Adendo sobre processamento de dados

Última modificação: 2 de novembro de 2020

A Jibe e a contraparte que concorda com este adendo ("Empresa") celebraram um contrato de prestação de Serviços de operador (conforme alterações periódicas, o "Contrato").

Este Adendo de Processamento de Dados (incluindo os apêndices, "Adendo de Processamento de Dados") é firmado pela Jibe e pela Empresa e complementa o Contrato. Este Adendo de Processamento de Dados entrará em vigor e substituirá quaisquer termos anteriormente aplicáveis relativos ao objeto em questão, incluindo quaisquer termos de segurança e processamento de dados relacionados aos Serviços de Processador, a partir do Início da Vigência dos Termos.

Ao aceitar este Adendo de Processamento de Dados em nome da Empresa, você declara que: (a) tem total autoridade legal para sujeitar a Empresa a este Adendo de Processamento de Dados; (b) leu e entendeu este Adendo de Processamento de Dados; e (c) concorda com este Adendo de Processamento de Dados. Se você não tiver autoridade legal para sujeitar a Empresa, não aceite este Adendo de Processamento de Dados.

1. Introdução

Este Adendo de Processamento de Dados reflete o acordo das partes sobre os termos que regem o processamento e a segurança dos Dados Pessoais da Empresa em relação à Legislação de Proteção de Dados Europeia e certas Legislações de Proteção de Dados Não Europeias.

2. Definições e Interpretação

2.1 Neste Adendo de Processamento de Dados:

"Produto Adicional" é um produto, serviço ou aplicativo fornecido pela Jibe ou por um terceiro que: (a) não faz parte dos Serviços de Processador; e (b) pode ser acessado na interface do usuário dos Serviços de Processador ou, de outra forma, integrado a eles.

"Termos Adicionais para Legislações de Proteção de Dados Não Europeias" significa os termos adicionais mencionados no Apêndice 3, que refletem o contrato entre as partes sobre os termos que regem o processamento de determinados dados em relação a certas Legislações de Proteção de Dados Não Europeias.

"Afiliado" refere-se a uma entidade que, direta ou indiretamente, controla, é controlada ou está sob o controle comum de uma parte.

"Dados Pessoais da Empresa" significa dados pessoais que são processados pela Jibe em nome da Empresa ao prestar os Serviços de Processador.

"Incidente de Dados" significa uma violação da segurança do Jibe que causa destruição, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais da Empresa em sistemas gerenciados ou controlados por ele. "Incidentes de Dados" não incluem atividades ou tentativas malsucedidas que não comprometem a segurança dos Dados Pessoais da Empresa, incluindo tentativas não concretizadas de login, pings, verificações de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.

"Legislação de Proteção de Dados" significa, conforme aplicável: (a) a Legislação Europeia de Proteção de Dados; e/ou (b) a Legislação de Proteção de Dados Não Europeia.

"Ferramenta do Titular dos Dados" significa uma ferramenta (se houver) disponibilizada por uma Entidade Jibe para tituladores de dados que permite que a Jibe responda diretamente e de maneira padronizada a determinadas solicitações de titulares de dados em relação aos Dados Pessoais da Empresa (por exemplo, um plug-in de navegador de desativação).

"EEE significa Espaço Econômico Europeu.

"GDPR da União Europeia" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas em relação ao processamento de dados pessoais e sobre a livre movimentação de tais dados, revogando a Diretiva 95/46/EC.

"Legislação Europeia de Proteção de Dados" significa, conforme aplicável: (a) o GDPR; e/ou (b) a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).

"Legislação Europeia ou Nacional" significa, conforme aplicável: (a) a legislação da UE ou de um Estado-Membro da UE, se o GDPR da UE se aplicar ao processamento de Dados Pessoais da Empresa; e/ou (b) a legislação do Reino Unido ou de uma parte do Reino Unido, se o GDPR do Reino Unido se aplicar ao processamento de Dados Pessoais da Empresa.

"GDPR" significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR Britânico.

"Jibe" significa a Entidade Jibe que é parte do Contrato.

"Subprocessadores de Afiliado da Jibe" tem o significado atribuído na Seção 11.1 (Consentimento para o Envolvimento de Subprocessadores).

"Jibe Entity" significa a Jibe Mobile Inc, a Jibe Mobile Limited ou qualquer outro Afiliado da Jibe Mobile Inc.

"Certificação ISO 27001" significa uma certificação ISO/IEC 27001:2013 ou uma certificação comparável para os Serviços de Processador.

"Legislação de Proteção de Dados Não Europeia" significa as leis de proteção ou privacidade de dados em vigor fora do EEE, da Suíça e do Reino Unido.

"Endereço de E-mail para Notificação" significa o endereço de e-mail (se houver): (i) fornecido pela Empresa à Jibe ou (ii) designado pela Empresa, pela interface do usuário dos Serviços de Processador ou outros meios fornecidos pela Jibe para receber determinadas notificações da Jibe relacionadas a este Adendo de Processamento de Dados. Para fins de esclarecimento, é responsabilidade da Empresa fornecer à Jibe um Endereço de E-mail para Notificação e informar à Jibe qualquer atualização feita nesse endereço.

"Serviços de Processador" significa serviços do RCS Business Messaging, conforme descrito em https://developers.google.com/business-communications/rcs-business-messaging

"Documentação de Segurança" significa a Certificação ISO 27001 e qualquer outra certificação ou documentação de segurança que a Jibe pode disponibilizar em relação aos Serviços de Processador.

"Medidas de Segurança" tem o significado atribuído na Seção 7.1.1 (Medidas de Segurança da Jibe).

"Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão da Comissão Europeia em https://privacy.google.com/businesses/gdprprocessorterms/sccs, que são termos de proteção de dados padrão para a transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, conforme descrito no Artigo 46 do GDPR da UE.

