Acordo de Processamento de Dados

Este Contrato de Processamento de Dados ("DPA") complementa os Termos de Uso, que são atualizados de tempos em tempos entre o Cliente (juntamente com as subsidiárias e afiliadas, coletivamente, "Cliente") e a Claspo.io (juntamente com sua(s) subsidiária(s), conjuntamente referida(s) como "Claspo.io") quando a GDPR se aplica ao uso da Claspo.io Serviços pelo Cliente para processar os dados do Cliente.

Esta DPA é válida a partir da data em que o Cliente concorda com os Termos de Uso. Em qualquer conflito entre esta DPA e os Termos de Uso, os termos relevantes desta DPA têm precedência.

Por favor, entre em contato com nosso encarregado da proteção de dados (DPO)  info@claspo.io se você precisar de conselhos ou recomendações sobre a interpretação ou aplicação das regras de proteção de dados.

ESTE ACORDO É CELEBRADO ENTRE:

1. Cliente

E

2. ARDAS INTERNATIONAL INC., COUNTY OF SUSSEX, USA, devidamente representada por Andrii Ryzhokhin com o devido poder e autoridade para os fins aqui descritos, tendo seu escritório principal 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA.

FICA ACORDADO O SEGUINTE:

1. Escopo e ordem de precedência

Este contrato (o "Contrato de Processamento de Dados") aplica-se ao Seu Processamento de Dados Pessoais fornecidos à Claspo.io pelo Cliente, conforme especificado no contrato celebrado entre a Claspo.io e o Cliente na data em que o Cliente concorda com os Termos de Uso (o "Contrato").

Este Acordo de Processamento de Dados está sujeito aos termos do Acordo e está incorporado ao Acordo. Salvo disposição em contrário neste Contrato de Processamento de Dados, no caso de qualquer conflito entre os termos do Contrato e os termos deste Contrato de Processamento de Dados, os termos relevantes deste Contrato de Processamento de Dados terão precedência.

2. Definições

Os termos capitalizados não definidos de outra forma neste Contrato de Processamento de Dados terão os respectivos significados atribuídos a eles no Contrato.

"Cliente" ou "Controlador" significa Cliente.

A "Diretiva" significa a Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995, conforme emendada, sobre a proteção das pessoas com relação ao processamento de dados pessoais e sobre a livre circulação de tais dados.

"Cláusulas Modelo" significam as cláusulas contratuais padrão anexas à Decisão 2021/914/EU da Comissão Européia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais a terceiros países nos termos do Regulamento (EU) 2016/679 do Parlamento Europeu e do Conselho (transferências do controlador para o processador), conforme possa ser emendado, substituído ou substituído de tempos em tempos.

"Dados pessoais" significa qualquer informação relativa a uma pessoa física identificada ou identificável que (i)Cliente ou qualquer pessoa agindo em nome do Cliente forneça à Claspo.io ou (ii)Processo Claspo.io como parte dos serviços prestados nos termos do Contrato. Uma pessoa física identificada ou identificável (um "Sujeito dos Dados") é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.

"Processo" ou "Processamento" significa qualquer operação ou conjunto de operações realizadas pela Claspo.io como parte do Acordo sobre Dados Pessoais, seja ou não por meios automáticos, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

"Processador" ou "Claspo.io" significa a entidade mencionada acima.

"Subprocessador" significa um terceiro subcontratado contratado pela Claspo.io que, como parte do papel do subcontratado de fornecer os serviços sob o Contrato, processará os dados pessoais pertencentes ao Cliente.

O "Regulamento" significa o Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE.

Outros termos têm as definições previstas para eles no Acordo ou como especificado abaixo.

3. Categorias de dados pessoais e finalidade do processamento de dados pessoais

Os tipos de dados pessoais da empresa a serem processados:

A. Cliente e usuários: identificação e dados de contato (nome, endereço, título, detalhes de contato, nome de usuário); informações financeiras (detalhes de conta, informações de pagamento); detalhes de emprego (empregador, título de emprego, localização geográfica, área de responsabilidade);

B. Assinantes: identificação e dados de contato (nome, data de nascimento, sexo, geral, ocupação ou outras informações demográficas, endereço, título, detalhes de contato, incluindo endereço de e-mail), interesses ou preferências pessoais (incluindo histórico de compras, preferências de marketing); informações de TI (endereços IP, dados de uso, dados de cookies, dados de navegação on-line, dados de localização, dados de navegador).

O processamento de categorias especiais de dados pessoais é proibido.

Os dados são transferidos de forma contínua.

O processamento dos dados consiste no seguinte: coleta, classificação, economia, transferência, restrição e exclusão dos dados do controlador para fornecer comunicações de marketing relevantes.

O objetivo do processamento é auxiliar o controlador a fornecer comunicações de marketing relevantes.

Os dados pessoais serão processados e retidos enquanto a execução do Contrato for necessária e serão removidos a pedido do controlador e de acordo com as instruções do controlador.

