Adendo de Processamento de Dados (DPA)

Assine a versão online

Este Adendo de Tratamento de Dados (“DPA”) é incorporado por referência aos Termos de Serviço da monday.com disponíveis em www.monday.com/terms/tos ou outro contrato que reger o uso dos serviços da monday.com (o “Contrato”) celebrado entre você, o Cliente (conforme definido no Contrato) (coletivamente, “você”, “seu”, “Cliente”), e a monday.com Ltd. (“monday.com”, ”nós”, “nos”, “nosso”) para refletir o acordo das partes em relação ao Tratamento de Dados Pessoais pela monday.com exclusivamente em nome do Cliente. As partes serão referidas em conjunto como as “Partes”, e cada uma como “Parte”.

Os termos em letras maiúsculas não definidos neste documento terão os significados atribuídos a tais termos no Contrato.

Ao usar os Serviços, o Cliente aceita este DPA, e você declara e garante que tem plenos poderes para obrigar o Cliente a este DPA. Se você não puder ou não concordar em cumprir e se obrigar a este DPA, ou se não tiver poderes para obrigar o Cliente ou qualquer outra entidade, não nos forneça Dados Pessoais.

No caso de qualquer conflito entre determinadas disposições deste DPA e as disposições do Contrato, as disposições do DPA prevalecerão sobre as disposições conflitantes do Contrato apenas em relação ao Tratamento de Dados Pessoais

1. DEFINIÇÕES

(a) “Afiliado” significa qualquer pessoa jurídica que, direta ou indiretamente, controla, é controlada ou está sob controle comum com a entidade em questão. O “Controle”, para efeitos da presente definição, significa a propriedade direta ou indireta ou o controle de mais de 50% dos direitos a voto da entidade em questão.

(b) “Afiliado Autorizado” significa qualquer Afiliado do Cliente que tenha permissão explícita para usar os Serviços, nos termos do Contrato entre o Cliente e a monday.com, mas que não tenha firmado contrato próprio com a monday.com e não seja um “Cliente”, como definido no Contrato.

(c) “CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018, Código Civil da Califórnia, §§ 1798.100 ss. seq, e seus regulamentos de aplicação e eventuais alterações.

(d) Os termos, “Responsável pelo tratamento“, “Estado-Membro“, “Subcontratante“, “Tratamento” e “Autoridade de Controle” têm os significados atribuídos no RGPD. Os termos “Empresa”, “Finalidade Comercial”, “Consumidor” e “Prestador de Serviço” têm os significados atribuídos no CCPA.

Para fins de clareza, neste DPA, “Responsável pelo Tratamento” significa também “Empresa”, e “Subcontratante” significa também “Prestador de Serviço”, na medida em que o CCPA for aplicável. Da mesma forma, o Subprocessador do Subcontratante também se refere ao conceito de Prestador de Serviço.

(e) “Leis de Proteção de Dados” significa todas as leis e normas de privacidade e proteção de dados aplicáveis e vinculantes, incluindo as leis e normas da União Europeia, do Espaço Econômico Europeu e seus Estados-Membros, da Suíça, do Reino Unido, do Canadá, de Israel e dos Estados Unidos da América, incluindo o RGPD, o RGPD do Reino Unido e a CCPA, aplicáveis e vigentes na data deste Tratamento de Dados Pessoais.

(f) “Titular de Dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se relacionam.

(g) “RGPD” significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

(h) “Dados Pessoais” ou “Informações Pessoais” significa qualquer informação que identifique, se relacione, descreva, seja capaz de estar associada ou possa razoavelmente estar vinculada, direta ou indiretamente, a uma pessoa física identificada ou identificável ou Consumidor e que seja tratada pela monday.com exclusivamente em nome do Cliente, conforme este DPA e o Contrato.

(i) “Serviços” significa a plataforma de sistema operacional de trabalho baseado em nuvem (“Plataforma”) e quaisquer outros serviços prestados ao Cliente pela monday.com segundo os termos deste Contrato.

