Apêndice ao tratamento de dados

Apêndice de processamento de dados

Este Apêndice faz parte integrante do Contrato e é celebrado por:

(i) O Cliente (" Exportador de Dados ")
(ii) POSTCODEZIP (" Importador de Dados ")

Cada um sendo uma " Parte " e geralmente " Partes ".

Preâmbulo

ONDE o importador de dados fornece serviços profissionais de software, computador e serviços relacionados;

ONDE, de acordo com o Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os " Serviços ");

ONDE, ao fornecer os serviços, o importador de dados recebe ou se beneficia do acesso às informações do exportador de dados ou de outras pessoas que tenham um (potencial) relacionamento com o exportador de dados, tais informações podem ser qualificadas como dados pessoais no sentido do regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de indivíduos em relação ao processamento de dados pessoais e sobre a livre circulação desses dados (" GDPR ") e outras leis de proteção de dados aplicáveis.

ONDE este Apêndice contém os termos e condições aplicáveis à coleta, processamento e uso de tais dados pessoais pelo importador de dados em sua capacidade de agente de processamento de dados autorizado do exportador de dados, para garantir que as partes cumpram a lei de proteção de dados aplicável .

PORTANTO, e para permitir que as Partes continuem seu relacionamento legalmente, as Partes concluíram este Apêndice da seguinte forma:

Parte 1

1. Estrutura do documento e definições

1.1 Estrutura

Este Apêndice compreende diferentes partes como segue:

Parte 1:	contém disposições gerais, por exemplo, relativas às definições usadas neste Apêndice, conformidade com as leis locais, tempo e rescisão
Parte 2:	contém o corpo do documento de cláusulas contratuais padrão não alterado
Apêndice 1.1 da Parte 2:	contém os detalhes das operações de processamento fornecidas pelo importador de dados ao exportador de dados como o agente de processamento de dados autorizado (incluindo o processamento, a natureza e a finalidade do processamento, o tipo de dados pessoais e as categorias dos titulares dos dados) nos termos deste Apêndice
Apêndice 2 da Parte 2:	contém uma descrição das medidas de segurança técnicas e organizacionais do importador de dados, que são aplicadas em conexão com todas as atividades de processamento descritas no Apêndice 1.1 da Parte 2
Parte 3:	contém as assinaturas das Partes a serem vinculadas por este Apêndice e identifica cada Importador de Dados

1.2 Terminologia e definições

Para os fins deste Apêndice, a terminologia e as definições usadas pelo GDPR são aplicáveis (no corpo do documento da Cláusula Contratual Padrão na Parte 2, onde os termos definidos não são capitalizados).

"Estado membro"	significa um país pertencente à União Europeia ou ao Espaço Económico Europeu
"Categorias especiais de dados (pessoais)"	refere-se a dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e dados genéticos, dados biométricos, se processados com o objetivo de identificar uma pessoa de forma única, dados relativos à saúde, dados relativos ao sexo de uma pessoa vida ou orientação sexual
"Cláusulas Contratuais Padrão"	significa as Cláusulas Contratuais Padrão para a transferência de dados pessoais de agentes de processamento estabelecidos em países terceiros, nos termos da Decisão da Comissão 2010/87 / UE em 5 de fevereiro de 2010, que foi alterada pela Decisão de Execução da Comissão (UE) 2016/2297 em 16 de Dezembro 2016
"Processador de dadosâ € ??	significa qualquer agente de processamento, localizado dentro ou fora da UE / EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para o propósito exclusivo de atividades de processamento a serem realizadas pelo Exportador de Dados após o transferir de acordo com as instruções do exportador de dados, os termos deste Apêndice e o contrato com o importador de dados

2. Obrigações do exportador de dados

2.1 O exportador de dados tem a obrigação de garantir o cumprimento de todas as obrigações aplicáveis nos termos do GDPR e de qualquer outra lei de proteção de dados aplicável que se aplique ao exportador de dados e de demonstrar tal conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O exportador de dados garante que o importador de dados obteve o consentimento prévio dos titulares dos dados de acordo com o Artigo 6 (a) do RGPD e cumpriu sua obrigação de informar os titulares dos dados de acordo com os Artigos 13 e 14 do RGPD.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento de acordo com o Artigo 30 (1) do GDPR relacionado aos Serviços sob este Apêndice, na medida necessária para que o Importador de Dados cumpra a obrigação de Artigo 30 (2) do RGPD.

2.3 O exportador de dados deve nomear um oficial ou representante de proteção de dados na medida exigida pela lei de proteção de dados aplicável. O exportador de dados é obrigado a fornecer os detalhes de contato do agente ou representante de proteção de dados, se houver, ao importador de dados.

2.4. O Exportador de Dados confirma, antes da conclusão do processamento, pela aceitação deste Apêndice, que as medidas de segurança técnicas e organizacionais do Importador de Dados, conforme estabelecido no Apêndice 2 à Parte 2, são adequadas e suficientes para proteger os direitos do titular dos dados e confirma que o importador de dados fornece salvaguardas suficientes a este respeito.

3. Conformidade com a legislação local

A fim de atender aos requisitos de implementação dos agentes de processamento de acordo com o Artigo 28 do RGPD, as seguintes alterações são aplicáveis:

