ADENDO DE PROTECÇÃO DE DADOS | Cibernética Estelar

Adendo sobre Proteção de Dados

Este Adendo à Proteção de Dados ("Termo aditivo") em conjunto com outros documentos, incluindo, mas não limitado a, o Contrato do Usuário Final e o Pedido faz parte do ("Acordo") entre Stellar Cyber Inc. e suas afiliadas ("Cyber Estelar") e o Cliente e suas Afiliadas ("Cliente"). As partes concordam que este Adendo estabelece suas obrigações com relação ao processamento e segurança dos Dados do Cliente em conexão com o uso dos Entregáveis pelo Cliente. Os termos definidos neste Adendo terão os significados estabelecidos no Adendo. Os termos em maiúsculas não definidos de outra forma neste documento terão o significado atribuído a eles no Contrato do Usuário Final e/ou no Pedido. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito. Em consideração às obrigações mútuas aqui estabelecidas, as partes concordam que os termos e condições estabelecidos abaixo serão adicionados como um adendo ao Contrato. Exceto quando o contexto exigir de outra forma, as referências neste Adendo ao Contrato referem-se ao Contrato conforme alterado e incluindo este Adendo. Este Adendo, incluindo as Cláusulas Contratuais Padrão encontradas no Anexo 3, foi pré-assinado pela Stellar Cyber. Após o recebimento pela Stellar Cyber de um Adendo validamente preenchido por e-mail direcionado a po@stellarcyber.ai, este Adendo se tornará juridicamente vinculativo, desde que a versão pré-assinada deste Adendo seja nula e sem efeito se quaisquer alterações forem feitas nele além de o Cliente preencher todas as informações básicas de contato necessárias nas Cláusulas Contratuais Padrão e caixas de assinatura.