(j) “Documentação de Segurança” significa a documentação de segurança, conforme ocasionalmente atualizada definindo as medidas técnicas e organizacionais adotadas pela monday.com aplicáveis ao Tratamento de Dados Pessoais pela monday.com segundo os termos deste Contrato e deste DPA disponíveis em www.monday.com/trustcenter/datasecure ou de outra forma razoavelmente disponibilizados ao Cliente pela monday.com.

(k) “Dados Sensíveis” significa Dados Pessoais que são protegidos de acordo com uma legislação especial e requerem tratamento distinto, como “categorias especiais de dados”, “dados sensíveis” ou outros termos materialmente similares segundo as Leis de Proteção de Dados aplicáveis, que podem incluir: (a) Cadastro de Pessoa Física (CPF), Registro Civil (RG), número de passaporte, Carteira Nacional de Habilitação (CNH) ou outros documentos de identificação similares (ou qualquer parte deles); (b) informações financeiras e de crédito, número de cartão de crédito ou débito; (c) informações relacionadas à raça ou etnia, opiniões políticas, crenças religiosas ou filosóficas, participação em sindicato, dados genéticos ou dados biométricos a fim de identificar uma pessoa física única, dados relacionadas à saúde, atividade sexual ou orientação sexual ou dados relacionados a condenações ou infrações penais; (d) Dados Pessoais relacionados a crianças; e/ou (e) senhas de contas sem criptografia hash.

(l) “Cláusulas Contratuais Padrão” significa (a) com relação a transferências de Dados Pessoais submetidas ao RGPD, as Cláusulas Contratuais Padrão (Standard Contractual Clauses, SCCs) entre Responsáveis pelo Tratamento e Subcontratantes (disponível aqui) e entre Subcontratantes e Subcontratantes (disponível aqui), conforme aprovado pela Decisão de Execução da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021, incluindo os Anexos I, II e V, (”SCCs da UE”), (b) com relação a transferências de Dados Pessoais submetidos ao RGPD da Reino Unido, ao Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão Europeia de 21 de março de 2022 (versão B.1.0), conforme estabelecido no Anexo III das SCCs da UE (“Adendo do Reino Unido”); e (c) com relação a transferências submetidas à Lei Federal Suiça de Proteção de Dados (Federal Act on Data Protection, FADP – conforme revisto a partir de 25 de setembro de 2020), os termos estabelecidos no Anexo IV das SCCs da UE (“Adendo da Suíça”).

(m) “Subprocessador” significa qualquer terceiro que realize atividades de Tratamento de Dados Pessoais específicas sob a instrução da monday.com.

(n) “RGPD do Reino Unido” significa a Lei de Proteção de Dados de 2018, bem como o RGPD enquanto parte da legislação de Inglaterra, País de Gales, Escócia e Irlanda do Norte em virtude da seção 3 da Lei de 2018 sobre a (Saída da) União Europeia e conforme sua alteração pelas regulações de proteção de dados, privacidade e comunicações eletrônicas (emendas, etc.) (Saída da UE) de 2019 (SI 2019/419).

2. TRATAMENTO DE DADOS PESSOAIS

2.1  Função das Partes. As Partes reconhecem e concordam que em relação ao Tratamento de Dados Pessoais exclusivamente pela monday.com em nome do Cliente: (a) O Cliente é o Responsável pelo Tratamento dos Dados Pessoais, e (b) a monday.com é a Subcontratante de tais Dados Pessoais. Os termos “Responsável pelo Tratamento” e “Subcontratante” abaixo fazem referência ao Cliente e à monday.com, respectivamente.

2.2  Obrigações do Cliente. O Cliente, no uso dos Serviços e nas instruções do Cliente ao Subcontratante, deverá cumprir as Leis de Proteção de Dados, o Contrato e este DPA. O Cliente deverá estabelecer e manter todas as bases jurídicas necessárias para coletar, tratar e transferir para o Subcontratante os Dados Pessoais e autorizar as atividades de Tratamento conduzidas pelo Subcontratante em nome do Cliente de acordo com o Contrato e este DPA, incluindo a busca de uma Finalidade Comercial.