3.1 Instruções

(i) O exportador de dados instrui o importador de dados a processar dados pessoais apenas em nome do exportador de dados. As instruções do exportador de dados são fornecidas neste Apêndice e no Contrato. O exportador de dados tem a obrigação de garantir que todas as instruções fornecidas ao importador de dados estejam em conformidade com as leis de proteção de dados aplicáveis. O importador de dados deve processar dados pessoais apenas de acordo com as instruções fornecidas pelo exportador de dados, a menos que seja exigido de outra forma pela União Europeia ou pela lei do Estado-Membro (neste último caso, aplica-se a Parte 1 Cláusula 3.2 (iv) (c)) .
(ii) Todas as outras instruções que vão além das instruções neste Apêndice ou no Contrato devem ser incluídas no assunto deste Apêndice e do Contrato. Se a implementação desta instrução adicional envolver custos para o importador de dados, o importador de dados deverá informar o exportador de dados de tais custos e fornecer uma explicação antes de implementar a instrução. Somente após o exportador de dados ter confirmado a aceitação desses custos para a implementação da instrução, o importador de dados deverá implementar esta instrução adicional. O exportador de dados deve fornecer instruções adicionais por escrito, a menos que a urgência ou outras circunstâncias específicas exijam outro formulário (por exemplo, oral, eletrônico). As instruções em uma forma diferente da escrita devem ser confirmadas por escrito e sem demora pelo Exportador de Dados.
1. A menos que o Exportador de Dados não possa realizar a retificação, apagamento ou restrição de dados pessoais por si mesmo, as instruções também podem estar relacionadas à retificação, apagamento e / ou restrição de dados pessoais conforme estabelecido na Parte 1 Cláusula 3.3.
2. O importador de dados deve informar imediatamente o exportador de dados se, em sua opinião, uma instrução violar o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro (" Instrução contestada"). Se o importador de dados acreditar que uma instrução viola o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro, o importador de dados não é obrigado a seguir a instrução contestada. Se o exportador de dados confirmar a instrução contestada recebimento de informações do importador de dados e reconhece sua responsabilidade pela instrução contestada, o importador de dados deve implementar a instrução contestada, a menos que a instrução contestada se relacione com (i) a implementação de medidas técnicas e organizacionais, (ii) os direitos dos dados Assuntos ou (iii) a contratação de processadores de dados. Nos casos (i) a (iii), o importador de dados pode entrar em contato com uma autoridade supervisora competente para que a Instrução contestada seja avaliada legalmente por essa autoridade.Se a autoridade supervisora declarar que a Instrução contestada é legal, o Importador de Dados deve implementar a Instrução contestada. Parte 1 Cláusula 3.1 (ii) permanecerá aplicável.

3.2 Obrigações do importador de dados

(i) O importador de dados deve garantir que as pessoas autorizadas pelo importador de dados a processar dados pessoais em nome do exportador de dados, em particular funcionários do importador de dados e funcionários de qualquer subcontratado, se comprometeram a respeitar a confidencialidade ou estão sujeitos a um dever legal de confidencialidade apropriado, e que essas pessoas que têm acesso aos dados pessoais os processem de acordo com as instruções do Exportador de Dados.
(ii) O importador de dados deve implementar as medidas de segurança técnicas e organizacionais estabelecidas no Apêndice 2 da Parte 2 antes de processar os dados pessoais em nome do exportador de dados. O importador de dados pode alterar as medidas de segurança técnicas e organizacionais de tempos em tempos, se elas não fornecerem menos proteção do que as estabelecidas no Apêndice 2 da Parte 2.
(iii) O importador de dados deve disponibilizar ao exportador de dados, mediante solicitação do exportador de dados, informações para mostrar o cumprimento das obrigações do importador de dados nos termos deste Apêndice. As Partes concordam que esta obrigação de informação seja cumprida fornecendo ao Exportador de Dados um relatório de auditoria (cobrindo a segurança de princípios, disponibilidade do sistema e confidencialidade) ("Relatório de Auditoria"). Se atividades de auditoria adicionais forem legalmente exigidas, o exportador de dados pode solicitar que as inspeções sejam realizadas pelo exportador de dados ou outro auditor nomeado pelo exportador de dados, sujeito à execução por esse auditor de um acordo de confidencialidade com o importador de dados para o importador de dados satisfação razoável ("Auditoria"). Esta auditoria está sujeita às seguintes condições:(i) a aceitação formal prévia por escrito do Importador de Dados; e (ii) o exportador de dados arcará com todos os custos relativos à auditoria no local para o exportador de dados e o importador de dados. O exportador de dados deve criar um relatório de auditoria resumindo os resultados e observações da auditoria no local ("Relatório de auditoria no local"). Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que seja exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que seja exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.Os relatórios de auditoria no local e os relatórios de auditoria são informações confidenciais do importador de dados e não devem ser divulgados a terceiros, a menos que seja exigido pela lei de proteção de dados aplicável ou de acordo com o consentimento do importador de dados.
(iv) O importador de dados tem a obrigação de notificar o exportador de dados sem atrasos indevidos:
1. uma. em relação a qualquer pedido legalmente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, a menos que seja proibido de outra forma, como uma proibição ao abrigo da lei criminal para proteger a confidencialidade de uma investigação de aplicação da lei
2. b. em relação a qualquer reclamação e solicitação recebida diretamente de um titular de dados (por exemplo, em relação ao acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, objeção ao processamento de dados, tomada de decisão automatizada) sem responder a essa solicitação, a menos que o importador de dados tenha sido autorizado a faça isso
3. c. se o importador ou processador de dados for obrigado, nos termos da legislação da União Europeia ou do Estado-Membro ao qual o importador ou processador de dados está sujeito, a processar os dados pessoais além das instruções do exportador de dados, antes de realizar tal processamento além as instruções, a menos que a legislação da União Europeia ou do Estado-Membro proíba esse tratamento por razões vitais de interesse público, caso em que a notificação ao exportador de dados deve especificar os requisitos legais ao abrigo dessa legislação da União Europeia ou do Estado-Membro; ou
4. d. se o importador de dados perceber uma violação de dados pessoais, exclusivamente por causa dele ou de seu subcontratado, o que afetaria os dados pessoais do exportador de dados abrangidos pelo presente contrato, caso em que o importador de dados ajudará o exportador de dados em sua obrigação, em relação à legislação aplicável em matéria de proteção de dados, informar os titulares dos dados e, se for caso disso, as autoridades de supervisão, fornecendo as informações à sua disposição, nos termos do artigo 33.º, n.º 3, do RGPD.
5. (v) A pedido do exportador de dados, o importador de dados será compelido a auxiliar o exportador de dados em sua obrigação de realizar uma avaliação do impacto da proteção de dados que pode ser exigida pelo Artigo 35 do RGPD e uma consulta prévia que pode ser exigido pelo Artigo 36 do RGPD em relação aos serviços prestados pelo Importador de Dados ao Exportador de Dados de acordo com este Apêndice, fornecendo as informações necessárias ao Exportador de Dados. O importador de dados somente será obrigado a fornecer tal assistência se o exportador de dados não puder cumprir sua obrigação por outros meios. O importador de dados informará o exportador de dados sobre o custo dessa assistência. Assim que o exportador de dados confirmar que pode arcar com esse custo, o importador de dados fornecerá essa ajuda ao exportador de dados.
6. (vi) No final da prestação dos serviços, o Exportador de Dados pode solicitar a devolução dos dados pessoais processados pelo Importador de Dados de acordo com este Apêndice dentro de um mês após os serviços. A menos que a legislação do Estado-Membro ou da União Europeia exija que o importador de dados armazene ou retenha tais dados pessoais, o importador de dados excluirá todos esses dados pessoais ou não pessoais após o período de um mês, independentemente de terem sido devolvidos para exportador de dados a seu pedido ou não.

