Adendo ao processamento de dados (Data Processing Addendum, DPA)

Última revisão 21/08/2023

Este Adendo de Processamento de Dados (“DPA”) é celebrado na data de sua aceitação e faz parte do Contrato de Licença de Usuário Final ou outro contrato para licenciar produtos Claroty nos quais este adendo está incorporado (o “Contrato”). O Usuário reconhece que você, em nome da sua entidade que é uma parte do Contrato (coletivamente,  “Você”,   “Usuário” ou “Controlador de Dados”) leu e entendeu e concorda em cumprir este DPA, e está celebrando um contrato legal vinculativo com a Claroty conforme definido abaixo (“Claroty” ou “Processador de Dados”) para refletir o acordo das partes com relação ao Processamento de Dados Pessoais (conforme esses termos são definidos abaixo) de indivíduos protegidos pelo GDPR. Ambas as partes serão referidas como as “Partes” e cada uma, uma “Parte”.

CONSIDERANDO QUE a Claroty fornecerá os produtos e/ou serviços estabelecidos no Contrato (coletivamente, os “Serviços”) para o Usuário, conforme descrito no Contrato; e

CONSIDERANDO QUE, no decorrer da prestação dos Serviços nos termos do Contrato, a Claroty poderá processar Dados Pessoais em nome do Usuário; e as Partes desejam estabelecer os acordos relativos ao processamento de Dados Pessoais (definidos abaixo) no contexto dos Serviços e concordam em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais, cada um agindo razoavelmente e de boa-fé.

ISSO POSTO, em consideração às promessas mútuas aqui estabelecidas e outras considerações boas e valiosas, cujo recebimento e suficiência são reconhecidos pelas Partes, as partes, com a intenção de estarem legalmente vinculadas, concordam com o seguinte:

Este DPA se aplica em relação ao processamento de quaisquer Dados Pessoais (conforme definido abaixo) coletados, fornecidos ou disponibilizados à Empresa em conexão com o fornecimento do Software e quaisquer serviços relacionados ao Software nos termos do Contrato, se o Processamento de tais Dados Pessoais estiver sujeito ao GDPR, apenas na medida em que o Cliente for um Controlador de Dados Pessoais e a Empresa for um Processador. O DPA destina-se a satisfazer os requisitos da lei de proteção de dados da União Europeia, incluindo o Artigo 28(3) do GDPR. Este DPA entrará em vigor durante a vigência do Contrato ou até a exclusão dos Dados Pessoais conforme instruído pelo Cliente nos termos deste DPA, o que ocorrer primeiro.

1. INTERPRETAÇÃO E DEFINIÇÕES

1.1 Os títulos contidos neste DPA são apenas para conveniência e não devem ser interpretados para limitar ou afetar as disposições deste DPA.

1.2 Referências a cláusulas ou seções são referências às cláusulas ou seções deste DPA, salvo indicação em contrário.

1.3 Palavras usadas  no  singular incluem o plural e vice-versa,  conforme  o contexto possa exigir.

1.4 Os termos em letras maiúsculas não  definidos neste documento  terão os  significados atribuídos a tais termos no Contrato.

1.5 Definições:

• “Afiliada” significa qualquer entidade que, direta ou indiretamente, controle, seja controlada ou esteja sob controle comum com a entidade em questão. “Controle”, para os fins desta definição, significa propriedade direta ou indireta ou controle de mais de 50% dos interesses de voto da entidade em questão.

• “Afiliada Autorizada” significa qualquer Afiliada(s) do Usuário que (a) esteja sujeita às Leis e Regulamentos de Proteção de Dados da União Europeia, do Espaço Econômico Europeu e/ou de seus estados membros, da Suíça e/ou do Reino Unido, e (b) tenha permissão para usar os Serviços de acordo com o Contrato entre o Usuário e a Claroty, mas não tenha assinado seu próprio contrato com a Claroty e não seja um “Usuário”, conforme definido no Contrato.

• “Controlador” ou “Controlador de Dados” significa a entidade que determina os objetivos e meios do Processamento de Dados Pessoais. Apenas para os fins deste DPA, e salvo indicação em contrário, o termo “Controlador de Dados” incluirá o Usuário e/ou as Afiliadas Autorizadas do Usuário.

• “Leis eRegulamentos de Proteção de Dados ” significa todas as leis e regulamentos da União Europeia, do Espaço Econômico Europeu e de seus Estados-Membros, e do Reino Unido, aplicáveis ao Processamento de Dados Pessoais nos termos do Contrato.

• “Titular dos Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se relacionam.

• “Estado-Membro ” significa um país que pertence à União Europeia e/ou ao Espaço Econômico Europeu. “Sindicato” significa a União Europeia.

• “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 April 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre movimentação de tais dados, e revogando a Diretiva 95/46/EC (Regulamento Geral de Proteção de Dados).

• “Claroty” significa a entidade relevante da Claroty , conforme especificado no Contrato.

• “Claroty Group” significa a Claroty e suas Afiliadas envolvidas no Processamento de Dados Pessoais.

• “Dados Pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável; uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física. Para evitar dúvidas, as informações de contato comercial do Usuário não são, por si só, consideradas Dados Pessoais sujeitos a este DPA.

• “Processo(s)” refere-se a qualquer operação ou conjunto de operações realizadas com Dados Pessoais, por meios automáticos ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.

• “Processador” ou “Processador de Dados” significa a entidade que Processa Dados Pessoais em nome do Controlador.

• “Documentação de Segurança ” significa a Documentação de Segurança aplicável aos Serviços específicos adquiridos pelo Usuário, conforme atualizado de tempos em tempos, conforme razoavelmente disponibilizado pela Claroty

• “Subprocessador” significa qualquer Processador contratado pela Claroty e/ou Afiliada da Claroty para Processar Dados Pessoais no contexto deste DPA.

• “Autoridade de Supervisão ” significa uma autoridade pública independente estabelecida por um Estado-Membro da UE de acordo com o GDPR ou a ICO de acordo com o GDPR do Reino Unido.

2. PROCESSAMENTO DE DADOS PESSOAIS

2.1 Funções das Partes. As Partes reconhecem e concordam que, no que diz respeito ao Processamento de Dados Pessoais, (i) o Usuário é o Controlador de Dados, (ii) a Claroty é o Processador de Dados e que (iii) a Claroty pode contratar Subprocessadores de acordo com os requisitos estabelecidos na Seção 5 “Subprocessadores” abaixo. O Usuário, os fornecedores do Usuário e/ou os parceiros de negócios do Usuário e os Titulares dos Dados fornecerão os Dados Pessoais à Claroty , fornecendo os Dados Pessoais ao Serviço da Claroty. Para evitar dúvidas, os detalhes de login na plataforma da Claroty estão sujeitos à política de privacidade da Claroty, conforme atualizada periodicamente, e não a este DPA e, portanto, a Claroty é uma Controladora de Dados desses Dados Pessoais.