"Subprocessadores" significa terceiros autorizados por meio deste Adendo de Processamento de Dados a ter acesso lógico e a processar Dados Pessoais da Empresa para fornecer partes dos Serviços de Processador e qualquer suporte técnico relacionado.

"Autoridade Supervisora" significa, conforme aplicável: (a) uma "autoridade supervisora" conforme definição no GDPR da UE; e/ou (b) o "Comissário" conforme definição no GDPR Britânico.

"Período" significa o período entre o Início da Vigência dos Termos e o final do fornecimento dos Serviços de Processador pelo Jibe de acordo com o Contrato.

"Início da Vigência dos Termos" significa o início da vigência do Contrato.

"Subprocessadores Terceirizados" tem o significado atribuído na Seção 11.1 (Consentimento para Envolvimento de Subprocessadores).

"GDPR do Reino Unido" significa o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018, caso em vigor.

2.2 Os termos "controlador", "titular dos dados", "dados pessoais", "processamento" e "processador" usados neste Adendo de Processamento de Dados terão os significados atribuídos a eles no GDPR. Os termos "importador de dados" e "exportador de dados" terão os significados mencionados nas Cláusulas Contratuais Padrão.

2.3 Os termos "incluindo", "incluir" ou qualquer expressão semelhante serão interpretados como ilustrativos e não limitarão o sentido das palavras que precedem esses termos. Todos os exemplos neste Adendo de Processamento de Dados são ilustrativos e não são os únicos exemplos de um conceito específico.

2.4 Qualquer referência a um enquadramento legal, estatuto ou outro ato legislativo é uma referência a ele conforme alterado ou promulgado novamente de forma periódica.

2.5 Se esses Termos de Processamento de Dados forem traduzidos para qualquer outro idioma e houver uma discrepância entre o texto em inglês e o texto traduzido, o texto em inglês prevalecerá.

3. Duração deste Adendo de Processamento de Dados

Este Adendo de Processamento de Dados entrará em vigor no Início da Vigência dos Termos e, independentemente de o Período ter expirado, permanecerá em vigor até a exclusão de todos os Dados Pessoais da Empresa pela Jibe e vai expirar automaticamente, conforme descrito neste Adendo.

4. Aplicação deste Adendo de Processamento de Dados

4.1 Aplicação da Legislação Europeia de Proteção de Dados. As seções 5 (1-

(a) o processamento estiver no contexto das atividades de um estabelecimento de Empresa no EEE ou no Reino Unido; e/ou

(b) Os Dados Pessoais da Empresa são dados pessoais relacionados a titulares dos dados no EEE ou no Reino Unido e processamento se refere à oferta de bens ou serviços a esses titulares dos dados ou ao monitoramento do comportamento deles no EEE ou no Reino Unido.

4.2 Aplicação aos Serviços de Processador. Este Adendo de Processamento de Dados será aplicado somente aos Serviços de Processador a que as partes tenham concordado com este Adendo de Processamento de Dados. Por exemplo: (a) os Serviços de Processador para os quais a Empresa clicou para aceitar este Adendo de Processamento de Dados; ou (b) se o Contrato incorpora este Adendo de Processamento de Dados por referência, os Serviços de Processador que são objeto desse Contrato.

4.3 Incorporação dos Termos Adicionais da Legislação de Proteção de Dados Não Europeia. Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam estes Termos de Processamento de Dados.

5. Processamento de Dados

5.1 Funções e conformidade regulatória; autorização.

5.1.1 Responsabilidades do Processador e do Controlador. As partes confirmam e concordam que:

(a) o Apêndice 1 descreve o objeto em questão e os detalhes do processamento de Dados Pessoais da Empresa;

(b) a Jibe é uma operadora dos Dados Pessoais da Empresa de acordo com a Legislação Europeia de Proteção de Dados;

(c) a Empresa é um controlador ou processador, conforme aplicável, de Dados Pessoais da Empresa de acordo com a Legislação de Proteção de Dados Europeia; e

(d) cada parte obedecerá às obrigações impostas pela Legislação Europeia de Proteção de Dados no que diz respeito ao processamento desses Dados Pessoais da Empresa.

5.1.2 Autorização por Controlador Terceirizado. Se a Empresa for um processador, a Empresa garante à Jibe que as próprias instruções e ações em relação aos Dados Pessoais da Empresa, incluindo a nomeação da Jibe como outro processador, foram autorizadas pelo controlador relevante.

5.2 Instruções da Empresa. Ao celebrar este Adendo de Processamento de Dados, a Empresa instrui o Jibe a processar os Dados Pessoais da Empresa somente de acordo com a legislação aplicável: (a) para prestar os Serviços de Processador e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso dos Serviços de Processador pela Empresa (incluindo nas configurações e em outros recursos dos Serviços de Processador) e por qualquer suporte técnico relacionado; (c) conforme documentado na sua forma de acordo, conforme aqui descrito

5.3 Conformidade do Jibe com as instruções. A Jibe obedecerá às instruções descritas na Seção 5.2 (Instruções da Empresa), inclusive com relação às transferências de dados, a menos que a Legislação Europeia ou Nacional a que a Jibe está sujeito exija outro processamento de Dados Pessoais da Empresa pela Jibe. Nesse caso, a Jibe informará a Empresa (a menos que essa lei proíba o Jibe de fazer isso por motivos importantes de interesse público).

5.4 Produtos Adicionais. Se a Empresa usar qualquer Produto Adicional, os Serviços de Processador poderão permitir que tal produto acesse Dados Pessoais da Empresa conforme necessário para a interoperação do Produto Adicional com os Serviços de Processador. Este Adendo de Processamento de Dados não se aplica ao processamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pela Empresa, incluindo dados pessoais transmitidos para tal Produto Adicional ou por ele.

