Última atualização: 10 de outubro de 2023
Este Adendo de Processamento de Dados (incluindo seus Anexos) (”Adendo”) faz parte e está sujeita aos termos e condições dos Termos do Usuário Final (o”Termos do usuário”) por e entre o Cliente e a Supernormal.
1. ASSUNTO. Este Adendo reflete o compromisso das partes de cumprir as Leis de Proteção de Dados relativas ao Processamento de Dados Pessoais do Cliente em conexão com os Termos do Usuário. Todos os termos em maiúsculas que não estão expressamente definidos neste Adendo terão os significados atribuídos a eles nos Termos do Usuário. Se e na medida em que o idioma deste Adendo ou de qualquer um de seus Anexos entrar em conflito com os Termos do Usuário, este Adendo prevalecerá. Nada neste Adendo limita os direitos ou obrigações de qualquer uma das Partes de acordo com os Termos do Usuário.
2. DEFINIÇÕES.
2.1 ”Dados pessoais do cliente” significa materiais do cliente que são dados pessoais processados pela Supernormal em nome do cliente.
2.2 ”Leis de proteção de dados” significa as leis, regras e regulamentos aplicáveis de privacidade e proteção de dados aos quais os Dados Pessoais do Cliente estão sujeitos. As “Leis de Proteção de Dados” podem incluir, mas não estão limitadas à Lei de Privacidade do Consumidor da Califórnia de 2018 (conforme alterada pela Lei de Direitos de Privacidade da Califórnia) (”CCPA”); o Regulamento Geral de Proteção de Dados da UE 2016/679 (”GDPR”) e suas respectivas legislações nacionais de implementação; a Lei Federal Suíça de Proteção de Dados; o Regulamento Geral de Proteção de Dados do Reino Unido; e a Lei de Proteção de Dados do Reino Unido de 2018 (em cada caso, conforme alterada, adotada ou substituída de tempos em tempos).
2.3 ”Dados pessoais” tem o significado atribuído ao termo “dados pessoais” ou “informações pessoais” de acordo com as leis de proteção de dados aplicáveis.
2.4 ”Processo” ou”Processando” significa qualquer operação ou conjunto de operações que é realizado em Dados Pessoais ou conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.
2,5 ”Subprocessador (es)” significa fornecedores autorizados da Supernormal e prestadores de serviços terceirizados que processam dados pessoais do cliente.
3. TERMOS DE PROCESSAMENTO DE DADOS PESSOAIS DO CLIENTE.
3.1 Instruções documentadas. A Supernormal processará os Dados Pessoais do Cliente para fornecer a Plataforma Supernormal de acordo com os Termos do Usuário, este Adendo, qualquer Formulário de Pedido aplicável e quaisquer instruções acordadas pelas partes. A Supernormal, a menos que seja legalmente proibida de fazê-lo, informará o Cliente por escrito se acreditar razoavelmente que há um conflito entre as instruções do Cliente e a lei aplicável ou, de outra forma, procurar processar os Dados Pessoais do Cliente de maneira inconsistente com as instruções do Cliente.
3.2 Autorização para usar subprocessadores. O cliente autoriza a Supernormal a contratar subprocessadores. O cliente reconhece que os subprocessadores podem contratar ainda mais os fornecedores.
3.3 Conformidade supernormal e de subprocessadores. A Supernormal deverá (i) firmar um contrato por escrito com os Subprocessadores que imponha requisitos de proteção de dados para os Dados Pessoais do Cliente a esses Subprocessadores que sejam consistentes com este Adendo; e (ii) permanecerá responsável perante o Cliente pela falha dos Subprocessadores da Supernormal em cumprir suas obrigações com relação ao Processamento de Dados Pessoais do Cliente, conforme exigido pelas Leis de Proteção de Dados aplicáveis.
3.4 Confidencialidade. Qualquer pessoa autorizada a processar dados pessoais do cliente deve concordar contratualmente em manter a confidencialidade de tais informações ou estar sob uma obrigação legal apropriada de confidencialidade.
3.5 Consultas e solicitações de dados pessoais. Quando exigido pelas Leis de Proteção de Dados, a Supernormal concorda em fornecer assistência razoável e cumprir as instruções razoáveis do Cliente relacionadas a quaisquer solicitações de indivíduos que exerçam seus direitos sobre os Dados Pessoais do Cliente concedidos a eles de acordo com as Leis de Proteção de Dados.
3.6 Avaliação do impacto da proteção de dados e consulta prévia. Quando exigido pelas Leis de Proteção de Dados, a Supernormal concorda em fornecer assistência e informações razoáveis ao Cliente quando, no julgamento do Cliente, o tipo de processamento realizado pela Supernormal exigir uma avaliação de impacto na proteção de dados ou consulta prévia com as autoridades de proteção de dados relevantes. O Cliente reembolsará a Supernormal por todos os custos não negligenciáveis incorridos pela Supernormal no cumprimento de suas obrigações nos termos desta Seção.
3.7 Conformidade demonstrável. A Supernormal concorda em fornecer as informações razoavelmente necessárias para demonstrar conformidade com este Adendo mediante solicitação razoável do Cliente.