2.2  Processamento de Dados Pessoais pelo Usuário. Ao usar os Serviços, o Usuário processará Dados Pessoais de acordo com os requisitos das Leis e Regulamentos de Proteção de Dados e cumprirá sempre as obrigações aplicáveis aos controladores de dados (incluindo, sem limitação, o Artigo 24 do GDPR).  Para evitar dúvidas, as instruções do Usuário para o Processamento de Dados Pessoais devem cumprir as Leis e Regulamentos de Proteção de Dados. O Usuário será o único responsável pelos meios pelos quais adquiriu Dados Pessoais. Sem limitação, o Usuário cumprirá todas e quaisquer obrigações relacionadas à transparência (incluindo, sem limitação, a exibição de todas e quaisquer políticas ou avisos de privacidade relevantes e necessários) e terá todas e quaisquer bases legais necessárias para coletar, Processar e transferir para a Claroty os Dados Pessoais e autorizar o Processamento pela Claroty dos Dados Pessoais autorizados neste DPA. O Usuário defenderá, isentará e indenizará a Claroty, suas Afiliadas e subsidiárias (incluindo, sem limitação, seus diretores, executivos, agentes, subcontratados e/ou funcionários) de e contra qualquer responsabilidade de qualquer tipo relacionada a qualquer violação, violação ou infração pelo Usuário e/ou seus usuários autorizados de quaisquer Leis e Regulamentos de Proteção de Dados e/ou este DPA e/ou esta Seção.'

2.3 Processamento de dados pessoais pela Claroty.

2.3.1 Sujeito ao Contrato, Claroty processará os Dados Pessoais sujeitos a este DPA somente de acordo com as instruções documentadas do Usuário e somente conforme necessário para a execução dos Serviços e para a execução do Contrato e deste DPA; a menos que exigido de outra forma pela legislação da União ou do Estado-Membro ou (na medida máxima permitida por lei) qualquer outra lei aplicável à qual a Claroty esteja sujeita, nesse caso, Claroty informará o Usuário sobre o requisito legal antes do processamento, a menos que essa lei proíba tais informações por motivos importantes de interesse público. A duração do Processamento, a natureza e os objetivos do Processamento, bem como os tipos de Dados Pessoais Processados e as categorias de Titulares de Dados nos termos deste DPA, são especificados adicionalmente no Anexo 1 (Detalhes do Processamento) deste DPA.

2.3.2 Na medida em que a Claroty ou suas Afiliadas não possam cumprir uma solicitação (incluindo, sem limitação, qualquer instrução, direção, código de conduta, certificação, ou alteração de qualquer tipo) do Usuário e/ou seus usuários autorizados com relação ao Processamento de Dados Pessoais ou quando a Claroty considerar tal solicitação ilegal, Claroty (i) informará o Usuário, fornecer detalhes relevantes do problema (mas não aconselhamento jurídico), (ii) A Claroty pode, sem qualquer tipo de responsabilidade em relação ao Usuário, cessar temporariamente todo o Processamento dos Dados Pessoais afetados (além do armazenamento seguro desses dados), e (iii) se as Partes não chegarem a um acordo sobre uma resolução para a questão em questão e seus custos, cada Parte pode, como seu único recurso, rescindir o Contrato e este DPA com relação ao Processamento afetado, e o Usuário pagará à Claroty todos os valores devidos à Claroty ou devidos antes da data de rescisão. O Usuário não terá mais reivindicações contra a Claroty (incluindo, sem limitação, solicitar reembolsos pelos Serviços) devido à rescisão do Contrato e/ou do DPA na situação descrita neste parágrafo (excluindo as obrigações relacionadas à rescisão deste DPA estabelecidas abaixo).

2.3.3 A Claroty não será responsável no caso de qualquer reivindicação apresentada por terceiros, incluindo, sem limitação, um Titular de Dados, decorrente de qualquer ato ou omissão da Claroty, na medida em que seja resultado das instruções do Usuário.

3. DIREITOS DOS PARTICIPANTES DE DADOS

Se a Claroty receber uma solicitação de um Titular de Dados para exercer seu direito estabelecido no Capítulo III do RGPD (“Solicitação do Titular de Dados”), a Claroty , na medida legalmente permitida, notificará e encaminhará imediatamente essa Solicitação do Titular de Dados ao Usuário. Levando em consideração a natureza do Processamento, a Claroty envidará esforços comercialmente razoáveis para auxiliar o Usuário por medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento da obrigação do Usuário de responder a uma Solicitação do Titular dos Dados nos termos das Leis e Regulamentos de Proteção de Dados. Na medida legalmente permitida, o Usuário será responsável por quaisquer custos decorrentes da prestação de tal assistência pela Claroty.

4. PESSOAL CLAROTY

4.1 Confidencialidade. Claroty concederá acesso aos Dados Pessoais a pessoas sob sua autoridade (incluindo, sem limitação, seu pessoal) apenas com base na necessidade de saber e garantirá que essas pessoas envolvidas no Processamento de Dados Pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade.

4.2 A Claroty poderá divulgar e Processar os Dados Pessoais (a) conforme permitido nos termos deste instrumento (b) na medida exigida por um tribunal de jurisdição competente ou Autoridade Supervisora e/ou de outra forma conforme exigido pelas leis aplicáveis (neste caso, Claroty informará o Usuário sobre a exigência legal antes da divulgação, a menos que a lei proíba tais informações por motivos importantes de interesse público), ou (c) com base na “necessidade de saber” sob uma obrigação de confidencialidade perante advogado(s), consultor(es) de proteção de dados, ou contador(es).

5. AUTORIZAÇÃO REFERENTE A SUBPROCESSADORES

5.1 A lista atual de Subprocessadores da Claroty está incluída no Anexo 2 (“Lista de Subprocessadores”) e é aprovada pelo Controlador de Dados. A Lista de Subprocessadores na data de execução deste DPA é autorizada pelo Usuário.

5.2 A Claroty notificará qualquer novo Subprocessador(es) antes de autorizar tal novo Subprocessador(es) a Processar Dados Pessoais em conexão com a prestação dos Serviços.