4. Instruções do Controlador

Durante a vigência do Contrato, o Cliente poderá fornecer instruções à Claspo.io, além daquelas especificadas no Contrato com relação ao processamento de Dados Pessoais. A Claspo.io cumprirá todas essas instruções sem custo adicional na medida necessária para que a Claspo.io cumpra as leis aplicáveis à Claspo.io como um processador de dados na execução do Contrato.

Claspo.io informará imediatamente o Cliente se, na opinião da Claspo.io, uma instrução infringir a Diretiva, o Regulamento, ou outras disposições aplicáveis de proteção de dados e/ou privacidade.

O controle dos Dados Pessoais permanece com o Cliente, e como entre Cliente e Claspo.io, o Cliente permanecerá sempre o controlador de dados para os fins do Contrato e deste Contrato de Processamento de Dados. O Cliente é responsável pelo cumprimento de suas obrigações como controlador de dados de acordo com as leis de proteção de dados, em particular por suas decisões e ações relativas ao Processamento e uso dos dados.

5. Direitos do envolvido

Claspo.io se compromete a ajudar o Cliente a responder às solicitações dos titulares dos dados exercendo seus direitos de acesso, retificação, eliminação, restrição, portabilidade dos dados, ou de objeção.

Em particular, mediante instruções do Cliente, a Claspo.io excluirá, liberará, corrigirá ou restringirá o acesso a quaisquer Dados Pessoais específicos e se comprometerá a transmitir prontamente ao Cliente quaisquer pedidos de acesso, retificação, apagamento, restrição ou objeção de Dados Pessoais processados nos termos do Contrato.

6. Obrigações do Processador

Além de outras disposições deste Contrato de Processamento de Dados, a Claspo.io se compromete a:

  1. nomear um responsável pela proteção de dados, quando exigido pela lei aplicável, e fornecer ao cliente seus dados de contato;
  2. garantir que todas as pessoas que tenham acesso aos Dados Pessoais pertencentes ao Cliente nos termos do Contrato e do Contrato de Processamento de Dados se comprometam a manter a confidencialidade e tenham assinado acordos com a Claspo.io contendo proteções não menos rigorosas do que as aqui contidas e serão informadas pela Claspo.io sobre quaisquer requisitos de proteção de dados relacionados ao Processamento de Dados Pessoais, incluindo a limitação do uso para o propósito específico do Contrato e instruções do Cliente; e
  3. ajudar o Cliente a garantir o cumprimento de suas obrigações em termos de segurança de dados pessoais. Em particular, a Claspo.io se compromete a notificar imediatamente o Cliente sobre qualquer violação de dados, conforme descrito na seção 11 abaixo, e a prestar toda a assistência razoável ao Cliente na realização de uma avaliação de impacto de proteção de dados relacionada direta ou indiretamente ao Contrato e/ou ao Contrato de Processamento de Dados.
7. Transferência de dados entre fronteiras e em trânsito

Claspo.io tratará todos os Dados Pessoais em conformidade com as exigências do Contrato e deste Contrato de Processamento de Dados em todos os locais do mundo.

Na medida em que os Dados Pessoais originários da EEA sejam transferidos pelo Cliente à Claspo.io, ou a qualquer um dos Subprocessadores da Claspo.io localizados em países fora da EEA que não tenham recebido uma decisão de adequação vinculativa por parte da Comissão Européia de acordo com os artigos 25(6) e 31(2) da Diretiva ou, alternativamente, de acordo com o artigo 45 do Regulamento ou por uma autoridade nacional competente de proteção de dados, tais transferências devem ser gerenciadas da seguinte forma

  1. As transferências do Cliente para Claspo.io, quando apropriado, serão feitas sujeitas aos termos deste Contrato de Processamento de Dados e às Cláusulas Modelo reproduzidas no Apêndice 3.
  2. Para transferências de Claspo.io para Claspo.io Subprocessadores, quando apropriado, Claspo.io deverá assegurar que tais transferências estejam sujeitas a (i) quaisquer mecanismos de transferência apropriados que forneçam um nível adequado de proteção em conformidade com os requisitos aplicáveis dos artigos 25 e 26 da Diretiva/ Artigo 45 do Regulamento, ou (ii) executar Cláusulas Modelo incorporando requisitos de segurança e outros requisitos de privacidade de dados pelo menos tão restritivos quanto os deste Contrato de Processamento de Dados.

Nenhuma transferência para um país fora da EEA deve ser feita sem o consentimento prévio por escrito do Cliente.

8. Subprocessadores

A Claspo.io não subcontratará nenhuma das operações de Processamento realizadas em nome do Cliente nos termos do Contrato sem o consentimento prévio por escrito do Cliente.

O cliente concorda expressamente com a Claspo.io utilizando os Subprocessadores listados no Anexo 1.

Quando a Claspo.io contratar Subprocessadores com o consentimento do Cliente, a Claspo.io o fará somente por meio de um acordo escrito com o Subprocessador que impõe as mesmas obrigações ao Subprocessador que são impostas à Claspo.io sob este Contrato de Processamento de Dados.

