Contrato de processamento de dados
Este Contrato de Processamento de Dados é celebrado entre a EasyLMS B.V. (“Processador”) e seus clientes (o cliente é o “Controlador”) para quem processa dados pessoais na capacidade de processador;
Doravante ambos são referidos individualmente como “Parte” e coletivamente como “Partes”;
Considerando o disposto:
A. Este Contrato de Processamento de Dados é uma parte integral dos Termos e Condições da Easy LMS (“Termos e Condições”) assim como do acordo entre Processador e Controlador relacionado ao sistema de gestão de aprendizagem online oferecido pelo Processador ao Controlador (o(s) “Serviço(s)”);
B. Para que o Controlador e seus participantes usem os Serviços, o Processador deve processar os dados pessoais (“Dados Pessoais”) dos funcionários ou outros participantes do Controlador (referidos conjuntamente como: “Titulares dos Dados”) que usam o conteúdo criado pelo Controlador dentro dos Serviços;
C. As categorias de Dados Pessoais assim como outros pormenores relacionados ao processamento de Dados Pessoais estão descritos no Anexo 1 do Contrato de Processamento de Dados;
D. O Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE), (“GDPR”) se aplica ao processamento dos Dados Pessoais;
E. Com base no GDPR, exige-se que as Partes celebrem esse Contrato de Processamento de Dados.
1. Definições
1.1. Além dos termos maiusculizados definidos acima, os termos abaixo têm os seguintes significados:
1.2. “APD”: uma Autoridade de Proteção de Dados competente.
1.3. “EEE”: o Espaço Econômico Europeu.
1.4. “Violação de Dados Pessoais”: uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada, ou acesso aos Dados Pessoais.
1.5. “Processamento”: as operações de processamento realizadas com os Dados Pessoais como disposto no GDPR, inclusive, e sem se limitar a, armazenamento, visualização, divisão, exclusão, alteração e encaminhamento.
1.6. “Anexo”: um anexo do Contrato de Processamento de Dados.
1.7. “Contrato de Serviços”: o contrato que fundamenta o fornecimento dos Serviços, que podem consistir dos Termos e Condições e outro tipo de contrato.
1.8. “Subprocessador”: um terceiro que o Processador subcontrata para o Processamento, integral ou parcial, de Dados Pessoais.
2. Obrigações gerais
2.1. No tocante aos Dados Pessoais, o Processador implementa medidas técnicas e organizacionais para garantir o cumprimento do GDPR e a proteção de direitos dos Titulares de Dados.
2.2. O Controlador declara estar em cumprimento com o GDPR com relação aos Dados Pessoais Processados pelo Processador. É de responsabilidade do Controlador estar em conformidade com a legislação de dados pessoais aplicável no que diz respeito aos Dados Pessoais criados ou disponibilizados no Serviço. Isso inclui, sem se limitar a, ter fundamentos legais para o Processamento (p.ex., consentimento válido, se necessário) dos Dados Pessoais, informar os Titulares dos Dados acerca do Processamento dos seus Dados Pessoais e garantir que os Titulares dos Dados têm a idade legal necessária para enviarem seus Dados Pessoais, caso aplicável.
3. Processamento apenas sob orientação do Controlador
3.1. A finalidade do Processamento realizado pelo Processador é permitir que o Processador forneça os Serviços.
3.2. O Processador irá Processar apenas os Dados Pessoais sob as orientações escritas do Controlador, que são as atividades de Processamento dispostas no Anexo 1, ou orientações razoáveis de outro modo enviadas por escrito pelo Controlador (que pode incluir e-mails). O Processador deverá Processar os Dados Pessoais para além das orientações do Controlador caso seja necessário para se manter em conformidade com uma obrigação legal aplicável. Neste caso, o artigo 3.3, abaixo, se aplica.
