SCC

Cláusulas Contratuais Padrão

 

Última atualização em: 11 de junho de 2021

Cláusulas contratuais padrão (processadores)

Para efeitos do artigo 26.º, n.º 2, da Diretiva 95/46 / CE relativa à transferência de dados pessoais para processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados

Controlador de dados conforme definido no Acordo de Processamento de Dados (a "exportador de dados”),

E

(a) Zentrio LLC trabalha sob DBA Zentrio, com seu endereço em 6547 N Academy Blvd # 1321 Colorado Springs, CO 80918 Estados Unidos, se o exportador de dados estiver transferindo dados pessoais para Zentrio LLC sob a Acordo de Processamento de Dados;

(a entidade Zentrio LLC relevante descrita acima é referida como “importador de dados”),

cada uma uma “parte”; juntos “as partes”,

ACORDARAM com as seguintes Cláusulas Contratuais (as "Cláusulas"), a fim de apresentar salvaguardas adequadas no que diz respeito à proteção da privacidade e direitos e liberdades fundamentais dos indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados em Apêndice 1.

 

Cláusula 1ª

Definições

Para os fins das Cláusulas:

(a) «dados pessoais», «categorias especiais de dados», «processo / processamento», «responsável pelo tratamento», «processador», «titular dos dados» e «autoridade de controlo» têm o mesmo significado que na Diretiva 95/46 / CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e sobre a livre circulação desses dados;

(b) "o exportador de dados" significa o responsável pelo tratamento que transfere os dados pessoais;

(c) "o importador de dados" significa o processador que concorda em receber do exportador de dados dados pessoais destinados ao processamento em seu nome após a transferência, de acordo com suas instruções e os termos das Cláusulas e que não está sujeito a um terceiro país sistema que assegure uma protecção adequada na acepção do n.º 1 do artigo 25.º da Directiva 95/46 / CE;

(d) "o subprocessador" significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorda em receber do importador de dados ou de qualquer outro subprocessador do importador de dados dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com suas instruções, os termos das Cláusulas e os termos do subcontrato por escrito;

(e) «legislação aplicável em matéria de proteção de dados», a legislação que protege os direitos e liberdades fundamentais das pessoas e, em particular, o seu direito à privacidade no que diz respeito ao tratamento de dados pessoais aplicável a um responsável pelo tratamento de dados no Estado-Membro em que o o exportador de dados está estabelecido;

(f) "medidas de segurança técnicas e organizacionais", as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, as categorias especiais de dados pessoais, quando aplicável, estão especificados no Apêndice 1, que faz parte integrante das Cláusulas.

Cláusula 3ª

Cláusula de terceiro beneficiário

  1. O titular dos dados pode impor ao exportador de dados esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) e (g) a (j), Cláusula 6 (1) e (2) , Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 como terceiro beneficiário.
  1. O titular dos dados pode impor ao importador de dados esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que o exportador de dados desapareceu factualmente ou deixou de existir legalmente, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou de pleno direito, como resultado do que assume os direitos e obrigações do exportador de dados, em caso em que o titular dos dados pode aplicá-los contra tal entidade.
  1. O titular dos dados pode impor ao subprocessador esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12, nos casos em que ambos o exportador de dados e o importador de dados desapareceram factualmente ou deixaram de existir na lei ou se tornaram insolventes, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou de pleno direito, como resultado do qual assume o direitos e obrigações do exportador de dados, caso em que o titular dos dados pode aplicá-los contra tal entidade. Tal responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
  1. As partes não se opõem a que o titular dos dados seja representado por uma associação ou outro organismo, se o titular dos dados o desejar expressamente e se permitido pela legislação nacional.

 

Cláusula 4ª

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o tratamento, incluindo a transferência em si, dos dados pessoais foi e continuará a ser realizado em conformidade com as disposições relevantes da legislação de proteção de dados aplicável (e, se aplicável, foi notificado às autoridades competentes do Estado-Membro onde o exportador de dados está estabelecido) e não viola as disposições pertinentes desse Estado;

(b) que instruiu e durante toda a duração dos serviços de processamento de dados pessoais instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a lei de proteção de dados aplicável e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 deste contrato;

(d) que após a avaliação dos requisitos da lei de proteção de dados aplicável, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de uma rede, e contra todas as outras formas ilegais de processamento, e que essas medidas garantam um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o estado da técnica e os custo de sua implementação;

(e) que irá garantir o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, a pessoa em causa foi ou será informada antes, ou o mais rapidamente possível depois da transferência, de que os seus dados podem ser transmitidos a um país terceiro que não oferece protecção adequada no o significado da Diretiva 95/46 / CE;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador de acordo com a Cláusula 5 (b) e a Cláusula 8 (3) para a autoridade supervisora de proteção de dados se o exportador de dados decidir continuar a transferência ou levantar a suspensão ;

(h) disponibilizar aos titulares dos dados, mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma descrição resumida das medidas de segurança, bem como uma cópia de qualquer contrato de serviços de subprocessamento que deva ser feita de acordo com as Cláusulas, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que pode remover tais informações comerciais;

(i) que, em caso de subprocessamento, a atividade de processamento é realizada de acordo com a Cláusula 11 por um subprocessador que fornece pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que os dados importador de acordo com as Cláusulas; e

(j) que irá garantir o cumprimento da Cláusula 4 (a) a (i).