Claspo.io permanece sempre responsável pelo cumprimento dos termos do Contrato e deste Contrato de Processamento de Dados pelos Sub-processadores Claspo.io.

O cliente pode solicitar que a Claspo.io faça a auditoria do Subprocessador ou fornecer confirmação de que tal auditoria ocorreu (ou, quando disponível, obter ou auxiliar o cliente na obtenção de um relatório de auditoria de terceiros referente às operações do Subprocessador) para garantir o cumprimento de suas obrigações. O cliente também terá direito, mediante solicitação por escrito, a receber cópias dos termos relevantes do acordo da Claspo.io com os Subprocessadores que podem processar dados pessoais.

9. Medidas Técnicas e Organizacionais

Ao processar dados pessoais em nome do Cliente em conexão com o Contrato, a Claspo.io garante que a Claspo.io implementou e manterá medidas de segurança técnicas e organizacionais apropriadas para o processamento de tais dados, incluindo as medidas especificadas no Anexo 2.

Estas medidas destinam-se a proteger os Dados Pessoais contra perda acidental ou não autorizada, destruição, alteração, divulgação ou acesso, e contra todas as outras formas ilegais de processamento. Informações adicionais relativas a tais medidas podem ser especificadas no Contrato.

A Claspo.io se compromete a documentar a implementação das medidas técnicas e organizacionais para fornecer esta documentação ao Cliente, mediante solicitação, e a apresentar qualquer atualização desta documentação ao Cliente.

10. Direitos de auditoria

O cliente pode auditar, às suas próprias custas, a conformidade da Claspo.io com os termos do Contrato e deste Contrato de Processamento de Dados. Se um terceiro tiver que conduzir a auditoria, o terceiro deverá ser mutuamente acordado pelo Cliente e pela Claspo.io e deverá executar um acordo de confidencialidade por escrito antes de conduzir a auditoria.

Para solicitar uma auditoria, o Cliente deve apresentar um plano de auditoria com pelo menos duas semanas de antecedência da data proposta para a Claspo.io descrevendo o escopo, duração e data de início da auditoria proposta. A Claspo.io revisará o plano de auditoria e fornecerá ao Cliente quaisquer preocupações ou perguntas que a Claspo.io se compromete a trabalhar cooperativamente com o Cliente para chegar a um acordo sobre um plano de auditoria final.

A auditoria será realizada durante o horário comercial regular nas instalações aplicáveis e não poderá interferir exageradamente nas atividades comerciais da Claspo.io.

O cliente fornecerá à Claspo.io uma cópia de qualquer relatório de auditoria gerado em conexão com qualquer auditoria sob esta seção, a menos que seja proibido por lei. O cliente poderá utilizar os relatórios de auditoria somente para fins de cumprimento de suas exigências regulamentares de auditoria e/ou para confirmar a conformidade com as exigências do Contrato, deste Contrato de Processamento de Dados e da legislação aplicável. Os relatórios de auditoria são Informações Confidenciais das partes sob os termos do Contrato.

A Claspo.io se compromete a fornecer assistência razoável com qualquer auditoria realizada pelo Cliente.

Claspo.io concorda que a autoridade competente em proteção de dados tem o direito de conduzir uma inspeção da Claspo.io, e de qualquer Subprocessador.

A Claspo.io se compromete a disponibilizar ao Cliente e/ou à autoridade competente de proteção de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas no presente Contrato de Processamento de Dados e na legislação aplicável e a cooperar plenamente com o Cliente e/ou qualquer autoridade competente de proteção de dados no curso de qualquer auditoria e/ou inspeção.

11. Notificação de violação de dados

Para fins desta seção, "quebra de segurança" significa uma quebra de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou de outra forma processados em sistemas Claspo.io ou ambiente Claspo.io. A Claspo.io informará imediatamente o Cliente se a Claspo.io determinar que os Dados Pessoais foram sujeitos a uma quebra de segurança (inclusive por um dos funcionários da Claspo.io) ou qualquer outra circunstância na qual o Cliente seja obrigado a fornecer uma notificação de acordo com a legislação aplicável.

Claspo.io investigará prontamente a Violação de Segurança e tomará medidas razoáveis para identificar suas causas profundas e evitar que ela se repita. medida que as informações forem coletadas ou tornarem-se disponíveis, a Claspo.io fornecerá ao Cliente uma descrição da Violação de Segurança, o tipo de dados que foram objeto da violação e outras informações que o Cliente possa razoavelmente solicitar em relação às pessoas afetadas. As partes concordam em coordenar de boa fé o desenvolvimento do conteúdo de quaisquer declarações públicas relacionadas ou quaisquer avisos necessários para as pessoas afetadas e/ou para as autoridades de proteção de dados relevantes.

12. Devolução e exclusão de dados pessoais ao final do contrato ou a pedido do cliente

Salvo disposição em contrário no Contrato, após o término do Contrato, a Claspo.io devolverá ou disponibilizará para recuperação todos os Dados Pessoais do Cliente.