3.3 Direitos das pessoas envolvidas

1. (i) O exportador de dados gerencia e responde às solicitações feitas pelos titulares dos dados. O importador de dados não é obrigado a responder diretamente aos titulares dos dados.
2. (ii) Se o exportador de dados exigir a assistência do importador de dados no processamento e resposta às solicitações do titular dos dados, o exportador de dados deverá emitir uma instrução adicional de acordo com a Cláusula 3.1 (ii) da Parte 1. O importador de dados auxiliará o exportador de dados com as seguintes medidas de organização técnica e adequadas para responder aos pedidos de exercício dos direitos dos titulares dos dados estabelecidos no Capítulo III do RGPD da seguinte forma:
3. uma. Em relação aos pedidos de informações, o importador de dados fornecerá ao exportador de dados apenas as informações exigidas pelos artigos 13 e 14 do PGRD que ele possa ter à sua disposição se o exportador de dados não conseguir encontrá-las por conta própria.
4. b. No que diz respeito aos pedidos de acesso (Artigo 15 do RGPD), o Importador de Dados apenas fornecerá ao Exportador de Dados as informações que supostamente devem ser fornecidas a um titular dos dados para o referido pedido de acesso, que pode ter à sua disposição se o este último não consegue encontrá-lo sozinho.
5. c. Em relação aos pedidos de retificação (artigo 16 do RGPD), pedidos de apagamento (artigo 17 do RGPD), restrição de pedidos de processamento (artigo 18 do RGPD) ou pedidos de portabilidade (artigo 20 do RGPD), e apenas se o exportador de dados não puder retificar ou apagar, limitar ou transmitir os dados pessoais a outro terceiro, o importador de dados oferecerá ao exportador de dados a possibilidade de retificar ou apagar, limitar ou transmitir os dados pessoais em questão para outro terceiro, ou se isso não for possível, prestará assistência para retificar ou apagar, limitar ou transmitir a terceiros os dados pessoais em questão.
6. d. Em relação à notificação relativa à retificação, eliminação ou restrição de processamento (Artigo 19 do GDPR), o importador de dados ajudará o exportador de dados notificando todos os destinatários de dados pessoais contratados pelo importador de dados como processadores se o exportador de dados assim solicitar e se o exportador de dados não puder resolver a situação sozinho.
7. e. Em relação ao direito de oposição exercido por uma pessoa em causa (artigos 21 e 22 do RGPD), o exportador de dados determinará se a oposição é legítima e como lidar com ela.
8. (iii) As obrigações de assistência do importador de dados são limitadas aos dados pessoais processados em sua infraestrutura (por exemplo, bancos de dados, sistemas, aplicativos de propriedade ou fornecidos pelo importador de dados).
9. (iv) O Exportador de Dados deve determinar se um Titular dos Dados pode exercer os direitos dos Titulares dos Dados estabelecidos na Cláusula 3.1 desta Parte 1 e deve informar o Importador de Dados sobre a extensão em que a assistência especificada nas Cláusulas 3.3 (ii), ( iii) da Parte 1 é necessária.
10. (v) Se o Exportador de Dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares dos dados que vão além da assistência fornecida pelo Importador de Dados nos termos das Subcláusulas 3.3 (ii), (iii) da Parte 1, os Dados O importador deve informar o exportador de dados dos custos de implementação de tais medidas técnicas e organizacionais adicionais ou modificadas. Assim que o exportador de dados confirmar que pode arcar com esses custos, o importador de dados deverá implementar tais medidas técnicas e organizacionais adicionais ou modificadas para auxiliar o exportador de dados a responder às solicitações dos titulares dos dados.
11. (vi) Sem limitar o escopo da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis incorridas em responder às solicitações dos Titulares dos Dados.

3.4 Subprocessamento

1. (i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação de serviços de acordo com este Apêndice. O importador de dados deve selecionar esse (s) processador (es) de dados cuidadosamente. O Exportador de Dados aprova o (s) processador (es) de Dados listados no Apêndice 1.1 no final da Parte 2.
2. (ii) O Importador de Dados deve transferir suas obrigações sob este Apêndice para o (s) processador (es) de Dados na medida aplicável aos serviços subcontratados.
3. (iii) O importador de dados pode dispensar, substituir ou nomear outro (s) processador (es) de dados apropriado (s) a seu critério. Se solicitado por escrito pelo exportador de dados, o importador de dados deve seguir o procedimento estabelecido abaixo:

1. uma. O importador de dados deve informar o exportador de dados antes de quaisquer alterações na lista de processadores de dados referenciados na cláusula 3.4 (i) da parte 1. Se o exportador de dados não objetar nos termos da cláusula 3.4. (b) da Parte 1 trinta dias após o recebimento da notificação do importador de dados, os processadores de dados adicionais serão considerados aceitos.
2. b. Se o exportador de dados tiver um motivo legítimo para contestar um processador de dados adicional, ele notificará previamente por escrito o importador de dados no prazo de trinta dias após o recebimento da notificação do importador de dados e antes que o serviço do importador de dados seja colocado em operação. Se o exportador de dados se opor ao uso de um processador de dados adicional, o importador de dados pode eliminar a objeção por uma das seguintes opções (escolhidas a seu critério): (A) o importador de dados cancelará seus planos de usar um processador adicional em relação os dados pessoais do exportador de dados; (B) o importador de dados tomará as medidas corretivas solicitadas pelo exportador de dados em sua objeção (cancelando a objeção) e usará o processador adicional em relação aos dados pessoais do exportador de dados;(C) o importador de dados pode deixar de fornecer ou o exportador de dados pode concordar em não usar (temporária ou permanentemente) um aspecto particular do serviço que envolveria o uso do processador adicional do exportador de dados dos dados pessoais do exportador de dados.
1. (iv) se o processador de dados estiver baseado fora da UE-EEE em um país que não é reconhecido como oferecendo um nível adequado de proteção de dados na sequência de uma decisão da Comissão Europeia, o importador de dados tomará as medidas para cumprir um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir - entre outras e - o uso de contratos de processamento de dados com base nas cláusulas do Modelo da UE, transferência para processadores de dados autocertificados no âmbito do Escudo de Proteção UE-EUA ou um programa semelhante).