3.3. Caso o Processador passe a ser legalmente obrigado, sob égide da legislação europeia, a divulgar qualquer Dado Pessoal, o Processador irá imediatamente enviar uma notificação ao Controlador e informá-lo do requisito legal relevante, exceto se o requisito legal proibir o Processador de emitir uma notificação com base em um importante interesse público. Se o Processador não for vedado de notificar o Controlador, o Processador evitará divulgar qualquer Dado Pessoal até que o Controlador tome providências para obter uma ordem de proteção ou outra medida apropriada. Caso a ordem de proteção não seja obtida, o Processador irá fornecer apenas Dados Pessoais apontados como necessários por meio de notificação escrita oportuna do Controlador. Na ausência de notificação oportuna, o Processador irá prover os Dados Pessoais que considerar necessários nos termos do requisito legal.
3.4. O Processador deverá notificar o Controlador se, na opinião dele, uma orientação dada pelo Controlador infringir o GDPR. Nesse caso, o Processador não precisará cumprir com a orientação.
4. Auxiliando o Controlador
4.1. O Processador deverá fornecer auxílio razoavelmente solicitado pelo Controlador para:
(i) considerando a natureza do Processamento, auxiliar o Controlador por meio de medidas técnicas e organizacionais apropriadas, dentro do possível, a cumprir com as obrigações que o Controlador possui em responder às solicitações dos Titulares dos Dados para exercícios dos seus respectivos direitos, desde que o Processador possa concretamente fazê-lo em vistas aos Serviços. Caso o Processador receba uma solicitação de um Titular dos Dados, ele irá encaminhar essa solicitação ao Controlador que irá, doravante, lidar com a solicitação;
(ii) considerando a natureza do Processamento e as informações disponíveis ao Processador, auxiliar o Controlador a cumprir com as obrigações relacionadas a segurança, notificação de Violações de Dados Pessoais (ver artigo 5.4), investigações realizadas pela APD, avaliações do impacto da proteção dos dados e consultoria prévia, caso necessário.
5. Medidas de segurança e Violações de Dados Pessoais
5.1. Considerando o estado de arte, os custos de implementação e a natureza, escopo, contexto e finalidades do Processamento, assim como riscos de diferentes probabilidade e severidade para os direitos e liberdades de pessoas físicas, o Processador implementa as medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco envolvido no Processamento.
5.2. O Controlador assegura e garante que não solicitará que Titulares dos Dados enviem Dados Pessoais ao Serviço considerados de categoria especial ou dados pessoais sensíveis conforme as leis aplicáveis. Isso diz respeito a, por exemplo: dados relacionados à saúde, crenças religiosas, opiniões políticas, raça, origem étnica, preferência ou comportamento sexual, filiação sindical, antecedentes criminais, dados biométricos para fins de identificação, dados genéticos. As medidas de segurança dos Serviços não são adequadas para esses tipos de Dados Pessoais.
5.3. O Processador implementou as medidas técnicas e organizacionais apropriadas para garantir que os Dados Pessoais só possam ser acessados por pessoas de dentro da organização que necessitem obter esse acesso para o fornecimento dos Serviços, por exemplo, ao limitar o número de pessoas com direitos de acesso.
5.4. No seu site, o Processador disponibiliza informações sobre suas medidas de segurança. Além disso, caso o Controlador o solicite, o Processador irá fornecer uma visão geral das medidas de segurança empregadas no momento da solicitação. O Controlador pode enviar uma solicitação uma vez por ano corrente, exceto se houver um motivo bem fundamentado para enviar a solicitação com maior frequência, por exemplo, no caso de uma Violação de Dados Pessoais.
5.5. O Processador deverá notificar o Controlador, sem atrasos indevidos, quando tomar conhecimento de uma Violação de Dados Pessoais. A notificação deverá:
(i) conter todas as informações disponíveis relacionadas à Violação de Dados Pessoais, inclusive, e sem se limitar a, uma descrição da Violação de Dados Pessoais, a causa dela; categorias, natureza e quantidade (estimada) dos Dados Pessoais e Titulares dos Dados afetados e o escopo da Violação de Dados Pessoais;
(ii) explicar como a Violação de Dados Pessoais afeta o Controlador e os Titulares de Dados relevantes;
(iii) explicar as ações corretivas adotadas ou que serão adotadas pelo Processador, o Controlador ou os Titulares de Dados e o tempo necessário para a conclusão delas.