Definições
1. Neste Adendo, os seguintes termos devem ter os significados definidos abaixo e os termos correspondentes devem ser interpretados em conformidade:
  1. "Lei e Foro aplicáveis"significa (a) Leis Europeias de Proteção de Dados e (b) Leis Não Europeias de Proteção de Dados;
  2. "Afiliado"significa uma entidade que possui ou controla, é de propriedade ou controlada por ou está ou está sob controle ou propriedade comum com uma parte deste documento, onde o controle é definido como a posse, direta ou indiretamente, do poder de dirigir ou causar a direção do gestão e políticas de uma entidade, seja através da propriedade de títulos com direito a voto, por contrato ou de outra forma;
  3. "Dados pessoais do cliente"significa quaisquer Dados Pessoais Processados por um Processador Contratado em nome do Cliente de acordo com ou em conexão com o Contrato;
  4. "Processador Contratado"significa Stellar Cyber ou um Subprocessador Stellar Cyber;
  5. "Entregas" significa os serviços e outras atividades a serem fornecidas ou realizadas por ou em nome da Stellar Cyber for Client de acordo com o Contrato;
  6. " " significa o Espaço Económico Europeu;
  7. "Leis Europeias de Proteção de Dados"significa, conforme aplicável: (i) o GDPR; (ii) o GDPR do Reino Unido; e/ou (iii) o FDPA suíço;
  8. "RGPD"significa o Regulamento Geral de Proteção de Dados da UE 2016/679;
  9. "Leis de proteção de dados não europeias"significa todas as leis e regulamentos que se aplicam ao processamento cibernético da Stellar de Dados Pessoais do Cliente sob o Contrato que estão em vigor fora do EEE, do Reino Unido e da Suíça;
  10. "Transferência restrita" meios:
    1. uma transferência de Dados Pessoais do Cliente do Cliente para um Processador Contratado; ou
    2. uma transferência posterior de Dados Pessoais do Cliente de um Processador Contratado para um Processador Contratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis Aplicáveis (ou pelos termos dos contratos de transferência de dados estabelecidos para abordar as restrições de transferência de dados das Leis Aplicáveis) na ausência das Cláusulas Contratuais Padrão a serem estabelecidas na seção 11 abaixo;
  11. “Cláusulas Contratuais Padrão” significa as cláusulas contratuais estabelecidas no Anexo 3 para Titulares de Dados da UE localizados no EEE e na Suíça; e Anexo 4 para Titulares de Dados localizados no Reino Unido;
  12. "Subprocessador" significa qualquer pessoa (incluindo qualquer terceiro, mas excluindo um funcionário da Stellar Cyber ou qualquer um de seus subcontratados) nomeada por ou em nome da Stellar Cyber para processar dados pessoais em nome do cliente em conexão com o fornecimento da Stellar Cyber dos Entregáveis sob o acordo; e
  13. "FDPA Suíça" significa a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça); e
  14. "RGPD do Reino Unido" significa o GDPR da UE conforme alterado e incorporado à lei do Reino Unido sob a Lei da União Europeia (Retirada) de 2018 do Reino Unido e a legislação secundária aplicável feita sob o mesmo.
2. Os termos, "Comissão", "Responsável pelo tratamento", "Titular dos dados", "Estado-Membro", "Dados pessoais", "Violação de dados pessoais", "Processamento" e “Autoridade de Supervisão” devem ter o mesmo significado que no GDPR, e seus termos correspondentes devem ser interpretados de acordo.
Processamento de Dados Pessoais do Cliente
1. Se as Leis Europeias de Proteção de Dados se aplicarem ao processamento de Dados Pessoais do Cliente:
  1. o assunto e os detalhes do processamento estão descritos no Anexo 1;
  2. Stellar Cyber é um processador desses Dados Pessoais do Cliente sob as Leis Europeias de Proteção de Dados;
  3. O Cliente é um controlador ou processador desses Dados Pessoais do Cliente sob as Leis Europeias de Proteção de Dados;
  4. Cada parte cumprirá as obrigações que lhe são aplicáveis sob as Leis Europeias de Proteção de Dados com relação ao processamento desses Dados Pessoais do Cliente.
2. Se leis de proteção de dados não europeias se aplicarem ao processamento de dados pessoais do cliente por qualquer uma das partes, a parte relevante cumprirá todas as obrigações aplicáveis a ela sob essa lei com relação ao processamento desses dados pessoais do cliente.
3. Stellar Cyber deve:
  1. não processar Dados Pessoais do Cliente, exceto para fornecer os Produtos de acordo com o Contrato (incluindo conforme estabelecido neste Adendo e conforme descrito no Anexo 1 deste Adendo), a menos que o processamento seja exigido pela lei aplicável à qual o Processador Contratado relevante está sujeito (o “Propósito Permitido”), caso em que a Stellar Cyber deverá, na medida permitida pela lei aplicável, informar o Cliente sobre essa exigência legal antes do processamento relevante desses Dados Pessoais do Cliente; e
  2. notificar imediatamente o Cliente se, na opinião da Stellar Cyber, as Leis Europeias de Proteção de Dados proibirem a Stellar Cyber de cumprir a Finalidade Permitida ou a Stellar Cyber for incapaz de cumprir a Finalidade Permitida. Esta Seção não reduz os direitos ou obrigações de nenhuma das partes em outras partes do Contrato.
4. Cliente por este meio:
  1. instrui a Stellar Cyber (e autoriza a Stellar Cyber a instruir cada Subprocessador) a processar os Dados Pessoais do Cliente para a Finalidade Permitida; e
  2. garante e declara que está e permanecerá em todos os momentos relevantes devidamente e efetivamente autorizados a dar as instruções aqui estabelecidas em nome de cada Cliente ou Afiliada de Cliente relevante:
Pessoal Cibernético Estelar
A Stellar Cyber tomará medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais do Cliente, garantindo em cada caso que o acesso seja estritamente limitado aos indivíduos que precisam conhecer/acessar os Dados Pessoais do Cliente. Dados Pessoais relevantes do Cliente, conforme estritamente necessário para os fins do Contrato, e para cumprir as Leis Aplicáveis no contexto dos deveres desse indivíduo para com o Processador Contratado, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade .
Total
1. A Stellar Cyber implementará e manterá as medidas técnicas e organizacionais estabelecidas no Anexo 1 (as “Medidas de Segurança”). A Stellar Cyber pode atualizar as Medidas de Segurança de tempos em tempos, desde que tais atualizações não resultem em uma redução da segurança dos Produtos.
2. Ao avaliar o nível adequado de segurança, a Stellar Cyber deve levar em consideração, em particular, os riscos apresentados pelo Processamento, em particular de uma violação de dados pessoais.
Subprocessamento
1. O Cliente autoriza a Stellar Cyber a nomear (e permitir que cada Subprocessador nomeado de acordo com esta seção 5 nomeie) Subprocessadores de acordo com esta seção 5 e quaisquer restrições do Contrato. A Stellar Cyber disponibilizará ao Cliente a lista atual de Subprocessadores que estão processando Dados Pessoais do Cliente, anexada como Anexo III ao Anexo 3. A Stellar Cyber fornecerá ao Cliente uma notificação prévia por escrito da nomeação de qualquer novo Subprocessador, incluindo detalhes do Processamento a ser realizado pelo Subprocessador. Se, no prazo de trinta (30) dias após o recebimento dessa notificação, o Cliente notificar a Stellar Cyber por escrito sobre quaisquer objeções à nomeação proposta e ainda fornecer justificativas comercialmente razoáveis para tais objeções com base em preocupações válidas em relação às práticas comerciais do Subprocessador proposto em relação aos dados proteção, então (i) a Stellar Cyber trabalhará com o Cliente de boa fé para abordar as objeções do Cliente em relação ao novo Subprocessador; e (ii) quando as preocupações do Cliente não puderem ser resolvidas no prazo de trinta (30) dias a partir do recebimento da notificação do Cliente pela Stellar Cyber, não obstante qualquer disposição do Contrato, o Cliente poderá, fornecendo à Stellar Cyber uma notificação por escrito para, com efeito imediato, rescindir o Contrato e A Stellar Cyber reembolsará ao Cliente todas as Taxas pré-pagas pelos Entregáveis atribuíveis ao Prazo de Entrega (conforme descrito no Pedido aplicável) após a rescisão do Contrato.
2. Com relação a cada Subprocessador, a Stellar Cyber deverá:
  1. antes que o Subprocessador processe os Dados Pessoais do Cliente pela primeira vez, realize a devida diligência adequada para garantir que o Subprocessador seja capaz de fornecer o nível de proteção dos Dados Pessoais do Cliente exigido pelo Contrato;
  2. garantir que o acordo entre, por um lado, (a) Stellar Cyber, ou (b) o Subprocessador intermediário relevante; e, por outro lado, o Subprocessador, é regido por um contrato escrito incluindo termos que oferecem pelo menos o mesmo nível de proteção para os Dados Pessoais do Cliente que os estabelecidos neste Adendo e atendem aos requisitos do Artigo 28(3) do GDPR ;
  3. se esse acordo envolver uma Transferência Restrita, certifique-se de que as Cláusulas Contratuais Padrão sejam sempre incorporadas ao acordo entre, por um lado, (a) Stellar Cyber, ou (b) o Subprocessador intermediário relevante; e, por outro lado, o Subprocessador, ou antes que o Subprocessador processe pela primeira vez os Dados Pessoais do Cliente, certifique-se de celebrar um contrato que incorpore as Cláusulas Contratuais Padrão com o Cliente. e
  4. fornecer ao Cliente para revisão as cópias dos acordos dos Processadores Contratados com os Subprocessadores (que podem ser redigidos para remover informações comerciais confidenciais não relevantes para os requisitos deste Adendo), conforme o Cliente possa solicitar de tempos em tempos.
3. A Stellar Cyber garantirá que cada Subprocessador cumpra suas obrigações de acordo com as seções 2.1, 3, 4, 6.1, 7.2, 8 e 10.1, conforme se aplicam ao Processamento de Dados Pessoais do Cliente realizado por esse Subprocessador, como se fosse parte deste Adendo em lugar de Stellar Cyber.
Direitos sobre os dados
1. Levando em consideração a natureza do Processamento, a Stellar Cyber auxiliará o Cliente implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações dos Clientes, conforme razoavelmente entendido pelo Cliente, para responder às solicitações de exercício do Titular dos Dados. direitos sob as leis aplicáveis.
2. Stellar Cyber deve:
  1. notificar imediatamente o Cliente se qualquer Processador Contratado receber uma solicitação de um Titular de Dados sob qualquer Lei de Proteção de Dados com relação aos Dados Pessoais do Cliente; e
  2. garantir que o processador contratado não responda a essa solicitação, exceto nas instruções documentadas do cliente ou da afiliada do cliente relevante ou conforme exigido pelas leis aplicáveis às quais o processador contratado está sujeito, caso em que a Stellar Cyber deverá, na medida permitida pelas leis aplicáveis informar o Cliente desse requisito legal antes que o Processador Contratado responda à solicitação.
Violações de Dados Pessoais
1. A Stellar Cyber notificará o Cliente sem demora injustificada assim que a Stellar Cyber ou qualquer Subprocessador tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais do Cliente, fornecendo ao Cliente informações suficientes para permitir que o Cliente cumpra quaisquer obrigações de relatar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais sob Leis aplicáveis. Essa notificação incluirá, no mínimo, as seguintes informações: (i) a natureza da Violação de Dados Pessoais, as categorias e números de Titulares de Dados em questão, e as categorias e números de registros de Dados Pessoais em questão; (ii) o nome e dados de contato do Diretor de Proteção de Dados da Stellar Cyber ou outro contato relevante de quem mais informações possam ser obtidas; (iii) as prováveis consequências da Violação de Dados Pessoais; e (iv) as medidas tomadas ou propostas a serem tomadas para lidar com a Violação de Dados Pessoais.
2. A Stellar Cyber deverá cooperar com o Cliente e tomar as medidas comerciais razoáveis conforme instruído pelo Cliente para auxiliar na investigação, mitigação e remediação de cada Violação de Dados Pessoais.
Avaliação do Impacto da Proteção de Dados e Consulta Prévia
Na medida exigida pelas Leis Aplicáveis, a Stellar Cyber fornecerá assistência razoável ao Cliente com quaisquer avaliações de impacto de proteção de dados e consultas prévias às Autoridades de Supervisão ou outras autoridades competentes de privacidade de dados, que o Cliente considere razoavelmente exigido do Cliente pelas Leis Aplicáveis, em cada caso exclusivamente em relação ao Processamento de Dados Pessoais do Cliente e levando em consideração a natureza do Processamento e as informações disponíveis para os Processadores Contratados.
Exclusão ou devolução de Dados Pessoais do Cliente
1. Sujeito às seções 9.2 e 9.3 após a data de cessação do fornecimento de quaisquer Entregáveis envolvendo o Processamento de Dados Pessoais do Cliente (a "Data de Cessação"), a Stellar Cyber deverá excluir e providenciar a exclusão de todas as cópias desses Dados Pessoais do Cliente sem demora injustificada.
2. Cada Processador Contratado pode reter Dados Pessoais do Cliente na medida exigida pelas Leis Aplicáveis e apenas na medida e pelo período exigido pelas Leis Aplicáveis e sempre desde que a Stellar Cyber e cada Afiliada Stellar Cyber garantam a confidencialidade de todos esses Dados Pessoais do Cliente e garantirá que tais Dados Pessoais do Cliente sejam processados apenas conforme necessário para a(s) finalidade(s) especificada(s) nas Leis Aplicáveis que exigem seu armazenamento e para nenhuma outra finalidade.
3. A Stellar Cyber fornecerá uma certificação por escrito ao Cliente de que cumpriu integralmente esta seção 9 dentro de dez (10) dias após o recebimento da solicitação por escrito do Cliente para receber tal certificação.
Auditoria e Registros
1. A Stellar Cyber deverá, de acordo com as Leis Aplicáveis, disponibilizar ao Cliente as informações em posse ou controle da Stellar Cyber que o Cliente possa razoavelmente solicitar com o objetivo de demonstrar a conformidade da Stellar Cyber com as Leis Aplicáveis em relação ao processamento de Dados Pessoais do Cliente.
2. O Cliente pode exercer seu direito de auditoria sob as Leis Europeias de Proteção de Dados em relação aos Dados Pessoais do Cliente, por meio da Stellar Cyber, fornecendo:
  1. informações necessárias para demonstrar a conformidade com as Leis Europeias de Proteção de Dados e permitir e contribuir para auditorias, incluindo inspeções, realizadas pelo controlador ou outro auditor mandatado pelo controlador
  2. informações adicionais em posse ou controle da Stellar Cyber a uma autoridade supervisora da UE quando esta solicitar ou exigir informações adicionais em relação ao Processamento de Dados Pessoais do Cliente realizado pela Stellar Cyber sob este Adendo.
Transferências restritas
1. Sujeito às Seções 11.2 e 11.3, Cliente (como "exportador de dados") e cada Processador Contratado, conforme apropriado, (conforme "importador de dados") celebram as Cláusulas Contratuais Padrão em relação a qualquer Transferência Restrita desse Cliente para esse Processador Contratado.
2. As Cláusulas Contratuais Padrão entrarão em vigor de acordo com a seção 11.1 no último de:
  1. o exportador de dados tornando-se parte deles;
  2. o importador de dados se tornar parte deles; e
  3. início da Transferência Restrita relevante.
3. A Seção 11.1 não se aplicará a uma Transferência Restrita, a menos que seu efeito, juntamente com outras etapas de conformidade razoavelmente praticáveis (que, para evitar dúvidas, não incluam a obtenção de consentimentos dos Titulares dos Dados), seja permitir que a Transferência Restrita relevante ocorra sem violação da Lei de Proteção de Dados aplicável.
Condições Gerais
1. Sem prejuízo da cláusula 18 das Cláusulas Contratuais Padrão, (i) as partes deste Adendo se submetem à escolha da jurisdição estipulada no Contrato com relação a quaisquer disputas ou reivindicações decorrentes deste Adendo, incluindo disputas sobre sua existência, validade ou rescisão ou as consequências de sua nulidade; e (ii) este Adendo e todas as obrigações não contratuais ou outras decorrentes ou relacionadas a ele são regidas pelas leis do país ou território estipulado para esse fim no Contrato.
2. Nada neste Adendo reduz as obrigações da Stellar Cyber nos termos do Contrato em relação à proteção de Dados Pessoais ou permite que a Stellar Cyber Processe (ou permita o Processamento de) Dados Pessoais de uma maneira que seja proibida pelo Contrato. No caso de qualquer conflito ou inconsistência entre este Adendo e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.
3. Sujeito à seção 12.2, no que diz respeito ao objeto deste Adendo, no caso de inconsistências entre as disposições deste Adendo e quaisquer outros acordos entre as partes, incluindo o Contrato e incluindo (exceto quando explicitamente acordado de outra forma por escrito, assinado em nome das partes) contratos celebrados ou supostamente celebrados após a data deste Aditivo, prevalecerão as disposições deste Aditivo.
4. Qualquer responsabilidade associada ao descumprimento deste Adendo estará sujeita às limitações das disposições de responsabilidade estabelecidas no Contrato.
5. O Cliente pode, com aviso por escrito de pelo menos trinta (30) dias corridos à Stellar Cyber, de tempos em tempos, fazer quaisquer variações nas Cláusulas Contratuais Padrão estabelecidas na seção 11.1, pois tais variações se aplicam a Transferências Restritas que estão sujeitas a um determinado Data Lei de Proteção de Dados, mas apenas quando tais variações forem exigidas como resultado de qualquer alteração ou decisão de uma autoridade competente sob essa Lei de Proteção de Dados, para permitir que essas Transferências Restritas sejam feitas (ou continuem a ser feitas) sem violação dessa Lei de Proteção de Dados.
6. Se o Cliente notificar de acordo com a seção 12.5, então (i) a Stellar Cyber deverá cooperar prontamente (e garantir que quaisquer Subprocessadores afetados cooperem prontamente) para garantir que variações equivalentes sejam feitas em qualquer acordo estabelecido na seção 5.3.3; e (ii) o Cliente não deverá reter ou atrasar injustificadamente o acordo com quaisquer variações consequentes a este Adendo proposto pela Stellar Cyber para proteger os Processadores Contratados contra riscos adicionais associados às variações feitas na seção 12.5.
7. Se o Cliente notificar nos termos da seção 12.5, as partes discutirão prontamente as variações propostas e negociarão de boa fé com o objetivo de acordar e implementar essas ou variações alternativas destinadas a atender aos requisitos identificados na notificação do Cliente assim que for razoavelmente praticável.
8. O Cliente deverá exigir o consentimento ou aprovação do Afiliado do Cliente para alterar este Adendo de acordo com esta seção 12.8 ou de outra forma.
9. Caso qualquer disposição deste Adendo seja inválida ou inexequível, o restante deste Adendo permanecerá válido e em vigor. A disposição inválida ou inexequível deve ser (i) alterada conforme necessário para garantir sua validade e exequibilidade, preservando as intenções das partes o mais próximo possível ou, se isso não for possível, (ii) interpretada de uma maneira como se fosse inválida ou parte inexequível nunca esteve contida nele.

ANEXO 1 DO ADENDO DE PROTEÇÃO DE DADOS

DETALHES DO PROCESSAMENTO DE DADOS PESSOAIS DO CLIENTE

Este Anexo 1 inclui alguns detalhes do Processamento de Dados Pessoais da Empresa, conforme exigido pelo Artigo 28(3) do GDPR. Objeto e duração do Processamento de Dados Pessoais do Cliente A Stellar Cyber processará os Dados Pessoais do Cliente conforme necessário para executar as Entregas de acordo com o Contrato. A duração do processamento será: até a expiração/rescisão do Contrato, quando a Stellar Cyber excluir ou destruir os Dados Pessoais do Cliente sem atraso indevido, ou 30 dias após o recebimento de uma solicitação de exclusão para alguns ou todos os Dados Pessoais. A natureza e finalidade do Processamento de Dados Pessoais do Cliente A Stellar Cyber está comprometida em fornecer os Produtos a serem entregues ao Cliente que envolvem o processamento de Dados Pessoais. O escopo dos Entregáveis é estabelecido no Contrato, e os Dados Pessoais serão processados pela Stellar Cyber conforme necessário para entregar esses Entregáveis e cumprir os termos do Contrato e deste Adendo. Os tipos de dados pessoais do cliente a serem processados Os Dados Pessoais coletados pela Stellar Cyber compreendem as Categorias de Dados detalhadas no Anexo 1 do Apêndice das Cláusulas Contratuais Padrão.