5.3 Direito de objeção para novos subprocessadores. O Usuário pode se opor razoavelmente ao uso de um novo Subprocessador pela Claroty por motivos relacionados ao GDPR, notificando a Claroty imediatamente por escrito no prazo de 3 (três) dias úteis após o recebimento da notificação da Claroty , de acordo com o mecanismo estabelecido na Seção 5.1 , e essa objeção por escrito incluirá os motivos relacionados ao GDPR para se opor ao uso do novo Subprocessador pela Claroty. A não objeção ao novo Subprocessador por escrito no prazo de 3 (três) dias úteis após a notificação da Claroty será considerada como aceitação do novo Subprocessador. Caso o Usuário se oponha razoavelmente a um novo Subprocessador, conforme permitido nas frases anteriores, a Claroty envidará esforços razoáveis para disponibilizar ao Usuário uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável ao uso dos Serviços pelo Usuário para evitar o Processamento de Dados Pessoais pelo novo Subprocessador que tenha sido contestado sem sobrecarregar o Usuário de forma injustificada. Se a Claroty não puder disponibilizar tal alteração dentro de um período razoável, que não deve exceder trinta (30) dias, O usuário pode, como único recurso, rescindir o Contrato aplicável e este DPA com relação apenas aos Serviços que não possam ser prestados pela Claroty sem o uso do novo Subprocessador, mediante notificação por escrito à Claroty , desde que todos os valores devidos nos termos do Contrato antes da data de rescisão com relação ao Processamento em questão sejam devidamente pagos à Claroty. Até que seja tomada uma decisão sobre o novo Subprocessador, a Claroty poderá suspender temporariamente o Processamento dos Dados Pessoais afetados. O Usuário não terá mais reivindicações contra a Claroty devido à rescisão do Contrato (incluindo, sem limitação, solicitação de reembolsos) e/ou o DPA na situação descrita neste parágrafo.

5.4 Contratos com subprocessadores. Caso os Subprocessadores sejam contratados pela Claroty, a Claroty celebrará acordos contratuais com os Subprocessadores que sejam elaborados de forma a refletir as obrigações de proteção de dados estabelecidas neste DPA. De acordo com os Artigos 28.7 e 28.8 do GDPR, se e quando a Comissão Europeia estabelecer as cláusulas contratuais padrão referidas em tal Artigo, as Partes poderão revisar este DPA de boa-fé para ajustá-lo a tais cláusulas contratuais padrão.

6. SEGURANÇA

6.1 Controles para a proteção de dados pessoais. Levando em conta o estado da técnica, os custos de implementação, o escopo, o contexto, os objetivos do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, Claroty deve manter medidas técnicas e organizacionais padrão do setor exigidas de acordo com o Artigo 32 do GDPR para proteção da segurança (incluindo proteção contra Processamento não autorizado ou ilegal e contra destruição acidental ou ilegal, perda, alteração ou dano, divulgação não autorizada de, ou acesso a, Dados pessoais), confidencialidade e integridade dos Dados Pessoais, conforme estabelecido na Documentação de segurança, que são aqui aprovadas pelo Usuário. Mediante solicitação do Usuário, a Claroty envidará esforços comercialmente razoáveis para auxiliar o Usuário, às custas do Usuário, a garantir a conformidade com as obrigações nos termos dos Artigos 32 a 36 do GDPR, levando em conta a natureza do processamento, o estado da técnica e as informações disponíveis para a Claroty.

6.2 Certificações e auditorias de terceiros. Mediante solicitação por escrito do Usuário em intervalos razoáveis, e sujeito às obrigações de confidencialidade estabelecidas no Contrato e neste DPA, Claroty disponibilizará ao Usuário que não seja um concorrente da Claroty (ou do Usuário independente, auditor terceirizado que não seja concorrente da Claroty) uma cópia ou um resumo das auditorias ou certificações de terceiros mais recentes da Claroty, conforme aplicável (desde que, no entanto, que tais auditorias, certificações e seus resultados, incluindo os documentos que refletem o resultado da auditoria e/ou as certificações, deve ser usado apenas pelo Usuário para avaliar a conformidade com este DPA, e não serão usados para qualquer outra finalidade ou divulgados a terceiros sem a aprovação prévia por escrito da Claroty e, mediante a primeira solicitação da Claroty, O Usuário devolverá todos os registros ou documentação em posse ou controle do Usuário fornecidos pela Claroty no contexto da auditoria e/ou certificação). As custas e despesas do Usuário, a Claroty permitirá e contribuirá para auditorias, incluindo inspeções da Claroty, conduzidas pelo controlador ou outro auditor determinado pelo controlador (que não seja um concorrente direto ou indireto da Claroty), desde que as partes concordem com o escopo, metodologia, cronograma e condições de tais auditorias e inspeções. Não obstante qualquer disposição em contrário, tais auditorias e/ou inspeções não devem conter nenhuma informação, incluindo, sem limitação, dados pessoais que não pertençam ao Usuário.

7. GERENCIAMENTO E NOTIFICAÇÃO DE INCIDENTES DE DADOS PESSOAIS

Na medida exigida pelas Leis e Regulamentos de Proteção de Dados aplicáveis, a Claroty notificará o Usuário sem atraso indevido após tomar conhecimento da destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais, incluindo Dados Pessoais, transmitidos, armazenados ou Processados pela Claroty ou seus Subprocessadores dos quais a Claroty tome conhecimento (um “Incidente de Dados Pessoais”).

Claroty fará esforços razoáveis para identificar a causa de tal Incidente de Dados Pessoais e tomará as medidas que a Claroty considerar necessárias, possíveis e razoáveis para remediar a causa de tal Incidente de Dados Pessoais na medida em que a remediação esteja dentro do controle razoável da Claroty. As obrigações aqui contidas não se aplicam a incidentes causados pelo Usuário ou pelos usuários do Usuário ou que não estejam relacionados à prestação dos Serviços. Em qualquer caso, o Usuário será a parte responsável por notificar as autoridades de supervisão e/ou os titulares de dados envolvidos (quando exigido pelas Leis e Regulamentos de Proteção de Dados).