Após a devolução dos dados, ou conforme especificado no Contrato, a Claspo.io eliminará imediatamente todas as cópias dos Dados Pessoais que a Claspo.io possa ter, exceto conforme exigido por lei.

13. Divulgações legalmente requeridas

Exceto quando exigido por lei, a Claspo.io notificará imediatamente o Cliente sobre qualquer intimação, ordem judicial, administrativa ou arbitral de uma agência executiva ou administrativa ou outra autoridade governamental ("Exigência") que receba e que esteja relacionada aos Dados Pessoais que a Claspo.io esteja processando em nome do Cliente.

A pedido do Cliente, a Claspo.io fornecerá ao Cliente informações razoáveis na posse da Claspo.io que possam ser sensíveis à Demanda e qualquer assistência razoavelmente necessária para que o Cliente responda à Demanda em tempo hábil.

Por: ....................................

Para e em nome da ARDAS INTERNATIONAL INC., devidamente habilitada a assinar este Acordo.

Por: ....................................

Para e em nome do Cliente devidamente habilitado para assinar este Contrato.

Anexo 1: Lista de Subprocessadores (se aplicável)

Nome do Subprocessador Endereço Atividade do Subprocessador para Claspo.io Medidas de segurança dos sub-processadores
Serviços Web da Amazon Dublin, Irlanda servidores de leasing e outros recursos para processar os dados https://aws.amazon.com/products/security
Intercomunicador Califórnia, EUA locação de servidores e outros recursos para hospedar serviços on-line https://www.intercom.com/security
Hetzner Online GmbH Gunzenhausen, Alemanha locação de servidores e outros recursos para hospedar serviços on-line https://www.hetzner.com/unternehmen/zertifizierung/
Google Ireland Ltd. Dublin, Irlanda armazenamento de dados, criação de painéis de análise https://www.google.com/about/datacenters/data-security/
Stripe, Inc. Dublin, Irlanda processamento de pagamentos online https://stripe.com/docs/security

Apêndice 2: Medida Técnica e Organizacional implementada por Claspo.io

  1. Controle de acesso físico (medidas para evitar que pessoas não autorizadas tenham acesso ao equipamento de processamento de dados (por exemplo, dispositivos, servidores de banco de dados e aplicativos e hardware relacionado) onde os dados pessoais são processados ou utilizados)
  2. Processamento terceirizado: Hospedamos nossos serviços com fornecedores terceirizados de infraestrutura em nuvem. Além disso, mantemos relações contratuais com fornecedores a fim de fornecer o Serviço de acordo com nossa DPA. Confiamos em acordos contratuais, políticas de privacidade e programas de conformidade dos fornecedores para proteger os dados processados ou armazenados por esses fornecedores.

    Segurança física e ambiental: Hospedamos nossa infra-estrutura de produtos com fornecedores de infra-estrutura multitenant, terceirizados. Os controles de segurança física e ambiental dos fornecedores são auditados quanto à conformidade SOC 2 Tipo II e ISO 27001, entre outras certificações.

  3. Controle de acesso ao sistema (medidas para evitar que sistemas de processamento de dados sejam utilizados por pessoas não autorizadas)
  4. Autorização: Os dados do cliente são armazenados em sistemas de armazenamento multitenant acessíveis aos clientes apenas através de interfaces de usuário de aplicações e interfaces de programação de aplicações. Aos clientes não é permitido o acesso direto à infra-estrutura da aplicação subjacente. O modelo de autorização em cada um de nossos produtos é projetado para garantir que somente os indivíduos apropriadamente designados possam acessar características relevantes, visualizações e opções de personalização. A autorização para conjuntos de dados é realizada através da validação das permissões do usuário em relação aos atributos associados a cada conjunto de dados.

    Autenticação: Implementamos uma política uniforme de senha para os produtos de nossos clientes. Os clientes que interagem com os produtos através da interface do usuário devem se autenticar antes de acessar os dados não públicos do cliente.

  5. Controle de acesso aos dados (medidas para garantir que as pessoas com direito a usar os sistemas de processamento de dados só possam acessar os dados dentro do escopo e na medida coberta por sua respectiva permissão de acesso (autorização) e que os dados pessoais não possam ser lidos, copiados ou modificados ou removidos sem autorização)
  6. Acesso aos produtos: Um subconjunto de nossos funcionários tem acesso aos produtos e aos dados dos clientes através de interfaces controladas. A intenção de fornecer acesso a um subconjunto de funcionários é fornecer suporte eficaz ao cliente, para solucionar problemas potenciais, para detectar e responder a incidentes de segurança e implementar a segurança dos dados. O acesso é permitido através de solicitações de acesso "just in time"; todas essas solicitações são registradas. O acesso é concedido aos funcionários por função, e as revisões das concessões de privilégios de alto risco são iniciadas diariamente. As funções dos funcionários são revisadas pelo menos uma vez a cada seis meses.