3.5 Validade

A expiração deste Apêndice é idêntica à data de expiração do Contrato correspondente. Salvo disposição em contrário neste Apêndice, os direitos e deveres relativos à rescisão serão os mesmos que os contidos no Contrato.

4. Limitação de responsabilidade

4.1 Cada parte lida com suas obrigações nos termos deste Apêndice e da legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relativa à violação das obrigações sob este Apêndice ou legislação de proteção de dados aplicável estará sujeita e regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, exceto conforme disposto de outra forma neste Apêndice. Se a responsabilidade for regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, para calcular os limites de responsabilidade ou determinar a aplicação de outras limitações de responsabilidade, qualquer responsabilidade decorrente deste Apêndice será considerada como decorrente do Contrato.

5. Disposições gerais

5.1 Se houver inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, a Parte 2 deverá prevalecer. Especificamente, mesmo em tal caso, a Parte 1, que simplesmente vai além da Parte 2 (ou seja, os termos das cláusulas padrão), sem contradizê-la, permanecerá válida.

5.2 Se qualquer discrepância surgir entre as disposições deste Apêndice e as de outros contratos que vinculam as partes, este Apêndice prevalecerá em relação às obrigações de proteção de dados das partes. Em caso de dúvida se as cláusulas em outros contratos dizem respeito às obrigações de proteção de dados das partes, este Apêndice deve prevalecer.

5.3 Se qualquer disposição deste Apêndice for inválida ou inexequível, o restante deste Apêndice permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e exequibilidade, preservando tanto quanto possível a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível tivesse nunca fez parte do contrato. O anterior também se aplica se houver uma omissão neste Apêndice.

5.5 Na medida do necessário, as Partes podem solicitar alterações à Parte 1, Cláusula 3 (Conformidade com a legislação local) ou outras partes do Apêndice, a fim de cumprir com as interpretações, diretivas ou ordens emitidas pelas autoridades competentes da União ou da Estados-Membros, disposições nacionais de aplicação ou quaisquer outros desenvolvimentos jurídicos relativos ao RGPD ou outras condições de delegação a quaisquer entidades envolvidas no processamento de dados e, especificamente, no que diz respeito à utilização das Cláusulas Contratuais Padrão do RGPD. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos, a menos que a Comissão Europeia aprove expressamente (por exemplo, por novas cláusulas adequadas e normas de proteção de dados).

5.6 Qualquer referência neste Apêndice às "Cláusulas" deve ser entendida como se referindo a todas as disposições deste Apêndice, salvo indicação em contrário.

5.7 A escolha da lei na Parte 2, Cláusula 9 aplica-se a todo o Contrato.

6. Dados pessoais transmitidos e processados pelas partes para fins pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes sabem perfeitamente que certos dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados por cada Parte para seus próprios fins. Em relação a tais dados pessoais, não afetam as outras disposições deste Apêndice (exceto para esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos à equipe do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços prestados pela equipe de o importador de dados. O importador de dados pode processar esses dados pessoais para seus próprios fins, em particular em suas relações profissionais com o pessoal do importador de dados, para controle de qualidade e treinamento, ou para fins comerciais.

6.3. O importador de dados pode transferir dados pessoais para o exportador de dados, incluindo o nome e detalhes de contato do pessoal do importador de dados. O exportador de dados pode processar esses dados pessoais para seus próprios fins.

6.4 Ambas as partes devem cumprir todas as leis de proteção de dados aplicáveis, incluindo o GDPR, ao coletar, processar e usar os dados pessoais recebidos da outra parte nos termos da cláusula 1 da Parte 1. Em particular, ambas as partes devem tomar medidas de segurança adequadas, fornecendo um nível de proteção semelhante ao das medidas de segurança estabelecidas no Apêndice 2 da Parte 2. Qualquer acesso a esses dados pessoais deve ser limitado à necessidade de conhecê-los.

6.5 Ambas as partes devem apagar esses dados pessoais o mais rápido possível após os objetivos terem sido alcançados.

Parte 2

DECISÃO DA COMISSÃO

no dia 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros ao abrigo da Diretiva 95/46 / CE do Parlamento Europeu e do Conselho

Cláusula 1ª

Definições

Dentro do significado das cláusulas:

a) 'dados pessoais', 'categorias especiais de dados', 'processamento / processamento', 'controlador', 'processador', 'titular dos dados' e 'autoridade de supervisão' têm o mesmo significado que na norma 95/46 / CE Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1);

b) o 'Exportador de Dados' é o controlador de dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o processador de Dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados em nome do Exportador de Dados após a transferência de acordo com suas instruções e nos termos destas cláusulas e que não é Sujeito ao mecanismo de um país terceiro que assegure uma protecção adequada na acepção do n.º 1 do artigo 25.º da Directiva 95/46 / CE; (d) 'Processador de dados' significa o processador de dados contratado pelo importador de dados ou por qualquer outro processador de dados do importador de dados que concorda em receber do importador de dados ou de qualquer outro processador de dados do importador de dados dados pessoais exclusivamente para atividades de processamento para ser realizada em nome do exportador de dados após a transferência de acordo com as instruções do exportador de dados,nas condições estabelecidas nestas Cláusulas e nos termos do contrato de subcontratação por escrito do contrato de processamento de dados;

e) "lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais das pessoas, incluindo o direito à privacidade no que diz respeito ao tratamento de dados pessoais, e aplicável a um responsável pelo tratamento no Estado-Membro onde o Exportador de Dados está estabelecido;

f) "medidas tÃ © cnicas e organizacionais relativas Ã seguranÃ§aâ € ?? significa medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de redes, e contra todas as outras formas ilegais de processamento.

Cláusula 2ª

Detalhes da transferência

Os detalhes da transferência, incluindo, quando apropriado, categorias especiais de dados pessoais, são especificados no Apêndice 1, que faz parte integrante destas cláusulas.