6. Exclusão de Dados

6.1 Exclusão durante o Período.

6.1.1 Serviços de Processador com Funcionalidade de Exclusão. Durante o Período, se:

(a) a funcionalidade dos Serviços de Processador incluir a opção para a Empresa excluir os Dados Pessoais da Empresa;

(b) a Empresa usar os Serviços de Processador para excluir determinados Dados Pessoais da Empresa;

(c) os Dados Pessoais da Empresa excluídos não puderem ser recuperados pela Empresa (por exemplo, da Lixeira),

a Jibe excluirá esses Dados Pessoais da Empresa dos sistemas assim que razoavelmente possível, a menos que a Legislação Europeia ou Nacional exija o armazenamento.

6.1.2 Serviços de Processador sem Funcionalidade de Exclusão. Durante o Período, se a funcionalidade dos Serviços de Processador não incluir a opção para a Empresa excluir Dados Pessoais da Empresa, a Jibe obedecerá a qualquer solicitação razoável da Empresa para facilitar essa exclusão, na medida em que isso seja possível dadas a natureza e a funcionalidade dos Serviços de Processador. A Jibe pode cobrar uma taxa (com base nos custos razoáveis dela) por qualquer exclusão de dados de acordo com esta Seção 6.1.2 (Serviços de Processador sem Funcionalidade de Exclusão). A Jibe fornecerá à Empresa mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes de qualquer exclusão de dados.

6.2 Exclusão na expiração do prazo. Na expiração do Período, a Empresa instrui a Jibe a excluir todos os Dados Pessoais da Empresa (incluindo cópias) dos sistemas da Jibe de acordo com a legislação aplicável. A Jibe obedecerá a essa instrução assim que razoavelmente possível, a menos que a Legislação Europeia ou Nacional exija armazenamento.

7. Segurança de dados

7.1 Medidas e assistência à segurança da Jibe.

7.1.1 Medidas de Segurança da Jibe. A Jibe implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais da Empresa contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal, conforme descrito no Apêndice 2 (as "Medidas de Segurança"). A Jibe pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação dos Serviços gerais.

7.1.2 Conformidade de segurança pela Jibe Staff.Jibe garantirá que todas as pessoas autorizadas a processar Dados Pessoais da Empresa se comprometeram com a confidencialidade ou estão sob a obrigação estatutária de confidencialidade.

7.1.3 Assistência de Segurança da Jibe. A Empresa concorda que a Jibe ajudará a garantir a conformidade com todas as obrigações da Empresa relativas à segurança de dados pessoais e violações de dados pessoais (considerando a natureza do processamento de Dados Pessoais da Empresa e as informações disponíveis para o Jibe), incluindo, se aplicável, as obrigações da Empresa nos termos dos Artigos 32 a 34 (inclusive) do GDPR, por meio de:

(a) implementação e manutenção das Medidas de Segurança de acordo com a Seção 7.1.1 (Medidas de Segurança da Jibe);

(b) cumprimento dos termos da Seção 7.2 (Incidentes de Dados); e

(c) fornecimento à Empresa da Documentação de Segurança de acordo com a Seção 7.5.1 (Análises de Documentação de Segurança) e das informações contidas neste Adendo de Processamento de Dados.

7.2 Incidentes de Dados.

7.2.1 Notificação de Incidentes. Se a Jibe souber de um Incidente de Dados, ela: (a) notificará a Empresa imediatamente e sem qualquer atraso; e (b) tomará providências razoáveis imediatas para minimizar os danos e proteger os Dados Pessoais da Empresa.

7.2.2 Detalhes do Incidente de Dados. As notificações feitas na Seção 7.2.1 (Notificação de Incidentes) descreverão, na medida do possível, os detalhes do Incidente de Dados, incluindo as etapas realizadas para mitigar os possíveis riscos e as etapas recomendadas para a Empresa resolver o Incidente de Dados.

7.2.3 Envio da Notificação.A Jibe envia uma notificação sobre qualquer Incidente de Dados ao Endereço de E-mail para Notificação ou, a critério da Jibe (inclusive se a Empresa não tiver fornecido esse endereço), por comunicação direta (por exemplo, por telefone ou pessoalmente). A Empresa é a única responsável por fornecer o Endereço de E-mail para Notificação e garantir que esse endereço esteja atualizado e seja válido.

7.2.4 Notificações de terceiros. A Empresa é a única responsável por obedecer às leis de notificação de incidentes aplicáveis à Empresa e cumprir todas as obrigações de notificação a terceiros relacionadas a Incidentes de Dados.

7.2.5 Nenhuma confirmação de Falha pela Jibe.Jibe de notificação ou resposta a um Incidente de Dados nos termos desta Seção 7.2 (Incidentes de Dados) não será interpretada como um reconhecimento pela Jibe de qualquer falha ou responsabilidade em relação ao Incidente de Dados.

7.3 Responsabilidades e avaliação de segurança da Empresa.

7.3.1 Responsabilidades de Segurança da Empresa. A Empresa concorda que, sem prejuízo das obrigações da Jibe de acordo com as Seções 7.1 (Medidas e Assistência de Segurança da Jibe) e 7.2 (Incidentes de Dados):

(a) a Empresa é responsável pelo uso que fizer dos Serviços de Processador, incluindo:

(i) uso apropriado dos Serviços de Processador a fim de garantir um nível de segurança adequado ao risco aos Dados Pessoais da Empresa; e

(ii) proteger as credenciais de autenticação de contas, sistemas e dispositivos que a Empresa usa para acessar os Serviços de Processador; e

(b) A Jibe não tem a obrigação de proteger Dados Pessoais da Empresa que a Empresa opte por armazenar ou transferir fora dos sistemas da Jibe e dos Subprocessadores dela.

7.3.2 Avaliação de Segurança da Empresa. A Empresa reconhece e concorda que, considerando o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento de Dados Pessoais da Empresa, bem como os riscos para indivíduos. As Medidas de Segurança implementadas e mantidas pela Jibe na Seção 7.1.1 (Medidas de Segurança da Jibe) oferecem um nível de segurança apropriado ao risco dos Dados Pessoais da Empresa.

7.4 Certificação de segurança. Para avaliar e ajudar a garantir a eficácia contínua das Medidas de Segurança, a Jibe manterá a Certificação ISO 27001.