ANEXO 2 DO ADENDO DE PROTEÇÃO DE DADOS

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Stellar Cyber está em conformidade com as medidas técnicas e organizacionais descritas abaixo. Para obter uma descrição detalhada das medidas de segurança adotadas pela Stellar Cyber, envie uma solicitação para privacidade@stellarcyber.ai As medidas técnicas e organizacionais incluem, mas não se limitam às seguintes medidas para garantir a confidencialidade, integridade e disponibilidade contínua dos dados, a fim de impedir o acesso, uso, modificação ou divulgação não autorizados de dados:

Realização de verificações de antecedentes de todo o pessoal que tenha acesso ao processamento de dados, bem como assinatura de compromissos de não divulgação e ética nos negócios antes do emprego.
Treinamento de conscientização sobre segurança e privacidade, incluindo reconhecimento e concordância em cumprir as políticas de segurança da organização, para todo o pessoal no momento da contratação e anualmente a partir de então.
Manutenção de um conjunto abrangente de políticas, procedimentos e planos de segurança e privacidade que são revisados pelo menos anualmente e fornecem orientação à organização quanto às práticas de segurança e privacidade; processos para avaliar Subprocessadores potenciais e existentes para garantir que eles tenham a capacidade e se comprometam com as medidas técnicas e organizacionais apropriadas para garantir a confidencialidade, integridade e disponibilidade contínua dos dados.
Um processo para testar, avaliar e avaliar regularmente a eficácia das salvaguardas administrativas, técnicas e físicas para garantir a segurança do processamento, transmissão ou armazenamento de dados por meio de auditorias externas e internas.
Impedir o acesso, uso, modificação ou divulgação de dados, exceto por pessoal autorizado da Stellar Cyber (1) para fornecer os Entregáveis e prevenir ou resolver problemas técnicos ou de serviço, (2) conforme exigido por lei, ou (3) conforme o Cliente expressamente permitir por escrito .
Registro e monitoramento de logs de segurança por meio de um Sistema de Gerenciamento de Eventos e Incidentes de Segurança (“SIGEM”)SIEMSistema de monitoramento e alertas em caso de detecção de comportamentos suspeitos do sistema e/ou do usuário; processos e ferramentas para identificar, avaliar e priorizar vulnerabilidades regularmente, com base em diretrizes padrão do setor.
Pseudonimização ou criptografia de dados em trânsito e em repouso utilizando mecanismos padrão do setor para determinados produtos.
MFA e senhas fortes são rigorosamente aplicadas para acessar a unidade de processamento de dados.
A capacidade de restaurar a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente que afete a disponibilidade dos Dados do Cliente, mantendo uma solução de backup para fins de recuperação de desastres.

ANEXO 3 DO ADENDO DE PROTEÇÃO DE DADOS

CLÁUSULAS CONTRATUAIS PADRÃO

SEÇÃO I

Cláusula 1

Finalidade e âmbito

O objetivo destas cláusulas contratuais padrão é garantir o cumprimento dos requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre a livre circulação desses dados (Regulamento Geral de Proteção de Dados) para a transferência de dados pessoais para um país terceiro.
As festas:
1. a(s) pessoa(s) singular(es) ou colectiva(s), autoridade(s) pública(s), agência(s) ou outro(s) organismo(s) (doravante “entidade(s”) que transferem os dados pessoais, conforme listado no Anexo IA (doravante cada “exportador de dados”), e
2. a(s) entidade(s) em um terceiro país que recebe os dados pessoais do exportador de dados, direta ou indiretamente por meio de outra entidade também Parte destas Cláusulas, conforme listado no Anexo IA (doravante, cada “importador de dados”)
concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”).
Estas Cláusulas aplicam-se à transferência de dados pessoais conforme especificado no Anexo IB
O Apêndice a estas Cláusulas contendo os Anexos nelas referidos faz parte integrante destas Cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

Estas Cláusulas estabelecem as garantias apropriadas, incluindo direitos aplicáveis aos titulares de dados e recursos legais efetivos, nos termos do artigo 46.º, n.º 1, e do artigo 46.º, n.º 2, alínea c), do Regulamento (UE) 2016/679 e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações em o apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou garantias adicionais, desde que não contrariem, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos fundamentais ou liberdades dos titulares dos dados.
Estas Cláusulas não prejudicam as obrigações a que o exportador de dados esteja sujeito por força do Regulamento (UE) 2016/679.

Quando o exportador de dados for um processador sujeito ao Regulamento (UE) 2016/679 agindo em nome de uma instituição ou órgão da União como responsável pelo tratamento, o recurso a estas Cláusulas ao contratar outro processador (subprocessamento) não sujeito ao Regulamento (UE) 2016/ 679 também garante o cumprimento do artigo 29.º, n.º 4, do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos da União , serviços e agências e sobre a livre circulação desses dados, e revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (JO L 295 de 21.11.2018, p. 39), na medida em que estas cláusulas e as obrigações de proteção de dados estabelecidas no contrato ou outro ato jurídico entre o responsável pelo tratamento e o subcontratante nos termos do artigo 29.º, n.º 3, do Regulamento (UE) 2018/1725 estão alinhados. Este será, em particular, o caso quando o responsável pelo tratamento e o subcontratante se basearem nas cláusulas contratuais padrão incluídas na Decisão […].

Cláusula 3

Beneficiários de terceiros

Os titulares dos dados podem invocar e fazer valer estas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:
1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
2. Cláusula 8ª - Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9 (b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3 (b);
3. Cláusula 9ª - Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);
4. Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);
5. Cláusula 13;
6. Cláusula 15.1(c), (d) e (e);
7. Cláusula 16(e);
8. Cláusula 18ª - Módulos Um, Dois e Terceiro: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.
A alínea a) não prejudica os direitos dos titulares dos dados ao abrigo do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que naquele Regulamento.
Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
Estas Cláusulas não devem ser interpretadas de forma conflitante com direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que essas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos, são especificados no Anexo IB

Cláusula 7ª - Facultativa

Cláusula de encaixe

Uma entidade que não seja Parte destas Cláusulas pode, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportadora de dados ou importadora de dados, preenchendo o Apêndice e assinando o Anexo IA
Uma vez preenchido o Apêndice e assinado o Anexo IA, a entidade aderente se tornará Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo IA
A entidade aderente não terá quaisquer direitos ou obrigações decorrentes destas Cláusulas desde o período anterior à sua adesão.

SEÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8

Proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações sob estas Cláusulas.

MÓDULO UM: Transferir controlador para controlador

Limitação de propósito
O importador de dados deve processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo IB. Ele só pode processar os dados pessoais para outro propósito:
1. quando obteve o consentimento prévio do titular dos dados;
2. quando necessário para a instauração, exercício ou defesa de ações judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
3. sempre que necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.
Transparência
a. A fim de permitir que os titulares de dados exerçam efetivamente seus direitos nos termos da Cláusula 10, o importador de dados deve informá-los, diretamente ou por meio do exportador de dados:
1. de sua identidade e detalhes de contato;
2. das categorias de dados pessoais processados;
3. do direito de obter uma cópia destas Cláusulas;
4. quando pretender transferir os dados pessoais para terceiros, do destinatário ou categorias de destinatários (conforme apropriado, com o objetivo de fornecer informações significativas), o objetivo de tal transferência subsequente e o motivo, de acordo com a Cláusula 8.7.
1. A alínea a) não se aplica quando o titular dos dados já tiver as informações, inclusive quando essas informações já tiverem sido fornecidas pelo exportador de dados, ou o fornecimento das informações se revelar impossível ou envolver um esforço desproporcional para o importador de dados. Neste último caso, o importador de dados deve, na medida do possível, disponibilizar as informações publicamente.
2. Mediante solicitação, as Partes deverão disponibilizar gratuitamente ao titular dos dados uma cópia dessas Cláusulas, incluindo o Apêndice conforme preenchido por elas. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, as Partes podem redigir parte do texto do Apêndice antes de compartilhar uma cópia, mas devem fornecer um resumo significativo quando o titular dos dados não conseguiria compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das alterações, na medida do possível, sem revelar as informações editadas.
3. As alíneas a) ac) não prejudicam as obrigações do exportador de dados ao abrigo dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
Precisão e minimização de dados
1. Cada Parte garantirá que os dados pessoais sejam precisos e, quando necessário, mantidos atualizados. O importador de dados deve tomar todas as medidas razoáveis para garantir que os dados pessoais inexatos, tendo em conta a(s) finalidade(s) do tratamento, sejam apagados ou retificados sem demora.
2. Se uma das Partes tomar conhecimento de que os dados pessoais que transferiu ou recebeu são inexatos ou estão desatualizados, deve informar a outra Parte sem demora injustificada.
3. O importador de dados deve garantir que os dados pessoais sejam adequados, relevantes e limitados ao necessário em relação à(s) finalidade(s) do processamento.
Limitação de armazenamento
O importador de dados deve reter os dados pessoais por não mais do que o necessário para o(s) propósito(s) para o qual são processados. Deve pôr em prática medidas técnicas ou organizativas adequadas para garantir o cumprimento desta obrigação, incluindo a eliminação ou anonimização dos dados e de todas as cópias de segurança no final do período de conservação.
Segurança de processamento
1. O importador de dados e, durante a transmissão, também o exportador de dados deve implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais, incluindo proteção contra violação de segurança que conduza à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado (doravante “violação de dados pessoais”). Ao avaliar o nível de segurança adequado, devem ter em devida conta o estado da técnica, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes devem, em particular, considerar o recurso à encriptação ou pseudonimização, incluindo durante a transmissão, sempre que o objetivo do tratamento possa ser cumprido dessa forma.
2. As Partes acordaram nas medidas técnicas e organizacionais estabelecidas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível de segurança adequado.
3. O importador de dados deve garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade adequada.
4. Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deve tomar as medidas apropriadas para lidar com a violação de dados pessoais, incluindo medidas para mitigar seus possíveis efeitos adversos.
5. Em caso de violação de dados pessoais que possa resultar em risco para os direitos e liberdades das pessoas físicas, o importador de dados deve notificar sem demora injustificada tanto o exportador de dados quanto a autoridade supervisora competente de acordo com a Cláusula 13. Essa notificação deve conter i) uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), ii) as suas prováveis consequências, iii) as medidas tomadas ou propostas para resolver a violação, e iv ) os dados de um ponto de contacto junto do qual podem ser obtidas mais informações. Na medida em que não seja possível ao importador de dados fornecer todas as informações ao mesmo tempo, ele poderá fazê-lo em fases, sem atrasos indevidos.
6. Em caso de violação de dados pessoais que possa resultar em alto risco para os direitos e liberdades das pessoas físicas, o importador de dados deve também notificar sem demora injustificada os titulares dos dados em questão da violação de dados pessoais e sua natureza, se necessário em cooperação com o exportador de dados, juntamente com as informações referidas na alínea e), pontos ii) a iv), a menos que o importador de dados tenha implementado medidas para reduzir significativamente o risco para os direitos ou liberdades das pessoas singulares, ou a notificação envolva esforços desproporcionais. Neste último caso, o importador de dados deve, em vez disso, emitir uma comunicação pública ou tomar uma medida semelhante para informar o público sobre a violação de dados pessoais.
7. O importador de dados deve documentar todos os fatos relevantes relacionados à violação de dados pessoais, incluindo seus efeitos e qualquer ação corretiva tomada, e manter um registro dos mesmos.
8. Para tal, é necessário tornar os dados anónimos de forma a que o indivíduo deixe de ser identificável por ninguém, em conformidade com o considerando 26 do Regulamento (UE) 2016/679, e que este processo seja irreversível.
Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa ou orientação sexual, ou dados relativos a condenações ou infrações penais (doravante “dados sensíveis”), o importador de dados deve aplicar restrições específicas e/ou garantias adicionais adaptadas à natureza específica dos dados e aos riscos envolvidos. Isso pode incluir a restrição do pessoal autorizado a acessar os dados pessoais, medidas de segurança adicionais (como pseudonimização) e/ou restrições adicionais com relação à divulgação adicional.
Transferências posteriores
O importador de dados não deve divulgar os dados pessoais a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante "transferência posterior"), a menos que o terceiro esteja ou concorde em estar vinculado por estas Cláusulas, no Módulo apropriado. Caso contrário, uma transferência posterior pelo importador de dados só poderá ocorrer se:
1. é para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
2. o terceiro garante de outra forma as garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em causa;
3. o terceiro celebra um instrumento vinculativo com o importador de dados garantindo o mesmo nível de proteção de dados conforme estas Cláusulas, e o importador de dados fornece uma cópia dessas salvaguardas ao exportador de dados;
4. for necessário para a instauração, exercício ou defesa de ações judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos;
5. for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou
6. se nenhuma das outras condições se aplicar, o importador de dados obteve o consentimento explícito do titular dos dados para uma transferência posterior em uma situação específica, depois de ter informado o(s) seu(s) propósito(s), a identidade do destinatário e a possível riscos de tal transferência para ele devido à falta de salvaguardas adequadas de proteção de dados. Neste caso, o importador de dados deve informar o exportador de dados e, a pedido deste, transmitir-lhe uma cópia das informações prestadas ao titular dos dados.
Qualquer transferência posterior está sujeita ao cumprimento por parte do importador de dados de todas as outras garantias previstas nestas Cláusulas, em particular a limitação de finalidade.
Processamento sob a autoridade do importador de dados
O importador de dados deve garantir que qualquer pessoa agindo sob sua autoridade, incluindo um processador, processe os dados apenas sob suas instruções.
Documentação e conformidade
(a) Cada Parte poderá demonstrar o cumprimento de suas obrigações sob estas Cláusulas. Em particular, o importador de dados deve manter a documentação adequada das atividades de processamento realizadas sob sua responsabilidade. (s) O importador de dados deve disponibilizar tal documentação à autoridade supervisora competente mediante solicitação.