Cláusula 3ª

Cláusula de terceiro beneficiário

1. O titular dos dados pode impor ao Exportador de Dados esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) e (g) a (j), Cláusula 6 (1) e (2 ), Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 como um terceiro beneficiário

2. O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados onde o Exportador de Dados fisicamente desapareceu ou deixou de existir legalmente, a menos que todas as suas obrigações legais tenham sido transferidas, por contrato ou de pleno direito, para a entidade sucessora, para a qual revertem os direitos e obrigações do exportador de dados, e contra a qual os dados sujeito pode, portanto, fazer cumprir as referidas cláusulas.

O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o processador de Dados, mas apenas nos casos em que os Dados O exportador e o importador de dados desapareceram fisicamente, deixaram de existir por lei ou se tornaram insolventes, a menos que todas as obrigações legais do exportador de dados tenham sido transferidas, por contrato ou de pleno direito, para o sucessor legal, a quem os direitos e as obrigações do exportador de dados são, portanto, investidas, e contra quem o titular dos dados pode, portanto, fazer cumprir tais cláusulas. Tal responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com essas cláusulas.

4. As partes não se opõem à representação do titular dos dados por uma associação ou outro organismo, se assim o desejar e se a legislação nacional o permitir.

Cláusula 4ª

Obrigações do exportador de dados

O exportador de dados aceita e garante o seguinte:

a) o tratamento, incluindo a transferência efetiva de dados pessoais, foi e continuará a ser realizado em conformidade com as disposições relevantes da legislação de proteção de dados aplicável (e, se aplicável, foi notificado às autoridades competentes do Estado-Membro no qual o Exportador de Dados está baseado) e não infringe as disposições relevantes desse Estado;

b) eles instruíram, e irão instruir durante os serviços de processamento de dados pessoais, o importador de dados a processar os dados pessoais transferidos em nome exclusivo do exportador de dados e de acordo com a lei de proteção de dados aplicável e estas cláusulas;

c) o importador de dados fornecerá salvaguardas suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 do presente contrato;

d) após avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação não autorizada ou acesso, em particular quando o processamento envolve a transmissão de dados Em rede, e contra todas as outras formas ilegais de processamento e garantir um nível de segurança adequado aos riscos representados pelo processamento e pela natureza dos dados a proteger, tendo em conta o nível de tecnologia e o custo de implementação;

e) garantirão o cumprimento das medidas de segurança;

f) se a transferência se referir a categorias especiais de dados, o titular dos dados foi informado ou será informado antes da transferência, ou o mais rápido possível após a transferência, que seus dados podem ser transferidos para um país terceiro que não oferece Um nível de proteção adequado na aceção da Diretiva 95/46 / CE;

g) eles encaminharão qualquer notificação recebida do importador de dados ou de qualquer processador de dados de acordo com as Cláusulas 5 (b) e 8 (3) para a autoridade supervisora de proteção de dados se ela decidir continuar a transferência ou suspender sua suspensão;

h) devem disponibilizar aos titulares dos dados, se assim o solicitarem, uma cópia destas Cláusulas, exceto para o Apêndice 2, e uma descrição resumida das medidas de segurança, e uma cópia de qualquer outro acordo de subcontratação, celebrado ao abrigo destas Cláusulas, a menos que As cláusulas ou o acordo contêm informações comerciais, caso em que ele pode retirar tais informações;

i) em caso de subcontratação do processo de processamento de dados, a atividade de processamento é realizada de acordo com a Cláusula 11 por um processador de dados que fornece pelo menos o mesmo nível de proteção de dados pessoais e direitos do titular dos dados que o importador de dados de acordo com estas cláusulas ; e

j) garantirá o cumprimento da Cláusula 4 (a) a (i).

Cláusula 5ª

Obrigações do importador de dados

O importador de dados aceita e garante o seguinte:

a) eles irão processar os dados pessoais apenas em nome do Exportador de Dados e sob as instruções do Exportador de Dados e estas cláusulas; se não puder cumprir por qualquer motivo, eles concordam em informar o exportador de dados de sua incapacidade o mais rápido possível, caso em que o exportador de dados pode suspender a transferência de dados e / ou rescindir o contrato;

b) eles não têm razão para acreditar que a lei aplicável a eles o impede de cumprir as instruções dadas pelo exportador de dados e as obrigações que lhe incumbem nos termos do contrato, e se tal lei está sujeita a uma alteração que poderia ter um material adverso efeito sobre as garantias e obrigações sob as Cláusulas, ele deve notificar o Exportador de Dados da alteração sem demora após tomar conhecimento dela, caso em que o Exportador de Dados pode suspender a transferência de dados e / ou rescindir o contrato; (c) eles implementaram as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) eles notificarão o Exportador de Dados sem demora:

i) qualquer pedido vinculativo de divulgação de dados pessoais de uma autoridade responsável pela aplicação da lei, salvo indicação em contrário, tal como uma proibição criminal destinada a preservar o sigilo de uma investigação policial;

ii) qualquer acesso acidental ou não autorizado; e

iii) qualquer pedido recebido diretamente das pessoas interessadas sem responder a elas, a menos que ele tenha sido autorizado a fazê-lo; administradores

e) tratarão prontamente e de forma adequada todas as solicitações do Exportador de Dados sobre o processamento dos dados pessoais que estão sendo transferidos e agirão sob o parecer da autoridade supervisora no que diz respeito ao processamento dos dados transferidos;

f) a pedido do Exportador de Dados, eles sujeitarão suas instalações de processamento de dados a uma auditoria das atividades de processamento abrangidas por estas cláusulas, a ser realizada pelo Exportador de Dados ou por um órgão de supervisão composto por membros independentes com as qualificações profissionais exigidas, sujeito à obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o acordo da autoridade supervisora;

g) disponibilizarão ao titular dos dados, se este assim o solicitar, uma cópia destas Cláusulas, ou qualquer subcontratação existente do contrato de processamento de dados, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá removê-las informações, exceto para o Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança, onde o titular dos dados não pode obter uma cópia do Exportador de Dados;

h) no caso de posterior subcontratação confidencial do processamento de dados, ele garantirá que informará o exportador de dados com antecedência e obterá o consentimento por escrito do exportador de dados;

i) os serviços de processamento fornecidos pelo processador de dados devem cumprir a Cláusula 11;

j) eles enviarão prontamente uma cópia de qualquer subcontratação do acordo de processamento de dados celebrado por ela sob estas Cláusulas para o Exportador de Dados.

Cláusula 6ª

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos devido à violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por uma das partes ou por um processador de Dados pode obter uma compensação do Exportador de Dados pelos danos sofridos.