7.5 Análises e auditorias de conformidade.

7.5.1 Avaliações da Documentação de Segurança. Para demonstrar a conformidade da Jibe com as obrigações deste Adendo de Processamento de Dados, a Jibe disponibilizará a Documentação de Segurança para análise do Cliente.

7.5.2 Direitos de Auditoria da Empresa.

(a) A Jibe permitirá que a Empresa ou um auditor terceirizado indicado pela Empresa conduzam auditorias (incluindo inspeções) para verificar a conformidade do Jibe com as obrigações dele conforme este Adendo de Processamento de Dados de acordo com a Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias). A Jibe contribuirá para essas auditorias conforme descrito na Seção 7.4 (Certificação de Segurança) e nesta Seção e Auditorias.

(b) Se as Cláusulas Contratuais Padrão se aplicarem na Seção 10.2 (Transferências de Dados), a Jibe permitirá que a Empresa ou um auditor terceirizado indicado por ela realize auditorias conforme descrito nas Cláusulas Contratuais Padrão de acordo com a Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias).

(c) também pode realizar uma auditoria para verificar a conformidade da Jibe com as obrigações conforme este Adendo de Processamento de Dados analisando o certificado emitido para a Certificação ISO 27001, que reflete o resultado de uma auditoria realizada por um auditor terceirizado.

7.5.3 Termos Adicionais da Empresa para Auditorias.

(a) A Empresa enviará ao Cliente a solicitação de uma auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b), conforme descrito na Seção 12.1 (Contato com a Jibe).

(b) Após o recebimento da solicitação da Jibe de acordo com a Seção 7.5.3(a), a Jibe e a Empresa discutirão e concordarão antecipadamente sobre a data de início, o escopo e a duração razoáveis de qualquer auditoria prevista na Seção 7.5.2(a) ou 7.5.2(b), além de controles de confidencialidade e segurança aplicáveis.

(c) A Jibe pode cobrar uma taxa (com base nos custos razoáveis dela) por qualquer auditoria prevista na Seção 7.5.2(a) ou 7.5.2(b).A Jibe fornecerá à Empresa mais detalhes sobre qualquer taxa aplicável e a base de cálculo antes de qualquer auditoria. A Empresa será responsável por quaisquer taxas cobradas pelos auditores terceirizados nomeados pela Empresa para executar as auditorias.

(d) A Jibe pode opor-se a qualquer auditor terceirizado indicado pela Empresa para realizar auditorias previstas na Seção 7.5.2(a) ou 7.5.2(b) se, segundo opinião razoável da Jibe, não for adequadamente qualificada ou independente, uma concorrente da Jibe ou considerada claramente inadequada. Qualquer objeção feita pela Jibe exigirá que a Empresa indique outro auditor ou conduza a auditoria por conta própria.

(e) Nada neste Adendo de Processamento de Dados exigirá que a Jibe divulgue a Empresa ou o auditor terceirizado ou permita que ela acesse:

(i) quaisquer dados de qualquer outro cliente de uma Entidade da Jibe;

(ii) informações financeiras ou contábeis internas de uma Entidade da Jibe;

(iii) qualquer segredo comercial de uma Entidade da Jibe;

(iv) qualquer informação que, na opinião razoável da Jibe, possa: (A) comprometer a segurança dos sistemas ou instalações de uma Entidade do Jibe; ou (B) fazer com que qualquer Entidade do Jibe viole as obrigações dela de acordo com a Legislação de Proteção de Dados Europeia ou as obrigações de segurança e/ou privacidade para a Empresa ou qualquer terceiro; ou

(v) qualquer informação que a Empresa ou o auditor terceirizado tentem acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações da Empresa de acordo com a Legislação Europeia de Proteção de Dados.

7.5.4 Ausência de Modificação das Cláusulas Contratuais Padrão. Se as Cláusulas Contratuais Padrão se aplicarem na Seção 10.2 (Transferências de Dados), nada nesta Seção 7.5 (Análises e Auditorias de Conformidade) varia ou modifica quaisquer direitos ou obrigações da Empresa ou Jibe de acordo com as Cláusulas Contratuais Padrão.

8. Avaliações de Impacto e Consultas

A Empresa concorda que a Jibe ajudará a garantir a conformidade com quaisquer obrigações da Empresa referentes a avaliações de impacto da proteção de dados e consulta anterior (considerando a natureza do processamento e as informações disponíveis para a Jibe), incluindo, se aplicável, as obrigações da Empresa nos termos dos Artigos 35 e 36 do GDPR, por meio de:

(a) fornecimento da Documentação de Segurança prevista na Seção 7.5.1 (Análises de Documentação de Segurança);

(b) fornecimento das informações contidas neste Adendo de Processamento de Dados; e

(c) fornecimento ou disponibilização, de acordo com práticas padrão da Jibe, de outros materiais referentes à natureza dos Serviços de Processador e do processamento de Dados Pessoais da Empresa (por exemplo, materiais da Central de Ajuda).

9. Direitos do titular dos dados

9.1 Respostas a solicitações de Titulares de Dados. Se a Jibe receber uma solicitação de um titular dos dados em relação aos Dados Pessoais da Empresa, ela vai:

(a) responder à solicitação do titular dos dados de acordo com a funcionalidade padrão da Ferramenta de Titulares de Dados;

(b) aconselhará o titular dos dados a enviar a solicitação à Empresa para que ela seja responsável por responder à solicitação.

9.2 Ajuda do Titular dos Dados do Jibe. A Empresa concorda que a Jibe ajudará a cumprir qualquer obrigação da Empresa de responder às solicitações dos titulares dos dados, considerando a natureza do processamento de Dados Pessoais da Empresa e, se aplicável, do Artigo 11 do GDPR, incluindo, se aplicável, a obrigação da Empresa de responder às solicitações para exercer os direitos do titular dos dados no Capítulo III do GDPR ao:

(a) fornecimento da funcionalidade dos Serviços de Processador.