2.3  Tratamento de Dados Pessoais pelo Subcontratante. O Subcontratante tratará os Dados Pessoais para os seguintes fins: (a) de acordo com o Contrato e este DPA; (b) em relação à prestação de Serviços; (c) para cumprir instruções razoáveis e documentadas do Cliente quando tais instruções forem consistentes com os termos do Contrato e deste DPA e abordarem a forma como o Tratamento será executado; e (d) conforme necessário de acordo com a legislação aplicável ao Subcontratante, e/ou conforme solicitado por um tribunal da jurisdição competente ou outra autoridade governamental ou semigovernamental, desde que o Subcontratante informe o Cliente sobre o requisito legal antes do Tratamento, a menos que tal legislação ou ordem proíba a divulgação dessa informação.

O Subcontratante deverá informar o Cliente, sem atrasos injustificados, se, na opinião razoável do Subcontratante, uma instrução para o Tratamento de Dados Pessoais dada pelo Cliente violar as Leis de Proteção de Dados aplicáveis, a menos que o Subcontratante esteja proibido de notificar o Cliente de acordo com as Leis de Proteção de Dados aplicáveis. Com isso, está esclarecido que o Subcontratante não tem nenhuma obrigação de avaliar se as instruções do Cliente violam quaisquer Leis de Proteção de Dados.

2.4  Detalhes do Tratamento. O objeto do Tratamento de Dados Pessoais pelo Subcontratante é a prestação dos Serviços nos termos do Contrato e deste DPA. Os detalhes relacionados à duração, natureza e finalidade, tipos de Dados Pessoais e categorias de Titulares de Dados tratados ao abrigo deste DPA são especificados no Anexo 1 (Detalhes de Tratamento) deste DPA.

2.5  Dados Sensíveis. As Partes concordam que os Serviços não são destinados ao tratamento de Dados Sensíveis e, se desejar usar os Serviços para o Tratamento de Dados Sensíveis, o Cliente deve primeiro obter o consentimento prévio explícito da monday.com por escrito e celebrar quaisquer contratos adicionais mediante solicitação da monday.com.

2.6  Padrão de Conduta da CCPA; Objeção à venda de Informações Pessoais. O Subcontratante reconhece e confirma que não recebe ou trata quaisquer Informações Pessoais como contraprestação por quaisquer serviços ou outros itens que o Subcontratante fornece ao Cliente de acordo com o Contrato e este DPA. O Subcontratante não terá, derivará ou exercerá quaisquer direitos ou benefícios em relação às Informações Pessoais Tratadas em nome do Cliente, tampouco combinará as Informações Pessoais enviadas à Plataforma e Tratadas em nome do Cliente com quaisquer informações que tratar em nome de outras partes, por meio de separação lógica, e poderá usar e divulgar Informações Pessoais exclusivamente para os fins para os quais essas Informações Pessoais lhe foram fornecidas, conforme estipulado no Contrato e neste DPA. O Subcontratante certifica que compreende as regras, requisitos e definições da CCPA – em casos em que o Subcontratante possa ser qualificado como o Prestador de Serviço, conforme definido na CCPA – e concorda em abster-se de vender e/ou compartilhar (como tais termos são definidos na CCPA) quaisquer Informações Pessoais Tratadas sob o presente sem a instrução ou o consentimento prévio por escrito do Cliente, nem tomará qualquer ação que faça com que a transferência de Informações Pessoais de ou para o Subcontratante sob o Contrato ou este DPA qualifique como “venda” ou “compartilhamento” de tais Informações Pessoais segundo a CCPA.