    Verificações de antecedentes: Todos os funcionários passam por uma verificação de antecedentes de terceiros antes de receberem uma oferta de emprego, de acordo com e conforme permitido pelas leis aplicáveis. Todos os funcionários são obrigados a se comportar de forma consistente com as diretrizes da empresa, os requisitos de não divulgação e os padrões éticos.

  7. Controle da transmissão ((medidas para impedir que os dados pessoais sejam lidos, copiados, alterados ou excluídos por pessoas não autorizadas durante a transmissão ou durante o transporte da mídia de dados)
  8. Em trânsito: Disponibilizamos criptografia HTTPS (também conhecida como SSL ou TLS) em cada uma de suas interfaces de login. Nossa implementação de HTTPS utiliza algoritmos e certificados padrão da indústria.

    Em repouso: Armazenamos senhas de usuários seguindo políticas que seguem as práticas padrão da indústria para segurança. Temos implementado tecnologias para garantir que os dados armazenados sejam criptografados em repouso.

  9. Controle de entrada (medidas para garantir que seja possível verificar e estabelecer se e por quem os dados pessoais foram introduzidos nos sistemas de processamento de dados ou removidos)
  10. Detecção: Projetamos nossa infra-estrutura para registrar amplas informações sobre o comportamento do sistema, tráfego recebido, autenticação do sistema e outros pedidos de aplicação. Os sistemas internos agregaram dados de registro e alertam os funcionários apropriados sobre atividades maliciosas, não intencionais ou anômalas. Nosso pessoal, incluindo o pessoal de segurança, operações e suporte, responde a incidentes conhecidos.

    Resposta e rastreamento: Mantemos um registro de incidentes de segurança conhecidos que inclui descrição, datas e horários de atividades relevantes, e disposição dos incidentes. Incidentes de segurança suspeitos e confirmados são investigados pela segurança, operações ou pessoal de apoio; e as etapas apropriadas de resolução são identificadas e documentadas. Para quaisquer incidentes confirmados, tomaremos as medidas apropriadas para minimizar os danos ao produto e ao cliente ou a divulgação não autorizada. A notificação ao cliente será feita de acordo com os termos do Contrato.

  11. Controle do trabalho (medidas para garantir que os dados sejam processados estritamente de acordo com as instruções do cliente)
  12. Nosso sistema está localizado em uma nuvem segura, usamos criptografia para qualquer dado sensível, gerenciamento de acesso centralizado com funções estritas e acesso muito limitado a bancos de dados para nosso material. Além disso, registramos quaisquer ações em servidores e plataformas de nuvem.

  13. Controle de disponibilidade (medidas para garantir que os dados sejam protegidos contra destruição ou perda acidental)
  14. Disponibilidade de infra-estrutura: Os fornecedores de infra-estrutura utilizam esforços comercialmente razoáveis para garantir um tempo de atividade mínimo de 99,95%. Os provedores mantêm um mínimo de redundância N+1 para energia, rede e serviços de HVAC.

    Tolerância a falhas: As estratégias de backup e replicação são projetadas para garantir redundância e proteção contra falhas durante uma falha significativa no processamento. Os dados do cliente são armazenados em múltiplos armazéns de dados duráveis e replicados em múltiplas zonas de disponibilidade.

    Réplicas e backups on-line: Quando possível, os bancos de dados de produção são projetados para replicar dados entre não menos que 1 banco de dados primário e 1 banco de dados secundário. Todas as bases de dados são copiadas e mantidas usando pelo menos os métodos padrão da indústria.

    Nossos produtos são projetados para garantir redundância e failover sem falhas. As instâncias do servidor que suportam os produtos também são arquitetadas com o objetivo de evitar pontos únicos de falha. Este projeto auxilia nossas operações na manutenção e atualização das aplicações e backend dos produtos, limitando o tempo de inatividade.

  15. Segregação de dados (medidas para separar o processamento para diferentes fins e/ou operações)
  16. a) Os ambientes utilizados para o desenvolvimento, testes e produção são separados fisicamente

    b) Não é permitido o uso de dados não anonimizados de produção no ambiente de desenvolvimento.

Anexo 3: Cláusulas Modelo (se aplicável)

Unidade C.3: Proteção de dados

Decisão da Comissão C(2010)593

Cláusulas Contratuais Padrão (processadores)

Para os fins do artigo 26(2) da Diretiva 95/46/CE para a transferência de dados pessoais a processadores estabelecidos em países terceiros que não garantam um nível adequado de proteção de dados

Nome da organização exportadora de dados: Cliente

Cliente

Tel.: N/A ; fax:N/A ; e-mail:

Outras informações necessárias para identificar a organização: N/A

(o exportador de dados)

And

Nome da organização importadora de dados: ARDAS INTERNATIONAL INC.

Endereço: 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, EUA

e-mail: info@claspo.io

(o importador de dados)

cada um uma "festa"; juntos "as festas",

ACORDARAM nas seguintes Cláusulas Contratuais (as Cláusulas) a fim de apresentar salvaguardas adequadas com respeito à proteção da privacidade e direitos e liberdades fundamentais das pessoas para a transferência pelo exportador de dados ao importador de dados dos dados pessoais especificados no Anexo 1.