5.6. O Processador irá oferecer cooperação razoavelmente solicitada pelo Controlador e enviar as informações sob o seu controle no que diz respeito à notificação de Violação de Dados Pessoais à APD, e, quando aplicável, aos Titulares dos Dados.
5.7. O Processador não pode ser requisitado a notificar uma Violação de Dados Pessoais a qualquer APD, nem aos Titulares dos Dados, a não ser que o Processador explicitamente concorde em o fazer por meio escrito na eventualidade de uma Violação de Dados Pessoais específica.
5.8. Para utilizar os Serviços, o Controlador deve usar dados de login para acessar sua conta. O Controlador deve manter esses dados de login seguros e confidenciais, por darem acesso aos Dados Pessoais. Também é de responsabilidade do Controlador garantir que os Titulares dos Dados que usam os Serviços mantenham suas informações de login seguras e confidenciais, pois elas permitem acesso aos seus próprios Dados Pessoais.
6. Confidencialidade
6.1. O Processador deve considerar a confidencialidade no que diz respeito aos Dados Pessoais.
6.2. Em relação ao acima mencionado, o Processador:
(i) não deverá divulgar os Dados Pessoais a qualquer terceiro, exceto se expressamente permitido no Contrato de Processamento de Dados;
(ii) implementou as medidas técnicas e organizacionais apropriadas para garantir que qualquer pessoa com acesso aos Dados Pessoais será informada da confidencialidade e ficará sujeito a ela.
7. Subcontratantes
7.1. O Processador usa subprocessadores que Processam os Dados Pessoais. Caso solicitado pelo Controlador, o Processador enviará os nomes e localizações dos Subprocessadores. Caso o Processador tenha intenção de contratar um outro Subprocessador ou um adicional para Processar os Dados Pessoais, deve notificar previamente o Controlador, incluindo a data de início das atividades de Processamento do Subprocessador. O Controlador pode se opor à alteração ou adição dentro de sete (7) dias úteis após a notificação. Se o Processamento dos Dados Pessoais não for afetado adversamente por tal alteração ou acréscimo, o Controlador irá, com razoabilidade, não se opor, para que o Processador continue a oferecer os Serviços. Caso o Controlador se oponha em tempo hábil e o Processador não possa ajustar os Serviços para acomodar a oposição do Controlador dentro de catorze (14) dias após a oposição, o Controlador ou o Processador podem rescindir os Serviços e o Contrato de Serviços. Além disso, o Processador deverá reembolsar as tarifas pagas pelo Controlador antecipadamente, se existirem, pelo restante do período de assinatura em que o Serviço foi descontinuado. À data de início das atividades de Processamento do Subprocessador, o Anexo 2 será atualizado (ou considerado atualizado) com as informações notificadas a respeito do novo Subprocessador. Caso seja um Subprocessador Processando Dados Pessoais fora do EEE, o artigo 8 permanece válido.
7.2. O Processador garante que os Subprocessadores:
(i) declaram terem implementado medidas técnicas e organizacionais apropriadas para garantir a conformidade com o GDPR e a proteção de direitos dos Titulares dos Dados;
(ii) estão sujeitos por escrito a se submeter às mesmas obrigações estabelecidas no Contrato de Processamento de Dados, relevantes para as atividades de Processamento do Subprocessador.
7.3. Para evitar dúvidas: caso o Controlador use uma funcionalidade por meio dos Serviços em que uma conexão é realizada com serviços oferecidos ao Controlador por terceiros, esses terceiros não são Subprocessadores do Processador; o Controlador tem uma relação legal direta com esse terceiro. Para exemplificar, esses terceiros podem ser plataformas de redes sociais, provedores de e-mail e provedores de serviços do Controlador, em que o Controlador tem uma conta própria que recebe dados usando integrações na plataforma.
