros de vídeo, áudio ou bate-papo em seus servidores.
A Gather garante a confidencialidade contínua, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento, garantindo também a qualidade dos dados
A gestão aprovou e implementou uma Política de Manuseio e Classificação de Dados para reduzir os riscos envolvidos no manuseio dos dados dos clientes. A política é aplicável a toda a organização e contratados relevantes.
A Gather garante a capacidade de restaurar a disponibilidade e acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico
A Gather possui um Plano de Recuperação de Desastre no caso de um evento que afete os centros de dados ou outras instalações de computação da Gather.