8. DEVOLUÇÃO E EXCLUSÃO DE DADOS PESSOAIS

Sujeito ao Contrato, a Claroty , a critério do Usuário, excluirá ou devolverá os Dados Pessoais ao Usuário após o final da prestação dos Serviços relacionados ao Processamento e excluirá as cópias existentes, a menos que a lei aplicável exija o armazenamento dos Dados Pessoais. Em qualquer caso, na medida exigida ou permitida pela lei aplicável, a Claroty pode reter uma cópia dos Dados Pessoais para fins de comprovação e/ou para o estabelecimento, exercício ou defesa de reivindicações legais e/ou para cumprir as leis e regulamentos aplicáveis. Se o Usuário solicitar que os Dados Pessoais sejam devolvidos, os Dados Pessoais serão devolvidos no formato geralmente disponível para os clientes da Claroty.

9.  AFILIADAS AUTORIZADAS

9.1 Relacionamento contratual. As Partes reconhecem e concordam que, ao assinar o DPA, o Usuário celebra o DPA em seu próprio nome e, conforme aplicável, em nome de suas Afiliadas Autorizadas, estabelecendo, assim, um DPA separado entre a Claroty. Cada Afiliada Autorizada concorda em vincular-se às obrigações previstas neste DPA. Todo acesso e uso dos Serviços por Afiliadas Autorizadas deve cumprir os termos e condições do Contrato e deste DPA, e qualquer violação dos termos e condições por uma Afiliada Autorizada será considerada uma violação pelo Usuário.

9.2 Comunicação. O Usuário permanecerá responsável por coordenar todas as comunicações com a Claroty nos termos do Contrato e deste DPA e terá o direito de fazer e receber qualquer comunicação em relação a este DPA em nome de suas Afiliadas Autorizadas.

10. TRANSFERÊNCIAS DE DADOS

10.1 Transferências para países que oferecem nível adequado de proteção de dados. Os Dados Pessoais podem ser transferidos dos Estados Membros da UE e dos três países membros do EEE (Noruega, Liechtenstein e Islândia; coletivamente, “EEE”) para países que oferecem nível adequado de proteção de dados de acordo com as decisões de adequação publicadas pelas autoridades de proteção de dados relevantes do EEE, da União, dos Estados Membros ou da Comissão Europeia (“Decisões de Adequação”), sem necessidade de qualquer outra proteção.

10.2 Transferências para outros países. Se o Processamento de Dados Pessoais incluir transferências do EEE para países fora do EEE que não estejam sujeitos a uma Decisão de Adequação (“Outros Países”), as Partes cumprirão o Capítulo V do GDPR, incluindo, se necessário, executar as cláusulas padrão de proteção de dados adotadas pelas autoridades de proteção de dados relevantes do EEE, o sindicato, os Estados-Membros ou a Comissão Europeia ou cumprir qualquer um dos outros mecanismos previstos no GDPR para transferir Dados Pessoais para esses Outros Países. Na medida em que o Usuário e a Claroty usarem as Cláusulas Contratuais Padrão como um mecanismo para transferir os Dados Pessoais do Usuário, os direitos e obrigações das partes serão executados de acordo e sujeitos às Cláusulas Contratuais Padrão e a este DPA. Em caso de contradições entre as Cláusulas Contratuais Padrão e este DPA, as Cláusulas Contratuais Padrão prevalecerão.

11. RESCISÃO

Este DPA será rescindido automaticamente após a rescisão ou expiração do Contrato sob o qual os Serviços são prestados. As Seções 2.2, 2.3.3, 8 e 12 sobreviverão à rescisão ou expiração deste DPA por qualquer motivo. Este DPA não pode, em princípio, ser rescindido separadamente do Contrato, exceto quando o Processamento terminar antes da rescisão do Contrato, caso em que este DPA será rescindido automaticamente.

12. RELAÇÃO COM O ACORDO

Em caso de conflito entre as disposições deste DPA e as disposições do Contrato, as disposições deste DPA prevalecerão sobre as disposições conflitantes do Contrato. Claroty será responsável de acordo com as limitações estabelecidas no Contrato.

13. EMENDAS

Este DPA pode ser alterado a qualquer momento por um instrumento por escrito devidamente assinado por cada uma das Partes.

14. EFEITO LEGAL

Claroty pode ceder este DPA ou seus direitos ou obrigações nos termos deste instrumento a qualquer Afiliada do mesmo, ou a um sucessor ou qualquer Afiliada do mesmo, em conexão com uma fusão, consolidação ou aquisição de todas ou substancialmente todas as suas ações, ativos ou negócios relacionados a este DPA ou ao Contrato. Qualquer obrigação da Claroty nos termos deste instrumento pode ser executada (no todo ou em parte), e qualquer direito da Claroty (incluindo direitos de fatura e pagamento) ou recurso pode ser exercido (no todo ou em parte), por uma Afiliada da Claroty.

Lista de programações

• PROGRAMAÇÃO 1 - DETALHES DO PROCESSAMENTO

• PROGRAMAÇÃO 2 - LISTA DE SUBPROCESSADORES

• CRONOGRAMA 3 – CLÁUSULAS CONTRATUAIS PADRÃO

PROGRAMAÇÃO 1 - DETALHES DO PROCESSAMENTO

Claroty Processará os Dados Pessoais conforme necessário para executar os Serviços nos termos do Contrato, conforme instruído pelo Usuário em seu uso dos Serviços.

Natureza e finalidade do processamento

1. Prestação de serviço(s) ao usuário

2. Configuração de perfil(s) para usuários autorizados pelo usuário

3. Para habilitar o uso dos Serviços pelo Usuário

4. Para que a Claroty cumpra as instruções razoáveis documentadas fornecidas pelo Usuário quando essas instruções forem consistentes com os termos do Contrato.

5. Cumprir obrigações relacionadas ao Contrato, a este DPA e/ou a outros contratos celebrados pelas Partes.

6. Fornecer suporte e manutenção técnica, se acordado no Contrato.

7. Quaisquer outras tarefas razoavelmente relacionadas ao acima exposto.

Duração do processamento

Sujeito a qualquer Seção do DPA e/ou do Contrato que trate da duração do Processamento e das consequências da expiração ou rescisão, a Claroty Processará Dados Pessoais pela duração do Contrato, salvo acordo em contrário por escrito.

Tipo de dados pessoais

O Usuário pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Usuário a seu exclusivo critério, e que pode incluir, entre outras, as seguintes categorias de Dados Pessoais:

• Endereço IP, endereços MAC, usuários e nomes de host de dispositivos pessoais (como laptops, tablets, smartphones) conectados à rede do Usuário.

• Endereços IP de serviços da Web acessados por usuários que estavam conectados à rede do Usuário por meio de seus dispositivos pessoais.