2. Se um titular dos dados for impedido de intentar uma ação por danos, conforme referido no parágrafo 1 contra o Exportador de Dados por falha do Importador de Dados ou de seu processador de Dados em cumprir qualquer uma de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 devido aos Dados O exportador desapareceu fisicamente, deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele como se fosse o exportador de dados, a menos que todas as obrigações legais do exportador de dados tenham sido transferidas, por contrato ou por força de lei, para sua entidade sucessora, contra a qual o titular dos dados pode então fazer valer seus direitos. O importador de dados não pode contar com a violação de suas obrigações por parte de um processador de dados para evitar sua própria responsabilidade.

3. Se um titular dos dados for impedido de intentar a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação pelo Processador de Dados de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir por lei ou se tornaram insolventes, o processador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele em relação às suas próprias atividades de processamento de acordo com estas cláusulas como se fosse o exportador de dados ou importador de dados, a menos que todos as obrigações legais do exportador de dados ou do importador de dados foram transferidas, por contrato ou de pleno direito, para o sucessor legal, contra o qual o titular dos dados pode então fazer valer seus direitos.A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

Cláusula Sétima

Mediação e jurisdição

1. O importador de dados concorda que, se ao abrigo das cláusulas, o titular dos dados invocar contra ele o direito do terceiro beneficiário e / ou reclamar uma indemnização pelo prejuízo sofrido, aceitará a decisão do titular dos dados:

a) submeter o litígio à mediação de uma pessoa independente ou, se for caso disso, da autoridade de supervisão;

b) levar a disputa aos tribunais do Estado Membro onde o Exportador de Dados está baseado.

2. As partes concordam que a escolha feita pelo titular dos dados não afetará o direito processual ou material do titular dos dados de obter reparação de acordo com outras disposições do direito nacional ou internacional.

Cláusula 8ª

Cooperação com autoridades de supervisão

1. O exportador de dados concorda em depositar uma cópia do presente contrato com a autoridade de supervisão se esta assim o exigir ou se tal depósito estiver previsto na legislação de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora pode realizar verificações no importador de dados e em qualquer processador de dados na mesma medida e nas mesmas condições que as verificações realizadas no exportador de dados de acordo com a legislação de proteção de dados aplicável.

3. O importador de dados deve informar o exportador de dados o mais rápido possível da existência de legislação relativa ao importador de dados ou qualquer processador de dados que impeça a verificação no importador de dados ou em qualquer processador de dados de acordo com o parágrafo 2. Nesse caso, o O Exportador de Dados pode tomar as medidas previstas na Cláusula 5 (b).

Cláusula Nona

Lei aplicável

As cláusulas se aplicam e são regidas pela lei do Estado Membro onde o Exportador de Dados está baseado.

Cláusula Décima

Modificação do contrato

As partes comprometem-se a não modificar as presentes cláusulas. As partes permanecem livres de incluir outras cláusulas comerciais que considerem necessárias, desde que não contrariem as presentes cláusulas.

Cláusula Décima Primeira

Subcontratação

1. O importador de dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do exportador de dados de acordo com essas cláusulas sem o consentimento prévio por escrito do exportador de dados. O importador de dados somente subcontratará suas obrigações nos termos destas cláusulas, com o consentimento do exportador de dados, por meio de um acordo por escrito com o processador de dados impondo ao processador de dados as mesmas obrigações impostas ao importador de dados de acordo com estas cláusulas. Se o processador de dados não puder cumprir com suas obrigações de proteção de dados sob aquele contrato escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento dessas obrigações.

2. O acordo prévio por escrito entre o importador de dados e o processador de dados também deve incluir uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3 para os casos em que o titular dos dados é impedido de entrar com a ação por danos referida na Cláusula 6 (1 ), contra o exportador de dados ou importador de dados porque o exportador de dados ou importador de dados desapareceu fisicamente, deixou de existir por lei ou se tornou insolvente e todas as obrigações legais do exportador de dados ou importador de dados não foram transferidas, por contrato ou por operação de direito, a outra entidade sucessora. A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

3. As disposições relativas aos aspetos da proteção de dados decorrentes da subcontratação do tratamento de dados do contrato referido no n.º 1 são regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido.

4. O Exportador de Dados deve manter uma lista dos subcontratantes dos acordos de processamento de dados concluídos ao abrigo destas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que deve ser atualizada pelo menos uma vez por ano. Essa lista deve ser disponibilizada à autoridade supervisora de proteção de dados do exportador de dados.

Cláusula 12ª

Obrigação após o término dos serviços de processamento de dados pessoais

1. As partes concordam que após a conclusão dos serviços de processamento de dados, o importador de dados e o processador de dados irão, para a conveniência do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias para o exportador de dados, ou destruir todos esses dados e fornecer provas a destruição para o exportador de dados, a menos que a legislação imposta ao importador de dados o impeça de retornar ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que zelará pela confidencialidade dos dados pessoais transferidos e que deixará de processar ativamente os dados.

2. O importador de dados e o processador de dados devem assegurar que, a pedido do exportador de dados e / ou autoridade de supervisão, sujeitarão os seus meios de processamento de dados à verificação das medidas referidas no n.º 1.

Apêndice 1.1 da Parte 2

Detalhes da transferência

Exportador de dados

O exportador de dados é o cliente definido no acordo contratual.

Importador de dados

O importador de dados é POSTCODEZIP e é designado para processar os dados, fornecendo serviços ao exportador de dados.