 

Cláusula 5ª

Obrigações do importador de dados

O importador de dados concorda e garante:

(a) processar os dados pessoais apenas em nome do exportador de dados e em conformidade com suas instruções e as Cláusulas; se não puder fornecer tal conformidade por qualquer motivo, concorda em informar prontamente o exportador de dados de sua incapacidade de cumprir, caso em que o exportador de dados tem o direito de suspender a transferência de dados e / ou rescindir o contrato;

(b) que não tem razão para acreditar que a legislação aplicável a ela o impede de cumprir as instruções recebidas do exportador de dados e suas obrigações nos termos do contrato e que, no caso de uma alteração nesta legislação, é provável que haja um efeito adverso substancial sobre as garantias e obrigações fornecidas pelas Cláusulas, ele notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento, caso em que o exportador de dados tem o direito de suspender a transferência de dados e / ou rescindir o contrato ;

(c) que implementou as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade policial, a menos que seja proibido de outra forma, como a proibição da lei criminal de preservar a confidencialidade de uma investigação policial;

(ii) qualquer acesso acidental ou não autorizado; e

(iii) qualquer solicitação recebida diretamente dos titulares dos dados sem responder a essa solicitação, a menos que tenha sido autorizado a fazê-lo;

(e) tratar pronta e adequadamente todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais objeto da transferência e acatar o conselho da autoridade supervisora no que diz respeito ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para apresentar suas instalações de processamento de dados para auditoria das atividades de processamento abrangidas pelas Cláusulas, que devem ser realizadas pelo exportador de dados ou um organismo de inspeção composto por membros independentes e em posse do necessário qualificações profissionais vinculadas ao dever de sigilo, selecionadas pelo exportador de dados, quando aplicável, de acordo com a autoridade de supervisão;

(g) disponibilizar ao titular dos dados mediante solicitação uma cópia das Cláusulas, ou qualquer contrato existente para subprocessamento, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que pode remover tais informações comerciais, com exceção de Apêndice 2, que deve ser substituído por uma descrição resumida das medidas de segurança, nos casos em que a pessoa em causa não consiga obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão realizados de acordo com a Cláusula 11;

(j) enviar imediatamente uma cópia de qualquer contrato de subprocessador que ele conclua de acordo com as Cláusulas ao exportador de dados.

 

Cláusula 6ª

Responsabilidade

  1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por qualquer parte ou subprocessador tem o direito de receber uma compensação do exportador de dados pelos danos sofridos .
  1. Se uma pessoa em causa não puder apresentar um pedido de indemnização de acordo com o n.º 1 contra o exportador de dados, decorrente de uma violação por parte do importador de dados ou do seu subprocessador de qualquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11, porque o exportador de dados efetivamente desapareceu ou deixou de existir na lei ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode fazer uma reclamação contra o importador de dados como se fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados por contrato ou por força da lei, caso em que o titular dos dados pode fazer valer seus direitos contra essa entidade. O importador de dados não pode contar com a violação por um subprocessador de suas obrigações para evitar suas próprias responsabilidades.
  1. Se uma pessoa em causa não puder apresentar uma reclamação contra o exportador de dados ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação pelo subprocessador de qualquer das suas obrigações referidas na Cláusula 3 ou na Cláusula 11 porque tanto o exportador de dados quanto o importador de dados desapareceram factualmente ou deixaram de existir na lei ou se tornaram insolventes, o subprocessador concorda que o titular dos dados pode fazer uma reclamação contra o subprocessador de dados no que diz respeito às suas próprias operações de processamento sob as Cláusulas como se fosse o exportador de dados ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações legais do exportador de dados ou importador de dados por contrato ou de pleno direito, caso em que o titular dos dados pode fazer valer seus direitos contra tal entidade. A responsabilidade do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.

 

Cláusula Sétima

Mediação e jurisdição

  1. O importador de dados concorda que, se o titular dos dados invocar contra ele direitos de terceiros beneficiários e / ou reclamar uma indemnização por danos ao abrigo das Cláusulas, o importador de dados aceitará a decisão do titular dos dados;

(a) submeter o litígio à mediação, por uma pessoa independente ou, se aplicável, pela autoridade de controlo;

(b) submeter o litígio aos tribunais do Estado-Membro onde o exportador de dados está estabelecido.