• Números de acesso de exames realizados pelos dispositivos de imagem do usuário.

• Quaisquer outros Dados Pessoais ou informações que o Usuário decida fornecer ou fornecer à Claroty ou aos Serviços.

O Usuário e os Titulares dos Dados fornecerão os Dados Pessoais à Claroty , fornecendo os Dados Pessoais ao Serviço da Claroty.

Categorias de Titulares de Dados

O Usuário pode enviar Dados Pessoais aos Serviços, cuja extensão é determinada e controlada pelo Usuário a seu exclusivo critério, e que pode incluir Dados Pessoais relacionados às seguintes categorias de titulares de dados:

• Pacientes, convidados, visitantes e/ou clientes do usuário

• Usuários do Usuário autorizados pelo Usuário a usar os Serviços.

• Funcionários, agentes, consultores, autônomos do usuário (que são pessoas físicas)

• Clientes potenciais, clientes, parceiros de negócios e fornecedores do usuário (que são pessoas físicas)

• Funcionários ou pessoas de contato de clientes potenciais, clientes, parceiros de negócios e fornecedores do Usuário

PROGRAMAÇÃO 2 - LISTA DE SUBPROCESSADORES

CRONOGRAMA 3 - CLÁUSULAS CONTRATUAIS PADRÃO

Controlador para processador

SEÇÃO I

Cláusula 1 - Objetivo e escopo

a) O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 April 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e sobre a livre movimentação de tais dados (Regulamento Geral de Proteção de Dados) (^[i]) para a transferência de dados para um terceiro país.

b) As Partes:

(i) pessoa(s) física ou jurídica, autoridade/es pública, agência/es ou outro órgão/es (doravante “entidades/es”) transferindo os dados pessoais, conforme listado no Anexo I.A (doravante cada “exportador de dados”) e

(ii) as entidades em um terceiro país que recebem os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A (doravante, cada “importador de dados”

c) Estas Cláusulas se aplicam com relação à transferência de dados pessoais, conforme especificado no Anexo I.B.

d) O Anexo a estas Cláusulas contendo os Anexos aqui referidos faz parte integrante destas Cláusulas.

Cláusula 2 - Efeito e invariabilidade das Cláusulas

a) Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos exequíveis do titular dos dados e recursos legais eficazes, de acordo com o Artigo 46(1) e o Artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão de acordo com o Artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o Módulo(s) apropriado ou para adicionar ou atualizar informações no Anexo. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou adicionem outras cláusulas ou salvaguardas adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.

b) Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3 - Terceiros beneficiários

a) Os titulares dos dados podem invocar e aplicar estas Cláusulas, como beneficiários terceiros, contra o exportador de dados e/ou importador de dados, com as seguintes exceções:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b);

(iii) Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);

(iv) Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) e (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.

b) O parágrafo (a) não prejudica os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4 - Interpretação

a) Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no Regulamento.

b) Estas Cláusulas serão lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.

c) Estas Cláusulas não serão interpretadas de forma que entrem em conflito com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5 - Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições de contratos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6 - Descrição das transferência(ões)

Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a finalidade para a qual são transferidos, estão especificados no Anexo I.B.

Cláusula 7 (Opcional) - Cláusula de acoplamento

a) Uma entidade que não seja Parte nestas Cláusulas poderá, com o acordo das Partes, acatar estas Cláusulas a qualquer momento, seja como exportador de dados ou como importador de dados, preenchendo o Anexo e assinando o Anexo I.A.

b) Uma vez preenchido o Anexo e assinado o Anexo I.A, a entidade acessora se tornará uma Parte destas Cláusulas e terá os direitos e obrigações de um exportador de dados ou importador de dados de acordo com sua designação no Anexo I.A.

c) A entidade acessória não terá direitos ou obrigações decorrentes destas Cláusulas a partir do período anterior a se tornar uma Parte.

SEÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8 - Proteções de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar se o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destas Cláusulas.

8.1 Instruções

a) O importador de dados deve processar os dados pessoais apenas mediante instruções documentadas do exportador de dados. O exportador de dados pode fornecer essas instruções durante toda a duração do contrato.

b) O importador de dados informará imediatamente o exportador de dados se não conseguir seguir essas instruções.

8.2 Limitação de finalidade

O importador de dados processará os dados pessoais apenas para a finalidade(s) específica da transferência, conforme estabelecido no Anexo I.B, a menos que haja instruções adicionais do exportador de dados.

8.3 Transparência

Mediante solicitação, o exportador de dados disponibilizará uma cópia destas Cláusulas, incluindo o Anexo, conforme preenchido pelas Partes, gratuitamente ao titular dos dados. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados pode redigir parte do texto do Anexo a estas Cláusulas antes de compartilhar uma cópia, mas deve fornecer um resumo significativo quando o titular dos dados não puder entender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos para as redações, na medida do possível, sem revelar as informações editadas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos Artigos 13 e  14 do Regulamento (UE) 2016/679.

8.4 Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais recebidos são imprecisos ou se tornaram desatualizados, ele informará o exportador de dados sem atraso indevido. Nesse caso, o importador de dados cooperará com o exportador de dados para apagar ou retificar os dados.

8.5  Duração do processamento e exclusão ou devolução de dados

O processamento pelo importador de dados só ocorrerá durante o período especificado no Anexo I.B. Após o final da prestação dos serviços de processamento, o importador de dados, a critério do exportador de dados, excluirá todos os dados pessoais processados em nome do exportador de dados e certificará ao exportador de dados que o fez, ou devolverá ao exportador de dados todos os dados pessoais processados em seu nome e excluirá as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e os processará apenas na medida e pelo tempo exigido por essa lei local. Isso não prejudica a Cláusula 14, em particular a exigência do importador de dados nos termos da Cláusula 14(e) de notificar o exportador de dados durante toda a duração do contrato se tiver motivo para acreditar que está ou se tornou sujeito a leis ou práticas não alinhadas com os requisitos nos termos da Cláusula 14(a).