3. SOLICITAÇÕES DE TITULARES DE DADOS

Se o Subcontratante receber uma solicitação de um Titular de Dados ou Consumidor para exercer seus direitos (na medida do que lhe for disponível nos termos das Leis de Proteção de Dados aplicáveis de acesso, direito à retificação, restrição ao Tratamento, apagamento, portabilidade de dados, objeção ao tratamento, direito de não estar sujeito a uma tomada de decisão individual automatizada, optar por não permitir a venda de Informações Pessoais ou o direito a não ser discriminado (“Solicitação de Titular de Dados“), o Subcontratante notificará o Cliente ou remeterá o Titular de Dados ou Consumidor ao Cliente. Considerando a natureza do Tratamento, o Subcontratante deverá ajudar o Cliente, na medida do possível e razoável, para permitir que o Cliente responda a uma Solicitação do Titular de Dados. O Subcontratante pode remeter os Titulares de Dados ou Consumidores ao Administrador do Cliente – para tratar de tal solicitação ou aconselhá-los sobre o uso de recursos autoexecutáveis disponíveis na Plataforma.

4. CONFIDENCIALIDADE

O Subcontratante garantirá que seus funcionários e contratados envolvidos no Tratamento de Dados Pessoais se comprometam com a confidencialidade ou de outro modo estejam sob obrigação jurídica de confidencialidade.

5. SUBPROCESSADORES

5.1 Nomeação de Subprocessadores.
O Cliente reconhece e concorda que (a) Afiliados do Subcontratante podem ser envolvidos como Subprocessadores; e (b) o Subcontratante e os Afiliados do Subcontratante podem contratar Subprocessadores terceiros em conexão com a prestação dos Serviços.

5.2 Lista dos Subprocessadores atuais e notificação de novos Subprocessadores.

5.2.1  A partir da Data de Entrada em Vigor deste DPA, o Cliente concede ao Subcontratante autorização geral escrita para envolver-se com os Subprocessadores definidos em www.monday.com/terms/subprocessors (“Página do Subprocessadores”), que são atualmente usados pelo Subcontratante para processar Dados Pessoais.

5.2.2     A página de Subprocessadores fornece um mecanismo para ativar notificações referentes ao engajamento de novos Subprocessadores e à substituição de atuais (“Aviso de Subprocessador”), e o Cliente reconhece que assinará esse mecanismo ao celebrar este DPA e que as notificações enviadas por meio desse mecanismo cumprem as obrigações do Subcontratante de notificar o Cliente sobre a nomeação de um novo Subprocessador ou a substituição de um atual.

5.3  Objeção aos Novos Subprocessadores. Seguindo a publicação de uma nova Notificação do Subprocessador, o Cliente poderá razoavelmente opor-se ao uso, por parte do Subcontratante, de um novo Subprocessador ou a subtituição de um existente, por razões relacionadas à proteção dos Dados Pessoais destinados a serem Tratados por tal Subprocessador. Tal objeção deve ser enviada prontamente notificando o Subcontratante por escrito por meio do e-mail privacy@monday.com dentro de sete (7) dias após a publicação da Notificação do Subcontratante, na qual o Cliente detalhará as razões da objeção de uso de tal novo Subprocessador. A não oposição a esse novo Subprocessador por escrito no prazo de sete (7) dias da maneira descrita acima será considerada aceitação do novo Subprocessador por parte do Cliente. Caso o Cliente razoavelmente se opuser a um novo Subprocessador, conforme permitido nas frases anteriores, o Subcontratante deverá envidar esforços razoáveis para disponibilizar ao Cliente uma alteração nos Serviços ou recomendar uma alteração comercialmente razoável na configuração ou uso dos Serviços pelo Cliente para evitar Tratamento de Dados Pessoais pelo novo Subprocessador objetado sem onerar excessivamente o Cliente. Se o Subcontratante não puder disponibilizar essa alteração no prazo de trinta (30) dias após o recebimento da objeção, o Cliente poderá, como recurso exclusivo, rescindir o Contrato e este DPA apenas em relação aos elementos dos Serviços que não puderem ser fornecidos pelo Subcontratante sem o uso do novo Subprocessador objetado, fornecendo um aviso por escrito ao Subcontratante. Todos os valores pendentes ao abrigo do Contrato antes da data de rescisão em relação ao Tratamento em causa serão devidamente pagos ao Subcontratante. Até que uma decisão seja tomada em relação ao novo Subprocessador, o Subcontratante poderá evitar ou cessar temporariamente o Tratamento dos Dados Pessoais afetados e/ou suspender o acesso aos Serviços. O Cliente não terá outras reivindicações contra o Subcontratante devido à rescisão do Contrato (incluindo, entre outros, solicitação de reembolsos) e/ou do DPA na situação descrita neste parágrafo.