8. Exportação de dados (transferências fora do EEE)
8.1. O Processador transfere Dados Pessoais para o país ou países listados no Anexo 2.
8.2. O Processador garante que os países ou partes para os quais os Dados Pessoais são transferidos oferecem um nível adequado de proteção. Na ausência dessa garantia, caso a cooperação do Controlador seja necessária, o Controlador concorda em fornecer a cooperação solicitada pelo Processador para providenciar um dos mecanismos de transferência definidos no GDPR para transferências para o país sem o nível adequado de proteção. Nesse caso, o Processador ou o Subprocessador, se necessário, implementam medidas complementares para protegerem os Dados Pessoais.
9. Relatório, direitos de auditoria
9.1. O Processador irá permitir que o Controlador, sob os termos e condições estabelecidos nesse artigo, tenha acesso à sua administração para que o Controlador faça uma auditoria do cumprimento do Processador dos termos e condições desse Contrato de Processamento de Dados. O Processador não permite que o Controlador acesse dados pessoais de titulares de dados que não sejam os Titulares dos Dados.
9.2. O Controlador pode indicar um terceiro para realizar a auditoria. O Controlador, nesse caso, garantirá que o terceiro esteja vinculado a manter confidenciais as informações do Processador que o terceiro acessar relativo à auditoria e a não as divulgar a nenhum terceiro.
9.3. O Controlador não deverá usar dos direitos de auditoria nessa cláusula mais de uma vez por ano corrente. O Controlador irá notificar o Processador ao menos duas semanas antes da auditoria para permitir a preparação do Processador.
9.4. Caso a auditoria evidencie que o Processador não cumpre com suas obrigações nos termos desse Contrato de Processamento de Dados, o Processador irá tomar as providências razoavelmente solicitadas pelo Controlador para cumprir com essas obrigações.
10. Vigência e rescisão
10.1. O Contrato de Processamento de Dados deverá ter a mesma vigência que o Contrato de Serviços. O Contrato de Processamento de Dados deve, dessa forma, ser rescindido quando o Contrato de Serviços for rescindido.
10.2. Caso o Contrato de Serviços não preveja sua própria rescisão (e consequentemente do Contrato de Processamento de Dados) os seguintes critérios de rescisão se aplicam: cada Parte tem o direito de rescindir o presente Contrato de Processamento de Dados no futuro, sem a obrigação de pagar indenização, caso:
(i) A outra Parte pedir proteção contra falência, ou o pedido for realizado por um terceiro;
(ii) A outra Parte solicitar ou receber uma suspensão de pagamento;
(iii) A outra Parte solicitar insolvência ou outro procedimento similar sob a legislação aplicável, ou um receptor for indicado para tal;
(iv) A outra Parte encerrar suas operações.
10.3. As Partes podem, a qualquer momento e em comum acordo, rescindir esse Contrato de Processamento de Dados por meio de um acordo escrito.
11. Auxílio de rescisão
11.1. O Processador irá Processar os Dados Pessoais enquanto o Controlador usar o Serviço.
11.2. O Controlador deve garantir que extraiu e excluiu os Dados Pessoais na sua conta antes de encerrar a assinatura. Se o Processador bloquear a conta do Controlador devido ao não cumprimento do Contrato de Serviços, o Processador irá, após solicitação do Controlador, que deve ser realizada em um período de dez (10) dias após bloqueio da conta, e mediante o pagamento de quaisquer tarifas ainda devidas, disponibilizar os Dados Pessoais ao Controlador. Alternativamente, a seu próprio critério, o Processador pode permitir que o Controlador acesse a conta durante um período de somente três (3) dias para extrair e excluir os Dados Pessoais. Se após esses prazos, o Controlador não tiver excluído os Dados Pessoais, o Processador se reserva o direito de fazê-lo unilateralmente, e irá excluir os Dados Pessoais após dois (2) anos, a menos que a legislação aplicável exija a retenção de certos Dados Pessoais. Nesse último caso, o Processador irá excluir os Dados Pessoais ao fim do período legal de retenção.