MÓDULO DOIS: Transferir controlador para processador

Instruções
1. O importador de dados deve processar os dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode dar tais instruções durante toda a vigência do contrato.
2. O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
Limitação de propósito
O importador de dados deve processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo IB, salvo instruções adicionais do exportador de dados.
Transparência
Mediante solicitação, o exportador de dados deverá disponibilizar gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deve fornecer uma resumo onde o titular dos dados não seria capaz de compreender o seu conteúdo ou exercer os seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das alterações, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados ao abrigo dos artigos 13.º e 14.º do Regulamento (UE) 2016/679.
Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou desatualizados, deve informar o exportador de dados sem demora injustificada. Neste caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados. . Nesse caso, o importador de dados deve cooperar com o exportador de dados para apagar ou retificar os dados.
Duração do processamento e apagamento ou devolução de dados
O processamento pelo importador de dados deve ocorrer apenas pelo período especificado no Anexo IB Após o término da prestação dos serviços de processamento, o importador de dados deve, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome dos dados exportador e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e só os processará na medida e pelo tempo exigido por esse lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados nos termos da Cláusula 14(e) notifique o exportador de dados durante a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas não está de acordo com os requisitos da Cláusula 14(a).
Segurança de processamento
1. O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível de segurança apropriado, as Partes devem levar em consideração o estado da arte, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados . As Partes devem, em particular, considerar o recurso à encriptação ou pseudonimização, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. No cumprimento das suas obrigações ao abrigo do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível de segurança adequado.
2. O importador de dados deve conceder acesso aos dados pessoais aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
3. Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar as medidas apropriadas para solucionar a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deve notificar o exportador de dados sem demora injustificada após tomar conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde podem ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas consequências prováveis e a medidas tomadas ou propostas para resolver a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Quando, e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais, à medida que estiverem disponíveis, serão fornecidas posteriormente sem demora injustificada.
4. O importador de dados deve cooperar e ajudar o exportador de dados para permitir que o exportador de dados cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, nomeadamente notificar a autoridade de controlo competente e os titulares dos dados afetados, tendo em conta a natureza dos processamento e as informações disponíveis para o importador de dados.
Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa ou orientação sexual ou dados relativos a condenações criminais e infrações (doravante "dados sensíveis"), o importador de dados deve aplicar as restrições específicas e/ou garantias adicionais descritas no Anexo IB
Transferências posteriores
O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, no Módulo apropriado, ou se:
1. a transferência subsequente é para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
2. o terceiro garante de outra forma as garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679 no que diz respeito ao tratamento em questão;
3. a transferência subsequente for necessária para a instauração, exercício ou defesa de ações judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
4. a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.
Qualquer transferência posterior está sujeita ao cumprimento por parte do importador de dados de todas as outras garantias previstas nestas Cláusulas, em particular a limitação de finalidade.
Documentação e conformidade
1. O importador de dados deve lidar imediata e adequadamente com as consultas do exportador de dados relacionadas ao processamento sob estas Cláusulas.
2. As Partes poderão demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter a documentação adequada sobre as atividades de processamento realizadas em nome do exportador de dados.
3. O importador de dados deve disponibilizar ao exportador de dados todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas e a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em consideração as certificações relevantes detidas pelo importador de dados.
4. O exportador de dados pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com antecedência razoável.
5. As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.
O Acordo sobre o Espaço Económico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE, Islândia, Liechtenstein e Noruega. A legislação da União em matéria de proteção de dados, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi incorporada no seu anexo XI. Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência posterior para os fins destas Cláusulas.

MÓDULO TRÊS: Transferir processador para processador

Instruções
1. O exportador de dados informou ao importador de dados que atua como processador de acordo com as instruções de seu(s) controlador(es), que o exportador de dados deve disponibilizar ao importador de dados antes do processamento.
2. O importador de dados deve processar os dados pessoais apenas em instruções documentadas do controlador, conforme comunicado ao importador de dados pelo exportador de dados, e quaisquer instruções documentadas adicionais do exportador de dados. Essas instruções adicionais não devem entrar em conflito com as instruções do controlador. O controlador ou exportador de dados pode fornecer mais instruções documentadas sobre o processamento de dados durante a vigência do contrato.
3. O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções. Quando o importador de dados não puder seguir as instruções do controlador, o exportador de dados deverá notificar imediatamente o controlador.
4. O exportador de dados garante que impôs ao importador de dados as mesmas obrigações de proteção de dados estabelecidas no contrato ou outro ato jurídico ao abrigo da legislação da União ou do Estado-Membro entre o responsável pelo tratamento e o exportador de dados.
Limitação de propósito
O importador de dados deve processar os dados pessoais apenas para o(s) propósito(s) específico(s) da transferência, conforme estabelecido no Anexo IB, a menos que sob outras instruções do controlador, conforme comunicado ao importador de dados pelo exportador de dados, ou dos dados exportador.
Transparência
Mediante solicitação, o exportador de dados deverá disponibilizar gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o exportador de dados pode redigir parte do texto do Apêndice antes de compartilhar uma cópia, mas deve fornecer um resumo significativo quando o titular dos dados não puder compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das alterações, na medida do possível, sem revelar as informações editadas.
Precisão
Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou desatualizados, deve informar o exportador de dados sem demora injustificada. Nesse caso, o importador de dados deve cooperar com o exportador de dados para retificar ou apagar os dados. Ver artigo 28.º, n.º 4, do Regulamento (UE) 2016/679 e, se o responsável pelo tratamento for uma instituição ou órgão da UE, artigo 29.º, n.º 4, do Regulamento (UE) 2018/1725.
Duração do processamento e apagamento ou devolução de dados
O processamento pelo importador de dados deve ocorrer apenas pelo período especificado no Anexo IB Após o término da prestação dos serviços de processamento, o importador de dados deve, à escolha do exportador de dados, excluir todos os dados pessoais processados em nome do controlador e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e só o processará na medida e pelo tempo exigido por esse lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados nos termos da Cláusula 14(e) notifique o exportador de dados durante a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas não está de acordo com os requisitos da Cláusula 14(a).
Segurança de processamento
1. O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante "violação de dados pessoais"). Ao avaliar o nível de segurança adequado, devem ter em devida conta o estado da arte, os custos de implementação, a natureza, o âmbito, o contexto e a(s) finalidade(s) do tratamento e os riscos envolvidos no tratamento para o titular dos dados. As Partes devem, em particular, considerar o recurso à encriptação ou pseudonimização, inclusive durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados ou do controlador. No cumprimento das suas obrigações ao abrigo do presente número, o importador de dados deve, pelo menos, aplicar as medidas técnicas e organizativas especificadas no anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível de segurança adequado.
2. O importador de dados deve conceder acesso aos dados aos membros do seu pessoal apenas na medida estritamente necessária para a implementação, gestão e acompanhamento do contrato. Deve assegurar que as pessoas autorizadas a tratar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.
3. Em caso de violação de dados pessoais relativos a dados pessoais processados pelo importador de dados sob estas Cláusulas, o importador de dados deverá tomar as medidas apropriadas para resolver a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também deve notificar, sem demora injustificada, o exportador de dados e, quando apropriado e viável, o controlador após tomar conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contacto onde podem ser obtidas mais informações, uma descrição da natureza da violação (incluindo, sempre que possível, categorias e número aproximado de titulares de dados e registos de dados pessoais em causa), as suas consequências prováveis e a medidas tomadas ou propostas para lidar com a violação de dados, incluindo medidas para mitigar seus possíveis efeitos adversos. Sempre que, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e as informações adicionais, à medida que estiverem disponíveis, serão fornecidas posteriormente sem demora injustificada.
4. O importador de dados deve cooperar e ajudar o exportador de dados para permitir que o exportador de dados cumpra as suas obrigações ao abrigo do Regulamento (UE) 2016/679, nomeadamente notificar o seu responsável pelo tratamento para que este possa, por sua vez, notificar a autoridade de controlo competente e o titulares de dados afetados, levando em consideração a natureza do processamento e as informações disponíveis para o importador de dados.
Dados sensíveis
Sempre que a transferência envolva dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para efeitos de identificação única de uma pessoa singular, dados relativos à saúde ou à vida sexual de uma pessoa ou orientação sexual ou dados relativos a condenações criminais e infrações (doravante "dados sensíveis"), o importador de dados deve aplicar as restrições específicas e/ou garantias adicionais estabelecidas no Anexo IB
Transferências posteriores
O importador de dados só deve divulgar os dados pessoais a terceiros mediante instruções documentadas do controlador, conforme comunicado ao importador de dados pelo exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (no mesmo país que o importador de dados ou em outro país terceiro, doravante "transferência posterior") se o terceiro estiver ou concordar em estar vinculado por estas Cláusulas, no Módulo apropriado, ou se:
1. a transferência subsequente é para um país que beneficie de uma decisão de adequação nos termos do artigo 45.º do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
2. o terceiro assegura as garantias adequadas nos termos dos artigos 46.º ou 47.º do Regulamento (UE) 2016/679;
3. a transferência subsequente for necessária para a instauração, exercício ou defesa de ações judiciais no âmbito de processos administrativos, regulamentares ou judiciais específicos; ou
4. a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa singular.
Qualquer transferência posterior está sujeita ao cumprimento por parte do importador de dados de todas as outras garantias previstas nestas Cláusulas, em particular a limitação de finalidade.
Documentação e conformidade
1. O importador de dados deve lidar imediata e adequadamente com as consultas do exportador de dados ou do controlador relacionadas ao processamento sob estas Cláusulas.
2. As Partes poderão demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter a documentação adequada sobre as atividades de processamento realizadas em nome do controlador.
3. O importador de dados deverá disponibilizar todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas nestas Cláusulas ao exportador de dados, que as fornecerá ao controlador.
4. O importador de dados deve permitir e contribuir para auditorias pelo exportador de dados das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. O mesmo se aplica quando o exportador de dados solicita uma auditoria sobre as instruções do controlador. Ao decidir sobre uma auditoria, o exportador de dados pode levar em consideração as certificações relevantes detidas pelo importador de dados.
5. Quando a auditoria for realizada sob as instruções do controlador, o exportador de dados deve disponibilizar os resultados ao controlador.
6. O exportador de dados pode optar por conduzir a auditoria sozinho ou contratar um auditor independente. As auditorias podem incluir inspeções nas instalações ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com antecedência razoável.
7. As Partes devem disponibilizar as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.