Assuntos dos dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:

uma?? assinantes de telefone listados no diretório universal

'' Outros, incluindo:

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Categorias de dados pessoais dos titulares dos dados do exportador de dados em particular,

uma?? Nome completo

' Endereço postal

uma?? Detalhes de contato (e-mail, telefone, endereço IP, etc.)

uma?? Detalhes das atividades de marketing relacionadas ao assinante do telefone

'' Outros, incluindo o tipo de moradia, renda e idade média da cidade feita de forma anônima

Categorias especiais de dados (se aplicável)

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

' A transferência de categorias especiais de dados não está prevista

uma?? Raça ou origem étnica

uma?? Crenças religiosas ou filosóficas

uma?? Filiação sindical

uma?? Ideologia política

uma?? Informação genética

uma?? Informação biométrica

uma?? Informações sobre orientação sexual ou vida sexual

uma?? Dados de saúde

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

- â € ¢ Objetivo do processamento

O processamento realizado em nome do Exportador de Dados é baseado nos seguintes assuntos, em particular:

'' Assumir o controle dos produtos ou serviços oferecidos pelo Exportador de Dados

' A oferta de um produto ou serviço que a pessoa chamada pode solicitar

' Pedidos recebidos das pessoas chamadas e processamento posterior desses pedidos

' Estudo de questionários e análises

' Telemarketing

uma?? Outros, incluindo:

- â € ¢ Natureza e finalidade do processamento

O importador de dados processa os dados pessoais dos titulares dos dados em nome do exportador de dados, a fim de fornecer os seguintes serviços, e mais notavelmente:

'' Preenchimento automático de formulário
'Formulário de validação de endereços

' Vendas e Marketing

“ Outros, incluindo a atualização de bancos de dados de prefeituras e partidos políticos

- â € ¢ Prestação de serviços e contratação de prestadores de serviços

POSTCODEZIP principalmente combina, centraliza e fornece serviços para o exportador de dados. Os serviços prestados pelo provedor de serviço nomeado podem ser estruturados (entre outros, conforme apropriado) em torno dos seguintes serviços auxiliares: (i) fornecimento de aplicativos, ferramentas, sistemas e infraestrutura de TI em relação aos centros de processamento de dados utilizados, a fim de fornecer e apoiar os serviços, incluindo o processamento dos dados pessoais dos titulares dos dados, conforme descrito acima, por meio de tais aplicativos, ferramentas e sistemas, (ii) o fornecimento de suporte de TI, manutenção e outros serviços relacionados a tais aplicativos, ferramentas, sistemas e infraestrutura de TI, incluindo acesso potencial a dados pessoais armazenados em tais aplicativos, ferramentas e sistemas, e (iii) o fornecimento de serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidentes,incluindo o acesso potencial a dados pessoais ao fornecer tais serviços de proteção. POSTCODEZIP pode contratar processadores de dados conforme definido abaixo para fornecer os serviços, incluindo serviços auxiliares.

- â € ¢ Prestadores de serviÃ§os externos terceirizados como subentidades atribuÃdas ao processamento de dados

A POSTCODEZIP contrata prestadores de serviços externos e terceiros, que não são subsidiárias da POSTCODEZIP, para apoiar a prestação de serviços ao Exportador de Dados. O exportador de dados aprova esses provedores de serviços externos como subentidades atribuídas ao processamento de dados.

Se uma subentidade envolvida no processamento de dados estiver localizada fora da UE / EEE, em um país considerado não ter um nível adequado de proteção de dados de acordo com uma decisão da Comissão Europeia, o importador de dados tomará medidas para obter um nível adequado de proteção de dados de acordo com o GDPR e a seção 3.4 (iv) da Parte 1.

Apêndice 2, Parte 2

Medidas de proteção técnicas e organizacionais

O importador de dados deve tomar as seguintes medidas de proteção técnica e organizacional confirmadas pelo exportador de dados, a fim de garantir um nível adequado de segurança para os direitos e liberdades das pessoas, dependendo dos riscos. Ao avaliar o nível de proteção em questão, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo destruição acidental ou ilegal, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma. Por esclarecimento: Estas medidas de proteção técnicas e organizacionais não se aplicam aos aplicativos, ferramentas, sistemas e / ou infraestrutura de TI fornecidos pelo Exportador de Dados.

1 Medidas gerais de proteção técnica e organizacional

1.1 Informações gerais e estratégias de proteção de dados

As seguintes etapas devem ser seguidas para seguir as estratégias gerais de proteção de dados e informações:

a) tomar medidas para avaliar aquelas tomadas em relação à proteção técnica e organizacional;

b) ministrar treinamentos de conscientização dos colaboradores;

c) ter uma descrição dos sistemas em questão e permitir o acesso aos funcionários;

d) estabelecer um processo formal de documentação sempre que os sistemas forem implementados ou modificados;

e) documentar a estrutura organizacional, processos, responsabilidades e respectivas avaliações;

1.2 Organização da proteção da informação

As seguintes medidas devem ser tomadas a fim de coordenar as atividades de proteção de dados e informações:

a) responsabilidades definidas para a proteção de informações e dados (por exemplo, através da política de gestão de proteção de dados);

b) os conhecimentos necessários para proteger as informações e os dados disponíveis;

c) todos os funcionários estão empenhados em garantir que os dados pessoais sejam mantidos em sigilo e tenham sido informados das potenciais consequências da violação deste compromisso.

1.3 Controle de acesso às áreas de processamento

As seguintes medidas devem ser tomadas para evitar que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados (em particular software e hardware) quando os dados pessoais são processados, armazenados ou transmitidos:

a) estabelecer áreas seguras;

b) proteger e restringir o acesso aos sistemas de processamento de dados;

c) estabelecer autorizações de acesso de empregados e terceiros, inclusive os respectivos documentos;

d) qualquer acesso aos centros de processamento de dados nos quais os dados pessoais são armazenados deve ser registrado.

1.4 Controle de acesso a sistemas de processamento de dados

As seguintes medidas devem ser tomadas para evitar o acesso não autorizado aos sistemas de processamento de dados:

a) políticas e procedimentos de autenticação de usuários;

b) o uso de senhas em todos os sistemas de computador;

c) o acesso remoto à rede requer autenticação multifatorial e é concedido ao interessado de acordo com suas responsabilidades e mediante autorização;

d) o acesso a funções específicas é baseado em funções de trabalho e / ou atributos atribuídos individualmente a uma conta de usuário;

e) os direitos de acesso relacionados aos dados pessoais são revisados regularmente;

f) os registros das alterações nos direitos de acesso são mantidos atualizados.

1.5 Controle de acesso a áreas específicas de uso de sistemas de processamento de dados

As seguintes medidas devem ser tomadas para garantir que as pessoas autorizadas com o direito de usar o sistema de processamento de dados só possam acessar os dados dentro de suas respectivas responsabilidades e autorizações de acesso e que os dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização:

1
1. a) políticas, instruções e formação de colaboradores, no que se refere às obrigações de cada um deles sobre confidencialidade, direitos de acesso aos dados pessoais e âmbito do tratamento de dados pessoais;

b) medidas disciplinares contra pessoas que acessam dados pessoais sem autorização;

c) o acesso aos dados pessoais será concedido apenas a pessoas autorizadas, com base na necessidade de os conhecer;

d) manter uma lista de administradores de sistema e tomar as medidas apropriadas para monitorar os administradores de sistema;

e) não copiar ou reproduzir dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações de seu originador;

f) exclusão ou destruição controlada e documentada de dados;

g) para armazenar com segurança todos os dados pessoais que devem ser retidos por razões legais ou regulamentares (por exemplo, obrigações de reter dados), e apenas durante o tempo exigido por lei.