5.4  Contratos com Subprocessadores. O Subcontratante ou um Afiliado do Subcontratante celebra um acordo por escrito com cada Subprocessador e celebrará um acordo por escrito com cada novo Subprocessador, contendo as mesmas, ou materialmente similares, obrigações de proteção de dados, conforme definido neste DPA, especialmente obrigações de implementar medidas técnicas e organizacionais apropriadas de forma a fazer com que o Tratamento cumpra os requisitos do RGPD. Caso um Subprocessador não cumpra suas obrigações de proteção de dados relacionadas ao Tratamento de Dados Pessoais, o Subcontratante será responsabilizado perante o Cliente para o desempenho das obrigações do Subprocessador.

6. SEGURANÇA & AUDITORIA

6.1  Controles para a Proteção de Dados Pessoais. O Subcontratante manterá medidas técnicas e organizacionais apropriadas padrão no setor para a Proteção de Dados Pessoais nos termos deste contrato (incluindo medidas contra o Tratamento não autorizado ou ilegal e contra destruição, perda ou alteração acidental ou ilegal ou dano, divulgação não autorizada de ou acesso a Dados Pessoais, confidencialidade e integridade de Dados Pessoais). Mediante solicitação razoável do Cliente, o Subcontratante ajudará razoavelmente o Cliente, às custas do Cliente e sujeito às disposições da Seção ‎11.1 abaixo, para garantir conformidade com as obrigações segundo os Artigos 32 a 36 do RGPD, considerando a natureza do Tratamento e as informações disponíveis para o Subcontratante.

6.2 Auditorias e Inspeções. Mediante notificação escrita do Cliente, com 14 dias de antecedência, a intervalos razoáveis (mas não maiores que uma vez a cada 12 meses) e sujeito a compromissos rigorosos de confidencialidade por parte do Cliente, o Subcontratante deverá disponibilizar ao Cliente que não seja concorrente do Subcontratante (ou a um auditor externo independente e confiável do Cliente, que não seja concorrente do Subcontratante e que não esteja em conflito com o Subcontratante, ressalvados seus compromissos de confidencialidade e não concorrência) as informações necessárias para demonstrar o cumprimento do presente DPA e permitir e contribuir com auditorias, incluindo inspeções, realizadas por eles. O Subcontratante poderá cumprir suas obrigações referentes a esta seção respondendo a auditorias do Cliente em formato de questionário e/ou fornecendo declarações atestatórias, certificações e resumos de relatórios de auditoria conduzidos por auditores terceiros competentes exclusivamente relacionados à conformidade do Subcontratante em relação a este DPA. Quaisquer informações relacionadas a auditorias, inspeções e seus resultados, incluindo os documentos que refletem seus resultados, serão utilizados pelo Cliente apenas para avaliar a conformidade do Subcontratante com este DPA e não serão utilizados para qualquer outra finalidade ou divulgados a terceiros sem aprovação prévia por escrito do Subcontratante. Mediante a solicitação inicial do Subcontratante, o Cliente transferirá ao Subcontratante todos os registros ou documentos que foram fornecidos pelo Subcontratante ou coletados e/ou gerados pelo Cliente (ou cada um de seus auditores autorizados) no contexto da auditoria e/ou inspeção.