Cláusula 1
Definições

Para os fins das Cláusulas:

(a) "dados pessoais", "categorias especiais de dados", "tratamento/tratamento", "responsável pelo tratamento", "processador", "pessoa em causa" e "autoridade de controle" têm o mesmo significado que na Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 1995 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados1;

(b)"o exportador de dados" significa o controlador que transfere os dados pessoais;

(c) "o importador de dados" significa o processador que concorda em receber do exportador de dados dados dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das cláusulas e que não está sujeito ao sistema de um país terceiro que garanta proteção adequada na acepção do artigo 25(1) da Diretiva 95/46/CE;

(d) 'o subprocessador' significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorda em receber do importador de dados ou de qualquer outro subprocessador do importador de dados dados dados pessoais destinados exclusivamente a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das cláusulas e os termos do subcontrato por escrito;

(e) "a lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais das pessoas e, em particular, seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-membro em que o exportador de dados está estabelecido;

(f) "Medidas de segurança técnica e organizacional" são aquelas medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento.

1As partes podem reproduzir definições e significados contidos na Diretiva 95/46/CE dentro desta cláusula se considerarem melhor que o contrato seja isolado.

Cláusula 2
Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, são especificados no Anexo 1 que faz parte integrante das Cláusulas.

Cláusula 3
Cláusula do terceiro beneficiário

O envolvido pode impor contra o exportador de dados esta cláusula, cláusula 4(b) a (i), cláusula 5(a) a (e), e (g) a (j), cláusula 6(1) e (2), cláusula 7, cláusula 8(2), e cláusulas 9 a 12 como terceiro beneficiário.

O envolvido pode fazer valer contra o importador de dados esta cláusula, cláusula 5(a) a (e) e (g), cláusula 6, cláusula 7, cláusula 8(2), e cláusulas 9 a 12, nos casos em que o exportador de dados tenha desaparecido de fato ou tenha deixado de existir em lei, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação de lei, em conseqüência da qual assume os direitos e obrigações do exportador de dados, caso em que o envolvido pode fazê-los valer contra tal entidade.

A pessoa interessada pode fazer valer contra o subprocessador esta cláusula, cláusula 5(a) a (e) e (g), cláusula 6, cláusula 7, cláusula 8(2), e cláusulas 9 a 12, nos casos em que tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir em lei ou se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por operação de lei, como resultado disso, assume os direitos e obrigações do exportador de dados, caso em que o sujeito dos dados pode fazê-los valer contra tal entidade. Tal responsabilidade de terceiros do subprocessador será limitada a suas próprias operações de processamento de acordo com as Cláusulas.

As partes não se opõem a que um envolvido seja representado por uma associação ou outro órgão se o envolvido assim o desejar expressamente e se permitido pela legislação nacional.

Cláusula 4
Obrigações do exportador de dado

O exportador de dados concorda e garante:

a. tque o processamento, incluindo a própria transferência, dos dados pessoais, foi e continuará a ser realizado de acordo com as disposições pertinentes da lei de proteção de dados aplicável (e, quando aplicável, foi notificado às autoridades competentes do Estado-membro onde o exportador de dados está estabelecido) e não viola as disposições pertinentes daquele Estado;

b. que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos somente em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

c. que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnica e organizacional especificadas no Apêndice 2 deste contrato;

d. que, após avaliação das exigências da lei de proteção de dados aplicável, as medidas de segurança são apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, especialmente quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o estado da técnica e o custo de sua implementação;

e. que garantirá o cumprimento das medidas de segurança;

f. que, se a transferência envolver categorias especiais de dados, o envolvido foi ou será informado antes, ou logo que possível após a transferência, de que seus dados poderiam ser transmitidos a um país terceiro que não oferece proteção adequada na acepção da Diretiva 95/46/CE;

g. para encaminhar qualquer notificação recebida do importador de dados ou qualquer subprocessador de acordo com a cláusula 5(b) e cláusula 8(3) à autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar a suspensão;

h. disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das cláusulas, com exceção do Anexo 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de subprocessamento de serviços que tenha que ser feito de acordo com as cláusulas, a menos que as cláusulas ou o contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais;

i. que, em caso de subprocessamento, a atividade de processamento seja realizada de acordo com a Cláusula 11 por um subprocessador que forneça pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do envolvido que o importador de dados nos termos das Cláusulas; e

j. que garantirá o cumprimento da Cláusula 4(a) a (i).