MÓDULO QUATRO: Transfira o processador para o controlador

Instruções
1. O exportador de dados deve processar os dados pessoais apenas mediante instruções documentadas do importador de dados que atua como seu controlador.
2. O exportador de dados deve informar imediatamente o importador de dados se não puder seguir essas instruções, inclusive se tais instruções infringirem o Regulamento (UE) 2016/679 ou outra legislação de proteção de dados da União ou dos Estados-Membros.
3. O importador de dados deve abster-se de qualquer ação que impeça o exportador de dados de cumprir suas obrigações nos termos do Regulamento (UE) 2016/679, inclusive no contexto de subprocessamento ou no que diz respeito à cooperação com as autoridades de supervisão competentes.
4. Após o término da prestação dos serviços de processamento, o exportador de dados deve, à escolha do importador de dados, excluir todos os dados pessoais processados em nome do importador de dados e certificar ao importador de dados que o fez, ou retornar ao ao importador de dados todos os dados pessoais processados em seu nome e exclua as cópias existentes.
Segurança de processamento
1. As Partes devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, inclusive durante a transmissão, e proteção contra uma violação de segurança que leve à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado (doravante "violação de dados pessoais" ). Ao avaliar o nível de segurança adequado, eles devem levar em consideração o estado da arte, os custos de implementação, a natureza dos dados pessoais, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no o tratamento para os titulares dos dados e, em particular, considerar o recurso à encriptação ou pseudonimização, incluindo durante a transmissão, sempre que a finalidade do tratamento possa ser cumprida dessa forma.
2. O exportador de dados deve ajudar o importador de dados a garantir a segurança adequada dos dados de acordo com o parágrafo (a). Em caso de violação de dados pessoais relativos aos dados pessoais processados pelo exportador de dados sob estas Cláusulas, o exportador de dados deverá notificar o importador de dados sem demora injustificada após tomar conhecimento disso e auxiliar o importador de dados a solucionar a violação.
3. O exportador de dados deve garantir que as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sob uma obrigação legal de confidencialidade adequada.
Documentação e conformidade
1. As Partes poderão demonstrar o cumprimento destas Cláusulas.
2. O exportador de dados deve disponibilizar ao importador de dados todas as informações necessárias para demonstrar o cumprimento de suas obrigações sob estas Cláusulas e permitir e contribuir para auditorias.
Isso inclui se a transferência e o processamento posterior envolvem dados pessoais que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos com a finalidade de identificar exclusivamente uma pessoa física, dados relativos à saúde ou a um vida sexual ou orientação sexual da pessoa, ou dados relativos a condenações criminais ou infrações.

Cláusula 9

Uso de subprocessadores

MÓDULO DOIS: Transferir controlador para processador
1. OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não deve subcontratar nenhuma de suas atividades de processamento realizadas em nome do exportador de dados sob estas Cláusulas a um subprocessador sem a autorização prévia por escrito específica do exportador de dados. O importador de dados deve apresentar o pedido de autorização específica pelo menos [especificar período de tempo] antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subprocessadores já autorizados pelo exportador de dados pode ser encontrada no Anexo III. As Partes manterão o Anexo III atualizado. OPÇÃO 2: AUTORIZAÇÃO GERAL ESCRITA O importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessador(es) de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito sobre quaisquer alterações pretendidas a essa lista por meio da adição ou substituição de subprocessadores com pelo menos [especificar período de tempo] com antecedência, dando assim ao exportador de dados tempo suficiente para se opor a tais mudanças antes da contratação do(s) subprocessador(es). O importador de dados deve fornecer ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de oposição.
2. Quando o importador de dados contrata um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), deve fazê-lo por meio de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam o importador de dados sob estas Cláusulas, inclusive em termos de direitos de beneficiários de terceiros para titulares de dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
3. O importador de dados deve fornecer, a pedido do exportador de dados, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.
4. O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador sob seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subprocessador em cumprir suas obrigações sob esse contrato.
5. O importador de dados deverá acordar uma cláusula de terceiro beneficiário com o subprocessador pela qual - no caso de o importador de dados ter desaparecido de fato, deixado de existir legalmente ou se tornado insolvente - o exportador de dados terá o direito de rescindir o subprocessador. contrato do processador e instruir o subprocessador a apagar ou devolver os dados pessoais.
Este requisito pode ser atendido pelo subprocessador que acede a estas Cláusulas sob o Módulo apropriado, de acordo com a Cláusula 7.

MÓDULO TRÊS: Transferir processador para processador

OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não deve subcontratar nenhuma de suas atividades de processamento realizadas em nome do exportador de dados sob estas Cláusulas para um subprocessador sem a autorização prévia por escrito do controlador. O importador de dados deve apresentar o pedido de autorização específica pelo menos [Especificar período de tempo] antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o controlador decida sobre a autorização. Deve informar o exportador de dados dessa contratação. A lista de subprocessadores já autorizados pelo controlador pode ser encontrada no Anexo III. As Partes manterão o Anexo III atualizado. OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados tem a autorização geral do controlador para a contratação de subprocessador(es) de uma lista acordada. O importador de dados deve informar especificamente o controlador por escrito sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos [Especificar período de tempo] com antecedência, dando assim ao controlador tempo suficiente para poder se opor a tais alterações antes da contratação do(s) subprocessador(es). O importador de dados deve fornecer ao controlador as informações necessárias para permitir que o controlador exerça seu direito de oposição. O importador de dados deve informar o exportador de dados sobre a contratação do(s) subprocessador(es).
Quando o importador de dados contrata um subprocessador para realizar atividades de processamento específicas (em nome do controlador), deve fazê-lo por meio de um contrato escrito que preveja, em substância, as mesmas obrigações de proteção de dados que vinculam os dados importador sob estas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para titulares de dados. As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações sob a Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.
O importador de dados deve fornecer, a pedido do exportador de dados ou do controlador, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.
O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador sob seu contrato com o importador de dados. O importador de dados deve notificar o exportador de dados de qualquer falha do subprocessador em cumprir suas obrigações sob esse contrato.
O importador de dados deverá acordar uma cláusula de terceiro beneficiário com o subprocessador pela qual - no caso de o importador de dados ter desaparecido de fato, deixado de existir legalmente ou se tornado insolvente - o exportador de dados terá o direito de rescindir o subprocessador. contrato do processador e instruir o subprocessador a apagar ou devolver os dados pessoais.

Este requisito pode ser atendido pelo subprocessador que acede a estas Cláusulas sob o Módulo apropriado, de acordo com a Cláusula 7.

Cláusula 10

Direitos do titular dos dados

MÓDULO UM: Transferir controlador para controlador

O importador de dados, quando relevante com a assistência do exportador de dados, deve lidar com quaisquer consultas e solicitações recebidas de um titular de dados relacionadas ao processamento de seus dados pessoais e ao exercício de seus direitos sob estas Cláusulas sem atraso e, o mais tardar, no prazo de um mês a contar da receção da consulta ou do pedido. O importador de dados deve tomar as medidas adequadas para facilitar tais consultas, solicitações e o exercício dos direitos do titular dos dados. Qualquer informação prestada ao titular dos dados deve ser feita de forma inteligível e facilmente acessível, utilizando uma linguagem clara e simples.
Em particular, a pedido do titular dos dados, o importador de dados deve, gratuitamente:
1. fornecer ao titular dos dados uma confirmação sobre se os dados pessoais que lhe dizem respeito estão a ser tratados e, se for o caso, uma cópia dos dados que lhe digam respeito e das informações constantes do Anexo I; se os dados pessoais foram ou serão transferidos posteriormente, fornecer informações sobre destinatários ou categorias de destinatários (conforme apropriado para fornecer informações significativas) para os quais os dados pessoais foram ou serão transferidos posteriormente, o objetivo de tais transferências posteriores e seus fundamentos nos termos da Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação a uma autoridade supervisora de acordo com a Cláusula 12(c)(i);
2. retificar dados inexatos ou incompletos relativos ao titular dos dados;
3. apagar dados pessoais relativos ao titular dos dados se tais dados estiverem sendo ou tiverem sido processados em violação de qualquer uma destas Cláusulas que garantem direitos de terceiros beneficiários, ou se o titular dos dados retirar o consentimento em que o processamento se baseia.
Quando o importador de dados processa os dados pessoais para fins de marketing direto, deve cessar o processamento para esses fins se o titular dos dados se opuser.
O importador de dados não deve tomar uma decisão com base apenas no tratamento automatizado dos dados pessoais transferidos (doravante “decisão automatizada”), que produza efeitos jurídicos sobre o titular dos dados ou o afete significativamente de forma semelhante, a menos que com o consentimento explícito do o titular dos dados ou se autorizado a fazê-lo ao abrigo da legislação do país de destino, desde que tal legislação estabeleça medidas adequadas para salvaguardar os direitos e interesses legítimos do titular dos dados. Nesse caso, o importador de dados deve, se necessário em cooperação com o exportador de dados:
1. informar o titular dos dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e
2. implementar as garantias adequadas, pelo menos permitindo ao titular dos dados contestar a decisão, expressar o seu ponto de vista e obter revisão por um ser humano.
Quando os pedidos de um titular de dados forem excessivos, em especial devido ao seu caráter repetitivo, o importador de dados poderá cobrar uma taxa razoável, levando em consideração os custos administrativos da concessão do pedido, ou recusar-se a agir de acordo com o pedido.
O importador de dados pode recusar o pedido de um titular de dados se tal recusa for permitida pela legislação do país de destino e for necessária e proporcionada numa sociedade democrática para proteger um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE) 2016 /679.
Se o importador de dados pretender recusar o pedido de um titular de dados, deve informar o titular dos dados sobre os motivos da recusa e a possibilidade de apresentar uma reclamação junto da autoridade de controlo competente e/ou procurar reparação judicial.

MÓDULO DOIS: Transferir controlador para processador

O importador de dados deve notificar imediatamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados. Não deve responder a esse pedido, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
O importador de dados deve ajudar o exportador de dados a cumprir as suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679. A este respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento pelo qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.