(b) cumprimento dos compromissos na Seção 9.1 (Respostas a Solicitações de Titulares de Dados); e

(c) disponibilização das Ferramentas de Titulares de Dados, se aplicável aos Serviços de Processador.

10. Transferências de Dados

10.1 Instalações de armazenamento e processamento de dados. A Empresa concorda que a Jibe pode, sujeito à Seção 10.2 (Transferências de Dados), armazenar e processar os Dados Pessoais da Empresa em qualquer país em que a Jibe ou qualquer um dos Subprocessadores dela mantenha instalações.

10.2 Transferências de dados.

Se o armazenamento e/ou processamento de Dados Pessoais da Empresa envolver transferências de Dados Pessoais da Empresa do EEE, da Suíça ou do Reino Unido para qualquer país que não esteja sujeito a uma decisão de adequação de acordo com a Legislação Europeia de Proteção de Dados:

(a) a Empresa (como exportador de dados) será considerada como tendo celebrado as Cláusulas Contratuais Padrão com a Jibe (como importador de dados);

(b) as transferências estarão sujeitas às Cláusulas Contratuais Padrão; e

(c) as referências à Google LLC e ao Cliente nas Cláusulas Contratuais Padrão vão para a Jibe e a Empresa, respectivamente.

10.3 Informações de data centers. Informações sobre os locais dos data centers do Google estão disponíveis em www.google.com/about/datacenters/locations/index.html.

11. Subprocessadores

11.1 Consentimento para o envolvimento de Subprocessadores. A Empresa autoriza especificamente o envolvimento dos Afiliados da Jibe como Subprocessadores ("Subprocessadores de Afiliado da Jibe"). Além disso, a Empresa geralmente autoriza o engajamento de quaisquer outros terceiros como Subprocessadores ("Subprocessadores Terceirizados"). Se as Cláusulas Contratuais Padrão se aplicarem à Seção 10.2 (Transferências de Dados), as autorizações acima serão transformadas na autorização prévia por escrito da Empresa.

11.2 Informações sobre Subprocessadores. A pedido da Empresa por escrito, Jibe fornecerá informações sobre Subprocessadores e seus locais. Todas essas solicitações precisam ser enviadas para a Jibe usando os detalhes de contato estabelecidos na Seção 12.1 (Contato com a Jibe).

11.3 Requisitos para o envolvimento de Subprocessadores. Ao interagir com qualquer subprocessador, a Jibe:

(a) garantirá, por meio de um contrato por escrito, que:

(i) o Subprocessador só acesse e use os Dados Pessoais da Empresa conforme necessário para cumprir as obrigações subcontratadas e o faça de acordo com o Contrato (incluindo este Adendo de Processamento de Dados) e, se aplicável, de acordo com a Seção 10.2 (Transferências de Dados), as Cláusulas Contratuais Padrão; e

(ii) se o GDPR se aplicar ao processamento de Dados Pessoais da Empresa, as obrigações de proteção de dados no Artigo 28(3) do GDPR serão impostas ao Subprocessador; e

(b) permanecerá totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões do Subprocessador.

11.4 Oportunidade para alterações entre Objeto e Subprocessador.

(a) Quando um novo Subprocessador Terceirizado for contratado durante o Período, a Jibe informará a Empresa sobre o engajamento (incluindo o nome e o local do subprocessador relevante e as atividades que ele realizará) enviando um e-mail ao Endereço de E-mail para Notificações pelo menos 30 dias antes do novo Subprocessador de Terceiros processar os Dados Pessoais da Empresa.

(b) A Empresa poderá se opor a qualquer novo Subprocessador Terceirizado, rescindindo o Contrato imediatamente mediante aviso por escrito à Jibe, sob a condição de fornecer tal aviso em até 90 dias após ter sido informado sobre o envolvimento do novo Subprocessador Terceirizado, conforme descrito na Seção 11.4(a). Esse direito de rescisão é a medida judicial única e exclusiva da Empresa se ela se opuser a qualquer novo Subprocessador terceirizado.

12. Contato com a Jibe e processamento de registros

12.1 Contato com a Jibe. A Empresa pode entrar em contato com a Jibe com relação a este Adendo de Processamento de Dados pelo contato de proteção de dados RCS da Jibe, que pode ser acessado em http://issuetracker.google.com ou por outros meios fornecidos pela Jibe periodicamente.

12.2 Registros de processamento da Jibe. A Empresa reconhece que a Jibe é obrigada, de acordo com o GDPR, a: (a) coletar e manter registros de determinadas informações, incluindo o nome e os detalhes de contato de cada processador e/ou controlador em nome do qual a Jibe está agindo e, se aplicável, do representante local e diretor de proteção de dados do operador ou; e (b) disponibilizar essas informações para qualquer Autoridade Supervisora. Consequentemente, quando solicitada e aplicável, a Empresa fornecerá essas informações à Jibe por meio da interface do usuário dos Serviços de Processador ou por outros meios que possam ser fornecidos pela Jibe e usará essa interface ou outros meios para garantir que todas as informações fornecidas sejam mantidas precisas e atualizadas.

13. Responsabilidade

13.1 Limite de responsabilidade. Independentemente de qualquer outra coisa no Contrato, a responsabilidade total de qualquer uma das partes em relação a este Adendo de Processamento de Dados será limitada ao valor máximo baseado em dinheiro ou baseado em pagamentos em que a responsabilidade dessa parte é limitada no Contrato (e, portanto, qualquer exclusão de confidencialidade ou indenização das limitações do Contrato, de acordo com a Lei, não se aplicará às reivindicações) Nenhuma disposição nesta Seção 13 (Responsabilidade) excluirá ou limitará a responsabilidade de qualquer uma das partes por: (a) morte ou ferimento pessoal resultante de negligência ou negligência dos funcionários ou agentes dele; (b) fraude ou declarações falsas; ou (c) casos em que a responsabilidade não possa ser excluída ou limitada de acordo com a legislação aplicável.