6.3 Caso haja uma auditoria ou inspeção conforme estabelecido acima, o Cliente (e cada um de seus auditores autorizados) garantirá que não causará (ou, se não puder evitar, minimizará) qualquer dano, prejuízo ou disrupção às operações, premissas, equipamentos, funcionários e negócios do Subcontratante, conforme aplicável, ao conduzir tal auditoria ou inspeção.

6.4 Os direitos de auditoria estabelecidos acima em ‎6.2, são aplicáveis somente na medida em que o Contrato não fornece de outro modo direitos de auditoria ao Cliente que cumpram os requisitos relevantes das Leis de Proteção de Dados (incluindo, caso aplicável, o artigo 28(3)(h) do RGPD ou do RGPD do Reino Unido). Se, e na medida em que, as Cláusulas Contratuais Padrão forem aplicáveis, nada nesta Seção 6 altera ou modifica as Cláusulas Contratuais Padrão nem afeta quaisquer Autoridades de Controle ou direitos de Titulares de Dados segundo as Cláusulas Contratuais Padrão.

7. GESTÃO E NOTIFICAÇÃO DE INCIDENTES DE DADOS

7.1 O Subcontratante mantém políticas e procedimentos internos de gestão de incidentes de segurança e, na medida do requerido de acordo com as Leis de Proteção de Dados aplicáveis, notificará o Cliente sem atrasos injustificados após tomar consciência de uma destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados Pessoais tratados pelo Subcontratante em nome do Cliente (um “Incidente de Dados”). O Subcontratante empenhará esforços razoáveis para identificar e tomar as medidas tidas como necessárias pelo Subcontratante com o intuito de remediar e/ou mitigar a causa de tal Incidente de Dados na medida em que a remediação e/ou mitigação esteja ao alcance razoável do Subcontratante. Essas obrigações não se aplicam a Incidentes de Dados causados pelo Cliente, seus Usuários ou qualquer pessoa que use os Serviços em nome do Cliente.

7.2 O cliente não fará, divulgará, revelará ou publicará qualquer veredito, admissão de responsabilidade, comunicação, aviso, comunicado à imprensa ou relatório relacionado a qualquer Incidente de Dados em que, direta ou indiretamente, o Subcontratante seja identificado (incluindo em qualquer procedimento jurídico ou em qualquer notificação para autoridades reguladoras ou de controle ou indivíduos afetados) sem aprovação prévia do Subcontratante por escrito, a menos, e somente na medida em que, o Cliente seja obrigado a fazê-lo segundo as Leis de Proteção de Dados aplicáveis. Nesse caso, a menos que proibido por tais leis, o Cliente fornecerá ao Subcontratante um aviso prévio por escrito em tempo razoável para dar ao Subcontratante a oportunidade de contestar tal divulgação e, em todo caso, o Cliente limitará a divulgação ao escopo mínimo requerido por tais leis.

8. DEVOLUÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS

Após a rescisão do Contrato e cessação dos Serviços, à escolha do Cliente (indicado por meio da Plataforma ou notificação escrita ao Subcontratante), o Subcontratante eliminará ou devolverá ao Cliente todos os Dados Pessoais que tratar em nome do Cliente, da maneira descrita no Contrato, a menos que a legislação aplicável ao Subcontratante requerer ou permitir algo diferente.

9. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

9.1  Transferências do EEE, da Suíça e do Reino Unido para países que ofereçam um nível adequado de proteção de dados. Dados Pessoais podem ser transferidos dos Estados-Membros da UE e da Noruega, da Islândia e de Liechtenstein  (coletivamente, “EEE”), da Suíça e do Reino Unido (“Reino Unido”) para países que ofereçam um nível adequado de proteção de dados sob e de acordo com decisões de adequação publicadas pelas autoridades competentes do EEE, da Suíça e/ou do Reino Unido (“Decisões de Adequação”), conforme aplicável, sem necessidade de qualquer salvaguarda adicional.