8.6 Segurança do processamento

a) O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo proteção contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante “violação de dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes levarão em consideração o estado da técnica, os custos de implementação, a natureza, escopo, contexto e finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados. As Partes, em particular, considerarão recorrer à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa maneira. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico devem, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. Ao cumprir suas obrigações nos termos deste parágrafo, o importador de dados deve, pelo menos, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a fornecer um nível apropriado de segurança.

b) O importador de dados concederá acesso aos dados pessoais aos membros de seu pessoal apenas na medida estritamente necessária para a implementação, gerenciamento e monitoramento do contrato. Ele deve garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade.

c) No caso de uma violação de dados pessoais relativa aos dados pessoais processados pelo importador de dados nos termos destas Cláusulas, o importador de dados tomará as medidas adequadas para abordar a violação, incluindo medidas para mitigar seus efeitos adversos. O importador de dados também notificará o exportador de dados sem atraso indevido após tomar conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contato onde mais informações podem ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, categorias e número aproximado de titulares de dados e registros de dados pessoais em questão), suas prováveis consequências e as medidas tomadas ou propostas para abordar a violação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações então disponíveis e informações adicionais deverão, à medida que forem disponibilizadas, ser subsequentemente fornecidas sem atraso indevido.

d) O importador de dados cooperará e ajudará o exportador de dados a permitir que o exportador de dados cumpra suas obrigações nos termos do Regulamento (UE) 2016/679, em particular para notificar a autoridade supervisora competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.

8.7Dados   confidenciais

Quando a transferência envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, ou filiação sindical, dados genéticos, ou dados biométricos com a finalidade de identificar exclusivamente uma pessoa física, dados sobre a saúde ou a vida sexual ou orientação sexual de uma pessoa, ou dados relacionados a condenações criminais e infrações (doravante denominados “dados confidenciais”), o importador de dados aplicará as restrições específicas e/ou proteções adicionais descritas no Anexo I.B.

8.8  Transferências subsequentes

O importador de dados só divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados. Além disso, os dados só podem ser divulgados a terceiros localizados fora da União Europeia (^[i]) (no mesmo país que o importador de dados ou em outro país terceiro, doravante 'transferência subsequente') se o terceiro estiver ou concordar em estar vinculado a estas Cláusulas, nos termos do Módulo apropriado, ou se

(i) a transferência subsequente for para um país que se beneficie de uma decisão de adequação nos termos do Artigo  45 do Regulamento (UE) 2016/679 que cubra a transferência subsequente;

(ii) o terceiro, de outra forma, garante salvaguardas adequadas de acordo com os Artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;

(iii) a transferência subsequente seja necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou

(iv) a transferência subsequente seja necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.

Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções nos termos destas Cláusulas, em particular limitação de finalidade.

8.9  Documentação e conformidade

a) O importador de dados lidará imediata e adequadamente com consultas do exportador de dados relacionadas ao processamento de acordo com estas Cláusulas.

b) As Partes poderão demonstrar o cumprimento destas Cláusulas. Em particular, o importador de dados deve manter a documentação apropriada sobre as atividades de processamento realizadas em nome do exportador de dados.

c) O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitir e contribuir para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indicações de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados pode levar em conta certificações relevantes mantidas pelo importador de dados.

d) O exportador de dados pode optar por conduzir a auditoria sozinho ou exigir um auditor independente. As auditorias podem incluir inspeções nas instalações físicas ou nas instalações do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.

e) As Partes disponibilizarão as informações referidas nos parágrafos (b) e (c), incluindo os resultados de quaisquer auditorias, à autoridade supervisora competente mediante solicitação.

Cláusula 9 - Uso de subprocessadores

a) AUTORIZAÇÃO ANTERIOR ESPECÍFICA O importador de dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do exportador de dados nos termos destas Cláusulas a um subprocessador sem a autorização prévia específica por escrito do exportador de dados. O importador de dados deve enviar a solicitação de autorização específica pelo menos 3 dias antes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização. A lista de subprocessadores já autorizados pelo exportador de dados pode ser encontrada no Anexo III. As Partes manterão o Anexo III atualizado.

b) Quando o importador de dados contratar um subprocessador para realizar atividades específicas de processamento (em nome do exportador de dados), ele o fará por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que as vinculativas ao importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para titulares de dados. (^[i]) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8. O importador de dados deve garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com estas Cláusulas.

c) O importador de dados fornecerá, a pedido do exportador de dados, uma cópia de tal contrato de subprocessador e quaisquer emendas subsequentes ao exportador de dados. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o importador de dados pode redigir o texto do contrato antes de compartilhar uma cópia.

d) O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo desempenho das obrigações do subprocessador nos termos de seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações nos termos desse contrato.

e) O importador de dados concordará com uma cláusula de terceiro beneficiário com o subprocessador, por meio da qual, caso o importador de dados tenha desaparecido, deixado de existir na lei ou tenha se tornado insolvente, o exportador de dados terá o direito de rescindir o contrato do subprocessador e instruir o subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10 - Direitos do titular dos dados

a) O importador de dados notificará imediatamente o exportador de dados sobre qualquer solicitação recebida de um titular dos dados. Ele não responderá a essa solicitação em si, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.

b) O importador de dados auxiliará o exportador de dados no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para o exercício de seus direitos nos termos do Regulamento (UE) 2016/679. Nesse sentido, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, levando em consideração a natureza do processamento, pelo qual a assistência será fornecida, bem como o escopo e a extensão da assistência necessária.

c) Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deve cumprir as instruções do exportador de dados.

Cláusula 11 - Correção

a) O importador de dados informará os titulares dos dados em um formato transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a lidar com reclamações. Ele deve lidar imediatamente com quaisquer reclamações que receber de um titular de dados.

b) Em caso de disputa entre um titular dos dados e uma das Partes no que diz respeito ao cumprimento destas Cláusulas, essa Parte envidará seus melhores esforços para resolver o problema amigavelmente em tempo hábil. As Partes manterão umas às outras informadas sobre tais disputas e, quando apropriado, cooperarão para resolvê-las.

c) Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:

(i) apresentar uma reclamação à autoridade supervisora no Estado-Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente de acordo com a Cláusula 13;

(ii) encaminhar a disputa aos tribunais competentes, de acordo com o significado da Cláusula 18.

d) As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no Artigo 80(1) do Regulamento (UE) 2016/679.

e) O importador de dados cumprirá uma decisão que seja vinculativa de acordo com a legislação aplicável da UE ou do Estado-Membro.

f) O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos materiais e processuais de buscar recursos de acordo com as leis aplicáveis.