13.2 Responsabilidade caso as cláusulas contratuais padrão se apliquem. Se as Cláusulas Contratuais Padrão se aplicarem na Seção 10.2 (Transferências de Dados), a responsabilidade total combinada de cada parte e os Afiliados dela perante a outra parte e os Afiliados dela conforme o Contrato e as Cláusulas Contratuais Padrão combinadas estarão sujeitas à Seção 13.1 (Limite de Responsabilidade).

14. Terceiros Beneficiários

Se o Afiliado de uma parte for uma das Cláusulas Contratuais Padrão que se aplicam conforme a Seção 10.2 (Transferências de Dados), esse Afiliado será um terceiro beneficiário das Seções 6.2 (Exclusão na Expiração do Período), 7.5 (Análises e Auditorias de Conformidade), 9.1 (Respostas a Solicitações de Titulares de Dados), Acordo 1 (2.1 (Contrato 1) Em caso de conflito ou inconsistência entre a Seção 14 (Terceiros Beneficiários) e qualquer cláusula do Contrato, esta Seção 14 (Terceiros Beneficiários) terá precedência.

15. Efeito deste Adendo de Processamento de Dados

Se houver algum conflito ou inconsistência entre as Cláusulas Contratuais padrão, os Termos Adicionais da Legislação de Proteção de Dados Não Europeia, este Adendo de Processamento de Dados e o restante do Contrato, a seguinte ordem de precedência será aplicada:

(a) as Cláusulas Contratuais Padrão;

(b) os Termos Adicionais da Legislação de Proteção de Dados Não Europeia;

(c) o restante destes Termos de Processamento de Dados; e

(d) o restante do Contrato.

Se este Contrato (incluindo qualquer Adendo) for traduzido para qualquer outro idioma e o texto traduzido estiver em conflito ou for inconsistente com o texto em inglês, o texto em inglês prevalecerá.

Sujeito às alterações deste Adendo de Processamento de Dados, o Contrato permanece vigente.

16. Mudanças neste Adendo de Processamento de Dados

16.1 Alterações de URLs Jibe pode alterar qualquer URL mencionado neste Adendo de Processamento de Dados e o conteúdo de qualquer um desses URLs, exceto pelo fato de que o Jibe pode alterar apenas as Cláusulas Contratuais Padrão de acordo com as Diretrizes de 1 2.

16.2 Alterações nos Termos de Processamento de Dados. A Jibe poderá alterar esse Adendo de processamento de dados se a alteração:

(a) for expressamente permitida por este Adendo de Processamento de Dados, incluindo conforme descrito na Seção 16.1 (Alterações de URLs);

(b) refletir uma alteração no nome ou na forma de uma entidade legal;

(c) for necessária para obedecer a uma lei ou regulamentação aplicável, a um mandado ou a uma orientação expedida por um órgão regulador ou agência do governo; ou

(d) não (i) resultar em uma degradação da segurança geral dos Serviços de Processador; (ii) expandir o escopo ou remover quaisquer restrições, (x) no caso dos Termos Adicionais para Legislação de Proteção de Dados Não Europeia, os direitos de Jibe de usar ou processar os dados no escopo dos Termos Adicionais para Legislação de Proteção de Dados Não Europeia ou em (ou) nos seguintes casos,

16.3 Notificação de alterações. Se a Jibe pretende mudar este Adendo de Processamento de Dados de acordo com a Seção 16.2(c) ou (d), ela vai informar a Empresa pelo menos 30 dias (ou o período mais curto necessário para cumprir a legislação aplicável, uma regulamentação aplicável, um mandado ou uma diretriz emitida por um órgão regulador ou agência governamental) antes que a mudança entre em vigor: (a) enviando um e-mail para o Endereço de E-mail para Notificação; ou Se a Empresa se opor a qualquer mudança, ela poderá rescindir o Contrato enviando uma notificação por escrito à Jibe até 90 dias após ter sido informado pela Jibe da mudança.

Apêndice 1: Objeto em Questão e Detalhes do Processamento de Dados

Objeto em questão

A prestação dos Serviços de Processador e de qualquer suporte técnico relacionado pela Jibe à Empresa.

Duração do processamento

O Período, mais o tempo entre a expiração dele e a exclusão de todos os Dados Pessoais da Empresa pela Jibe de acordo com este Adendo de Processamento de Dados.

Natureza e finalidade do processamento

A Jibe processará os Dados Pessoais da Empresa com a finalidade de prestar os Serviços de Processador e qualquer suporte técnico relacionado à Empresa de acordo com este Adendo de Processamento de Dados (incluindo, conforme aplicável aos Serviços de Processador, e as instruções descritas na Seção 5.2 (Instruções da Empresa), coleta, gravação, organização, estruturação, armazenamento, alteração, recuperação, uso, divulgação, combinação, exclusão e Destruição de Dados).

Tipos de dados pessoais

Dados pessoais relacionados a indivíduos fornecidos à Jibe pelos Serviços de Processamento pela Empresa ou por instrução da Empresa ou por usuários finais dela.

Categorias de titulares dos dados

Os titulares dos dados incluem os indivíduos sobre quem os dados são fornecidos à Jibe pelos Serviços de Processamento pela Empresa ou por direção dela ou pelos usuários finais da Empresa.

Apêndice 2: Medidas de Segurança

A partir do Início da Vigência dos Termos, a Jibe implementará e manterá as Medidas de Segurança neste Apêndice 2. A Jibe pode atualizar ou modificar tais Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.

1. Data Center e Segurança de Rede

(a) Data centers.

Infraestrutura. A Jibe mantém data centers distribuídos geograficamente. A Jibe armazena todos os dados de produção em data centers fisicamente protegidos.