9.2  Transferências do EEE, da Suíça e do Reino Unido para outros países. Se o Tratamento de Dados Pessoais pelo Subcontratante incluir uma transferência (seja diretamente ou via transferência ulterior):

(i) do EEE para outros países que não foram submetidos a uma Decisão de Adequação relevante, e tais transferências não são realizadas por meio de um mecanismo de conformidade alternativo reconhecido pelas Leis de Proteção de Dados (conforme possa vir a ser usado pelo Subcontratante a critério do Subcontratante)  (“Transferência do EEE”), aplicam-se os termos definidos nas SCCs da UE;

(ii)   do Reino Unido para outros países que não foram submetidos a uma Decisão de Adequação relevante, e tais transferências não são realizadas por meio de um mecanismo de conformidade alternativo reconhecido pelas Leis de Proteção de Dados (conforme possa vir a ser usado pelo Subcontratante a critério do Subcontratante)  (“Transferência do Reino Unido”), aplicam-se os termos definidos no Adendo do Reino Unido;

(iii) da Suíça para outros países que não foram submetidos a uma Decisão de Adequação relevante, e tais transferências não são realizadas por meio de um mecanismo de conformidade alternativo reconhecido pelas Leis de Proteção de Dados (conforme possa vir a ser usado pelo Subcontratante a critério do Subcontratante) (“Transferência da Suíça”), aplicam-se os termos definidos no Adendo da Suíça;

(iv)  os termos definidos no Anexo V das SCCs da UE (Salvaguardas Adicionais) aplicam-se a qualquer Transferência do EEE, Transferência do Reino Unido e Transferência da Suíça, em que aplicam-se as Cláusulas Contratuais Padrão.

9.3 Transferências para outros países: Se o Tratamento de Dados Pessoais pelo Subcontratante incluir uma transferência de Dados Pessoais pelo e/ou autorizada pelo Cliente para realização pelo Subcontratante em qualquer outra jurisdição exija um determinado mecanismo de conformidade para que a transferência legal de tais dados seja estabelecida, o Cliente notificará o Subcontratante sobre tais requisitos aplicáveis, e as Partes podem buscar fazer quaisquer alterações necessárias a este DPA de acordo com as disposições da Seção 11.2 abaixo.

10. AFILIADOS AUTORIZADOS

10.1   Relação Contratual. As Partes reconhecem e concordam que, ao celebrar esta DPA, o Cliente celebra o DPA em seu próprio nome e, conforme aplicável, em nome de seus Afiliados Autorizados, caso em que cada Afiliado Autorizado concorda em ser vinculado às obrigações do Cliente sob este DPA, se e na medida em que o Subcontratante realizar o Tratamento de Dados Pessoais em nome de tais Afiliados Autorizados, qualificando-os assim como “Responsáveis pelo Tratamento” com relação aos Dados Pessoais tratados em nome deles. Todo acesso e uso dos Serviços por Afiliados Autorizados deve cumprir os termos e condições do Contrato e deste DPA, e qualquer violação por um Afiliado Autorizado dos termos e condições neles contidos será considerada uma violação pelo Cliente.

10.2   Comunicação. O Cliente permanecerá responsável por coordenar toda a comunicação com o Subcontratante nos termos do Contrato e deste DPA e terá o direito de efetuar e receber em nome de seus Afiliados Autorizados qualquer comunicação em relação a este DPA.

11. OUTRAS DISPOSIÇÕES

11.1   Avaliação de Impacto e Consulta Prévia da Proteção de Dados. Mediante solicitação razoável do Cliente, o Subcontratante deverá fornecer ao Cliente, às custas do Cliente, cooperação e assistência razoáveis necessárias para cumprir a obrigação do Cliente sob o RGPD ou do RGPD do Reino Unido (conforme aplicável) de realizar uma avaliação de impacto de proteção de dados relacionada ao uso dos Serviços pelo Cliente, na medida em que o Cliente não tiver de outra forma acesso às informações relevantes e na medida em que essas informações estiverem disponíveis ao Subcontratante. O Subcontratante deverá fornecer, às custas do Cliente, assistência razoável ao Cliente na cooperação ou consulta prévia com a Autoridade de Controle no desempenho de suas tarefas relacionadas a esta Seção 11.1, na medida exigida pelo RGPD ou pelo RGPD do Reino Unido, conforme aplicável.