MÓDULO TRÊS: Transferir processador para processador

O importador de dados deve notificar imediatamente o exportador de dados e, se for o caso, o controlador de qualquer solicitação que tenha recebido de um titular de dados, sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo controlador.
O importador de dados deve ajudar, se for caso disso em cooperação com o exportador de dados, o responsável pelo tratamento no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados para o exercício dos seus direitos ao abrigo do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725 , conforme aplicável. A este respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizativas adequadas, tendo em conta a natureza do tratamento pelo qual a assistência será prestada, bem como o âmbito e a extensão da assistência necessária.
Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do controlador, conforme comunicadas pelo exportador de dados.

MÓDULO QUATRO: Transfira o processador para o controlador

As Partes devem ajudar-se mutuamente na resposta a consultas e solicitações feitas por titulares de dados de acordo com a lei local aplicável ao importador de dados ou, para processamento de dados pelo exportador de dados na UE, de acordo com o Regulamento (UE) 2016/679.

Cláusula 11

Reparação

O importador de dados deve informar os titulares de dados de forma transparente e de fácil acesso, através de aviso individual ou no seu site, sobre um ponto de contacto autorizado a tratar reclamações. Deve lidar prontamente com quaisquer reclamações que receber de um titular de dados. [OPÇÃO: O importador de dados concorda que os titulares dos dados também podem apresentar uma reclamação a uma entidade independente de resolução de litígios sem custos para o titular dos dados. Deve informar os titulares dos dados, na forma definida na alínea a), desse mecanismo de reparação e que não são obrigados a utilizá-lo, ou seguir uma determinada sequência na procura de reparação.]

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito ao cumprimento destas Cláusulas, essa Parte envidará os seus melhores esforços para resolver a questão de forma amigável e atempada. As Partes devem manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.
Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados deve aceitar a decisão do titular dos dados de:
1. apresentar uma reclamação à autoridade de controlo do Estado-Membro da sua residência habitual ou local de trabalho, ou à autoridade de controlo competente nos termos do artigo 13.º;
2. remeter o litígio aos tribunais competentes na acepção da Cláusula 18.
As Partes aceitam que o titular dos dados possa ser representado por um organismo, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80.º, n.º 1, do Regulamento (UE) 2016/679.
O importador de dados deve cumprir uma decisão que seja vinculativa de acordo com a legislação aplicável da UE ou do Estado-Membro.
O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar recursos de acordo com as leis aplicáveis.

Cláusula 12

Responsabilidade

MÓDULO UM: Transferir controlador para controlador

MÓDULO QUATRO: Transfira o processador para o controlador

Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
Cada Parte será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais que a Parte causar ao titular dos dados ao violar os direitos de terceiro beneficiário sob estas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados nos termos do Regulamento (UE) 2016/679.
Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Cláusulas. Partidos.
As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (c), terá o direito de reclamar da outra Parte(s) a parte da compensação correspondente à sua responsabilidade pelo dano.
O importador de dados não pode invocar a conduta de um processador ou subprocessador para evitar sua própria responsabilidade.

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma compensação, por quaisquer danos materiais ou imateriais que o importador de dados ou seu subprocessador cause ao titular dos dados por violação dos direitos de terceiro beneficiário sob estas Cláusulas.
Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber compensação, por quaisquer danos materiais ou imateriais do exportador de dados ou do importador de dados (ou seu subprocessador) causa o titular dos dados ao violar os direitos de terceiros beneficiários sob estas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
As Partes concordam que, se o exportador de dados for responsabilizado nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar de volta do importador de dados parte da compensação correspondente ao responsabilidade do importador de dados pelos danos.
Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de intentar uma ação judicial contra qualquer uma dessas Cláusulas. Partidos.
As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), terá o direito de reivindicar à outra Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.

Cláusula 13

Supervisão

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

[Se o exportador de dados estiver estabelecido em um Estado-Membro da UE:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo IC, atuará como competente autoridade supervisora. [Caso o exportador de dados não esteja estabelecido num Estado-Membro da UE, mas se enquadre no âmbito de aplicação territorial do Regulamento (UE) 2016/679 em conformidade com o seu artigo 3.º, n.º 2, e tenha nomeado um representante nos termos do artigo 27.º, n.º 1 ) do Regulamento (UE) 2016/679:] A autoridade de controlo do Estado-Membro em que está estabelecido o representante na aceção do artigo 27.º, n.º 1, do Regulamento (UE) 2016/679, conforme indicado no anexo IC, atua como autoridade supervisora competente. [Caso o exportador de dados não esteja estabelecido num Estado-Membro da UE, mas se enquadre no âmbito de aplicação territorial do Regulamento (UE) 2016/679 em conformidade com o seu artigo 3.º, n.º 2, sem, no entanto, ter de nomear um representante nos termos do artigo 27.º (2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados Membros em que os titulares de dados cujos dados pessoais são transferidos sob estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo IC, atuará como autoridade supervisora competente.
O importador de dados concorda em submeter-se à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos que visem assegurar o cumprimento destas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias. Deve fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.

SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam o cumprimento das Cláusulas

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO QUATRO: Transfira o processador para o controlador

(onde o processador da UE combina os dados pessoais recebidos do controlador do país terceiro com os dados pessoais coletados pelo processador na UE)

As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento de dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações sob estas Cláusulas. Tal baseia-se no entendimento de que leis e práticas que respeitem a essência dos direitos e liberdades fundamentais e não excedam o que é necessário e proporcionado numa sociedade democrática para salvaguardar um dos objetivos enumerados no artigo 23.º, n.º 1, do Regulamento (UE ) 2016/679, não estão em contradição com estas Cláusulas.
As Partes declaram que, ao fornecer a garantia no parágrafo (a), levaram em devida consideração, em particular, os seguintes elementos:
1. as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que a transferência ocorre; o local de armazenamento dos dados transferidos;
2. as leis e práticas do país terceiro de destino – incluindo aquelas que exigem a divulgação de dados às autoridades públicas ou autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência e das limitações e garantias aplicáveis;
3. quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas sob estas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.
O importador de dados garante que, ao realizar a avaliação de acordo com o parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará cooperando com o exportador de dados para garantir o cumprimento destas Cláusulas.
As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente mediante solicitação.
O importador de dados concorda em notificar imediatamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou ficou sujeito a leis ou práticas não alinhadas com os requisitos do parágrafo (a), inclusive após uma mudança nas leis do país terceiro ou uma medida (como um pedido de divulgação) que indique uma aplicação dessas leis na prática que não esteja em conformidade com os requisitos do parágrafo (a). [Para o Módulo Três: O exportador de dados deve encaminhar a notificação ao controlador.]
Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações sob estas Cláusulas, o exportador de dados deverá identificar imediatamente as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir segurança e confidencialidade) a ser adotada pelo exportador e/ou importador de dados para resolver a situação [para o Módulo Três: , se apropriado em consulta com o controlador]. O exportador de dados deve suspender a transferência de dados se considerar que não podem ser asseguradas salvaguardas adequadas para tal transferência, ou se instruído por [para o Módulo Três: o controlador ou] a autoridade supervisora competente para fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, as Cláusulas 16(d) e (e) serão aplicáveis.

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO QUATRO: Transfira o processador para o controlador

(onde o processador da UE combina os dados pessoais recebidos do controlador do país terceiro com os dados pessoais coletados pelo processador na UE)

Notificação
1. 1. O importador de dados concorda em notificar imediatamente o exportador de dados e, sempre que possível, o titular dos dados (se necessário com a ajuda do exportador de dados) se:
    1. recebe uma solicitação juridicamente vinculativa de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação deve incluir informações sobre os dados pessoais solicitados, a autoridade requerente, a base legal do pedido e a resposta fornecida; ou
    2. toma conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas de acordo com as leis do país de destino; essa notificação incluirá todas as informações de que o importador disponha.
[Para o Módulo Três: O exportador de dados deve encaminhar a notificação ao controlador.]
1. Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia à proibição, com o objetivo de comunicar o máximo possível informações o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.
2. Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) requerente(s), se os pedidos foram contestados e o resultado de tais contestações, etc.). [Para o Módulo Três: O exportador de dados deve encaminhar as informações para o controlador.]
3. O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
4. Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados de acordo com a Cláusula 14(e) e a Cláusula 16 de informar imediatamente o exportador de dados quando não puder cumprir estas Cláusulas.
Revisão da legalidade e minimização de dados
1. O importador de dados concorda em rever a legalidade do pedido de divulgação, em particular se continua dentro dos poderes conferidos à autoridade pública requerente, e contestar o pedido se, após avaliação cuidadosa, concluir que existem motivos razoáveis para considerar que a solicitação é ilegal sob as leis do país de destino, obrigações aplicáveis sob a lei internacional e princípios de cortesia internacional. O importador de dados deverá, nas mesmas condições, buscar possibilidades de recurso. Ao impugnar um pedido, o importador de dados deverá buscar medidas cautelares com vistas a suspender os efeitos do pedido até que a autoridade judiciária competente decida sobre o seu mérito. Não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados de acordo com a Cláusula 14(e).
2. O importador de dados concorda em documentar sua avaliação legal e qualquer contestação à solicitação de divulgação e, na medida permitida pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Deve também disponibilizá-lo à autoridade de controlo competente, mediante pedido. [Para o Módulo Três: O exportador de dados deve disponibilizar a avaliação para o controlador.]
3. O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

SEÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16

Não cumprimento das Cláusulas e rescisão

O importador de dados deverá informar prontamente ao exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.
No caso de o importador de dados violar estas Cláusulas ou incapaz de cumprir estas Cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que o cumprimento seja novamente assegurado ou o contrato seja rescindido. Isso sem prejuízo da Cláusula 14(f).
O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais sob estas Cláusulas, quando:
1. o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados de acordo com o parágrafo (b) e o cumprimento destas Cláusulas não foi restaurado dentro de um prazo razoável e, em qualquer caso, dentro de um mês de suspensão;
2. o importador de dados está em violação substancial ou persistente destas Cláusulas; ou
3. o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou autoridade supervisora sobre suas obrigações sob estas Cláusulas.
Nesses casos, deve informar a autoridade supervisora competente [para o Módulo Três: e o controlador] de tal não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas em relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
[Para os Módulos Um, Dois e Três: Os dados pessoais que foram transferidos antes da rescisão do contrato de acordo com o parágrafo (c) serão, à escolha do exportador de dados, imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplica a quaisquer cópias dos dados.] [Para o Módulo Quatro: Os dados pessoais coletados pelo exportador de dados na UE que foram transferidos antes da rescisão do contrato de acordo com o parágrafo (c) serão imediatamente excluídos em sua integral, incluindo qualquer cópia do mesmo.] O importador de dados deve certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir o cumprimento destas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir o cumprimento destas Cláusulas e processará os dados apenas na medida e pelo tempo que exigido por essa lei local.
Qualquer uma das Partes pode revogar o seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 que abrange a transferência de dados pessoais a que estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 passa a fazer parte do quadro jurídico do país para o qual os dados pessoais são transferidos. Tal não prejudica outras obrigações aplicáveis ao tratamento em causa ao abrigo do Regulamento (UE) 2016/679.

Cláusula 17

Lei regente

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

[OPÇÃO 1: Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei dos Países Baixos. [OPÇÃO 2 (para os Módulos Dois e Três): Estas Cláusulas serão regidas pela lei do Estado-Membro da UE em que o exportador de dados está estabelecido. Quando essa lei não permitir direitos de beneficiários de terceiros, eles serão regidos pela lei de outro Estado-Membro da UE que permita direitos de beneficiários de terceiros. As Partes concordam que esta será a lei dos Países Baixos.