1.6 Controle de transmissão

As seguintes medidas devem ser tomadas para evitar que dados pessoais sejam lidos, copiados, modificados ou excluídos por terceiros não autorizados durante a transmissão ou transporte de dispositivos de armazenamento de dados (dependendo do processamento de dados pessoais realizado):

1
1. a) uso de firewalls;

b) evitar o armazenamento de dados pessoais em dispositivos móveis de armazenamento para fins de transporte ou criptografar os dispositivos;
c) uso em laptops e outros dispositivos móveis somente após a proteção de criptografia ter sido ativada;

d) registro de transmissão de dados pessoais.

1.7 Controle de entrada de dados

As seguintes medidas devem ser tomadas para garantir que seja possível verificar e determinar se os dados pessoais foram inseridos ou excluídos dos sistemas de processamento de dados e por quem:

1
1. a) uma política de autorização de leitura, alteração e exclusão de dados armazenados;

b) medidas de proteção quanto à leitura, alteração e exclusão dos dados armazenados.

1.8 Controle de trabalho

No caso de processamento delegado de dados pessoais, as seguintes medidas devem ser tomadas para garantir que tais dados sejam processados de acordo com as instruções do Supervisor:

1
1. a) entidades ou subentidades atribuídas ao processamento de dados, escolhidas com cuidado (prestadores de serviços que processam dados pessoais em nome do responsável pelo tratamento);

b) instruções sobre o âmbito de qualquer tratamento de dados pessoais aos funcionários, entidades ou subentidades atribuídas ao tratamento de dados;

c) direitos de auditoria acordados com as entidades ou subentidades atribuídas ao processamento de dados;

d) acordos em vigor com as entidades ou subentidades atribuídas para processar os dados.

1.9 Separação do processamento para outros fins

As seguintes medidas devem ser tomadas para garantir que os dados coletados para outros fins possam ser processados separadamente:

1
1. a) acesso separado aos dados pessoais de acordo com os direitos existentes dos usuários;

b) interfaces, processamento em lote e relatórios são para outros fins e funções, de modo que os dados coletados para outros fins possam ser processados separadamente.

1.10 Pseudonimização

As seguintes medidas devem ser tomadas em relação à pseudonimização de dados pessoais:

1
1. a) Se o exportador de dados solicitar uma operação de processamento específica ou se isso for considerado apropriado pelo importador de dados de acordo com as leis de proteção de dados em vigor relativas a certas atividades de processamento, o processamento de dados pessoais será realizado de forma que o os dados não podem mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais. Essas informações adicionais serão mantidas separadamente;

b) uso de técnicas de pseudonimização, incluindo randomização da lista de alocação; criação de valores na forma de perfurocortantes.

1.11 Criptografia

As seguintes etapas devem ser executadas para criptografar dados pessoais em aplicativos e transmissões que suportam criptografia:

1. a) uso de técnicas de criptografia;

b) estabelecimento de gerenciamento de criptografia para apoiar as técnicas de criptografia autorizadas a serem utilizadas;

c) apoiar o uso de criptografia por meio de procedimentos e protocolos para gerar, modificar, revogar, destruir, distribuir, certificar, armazenar, capturar, usar e arquivar chaves criptográficas para proteção contra modificação e divulgação não autorizadas.

1.12 Completude dos sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas a fim de garantir a integridade dos sistemas e serviços de processamento de dados:

1. a) proteção de sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (por exemplo, software antivírus, software de prevenção de perda de dados e software contra malware, patches de software, firewalls e proteção de desktop gerenciado);

b) proibir a instalação de qualquer serviço ou software prejudicial aos sistemas de processamento de dados, serviços ou manipulação de dados pessoais;

c) utilização de sistema de detecção e prevenção de intrusões na própria estrutura da rede.

1.13 Disponibilidade de sistemas e serviços de processamento de dados e possibilidade de restaurar o acesso e uso de dados pessoais em caso de incidente material ou técnico

As seguintes medidas devem ser tomadas a fim de garantir a disponibilidade dos sistemas de processamento de dados, bem como ser capaz de restaurar rapidamente a disponibilidade e o acesso aos dados pessoais, em caso de incidente material ou técnico (em particular, garantindo que os dados pessoais são protegidos contra destruição ou perda acidental):

a) ter meios de controle para manter cópias de backup e restaurar dados perdidos ou excluídos;

b) redundância de infraestrutura e teste de desempenho;

c) proteção física dos recursos do computador;

d) utilização de ferramentas para monitorar o estado e a disponibilidade da rede interna;

e) relatórios de incidentes e políticas de resposta que regem o procedimento de gerenciamento de incidentes e reiteração da adesão a essas políticas como parte do treinamento regular;

f) backups (às vezes fora do local) para restaurar o sistema para permitir que ele execute suas funções novamente;

g) planos de continuidade de negócios / recuperação de desastres

1.14 Resiliência de sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a resiliência dos sistemas e serviços de processamento de dados:

a) sistemas e configurados harmoniosamente, utilizando parâmetros de segurança aprovados;

b) redundância de rede;

c) proteção de contenção de sistemas críticos.

1.15 Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados

Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para proteger o processamento de dados.

a) tomar as medidas necessárias para avaliar riscos e estratégias de mitigação;

b) reuniões de análise de serviço do departamento de TI para tratar de questões atuais;

c) planos de continuidade de negócios / recuperação de desastres são atualizados regularmente.

Parte 3

Assinaturas das partes e lista de importadores de dados

Ao preencher o formulário de encomenda online e validá-lo assinalando a caixa que aceita os termos e condições gerais de utilização, fica estabelecido o contrato que rege a relação entre o Cliente e POSTCODEZIP.

O envio do pagamento para POSTCODEZIP considerará o contrato acordado e estabelecido.

Tome nota: este texto foi traduzido do francês. A versão original em francês, válida e legalmente restritiva, está disponível aqui .