11.2   Modificações. Cada Parte poderá, mediante fornecimento de aviso prévio por escrito para a outra Parte com ao menos de quarenta e cinco (45) dias corridos de antecedência, solicitar por escrito quaisquer alterações para este DPA se estas forem necessárias em decorrência de uma modificação das Leis de Proteção de Dados aplicáveis para permitir que o Tratamento de Dados Pessoais seja realizado (ou continue a ser realizado) sem violar tais Leis de Proteção de Dados. De acordo com tal aviso, as Partes empenharão esforços comercialmente razoáveis para acomodar tal modificação requerida e negociar em boa-fé buscando concordar e implementar essas ou outras alterações criadas para acomodar os requisitos segundo as Leis de Proteção de Dados aplicáveis, conforme identificado no aviso do Cliente ou do Subcontratante tão antes quanto razoavelmente possível.  Além disso, o Subcontratante pode alterar este DPA ocasionalmente sem aviso, desde que tais alterações não estejam em contradição em relação a qualquer aspecto material dos direitos do Cliente e das obrigações do Subcontratante (isto é, correção de erros de digitação, realização de ajustes técnicos ou por qualquer outra razão tida como necessária pelo Subcontratante). Para fins de clareza, se o Subcontratante realizar qualquer alteração material adversa em relação aos direitos do Cliente e às obrigações do Subcontratante, o Subcontratante notificará o Cliente por meio da publicação de um anúncio no site, via o Serviço e/ou enviando um e-mail.

ANEXO 1 – PORMENORES DO TRATAMENTO

Natureza e finalidade do tratamento

1. Prestar os Serviços ao Cliente;
2. Executar o Contrato, este DPA e/ou outros contratos celebrados pelas Partes;
3. Agir de acordo com as instruções do Cliente, quando tais instruções forem consistentes com os termos do Contrato;
4. Compartilhar Dados Pessoais com terceiros de acordo com as instruções do Cliente e/ou conforme o uso dos Serviços por parte do Cliente (ou seja, integrações entre os Serviços e quaisquer serviços prestados por terceiros, conforme definido pelo ou em nome do Cliente para facilitar o compartilhamento de Dados Pessoais entre os Serviços e tais terceiros);
5. Cumprir as leis e normas pertinentes;
6. Todas as tarefas relacionadas a qualquer um dos itens acima.

Duração do Tratamento

Sujeito a qualquer seção do DPA e/ou do Contrato que trate da duração do Tratamento e as consequências da expiração ou rescisão do mesmo, o Subcontratante realizará o Tratamento dos Dados Pessoais durante o período de vigência do Contrato e prestação dos Serviços, salvo acordo em contrário por escrito.

Tipo de Dados Pessoais

O Cliente poderá enviar aos Serviços Dados Pessoais cujo tipo e a extensão serão determinados e controlados pelo Cliente, a seu exclusivo critério.

Categorias de Pessoas em Causa

As Categorias de Titulares de Dados relacionadas aos Dados Pessoais que serão tratados pelo Subcontratante dependem do Cliente e podem incluir, mas não se limitam a, qualquer das categorias a seguir:

• Funcionários, agentes, consultores e freelancers do Cliente (pessoas físicas)
• Clientes potenciais, clientes, parceiros comerciais e fornecedores do Cliente (pessoas físicas)
• Funcionários ou pontos de contato dos clientes potenciais, clientes, parceiros de negócios e fornecedores do Cliente
• Qualquer terceiro que seja uma pessoa física com quem o Cliente decida se comunicar por meio do Serviço.