Cláusula 5
Obrigações do importador de dados 2

O importador de dados concorda e garante:

a. processar os dados pessoais somente em nome do exportador de dados e em conformidade com suas instruções e as cláusulas; se não puder fornecer tal conformidade por qualquer motivo, concorda em informar prontamente o exportador de dados sobre sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

b. que não tem motivos para acreditar que a legislação a ela aplicável o impede de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma mudança nesta legislação que possa ter um efeito adverso substancial sobre as garantias e obrigações previstas nas cláusulas, notificará imediatamente a mudança ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

c. que implementou as medidas de segurança técnica e organizacional especificadas no Anexo 2 antes de processar os dados pessoais transferidos;

d. que notificará prontamente o exportador de dados:

i. qualquer pedido legalmente vinculante de divulgação de dados pessoais por uma autoridade de aplicação da lei, a menos que seja proibido de outra forma, como, por exemplo, uma proibição sob o direito penal para preservar a confidencialidade de uma investigação de aplicação da lei,

ii. qualquer acesso acidental ou não autorizado, e

iii. qualquer pedido recebido diretamente dos sujeitos dos dados sem responder a esse pedido, a menos que tenha sido autorizado de outra forma;

e. tratar prontamente e adequadamente todas as consultas do exportador de dados relativas ao seu processamento dos dados pessoais sujeitos à transferência e seguir o conselho da autoridade supervisora no que diz respeito ao processamento dos dados transferidos;

f. a pedido do exportador de dados para submeter suas instalações de processamento de dados a uma auditoria das atividades de processamento abrangidas pelas Cláusulas, a ser realizada pelo exportador de dados ou por um órgão de inspeção composto por membros independentes e na posse das qualificações profissionais exigidas, vinculado a um dever de confidencialidade, selecionado pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;

g. disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou qualquer contrato existente de sub-processamento, a menos que as Cláusulas ou contrato contenham informações comerciais, caso em que poderá remover tais informações comerciais, com exceção do Apêndice 2 que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não puder obter uma cópia do exportador de dados;

h. que, no caso de subprocessamento, informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

i. que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;

j. enviar prontamente uma cópia de qualquer acordo de subprocessador que conclua sob as cláusulas para o exportador de dados.

2Requisitos obrigatórios da legislação nacional aplicáveis ao importador de dados que não vão além do necessário em uma sociedade democrática com base em um dos interesses listados no artigo 13(1) da Diretiva 95/46/CE, ou seja, se constituírem uma medida necessária para salvaguardar a segurança nacional, a defesa, a segurança pública, a prevenção, a investigação, a detecção e a repressão de delitos ou violações da ética para as profissões regulamentadas, um interesse econômico ou financeiro importante do Estado ou a proteção do sujeito dos dados ou os direitos e liberdades de terceiros, não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos de tais exigências obrigatórias que não vão além do que é necessário em uma sociedade democrática são, entre outros, sanções internacionalmente reconhecidas, exigências de relatórios fiscais ou exigências de relatórios contra o branqueamento de dinheiro.

Cláusula 6
Responsabilidade civil

As partes concordam que qualquer envolvido, que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador, tem o direito de receber compensação do exportador de dados pelos danos sofridos.

Se um envolvido não puder apresentar um pedido de indenização de acordo com o parágrafo 1 contra o exportador de dados, decorrente de uma violação pelo importador de dados ou seu subprocessador de qualquer uma de suas obrigações referidas na cláusula 3 ou na cláusula 11, porque o exportador de dados desapareceu de fato ou deixou de existir na lei ou se tornou insolvente, o importador de dados concorda que o envolvido pode emitir uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato de por operação da lei, caso em que o envolvido pode fazer valer seus direitos contra tal entidade. O importador de dados não pode confiar na violação por um subprocessador de suas obrigações a fim de evitar suas próprias responsabilidades.

Se o envolvido não puder apresentar uma reclamação contra o exportador ou o importador de dados referidos nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer uma de suas obrigações referidas na cláusula 3 ou na cláusula 11, porque tanto o exportador de dados quanto o importador de dados desapareceram de fato ou deixaram de existir em lei ou se tornaram insolventes, o subprocessador concorda que o envolvido pode emitir uma reclamação contra o subprocessador de dados no que diz respeito a suas próprias operações de processamento sob as cláusulas como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador ou importador de dados por contrato ou por operação de lei, caso em que o envolvido pode fazer valer seus direitos contra tal entidade. A responsabilidade do subprocessador será limitada a suas próprias operações de processamento de acordo com as Cláusulas.

Cláusula 7
Mediação e jurisdição

O importador de dados concorda que se o titular dos dados invocar contra ele direitos de terceiros beneficiários e/ou reclamar indenização por danos sob as cláusulas, o importador de dados aceitará a decisão do titular dos dados:

  • encaminhar a disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
  • para encaminhar a disputa aos tribunais do Estado-Membro em que o exportador de dados está estabelecido.

As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar recursos de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8
Cooperação com as autoridades de supervisão

O exportador de dados concorda em depositar uma cópia deste contrato junto à autoridade supervisora se assim o solicitar ou se tal depósito for exigido nos termos da lei de proteção de dados aplicável.

As partes concordam que a autoridade supervisora tem o direito de conduzir uma auditoria do importador de dados, e de qualquer sub-processador, que tem o mesmo escopo e está sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados sob a lei de proteção de dados aplicável.