  1. As partes concordam que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos ou processuais de buscar soluções de acordo com outras disposições do direito nacional ou internacional.

 

Cláusula 8ª

Cooperação com autoridades de supervisão

  1. O exportador de dados concorda em depositar uma cópia deste contrato com a autoridade de supervisão se esta assim o solicitar ou se tal depósito for exigido pela legislação de proteção de dados aplicável.
  1. As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria do importador de dados e de qualquer subprocessador, que tem o mesmo escopo e está sujeito às mesmas condições que se aplicariam a uma auditoria do exportador de dados nos termos do legislação aplicável de proteção de dados.
  1. O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, nos termos do parágrafo 2. Nesse caso, os dados o exportador terá o direito de tomar as medidas previstas na Cláusula 5 (b).

 

Cláusula Nona

Lei regente

As Cláusulas serão regidas pela lei do Estado Membro em que o exportador de dados está estabelecido.

Cláusula Décima

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes adicionem cláusulas sobre questões relacionadas ao negócio, quando necessário, desde que não contradigam a cláusula.

Cláusula Décima Primeira

Subprocessamento

  1. O importador de dados não deve subcontratar nenhuma de suas operações de processamento realizadas em nome do exportador de dados de acordo com as Cláusulas, sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontrata suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, deve fazê-lo apenas por meio de um acordo por escrito com o subprocessador que impõe ao subprocessador as mesmas obrigações impostas ao importador de dados de acordo com as Cláusulas. Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados nos termos de tal acordo escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos desse acordo.
  1. O contrato prévio por escrito entre o importador de dados e o subprocessador também deve prever uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de indemnização a que se refere o n.º 1 do Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram factualmente ou deixaram de existir na lei ou se tornaram insolventes e nenhuma entidade sucessora assumiu todas as obrigações legais do exportador de dados ou importador de dados por contrato ou de pleno direito . Tal responsabilidade de terceiros do subprocessador será limitada às suas próprias operações de processamento de acordo com as Cláusulas.
  1. As disposições relativas aos aspetos da proteção de dados para o subprocessamento do contrato referido no n.º 1 são regidas pela legislação do Estado-Membro em que o exportador de dados está estabelecido.
  1. O exportador de dados deve manter uma lista de acordos de subprocessamento celebrados sob as Cláusulas e notificados pelo importador de dados de acordo com a Cláusula 5 (j), que deve ser atualizada pelo menos uma vez por ano. A lista deve ser disponibilizada à autoridade supervisora de proteção de dados do exportador de dados.

 

Cláusula 12ª

Obrigação após o término dos serviços de processamento de dados pessoais

  1. As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador devem, à escolha do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou devem destruir todos os dados pessoais e certificar ao exportador de dados que assim o fez, a menos que a legislação imposta ao importador de dados o impeça de retornar ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garante que irá garantir a confidencialidade dos dados pessoais transferidos e não irá mais processar ativamente os dados pessoais transferidos.
  1. O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e / ou da autoridade de supervisão, submeterá as suas instalações de processamento de dados a uma auditoria das medidas referidas no n.º 1.

 

Apêndice 1 às Cláusulas Contratuais Padrão da Zentrio LLC

Este Apêndice faz parte das Cláusulas

Exportador de dados O exportador de dados é a entidade legal não Zentrio LLC que é parte das Cláusulas.

Importador de dados O importador de dados é:

Zentrio LLC se o exportador de dados estiver transferindo dados pessoais para Zentrio LLC sob o Acordo de Processamento de Dados; ou

Titulares de dados Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados: titulares de dados incluem indivíduos sobre os quais os dados originados no EEE são fornecidos à Zentrio LLC através dos Serviços Comerciais pelo (ou sob a direção do) exportador de dados. 

Categorias de dados Os dados pessoais transferidos referem-se às seguintes categorias de dados: Dados relativos a indivíduos fornecidos à Zentrio LLC por meio dos Serviços Comerciais por (ou sob a direção de) exportador de dados, conforme especificado no Anexo 1: Detalhes de Processamento de Dados do Acordo de Processamento de Dados.

Categorias especiais de dados (se apropriado) Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados: Nenhum

Operações de processamento A Zentrio LLC processará os dados pessoais com o objetivo de fornecer os Serviços Comerciais ao exportador de dados de acordo com e conforme descrito no Acordo de Processamento de Dados, e estas cláusulas.

 

Apêndice 2 das Cláusulas Contratuais Padrão da Zentrio LLC

Este Apêndice faz parte das Cláusulas.

Descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4 (c) e 5 (c). O importador de dados atualmente cumpre os padrões de segurança no Anexo 2 - Medidas de Segurança Zentrio LLC do Acordo de Processamento de Dados. O importador de dados pode atualizar ou modificar esses padrões de segurança de tempos em tempos.