Redundância. Os sistemas de infraestrutura foram projetados para eliminar pontos únicos de falha e minimizar o impacto de riscos ambientais previstos. Circuitos duplos, interruptores, redes ou outros dispositivos necessários ajudam a fornecer essa redundância. Os Serviços de Processador foram projetados para permitir que a Jibe execute determinados tipos de manutenção preventiva e corretiva sem interrupções. Todos os equipamentos e instalações ambientais documentaram procedimentos de manutenção preventiva que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva ou corretiva dos equipamentos dos data centers é agendada por um processo padrão, de acordo com procedimentos documentados.

Energia. Os sistemas de energia elétrica dos data centers são desenvolvidos para serem redundantes e poderem passar por manutenção sem afetar as operações contínuas, 24 horas por dia, 7 dias por semana. Na maioria dos casos, é fornecida uma fonte de energia principal e uma alternativa, cada uma com a mesma capacidade, para componentes críticos da infraestrutura do data center. A energia de backup é fornecida por vários mecanismos, como baterias de fonte de alimentação ininterrupta (UPS, na sigla em inglês), que fornecem proteção confiável de forma confiável durante blecautes utilitários, blecautes, sobretensão, tensão e condições de frequência fora da tolerância. Se a energia for interrompida, a alimentação de reserva fornecerá eletricidade ao centro de dados, com capacidade total, por até 10 minutos, até que os sistemas do gerador a diesel assumam o controle. Os geradores a diesel podem iniciar automaticamente em segundos para fornecer energia elétrica de emergência suficiente para executar o centro de dados com capacidade total, normalmente por um período de dias.

Sistemas operacionais de servidores. Os servidores da Jibe usam sistemas operacionais protegidos, personalizados de acordo com as necessidades exclusivas dos servidores da empresa. Os dados são armazenados usando algoritmos proprietários para aumentar a segurança e redundância dos dados. A Jibe emprega um processo de revisão de código para aumentar a segurança do código usado para fornecer os Serviços de Processador e melhorar os produtos de segurança em ambientes de produção.

Continuidade de negócios. A Jibe replica dados em vários sistemas para ajudar a proteger contra destruição ou perda acidental. A Jibe projeta e planeja regularmente e testa os programas de recuperação de desastres/planejamento de continuidade dos negócios.

(b) Redes e transmissão.

Transmissão de dados. Os data centers geralmente são conectados por links privados de alta velocidade para fornecer transferência de dados segura e rápida entre eles. Isso é projetado para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante a transferência ou transporte eletrônico ou enquanto estiverem sendo gravados em mídia de armazenamento de dados. A Jibe transfere dados por protocolos padrão da Internet.

Superfície de ataque externo. A Jibe emprega várias camadas de dispositivos de rede e detecção de intrusões para proteger a superfície de ataque externa. O Jibe considera possíveis vetores de ataque e incorpora tecnologias específicas adequadas a sistemas externos.

Detecção de intrusões A detecção de intrusões fornece informações sobre atividades de ataque em andamento e informações adequadas para responder a incidentes. A detecção de invasão da Jibe envolve:

  1. controlar rigidamente o tamanho e a composição da superfície de ataque de Jibe com medidas preventivas;

  2. empregar controles inteligentes de detecção nos pontos de entrada de dados; e

  3. empregar tecnologias que resolvem automaticamente certas situações perigosas;

Resposta a incidentes. A Jibe monitora uma variedade de canais de comunicação para incidentes de segurança, e a equipe de segurança da Jibe reagirá prontamente a incidentes conhecidos.

Tecnologias de criptografia. A Jibe disponibiliza criptografia HTTPS (também chamada de conexão SSL ou TLS). Os servidores Jibe são compatíveis com troca de chaves criptográficas Diffie Hellman via curvas elípticas efêmeras assinadas com RSA e ECDSA. Esses métodos Perfect Secrecy (PFS, na sigla em inglês) ajudam a proteger o tráfego e minimizam o impacto de uma chave comprometida ou de uma inovação criptográfica.

2. Controles de Acesso e Local

(a) Controles do local.

Operação de segurança de data centers no local. Os data centers da Jibe mantêm uma operação de segurança local responsável por todas as funções, 24 horas por dia, 7 dias por semana. A equipe da operação de segurança local monitora câmeras do circuito fechado de TV (CCTV, na sigla em inglês) e todos os sistemas de alarme. A equipe de operações de segurança local realiza rondas internas e externas regularmente no data center.

Procedimentos de acesso ao data center. A Jibe mantém procedimentos formais para permitir o acesso físico aos data centers. Os data centers ficam em instalações que exigem acesso a chaves de cartões eletrônicos, com alarmes que são vinculados à operação de segurança local. Todos os participantes do data center precisam se identificar e mostrar a identidade das operações de segurança no local. Somente funcionários, prestadores de serviços e visitantes autorizados têm permissão para entrar nos data centers. Somente funcionários e prestadores de serviços autorizados têm permissão para solicitar acesso por chave eletrônica a essas instalações. As solicitações de acesso por chave eletrônica precisam ser feitas com antecedência e por escrito e exigem a aprovação do gerente e do diretor do centro. Todos os outros participantes que necessitam de acesso temporário ao data center precisam: (i) receber aprovação prévia dos gerentes do data center para o data center específico e as áreas internas que querem visitar; (ii) fazer login em operações de segurança no local e (iii) referenciar um registro de acesso ao data center aprovado, identificando o indivíduo como aprovado.

Dispositivos de segurança local dos data centers. Os data centers da Jibe empregam uma chave de cartão eletrônico e um sistema de controle de acesso biométrico que estão vinculados a um alarme do sistema. O sistema de controle de acesso monitora e registra a chave eletrônica de cada indivíduo e quando ele acessa as portas do perímetro, a área de envio/recebimento e outras áreas críticas. Atividade não autorizada e tentativas de acesso com falha são registradas pelo sistema de controle de acesso e investigadas, conforme apropriado. O acesso autorizado em todas as operações de negócios e data centers é restrito com base em zonas e nas responsabilidades de trabalho do indivíduo. As portas corta-fogo nos data centers são equipadas com alarmes. As câmeras do CFTV ficam em operação nas partes interna e externa dos data centers. O posicionamento das câmeras foi projetado para cobrir áreas estratégicas incluindo, entre outros, o perímetro, portas para o edifício do data center e envio/recebimento. A equipe de operações de segurança no local gerencia o equipamento de monitoramento, gravação e controle do CFTV. Cabos seguros nas centrais de dados conectam os equipamentos do CFTV. Câmeras gravam o local por meio de filmadoras digitais 24 horas por dia, 7 dias por semana. Os registros de vigilância são mantidos por pelo menos sete dias, com base na atividade.