12. Disposições gerais
12.1. As disposições do Contrato de Serviços se aplicam ao Processamento dos Dados Pessoais e devem prevalecer no que diz respeito às cláusulas não relacionadas a proteção de dados, como as de responsabilidade. Caso o Contrato de Serviços contenha disposições de proteção de dados, o Contrato de Processamento de Dados prevalecerá.
12.2. Caso as atividades do Processador relacionadas ao Contrato de Processamento de Dados excedam as atividades normais do Processador para os Serviços, o Processador tem direito a uma compensação adequada com base na tarifa comum do Processador à época. O Processador proverá uma especificação da compensação faturada.
12.3. O Contrato de Processamento de Dados pode ser ajustado ou modificado pelo Processador no tocante às disposições do Contrato de Serviços.
12.4. Se qualquer disposição do presente Contrato de Processamento de Dados for considerada inválida ou inaplicável por um tribunal em uma jurisdição competente, a decisão não deverá afetar, em nenhum nível, a validade e aplicabilidade de qualquer outra disposição do contrato, e o Contrato de Processamento de Dados deverá ser interpretado como se o termo ou disposição não fora incluído nele.
12.5. As considerações em “Considerando o disposto” e nos Anexos são parte integral do Contrato de Processamento de Dados.
13. Direito aplicável, resolução de litígio
13.1. O Contrato de Processamento de Dados é regido exclusivamente pela legislação dos Países Baixos, excluindo o direito internacional privado do país.
13.2. A cláusula de resolução de litígio no Contrato de Serviços se aplica a qualquer litígio que surgir entre as Partes.
ANEXO 1 – Informações relacionadas ao Processamento
1. Descrição dos Serviços e atividades de Processamento:
Tipo de Serviço: sistema de gestão de aprendizagem online.
Atividades de processamento: armazenamento, acesso, alteração e exclusão após solicitação do Controlador.
2. Categorias de Dados Pessoais:
O Controlador pode selecionar os tipos de Dados Pessoais solicitados dos Titulares dos Dados, como:
- nome
- telefone
- cargo
- gênero
- data de nascimento
- rua
- código postal
- cidade ou município
- país
- ID de funcionário
- Respostas dos Titulares dos Dados a questões abertas
- Respostas dos Titulares dos Dados a questões de menu suspenso
Os Titulares dos Dados também podem, por si próprios, criar Dados Pessoais ao acessar e usar o conteúdo elaborado pelo Controlador no sistema Easy LMS, como:
- resultados de testes
- resultados de provas
- comentários adicionados ao sistema
- documentos de certificação
O Controlador não poderá pedir que os Titulares dos Dados enviem categorias especiais de Dados Pessoais, ou façam o upload desse tipo de Dado Pessoal, que se relaciona a: dados relacionados à saúde, crenças religiosas, opiniões políticas, raça, origem étnica, preferência e comportamento sexual, filiação a sindicatos, antecedentes criminais, dados biométricos para fins de identificação, dados genéticos.
ANEXO 2 – Subprocessadores
Os Dados Pessoais são transferidos aos subprocessadores a seguir:
TABLE
|
Subprocessadores |
|
|
|
|
Subprocessador |
País |
País fora do EEE sem um nível adequado de proteção?: |
Mecanismo de transferência / proteções adequadas: |
|
Amazon Web Services (AWS) (serviços de hospedagem e e-mail) |
Alemanha |
Não, país do EEE |
Não aplicável |
|
Intercom (chat de suporte) |
Irlanda |
Não, país do EEE |
Não aplicável |
O presente Anexo é considerado atualizado após notificação de mudanças como disposto no artigo 7.1.