O importador de dados deverá informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Em tal caso, o exportador de dados terá o direito de tomar as medidas previstas na Cláusula 5(b).

Cláusula 9
Legislação Governamental

As cláusulas serão regidas pela lei do Estado-membro em que o exportador de dados estiver estabelecido.

Cláusula 10
Variação do contrato

As partes se comprometem a não variar ou modificar as Cláusulas. Isto não impede que as partes acrescentem cláusulas sobre questões relacionadas aos negócios, quando necessário, desde que não contradigam a Cláusula.

Cláusula 11
Sub-processamento

O importador de dados não deve subcontratar nenhuma de suas operações de processamento realizadas em nome do exportador de dados sob as cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, somente o fará por meio de um acordo escrito com o sub-processador que imponha ao sub-processador as mesmas obrigações que são impostas ao importador de dados nos termos das Cláusulas3. Quando o subcontratado não cumprir suas obrigações de proteção de dados sob tal acordo escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subcontratado sob tal acordo.

O contrato prévio escrito entre o importador de dados e o subprocessador também prevê uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não puder apresentar o pedido de indenização referido no parágrafo 1 da Cláusula 6 contra o exportador ou o importador de dados por terem desaparecido de fato ou terem deixado de existir em lei ou se tornado insolvente e nenhuma entidade sucessora tiver assumido todas as obrigações legais do exportador ou do importador de dados por contrato ou por operação de lei. Tal responsabilidade de terceiros do subprocessador será limitada a suas próprias operações de processamento de acordo com as Cláusulas.

As disposições relativas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela legislação do Estado-membro em que o exportador de dados estiver estabelecido.

O exportador de dados manterá uma lista de acordos de subprocessamento concluídos sob as cláusulas e notificados pelo importador de dados conforme a cláusula 5 (j), que deverá ser atualizada pelo menos uma vez por ano. A lista estará disponível para a autoridade de supervisão de proteção de dados do exportador de dados.

3Esta exigência pode ser satisfeita pelo subprocessador que co-assina o contrato firmado entre o exportador de dados e o importador de dados sob esta decisão.

Cláusula 12
Obrigação após o término dos serviços de processamento de dados pessoais

As partes concordam que ao término da prestação dos serviços de processamento de dados, o importador de dados e o sub-processador, à escolha do exportador de dados, devolverão todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruirão todos os dados pessoais e certificarão ao exportador de dados que o fizeram, a menos que a legislação imposta ao importador de dados o impeça de retornar ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que garantirá a confidencialidade dos dados pessoais transferidos e não processará mais ativamente os dados pessoais transferidos.

O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade de supervisão, submeterão suas instalações de processamento de dados a uma auditoria das medidas referidas no parágrafo 1.

Em nome do exportador de dados:

Nome (escrito por extenso):

Posição do cliente:

Endereço:

Outras informações necessárias para que o contrato seja vinculativo (se houver):

Assinatura..............................................
(selo de organização)



Em nome do importador de dados:

Nome (escrito por extenso): Andrii Ryzhokhin

Posição: Diretor

Endereço:16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA

Outras informações necessárias para que o contrato seja vinculativo (se houver):

Assinatura..............................................
(selo de organização)

APÊNDICE 1 DAS CLÁUSULAS CONTRATUAIS-TIPO

Este Anexo faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Os Estados-Membros podem completar ou especificar, de acordo com seus procedimentos nacionais, qualquer informação adicional necessária a ser contida neste apêndice.

Exportador de dados

O exportador de dados é (favor especificar brevemente suas atividades relevantes para a transferência):

Cliente

Importador de dados

O importador de dados é (favor especificar brevemente as atividades relevantes para a transferência):

um serviço on-line projetado para criar e enviar mensagens de marketing e transacionais a terceiros

Pessoas de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de indivíduos (favor especificar):

Ver como especificado no Artigo 3.2 do Contrato de Processamento de Dados.

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados (favor especificar):

Ver como especificado no Artigo 3.1 do Contrato de Processamento de Dados.

Categorias especiais de dados (se apropriado)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados (favor especificar): N/A

Operações de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento (favor especificar):

Ver como especificado no Contrato de Serviço.

EXPORTADOR DE DADOS

Nome: Cliente

Assinatura autorizada

IMPORTADOR DE DADOS

Name: ARDAS INTERNATIONAL INC.

Assinatura autorizada

APÊNDICE 2 DAS CLÁUSULAS CONTRATUAIS-TIPO

Este Anexo faz parte das Cláusulas e deve ser preenchido e assinado pelas partes.

Descrição das medidas de segurança técnica e organizacional implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa):

Ver Apêndice 2 do Acordo de Processamento de Dados.

Utilizamos cookies para garantir o funcionamento correcto do nosso website, para personalizar anúncios e outros conteúdos, para fornecer características de redes sociais e para analisar o tráfego da rede. Também partilhamos informações sobre a utilização do seu sítio web com os nossos parceiros de redes sociais, publicidade e análise. Ao permanecer no sítio web, aceita isto.