(b) Controle de acesso.

Pessoal de segurança de infraestrutura. A Jibe tem e mantém uma política de segurança para os funcionários dela. Além disso, ela exige treinamento de segurança como parte do pacote de treinamento da equipe. A equipe de segurança da infraestrutura da Jibe é responsável pelo monitoramento contínuo dessa infraestrutura, pela análise dos Serviços de Processador e por responder a incidentes de segurança.

Controle de acesso e gerenciamento de privilégios. Os administradores e usuários da Empresa precisam se autenticar por um sistema de autenticação central ou por um sistema de login único para usar os Serviços de Processador.

Processos e Políticas de Acesso a Dados Internos - Política de Acesso. As políticas e os processos internos de acesso a dados da Jibe são projetados para evitar que pessoas não autorizadas e/ou sistemas tenham acesso aos sistemas usados para processar dados pessoais. O objetivo do Jibe é projetar sistemas para: (i) permitir que apenas pessoas autorizadas tenham acesso aos dados que elas têm consentimento para acessar; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, alterados ou removidos sem autorização durante o processamento, uso e após a gravação. Os sistemas são projetados para detectar qualquer acesso inadequado. A Jibe usa um sistema de gerenciamento de acesso centralizado para controlar o acesso da equipe aos servidores de produção e só fornece acesso a um número limitado de funcionários autorizados. O LDAP, o Kerberos e um sistema proprietário que utiliza certificados SSH são projetados para fornecer ao Jibe mecanismos de acesso seguros e flexíveis. Esses mecanismos são projetados para conceder apenas direitos de acesso aprovado a hosts, registros, dados e informações de configuração do site. A Jibe exige o uso de IDs de usuários únicos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar a possibilidade de uso não autorizado de contas. A concessão ou modificação de direitos de acesso se baseia nas responsabilidades da função, nos requisitos das obrigações profissionais necessárias para realizar tarefas autorizadas e na necessidade de saber da equipe autorizada. A concessão ou modificação de direitos de acesso também precisa estar de acordo com as políticas e o treinamento de acesso a dados internos do Jibe. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso aos sistemas é registrado para criar uma trilha de auditoria para prestação de contas. Quando as senhas são empregadas para autenticação (por exemplo, login em estações de trabalho), são implementadas políticas de senha que seguem pelo menos as práticas padrão do setor. Esses padrões incluem restrições sobre reutilização e nível de segurança das senhas.

3. Dados

(a) Armazenamento, isolamento e autenticação de dados.

A Jibe armazena dados em um ambiente multilocatário em servidores pertencentes a ela. Os dados, o banco de dados dos Serviços de Processador e a arquitetura do sistema de arquivos são replicados entre vários data centers espalhados em diversas áreas geográficas. A Jibe isola logicamente os dados de cada cliente. Um sistema de autenticação central é usado em todos os Serviços de Processador para aumentar a segurança uniforme dos dados.

(b) Discos Desativados e orientações para a destruição de discos.

Alguns discos que contêm dados podem apresentar problemas de desempenho, erros ou falha de hardware que fazem com que eles sejam desativados ("Discos Desativados"). Todos os Discos Desativados são submetidos a uma série de processos de destruição de dados (as Diretrizes de destruição de dados) antes de sair das instalações do Jibe para reutilização ou destruição. Os Discos Desativados são apagados em um processo de várias etapas e verificados por pelo menos dois validadores independentes. Os resultados da limpeza são registrados pelo número de série do Disco Desativado para rastreamento. Por fim, o Disco Desativado apagado é liberado para o inventário para reutilização e reimplantação. Se, devido a uma falha de hardware, o Disco Desativado não puder ser apagado, ele será armazenado com segurança até que possa ser destruído. Cada instalação é auditada regularmente para monitoramento da conformidade com as Diretrizes de Destruição de Dados.

4. Segurança da Equipe

A equipe da Jibe precisa se comportar de maneira consistente com as diretrizes da empresa relativas a confidencialidade, ética nos negócios, uso apropriado e padrões profissionais. A Jibe realiza investigações de histórico para contratação adequadas, dentro do legalmente permitido e em conformidade com a legislação trabalhista e as regulamentações estatutárias locais aplicáveis.

A equipe precisa assinar um contrato de confidencialidade e confirmar o recebimento e a conformidade com as políticas de confidencialidade e privacidade da Jibe. A equipe recebe treinamento de segurança. Os funcionários que lidam com Dados Pessoais da Empresa precisam atender a outros requisitos adequados à respectiva função. A equipe da Jibe não processará Dados Pessoais da Empresa sem autorização

5. Segurança do Subprocessador

Antes de integrar os Subprocessadores, a Jibe realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que eles forneçam um nível de segurança e privacidade adequado ao acesso deles a dados e ao escopo dos serviços que precisam prestar. Depois que a Jibe avalia os riscos apresentados pelo Subprocessador, sempre sujeito aos requisitos da Seção 11.3 (Requisitos para Envolvimento do Subprocessador), o Subprocessador é obrigado a celebrar os termos do contrato de segurança, confidencialidade e privacidade adequados.

Apêndice 3: Termos Adicionais para Legislação de Proteção de Dados Não Europeia

Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam estes Termos de Processamento de Dados:

Termos de Processamento de Dados Jibe, versão 2.0

27 de agosto de 2020