MÓDULO QUATRO: Transfira o processador para o controlador

Estas Cláusulas serão regidas pela lei de um país que permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei dos Países Baixos.

Cláusula 18

Escolha do foro e jurisdição

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado-Membro da UE.
As Partes concordam que esses serão os tribunais da Holanda.
Um titular de dados também pode intentar ações judiciais contra o exportador e/ou importador de dados perante os tribunais do Estado-Membro em que tem a sua residência habitual.
As Partes concordam em submeter-se à jurisdição de tais tribunais.

MÓDULO QUATRO: Transfira o processador para o controlador

Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais da Holanda.

APÊNDICE ÀS CLÁUSULAS CONTRATUAIS PADRÃO

ANEXO I ÀS CLÁUSULAS CONTRATUAIS PADRÃO

A. DESCRIÇÃO DA TRANSFERÊNCIA

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO QUATRO: Transfira o processador para o controlador

Categorias de titulares de dados cujos dados pessoais são transferidos Todos os funcionários, agentes, consultores, subcontratados ou pessoas de contato do exportador de dados do canal do Cliente, parceiros, clientes, clientes potenciais, parceiros de negócios e fornecedores e quaisquer outros usuários dos Pontos de Extremidade do Cliente nos quais os Entregáveis estão instalados ou outros usuários autorizados dos Entregáveis. Categorias de dados pessoais transferidos Os dados pessoais transferidos dizem respeito às seguintes categorias de dados

Dados da empresa cliente; títulos, e-mails, números de telefone e nomes de representantes do Cliente; Informações de pagamento; informação de negócios; e outros Dados ou informações que o Cliente decida fornecer à Stellar Cyber por ou por meio dos Produtos ou quaisquer outros meios ou mecanismos.
Dados do usuário e do endpoint: ID do agente, nome do endpoint, ID do usuário do Active Directory do cliente, nome de usuário, aplicativos instalados - tempo de instalação, tamanho, editor e versão, nome de usuário SMTP, dados de configuração relacionados à integração do Active Directory.
Caminho completo do arquivo: incluirá apenas dados pessoais se o nome do arquivo, conforme indicado pelo Cliente, incluir Dados.
Dados de rede (endereço IP de rede interna, endereço IP público, endereço MAC).
Arquivos reconstruídos: arquivos reconstruídos na rede.
Configurações do sistema recebidas do Console de gerenciamento (nomes de usuário, e-mails e números de telefone).
Informações sobre ameaças (caminho do arquivo, assinatura de detecção de intrusão (que pode incluir nomes de usuários, endereços IP, nomes de arquivos).
Monitoramento de rede ao vivo (URLs, cabeçalhos de URL, carimbos de data/hora).
Onde o cliente aciona o recurso de busca de arquivos do Stellar Cyber: quaisquer dados contidos em arquivos buscados pelos administradores do cliente.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, como por exemplo limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para pessoal com formação especializada), manutenção um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais. Não aplicável. A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua). A transferência de dados é contínua durante a vigência do Contrato Finalidade(s) da transferência de dados e processamento adicional A Stellar Cyber está comprometida em fornecer os Produtos a serem entregues ao Cliente que envolvem o processamento de Dados Pessoais. O escopo dos Entregáveis é estabelecido no Contrato, e os Dados Pessoais serão processados pela Stellar Cyber conforme necessário para entregar esses Entregáveis e cumprir os termos do Contrato e deste Adendo. O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período A duração do processamento será: até o vencimento/rescisão do Contrato, ou (ii) 30 dias após o recebimento de uma solicitação de exclusão de alguns ou todos os Dados Pessoais pelo Cliente. Para transferências para (sub) processadores, especifique também o objeto, a natureza e a duração do processamento Stellar Cyber usa subprocessadores para dar suporte ao seu ambiente de infraestrutura, fornecedores locais e internacionais de telecomunicações e serviços de rede, entidades envolvidas no armazenamento de dados e material de entrega de conteúdo. Os Dados Pessoais processados por subprocessadores são processados para os propósitos e duração do contrato de serviços Stellar Cyber relevante ou documento de pedido. Para obter mais informações, consulte a Lista de Subprocessadores da Stellar Cyber no Anexo III dos SCCs.

B. AUTORIDADE DE SUPERVISÃO COMPETENTE

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

Identifique a(s) autoridade(s) de supervisão competente(s) de acordo com a Cláusula 13 Para assuntos relacionados a transferências de dados de acordo com o Regulamento (UE) 2016/679: Autoriteit Persoongegevens of the Netherlands: https://www.autoriteitpersoonsgegevens.nl/en

ANEXO II DAS CLÁUSULAS CONTRATUAIS PADRÃO - MEDIDAS TÉCNICAS E ORGANIZACIONAIS INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS A

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, escopo, contexto e finalidade do processamento e os riscos para os direitos e liberdades das pessoas físicas.

As medidas técnicas e organizacionais incluem, mas não se limitam às seguintes medidas para garantir a confidencialidade, integridade e disponibilidade contínua dos dados, a fim de impedir o acesso, uso, modificação ou divulgação não autorizados de dados:

Realização de verificações de antecedentes de todo o pessoal que tenha acesso ao processamento de dados, bem como assinatura de compromissos de não divulgação e ética nos negócios antes do emprego.
Treinamento de conscientização sobre segurança e privacidade, incluindo reconhecimento e concordância em cumprir as políticas de segurança da organização, para todo o pessoal no momento da contratação e anualmente a partir de então.
Manutenção de um conjunto abrangente de políticas, procedimentos e planos de segurança e privacidade que são revisados pelo menos anualmente e fornecem orientação à organização quanto às práticas de segurança e privacidade; processos para avaliar Subprocessadores potenciais e existentes para garantir que eles tenham a capacidade e se comprometam com as medidas técnicas e organizacionais apropriadas para garantir a confidencialidade, integridade e disponibilidade contínua dos dados.
Um processo para testar, avaliar e avaliar regularmente a eficácia das salvaguardas administrativas, técnicas e físicas para garantir a segurança do processamento, transmissão ou armazenamento de dados por meio de auditorias externas e internas.
Impedir o acesso, uso, modificação ou divulgação de dados, exceto por pessoal autorizado da Stellar Cyber (1) para fornecer os Entregáveis e prevenir ou resolver problemas técnicos ou de serviço, (2) conforme exigido por lei, ou (3) conforme o Cliente expressamente permitir por escrito .
Registro e monitoramento de logs de segurança por meio de um Sistema de Gerenciamento de Eventos e Incidentes de Segurança (“SIGEM”)SIEMSistema de monitoramento e alertas em caso de detecção de comportamentos suspeitos do sistema e/ou do usuário; processos e ferramentas para identificar, avaliar e priorizar vulnerabilidades regularmente, com base em diretrizes padrão do setor.
Pseudonimização ou criptografia de dados em trânsito e em repouso utilizando mecanismos padrão do setor para determinados produtos.
MFA e senhas fortes são rigorosamente aplicadas para acessar a unidade de processamento de dados.
A capacidade de restaurar a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente que afete a disponibilidade dos Dados do Cliente, mantendo uma solução de backup para fins de recuperação de desastres;

Para transferências para (sub) processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador e, para transferências de um processador para um subprocessador, para o exportador de dados

A Stellar Cyber exige que seus subprocessadores cumpram medidas técnicas e organizacionais materialmente equivalentes às adotadas pela Stellar Cyber.

ANEXO III ÀS CLÁUSULAS CONTRATUAIS PADRÃO - LISTA DE SUBPROCESSADORES

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

O controlador autorizou o uso dos seguintes subprocessadores:

Entidade	Tipo de serviço	País da Entidade
Oráculo, Inc.	Infraestrutura como um serviço	Estados Unidos. Região do Data Center localizada na região selecionada pelo Cliente.
Zendesk, Inc.	Suporte ao Cliente	Estados Unidos
Slack Technologies, Inc.	Suporte ao Cliente	Estados Unidos
Atlassian	Suporte ao Cliente	Estados Unidos
Tecnologias Hex	Business Intelligence	Estados Unidos
Gainsight	Suporte ao Cliente	Estados Unidos
Mixpanel	Análise de Produto	Estados Unidos

O controlador autorizou o uso dos seguintes subprocessadores:

Os seguintes termos complementam as Cláusulas Contratuais Padrão somente se e na medida em que as Cláusulas Contratuais Padrão se aplicam a transferências de dados sujeitas à Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça):

O termo 'Estado-Membro' será interpretado de forma a permitir que um titular de dados na Suíça exerça os seus direitos ao abrigo das Cláusulas no seu local de residência habitual (Suíça) de acordo com a Cláusula 18(c) destas Cláusulas.

ANEXO 4 DO ADENDO DE PRODUÇÃO DE DADOS

ADENDO DE TRANSFERÊNCIA DE DADOS INTERNACIONAIS ÀS CLÁUSULAS CONTRATUAIS PADRÃO DA COMISSÃO DA UE

Este Adendo foi emitido pelo Comissário de Informações para Partes que fazem Transferências Restritas. O Comissário de Informação considera que fornece Salvaguardas Apropriadas para Transferências Restritas quando é celebrado como um contrato juridicamente vinculativo.

Parte 1: Tabelas

Tabela 1: Partes

Data de início
As festas	Exportador (quem envia a Transferência Restrita)	Importador (que recebe a Transferência Restrita)
Detalhes das partes	Conforme especificado no Contrato.	Conforme especificado no Contrato.

Tabela 2: SCCs selecionados, módulos e cláusulas selecionadas

Adendo EU SCCs	A versão dos SCCs da UE Aprovados aos quais este Anexo 4 está anexado, detalhado abaixo, incluindo as Informações do Apêndice:

Tabela 3: Informações do Apêndice

“Informações do Apêndice” significa a informação que deve ser fornecida para os módulos selecionados conforme estabelecido no Apêndice dos CCEs da UE Aprovados (exceto as Partes), e que para este Adendo está estabelecido em: sentinelone.com/legal/sccs/eu-c2p .

Tabela 4: Término deste Adendo quando o Adendo Aprovado for alterado

Terminar este Adendo quando o Adendo Aprovado for alterado	Quais Partes podem encerrar este Adendo conforme estabelecido na Seção 19: importação Exportador

Parte 2: Cláusulas Obrigatórias

Cada Parte concorda em ficar vinculada aos termos e condições estabelecidos neste Adendo, em troca da outra Parte também concordar em ficar vinculada a este Adendo.
Embora o Anexo 1A e a Cláusula 7 das CECs da UE aprovados exijam a assinatura das Partes, para fins de transferências restritas, as Partes podem celebrar este Adendo de qualquer forma que os torne juridicamente vinculativos para as Partes e permita que os titulares dos dados apliquem suas direitos conforme estabelecido neste Adendo. A celebração deste Adendo terá o mesmo efeito que assinar os CCEs da UE Aprovados e qualquer parte dos CECs da UE Aprovados.