Cláusula 12 - Responsabilidade

a) Cada Parte será responsável perante a outra Parte por quaisquer danos que causar à outra Parte por qualquer violação destas Cláusulas.

b) O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber compensação por quaisquer danos materiais ou não materiais que o importador de dados ou seu subprocessador cause ao titular dos dados por violar os direitos de terceiros beneficiários sob estas Cláusulas.

c) Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber compensação por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou seu subprocessador) cause ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou Regulamento (UE) 2018/1725, conforme aplicável.

d) As Partes concordam que, se o exportador de dados for responsabilizado nos termos do parágrafo (c) por danos causados pelo importador de dados (ou seu subprocessador), terá o direito de reivindicar do importador de dados essa parte da compensação correspondente à responsabilidade do importador de dados pelo dano.

e) Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão solidariamente responsáveis e o titular dos dados terá o direito de entrar com uma ação judicial contra qualquer uma dessas Partes.

f) As Partes concordam que, se uma Parte for responsabilizada nos termos do parágrafo (e), ela terá o direito de reivindicar de volta da outra Parte parte da remuneração correspondente à sua responsabilidade pelo dano.

g) O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.

Cláusula 13 - Supervisão

a) [Onde o exportador de dados estiver estabelecido em um Estado Membro da UE:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

[Quando o exportador de dados não estiver estabelecido em um Estado-membro da UE, mas se enquadrar no escopo territorial da aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) e tiver nomeado um representante de acordo com o Artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade supervisora do Estado-membro em que o representante, dentro do significado do Artigo 27(1) do Regulamento (UE) 2016/679 , conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.

[Onde o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas se enquadra no escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante nos termos do Artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros em que os titulares de dados cujos dados pessoais são transferidos nos termos destas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, deve atuar como autoridade supervisora competente.

b) O importador de dados concorda em se submeter à jurisdição e cooperar com a autoridade supervisora competente em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas. Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias. Ele deve fornecer à autoridade supervisora uma confirmação por escrito de que as ações necessárias foram tomadas.

SEÇÃO III - LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14 - Leis e práticas locais que afetam o cumprimento das Cláusulas

a) As Partes garantem que não têm motivo para acreditar que as leis e práticas no terceiro país de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos para divulgar dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas. Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679, não estão em contradição com estas Cláusulas.

b) As Partes declaram que, ao fornecer a garantia no parágrafo (a), levaram em consideração, em particular, os seguintes elementos:

(i) as circunstâncias específicas da transferência, incluindo a duração da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; as transferências pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos;

(ii) autoridades ou autorização de acesso por tais autoridades – relevantes à luz das circunstâncias específicas da transferência e das limitações e salvaguardas aplicáveis (^[i]);

(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas nos termos destas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.

c) O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), fez o possível para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.

d) As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente mediante solicitação.

e) O importador de dados concorda em notificar o exportador de dados imediatamente se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivo para acreditar que está ou se tornou sujeito a leis ou práticas não alinhadas com os requisitos do parágrafo (a), inclusive após uma alteração nas leis do terceiro país ou uma medida (como uma solicitação de divulgação) indicando uma aplicação de tais leis na prática que não está alinhada com os requisitos do parágrafo (a).

f) Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações nos termos destas Cláusulas, o exportador de dados deve identificar imediatamente as medidas apropriadas (por exemplo, medidas técnicas ou organizacionais para garantir segurança e confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para abordar a situação. O exportador de dados suspenderá a transferência de dados se considerar que nenhuma proteção apropriada para tal transferência pode ser garantida, ou se instruído pela autoridade supervisora competente a fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que se refira ao processamento de dados pessoais nos termos destas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão apenas com relação à Parte relevante, a menos que as Partes tenham concordado de outra forma. Quando o contrato for rescindido nos termos desta Cláusula, as Cláusulas 16(d) e (e) serão aplicadas.

Cláusula 15 - Obrigações do importador de dados em caso de acesso por autoridades públicas

15.1 Notificação

a) O importador de dados concorda em notificar o exportador de dados e, quando possível, o titular dos dados imediatamente (se necessário com a ajuda do exportador de dados) se:

(i) receber uma solicitação legalmente vinculativa de uma autoridade pública, incluindo autoridades judiciais, nos termos das leis do país de destino para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação incluirá informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou

(ii) tomar conhecimento de qualquer acesso direto por parte das autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, de acordo com as leis do país de destino; essa notificação incluirá todas as informações disponíveis para a importadora.

b) Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma renúncia da proibição, com o objetivo de comunicar o máximo de informações possível, assim que possível. O importador de dados concorda em documentar seus melhores esforços para poder demonstrá-los a pedido do exportador de dados.

c) Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo de informações relevantes possível sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade/autoridades solicitantes, se as solicitações foram contestadas e o resultado de tais desafios, etc.).

d) O importador de dados concorda em preservar as informações nos termos dos parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.

e) Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados nos termos da Cláusula 14(e) e da Cláusula 16 de informar o exportador de dados imediatamente quando ele não puder cumprir estas Cláusulas.

15.2 Revisão da legalidade e minimização de dados

a) O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, obrigações aplicáveis de acordo com a lei internacional e princípios de comunidade internacional. O importador de dados deve, sob as mesmas condições, buscar possibilidades de recurso. Ao contestar uma solicitação, o importador de dados deve buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente tenha decidido sobre seus méritos. Não divulgará os dados pessoais solicitados até que seja necessário fazê-lo de acordo com as regras processuais aplicáveis. Esses requisitos não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).

b) O importador de dados concorda em documentar sua avaliação legal e qualquer contestação à solicitação de divulgação e, na medida permitida pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Ele também deve disponibilizá-lo à autoridade supervisora competente mediante solicitação.

c) O importador de dados concorda em fornecer a quantidade mínima de informações permitidas ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

SEÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16 - Não cumprimento das Cláusulas e rescisão

a) O importador de dados informará imediatamente o exportador de dados se não puder cumprir estas Cláusulas, por qualquer motivo.

b) Caso o importador de dados viole estas Cláusulas ou não possa cumprir estas Cláusulas, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente garantida ou o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).

c) O exportador de dados terá o direito de rescindir o contrato, na medida em que se refira ao processamento de dados pessoais nos termos destas Cláusulas, onde:

(i) o exportador de dados suspendeu a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não é restaurada dentro de um prazo razoável e, em qualquer caso, dentro de um mês da suspensão;

(ii) o importador de dados esteja em violação substancial ou persistente destas Cláusulas; ou

(iii) o importador de dados não cumprir uma decisão vinculativa de um tribunal competente ou autoridade supervisora sobre suas obrigações nos termos destas Cláusulas.

d) Os dados pessoais que foram transferidos antes da rescisão do contrato de acordo com o parágrafo (c) devem, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplica a quaisquer cópias dos dados. O importador de dados deve certificar a exclusão dos dados para o exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e processará os dados apenas na medida e pelo tempo exigido por essa lei local.

e) Qualquer uma das Partes poderá revogar seu acordo de estar vinculada por estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do Artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17 - Lei regente

Estas Cláusulas serão regidas pela lei de um dos Estados Membros da UE, desde que tal lei permita direitos de terceiros beneficiários. As Partes concordam que esta será a lei da República da Irlanda.

Cláusula 18 - Escolha de foro e jurisdição

a) Qualquer disputa decorrente destas Cláusulas será resolvida pelos tribunais de um Estado Membro da UE.

b) As Partes concordam que esses serão os tribunais de Dublin, Irlanda.

c) O titular dos dados também pode instaurar processos legais contra o exportador de dados e/ou importador de dados perante os tribunais do Estado-Membro no qual ele/ela tem sua residência habitual.

d) As Partes concordam em se submeter à jurisdição de tais tribunais.

ANEXO

OBSERVAÇÃO EXPLICATÁRIA:

Deve ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferência e, a este respeito, determinar a respectiva função(ões) das Partes como exportador(es) de dados e/ou importador(es) de dados. Isso não exige necessariamente preencher e assinar anexos separados para cada transferência/categoria de transferências e/ou relação contratual, onde essa transparência possa ser alcançada por meio de um apêndice. No entanto, quando necessário para garantir clareza suficiente, apêndices separados devem ser usados.

ANEXO I

A. LISTA DE PARTES

Exportador(es) de dados:

Nome: a entidade estabelecida em um Pedido aplicável.

Endereço: o endereço da entidade estabelecida em um Pedido aplicável.

Nome, cargo e detalhes de contato da pessoa de contato: conforme estabelecido em um Pedido aplicável.

Atividades relevantes aos dados transferidos nos termos destas Cláusulas: Consulte o Anexo 1.

Importador(es) de dados: 

Nome: Claroty Ltd. em seu nome e em nome de suas Afiliadas

Endereço: 82 Yigal Alon St, Tel Aviv-Yafo, Israel

Nome, cargo e detalhes de contato da pessoa de contato: Seth Gerson, diretor jurídico, legal@claroty.com

Atividades relevantes aos dados transferidos nos termos destas Cláusulas: Atividades de processamento descritas no Anexo 1.

Função (controlador/processador): processador de dados

B. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

Consulte o Anexo 1

Categorias de dados pessoais transferidos

Consulte o Anexo 1

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.

Consulte o Anexo 1

A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua).

Consulte o Anexo 1

Natureza do processamento

Consulte o Anexo 1

Finalidade(ões) da transferência de dados e processamento adicional

Consulte o Anexo 1

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

Consulte o Anexo 1

Para transferências para processadores (sub), especifique também o assunto, a natureza e a duração do processamento

Consulte o Anexo 2 e o DPA.

C. AUTORIDADE DE SUPERVISÃO COMPETENTE
Identificar a autoridade supervisora competente de acordo com a Cláusula 13.

ANEXO II

MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

OBSERVAÇÃO EXPLICATÁRIA:

As medidas técnicas e organizacionais devem ser descritas em termos específicos (e não genéricos). Consulte também o comentário geral na primeira página do Apêndice, em particular sobre a necessidade de indicar claramente quais medidas se aplicam a cada transferência/conjunto de transferências.

 Consulte a documentação de segurança.

ANEXO III

LISTA DE SUBPROCESSADORES

OBSERVAÇÃO EXPLICATÁRIA:

Este Anexo deve ser preenchido em caso de autorização específica de subprocessadores (Cláusula 9(a), Opção 1).

O controlador autorizou o uso dos seguintes subprocessadores: Consulte o Anexo 2.

[i] Quando o exportador de dados for um processador sujeito ao Regulamento (UE) 2016/679 que atua em nome de uma instituição ou órgão da União como controlador, a confiança nestas Cláusulas ao contratar outro processador (subprocessamento) não sujeito ao Regulamento (UE) 2016/679 também garante a conformidade com o Artigo  29(4) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho de 23 outubro de 2018 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais pelas instituições da União, corpos, escritórios e agências e sobre a livre movimentação desses dados, e revogando o Regulamento (EC) No  45/2001 e a Decisão No  1247/2002/EC (OJ L 295, 21.11.2018, p. 39), na medida em que estas Cláusulas e as obrigações de proteção de dados estabelecidas no contrato ou outro ato legal entre o controlador e o processador, de acordo com o Artigo  29(3) do Regulamento (UE) 2018/1725 , estejam alinhadas. Esse será, em particular, o caso em que o controlador e o processador se basearão nas cláusulas contratuais padrão incluídas na Decisão 2021/915.

[i] O Acordo sobre o Espaço Econômico Europeu (Acordo do EEE) prevê a extensão do mercado interno da União Europeia para os três estados do EEE Islândia, Liechtenstein e Noruega. A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Contrato do EEE e foi incorporada ao Anexo XI. Portanto, qualquer divulgação pelo importador de dados a terceiros localizados no EEE não se qualifica como transferência subsequente para os fins destas Cláusulas.

[i] Este requisito pode ser satisfeito pelo subprocessador que está de acordo com estas Cláusulas no âmbito do Módulo apropriado, de acordo com a Cláusula 7.

[i] No que diz respeito ao impacto de tais leis e práticas na conformidade com estas Cláusulas, diferentes elementos podem ser considerados como parte de uma avaliação geral. Tais elementos podem incluir experiência prática relevante e documentada com casos anteriores de solicitações de divulgação de autoridades públicas, ou a ausência de tais solicitações, cobrindo um prazo suficientemente representativo. Isso se refere, em particular, a registros internos ou outra documentação, elaborada continuamente de acordo com a devida diligência e certificada no nível da gerência sênior, desde que essas informações possam ser legalmente compartilhadas com terceiros. Quando esta experiência prática for invocada para concluir que o importador de dados não será impedido de cumprir estas Cláusulas, ela precisa ser apoiada por outros elementos relevantes e objetivos, e é para as Partes considerarem cuidadosamente se esses elementos juntos carregam peso suficiente, em termos de confiabilidade e representatividade, para apoiar esta conclusão. Em particular, as Partes têm de levar em conta se a sua experiência prática é corroborada e não contraditória por informações publicamente disponíveis ou de outra forma acessíveis e confiáveis sobre a existência ou ausência de solicitações dentro do mesmo setor e/ou a aplicação da lei na prática, como jurisprudência e relatórios por órgãos de supervisão independentes.