Interpretação deste Adendo

Quando este Adendo usar termos definidos nos CECs UE Aprovados, esses termos terão o mesmo significado que nos CECs UE Aprovados. Além disso, os seguintes termos têm os seguintes significados: Termo aditivo: Este Adendo de Transferência Internacional de Dados, que é composto por este Adendo que incorpora o Adendo EU SCCs. Adendo SCCs da UE: A(s) versão(ões) das SCCs da UE aprovadas às quais este Adendo é anexado, conforme estabelecido na Tabela 2, incluindo as Informações do Apêndice. Informações do Apêndice: Conforme estabelecido na Tabela 3. Salvaguardas Apropriadas: O padrão de proteção sobre os dados pessoais e os direitos dos titulares de dados, que é exigido pelas Leis de Proteção de Dados do Reino Unido quando você está fazendo uma Transferência Restrita com base nas cláusulas padrão de proteção de dados nos termos do Artigo 46(2)(d) do GDPR do Reino Unido. Adendo aprovado: O modelo de Adendo emitido pela ICO e apresentado ao Parlamento de acordo com o s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado na Seção 18. SCCs da UE aprovados: As cláusulas contratuais padrão estabelecidas no anexo da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021. ICON:O Comissário de Informação. Transferência restrita: Uma transferência que é coberta pelo Capítulo V do GDPR do Reino Unido. REINO UNIDO: Reino Unido da Grã-Bretanha e Irlanda do Norte. Leis de proteção de dados do Reino Unido:Todas as leis relacionadas à proteção de dados, processamento de dados pessoais, privacidade e/ou comunicações eletrônicas em vigor periodicamente no Reino Unido, incluindo o GDPR do Reino Unido e o Data Protection Act 2018. RGPD do Reino Unido: Conforme definido na seção 3 da Lei de Proteção de Dados de 2018.

Este Adendo deve sempre ser interpretado de maneira consistente com as Leis de Proteção de Dados do Reino Unido e de forma que cumpra as obrigações das Partes de fornecer as Proteções Apropriadas.
Se as disposições incluídas no Adendo EU SCCs alterarem os SCCs Aprovados de qualquer forma que não seja permitida sob os Aprovados EU SCCs ou o Adendo Aprovado, tais emendas não serão incorporadas a este Adendo e a disposição equivalente do Aprovado EU SCCs tomarão seu lugar.
Se houver qualquer inconsistência ou conflito entre as Leis de Proteção de Dados do Reino Unido e este Adendo, as Leis de Proteção de Dados do Reino Unido se aplicam.
Se o significado deste Adendo não for claro ou houver mais de um significado, será aplicado o significado que estiver mais alinhado com as Leis de Proteção de Dados do Reino Unido.
Quaisquer referências à legislação (ou disposições específicas da legislação) significam que a legislação (ou disposição específica) pode mudar ao longo do tempo. Isso inclui onde a legislação (ou disposição específica) foi consolidada, promulgada e/ou substituída após a celebração deste Adendo.

Interpretação deste Adendo

Embora a Cláusula 5 das SCCs da UE Aprovadas estabeleça que as SCCs da UE Aprovadas prevalecem sobre todos os acordos relacionados entre as partes, as partes concordam que, para Transferências Restritas, a hierarquia na Seção 10 prevalecerá.
Quando houver qualquer inconsistência ou conflito entre o Adendo Aprovado e o Adendo EU SCCs (conforme aplicável), o Adendo Aprovado substitui os Adendo EU SCCs, exceto quando (e na medida em que) os termos inconsistentes ou conflitantes do Adendo EU SCCs fornecerem maior proteção para os titulares dos dados, caso em que esses termos substituirão o Adendo Aprovado.
Quando este Adendo incorporar os CCEs da UE do Adendo que foram celebrados para proteger as transferências sujeitas ao Regulamento Geral de Proteção de Dados (UE) 2016/679, as Partes reconhecem que nada neste Adendo afeta esses SCCs da UE do Adendo.

Incorporação e mudanças nos SCCs da UE

Este Adendo incorpora o Adendo EU SCCs que são alterados na medida do necessário para que:

juntos, eles operam para transferências de dados feitas pelo exportador de dados para o importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao fazer essa transferência de dados, e eles fornecem Salvaguardas Apropriadas para essas transferências de dados;
A Seção 9 a 11 substitui a Cláusula 5 (Hierarquia) do Adendo EU SCCs; e
este Adendo (incluindo o Adendo EU SCCs incorporado a ele) é (1) regido pelas leis da Inglaterra e do País de Gales e (2) qualquer disputa decorrente dele é resolvida pelos tribunais da Inglaterra e do País de Gales, em cada caso, a menos que as leis e /ou tribunais da Escócia ou Irlanda do Norte foram expressamente selecionados pelas Partes.

A menos que as Partes tenham acordado alterações alternativas que atendam aos requisitos da Seção 12, as disposições da Seção 15 serão aplicadas. Nenhuma alteração nos SCCs da UE Aprovados, exceto para atender aos requisitos da Seção 12, pode ser feita. As seguintes alterações ao Adendo EU SCCs (para os fins da Seção 12) são feitas:

As referências às “Cláusulas” significam este Adendo, incorporando o Adendo EU SCCs;

Na cláusula 2, exclua as palavras:

"e, no que diz respeito às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28.º, n.º 7, do Regulamento (UE) 2016/679";

A Cláusula 6 (Descrição da(s) transferência(s)) é substituída por:

“Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a qual são transferidos) são os especificados no Anexo IB, onde as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados quando fazer essa transferência.”;

A Cláusula 8.7(i) do Módulo 1 é substituída por:

“é para um país que se beneficie de regulamentos de adequação de acordo com a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente”;

A cláusula 8.8(i) dos Módulos 2 e 3 é substituída por:

“a transferência subsequente é para um país que se beneficie de regulamentos de adequação de acordo com a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente;”

Referências ao “Regulamento (UE) 2016/679”, “Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados)” e “esse Regulamento” são todos substituídos por “Leis de Proteção de Dados do Reino Unido”. As referências a artigos específicos do “Regulamento (UE) 2016/679” são substituídas pelo artigo ou seção equivalente das leis de proteção de dados do Reino Unido; As referências ao Regulamento (UE) 2018/1725 são suprimidas; As referências a “União Europeia”, “União”, “UE”, “Estado-Membro da UE”, “Estado-Membro” e “UE ou Estado-Membro” são todas substituídas por “Reino Unido”; A referência à “Cláusula 12(c)(i)” na Cláusula 10(b)(i) do Módulo um é substituída pela “Cláusula 11(c)(i)”; A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas; A “autoridade de supervisão competente” e a “autoridade de supervisão” são substituídas pelo “Comissário de Informação”; CNa cláusula 16€, subsecção (i) substituída por:

“o Secretário de Estado faz regulamentos de acordo com a Seção 17A da Lei de Proteção de Dados de 2018 que cobrem a transferência de dados pessoais aos quais essas cláusulas se aplicam;”

A cláusula 17 é substituída por:

“Estas Cláusulas são regidas pelas leis da Inglaterra e do País de Gales.”;

A cláusula 18 é substituída por:

“Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais da Inglaterra e País de Gales. Um titular de dados também pode instaurar processos judiciais contra o exportador e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em submeter-se à jurisdição de tais tribunais.”; e

As notas de rodapé dos CCS aprovados da UE não fazem parte do Adendo, exceto as notas de rodapé 8, 9, 10 e 11.

Alterações a este Adendo

As Partes podem concordar em alterar a Cláusula 17 e/ou 18 do Adendo EU SCCs para se referir às leis e/ou tribunais da Escócia ou Irlanda do Norte.
Se as Partes desejarem alterar o formato das informações incluídas na Parte 1: Tabelas do Adendo Aprovado, poderão fazê-lo concordando com a alteração por escrito, desde que a alteração não reduza as Salvaguardas Apropriadas.

De tempos em tempos, a OIC pode emitir um Adendo Aprovado revisado que:

faz alterações razoáveis e proporcionais ao Adendo Aprovado, incluindo a correção de erros no Adendo Aprovado; e/ou
reflete mudanças nas leis de proteção de dados do Reino Unido;

O Adendo Aprovado revisado especificará a data de início a partir da qual as alterações do Adendo Aprovado entrarão em vigor e se as Partes precisam revisar este Adendo, incluindo as Informações do Apêndice. Este Adendo é automaticamente alterado conforme estabelecido no Adendo Aprovado revisado a partir da data de início especificada. Se a OIC emitir um Adendo Aprovado revisado de acordo com a Seção 18, se qualquer Parte selecionada na Tabela 4 "Término do Adendo quando o Adendo Aprovado mudar", como resultado direto das mudanças no Adendo Aprovado, terá um aumento substancial, desproporcional e demonstrável dentro:

seus custos diretos de cumprir suas obrigações sob o Adendo; e/ou
seu risco de acordo com o Adendo e, em qualquer caso, tenha tomado medidas razoáveis para reduzir esses custos ou riscos para que não seja substancial e desproporcional, essa Parte poderá encerrar este Adendo no final de um período de aviso razoável, fornecendo por escrito notificação desse período à outra Parte antes da data de início do Adendo Aprovado revisado.

As Partes não precisam do consentimento de terceiros para fazer alterações neste Aditivo, mas quaisquer alterações devem ser feitas de acordo com seus termos.

Recursos de segurança

Verticais

Compare com Stellar Cyber

Comparação

Casos de uso

Diferenciais

Liderança do pensamento

Programas e recursos

Comece Agora

Recursos em destaque

SOC Guias de Automação

Guias de SecOps

AI-driven SIEM Guias

escolher o idioma

Adendo sobre Proteção de Dados

Definições

Processamento de Dados Pessoais do Cliente

Pessoal Cibernético Estelar

Total

Subprocessamento

Direitos sobre os dados

Violações de Dados Pessoais

Avaliação do Impacto da Proteção de Dados e Consulta Prévia

Exclusão ou devolução de Dados Pessoais do Cliente

Auditoria e Registros

Transferências restritas

Condições Gerais

ANEXO 1 DO ADENDO DE PROTEÇÃO DE DADOS

DETALHES DO PROCESSAMENTO DE DADOS PESSOAIS DO CLIENTE

ANEXO 2 DO ADENDO DE PROTEÇÃO DE DADOS

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

ANEXO 3 DO ADENDO DE PROTEÇÃO DE DADOS

CLÁUSULAS CONTRATUAIS PADRÃO

SEÇÃO I

SEÇÃO II - OBRIGAÇÕES DAS PARTES

MÓDULO UM: Transferir controlador para controlador

Limitação de propósito

Transparência

Precisão e minimização de dados

Limitação de armazenamento

Segurança de processamento

Dados sensíveis

Transferências posteriores

Processamento sob a autoridade do importador de dados

Documentação e conformidade

MÓDULO DOIS: Transferir controlador para processador

Instruções

Limitação de propósito

Transparência

Precisão

Duração do processamento e apagamento ou devolução de dados

Segurança de processamento

Dados sensíveis

Transferências posteriores

Documentação e conformidade

MÓDULO TRÊS: Transferir processador para processador

Instruções

Limitação de propósito

Transparência

Precisão

Duração do processamento e apagamento ou devolução de dados

Segurança de processamento

Dados sensíveis

Transferências posteriores

Documentação e conformidade

MÓDULO QUATRO: Transfira o processador para o controlador

Instruções

Segurança de processamento

Documentação e conformidade

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO QUATRO: Transfira o processador para o controlador

MÓDULO UM: Transferir controlador para controlador

MÓDULO DOIS: Transferir controlador para processador

MÓDULO TRÊS: Transferir processador para processador

MÓDULO UM: Transferir controlador para controlador

MÓDULO QUATRO: Transfira o processador para o controlador