3.8 Termos específicos da Califórnia. Na medida em que o processamento de dados pessoais do cliente pela Supernormal esteja sujeito à CCPA, esta seção também se aplicará. O Cliente divulga ou disponibiliza os Dados Pessoais do Cliente à Supernormal para o propósito limitado e específico de a Supernormal fornecer a Plataforma Supernormal ao Cliente de acordo com os Termos do Usuário e este Adendo. A Supernormal deve: (i) cumprir suas obrigações aplicáveis sob a CCPA; (ii) fornecer o mesmo nível de proteção exigido pela CCPA; (iii) notificar o Cliente se não puder mais cumprir suas obrigações sob a CCPA; (iv) não “vender” ou “compartilhar” (conforme esses termos são definidos pela CCPA) Dados Pessoais do Cliente; (v) não reter, usar ou divulgar Dados Pessoais do Cliente para qualquer finalidade (incluindo qualquer finalidade comercial) que não seja fornecer a Plataforma Supernormal de acordo com os Termos do Usuário ou conforme permitido pela CCPA; (vi) não reter, usar ou divulgar Dados pessoais do cliente fora da relação comercial direta entre o Cliente e a Supernormal; e (vii) a menos que seja permitido de outra forma pela CCPA, não combinar dados pessoais do cliente com dados pessoais que a Supernormal (a) recebe de ou em nome de outra pessoa, ou (b) coleta de sua própria interação independente com o consumidor. O Cliente pode: (1) tomar medidas razoáveis e apropriadas acordadas pelas partes para ajudar a garantir que a Supernormal processe os Dados Pessoais do Cliente de maneira consistente com as obrigações da CCPA do Cliente; e (2) mediante notificação, tomar as medidas razoáveis e apropriadas acordadas pelas partes para interromper e remediar o processamento não autorizado de Dados Pessoais do Cliente pela Supernormal.
4. TRANSFERÊNCIAS TRANSFRONTEIRIÇAS DE DADOS PESSOAIS DO CLIENTE.
4.1 Transferências transfronteiriças de dados pessoais do cliente. O Cliente autoriza a Supernormal e seus subprocessadores a transferir Dados Pessoais do Cliente através de fronteiras internacionais, inclusive do Espaço Econômico Europeu, Suíça e/ou Reino Unido para os Estados Unidos.
4.2 Cláusulas contratuais padrão do EEE, Suíça e Reino Unido. Se os Dados Pessoais do Cliente originários do Espaço Econômico Europeu, da Suíça e/ou do Reino Unido forem transferidos pelo Cliente para a Supernormal em um país que não forneça um nível adequado de proteção de acordo com as Leis de Proteção de Dados aplicáveis, as partes concordam que a transferência será regida pelas obrigações do Módulo Dois no Anexo à Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021, relativa às cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (”Cláusulas contratuais padrão”), complementado por Anexo A anexado a este documento, cujos termos são incorporados aqui por referência. A execução dos Termos do Usuário por cada parte será considerada uma assinatura das Cláusulas Contratuais Padrão, na medida em que as Cláusulas Contratuais Padrão se apliquem abaixo.
5. AUDITORIAS.
Quando as Leis de Proteção de Dados concedem ao Cliente um direito de auditoria, o Cliente (ou seu representante designado) pode realizar uma auditoria das políticas, procedimentos e registros da Supernormal relevantes ao Processamento de Dados Pessoais do Cliente. Qualquer auditoria deve ser: (i) conduzida durante o horário comercial normal da Supernormal; (ii) com aviso prévio razoável à Supernormal; (iii) realizada de forma a evitar interrupções desnecessárias nas operações da Supernormal; e (iv) sujeita a procedimentos razoáveis de confidencialidade. Além disso, qualquer auditoria deve ser limitada a uma vez por ano, a menos que seja realizada sob a direção de uma autoridade governamental com jurisdição adequada.
6. EXCLUSÃO DE DADOS PESSOAIS DO CLIENTE.
Ao expirar ou rescindir os Termos do Usuário, a Supernormal excluirá todos os Dados Pessoais do Cliente (excluindo quaisquer cópias de backup ou arquivamento que devem ser excluídas de acordo com o cronograma de retenção de dados da Supernormal), exceto quando a Supernormal for obrigada a reter cópias de acordo com as leis aplicáveis. Nesse caso, a Supernormal isolará e protegerá os Dados Pessoais do Cliente de qualquer processamento adicional, exceto na medida exigida pelas leis aplicáveis.
7. DETALHES DE PROCESSAMENTO.
7.1 Assunto. O assunto do Processamento é a Plataforma Supernormal, de acordo com os Termos do Usuário.
7.2 Duração. O processamento continuará até a expiração ou rescisão dos Termos do Usuário.
7.3 Categorias de titulares de dados. Sujeitos de dados cujos dados pessoais do cliente serão processados de acordo com os Termos do Usuário.
7.4 Natureza e finalidade do processamento. O objetivo do processamento de dados pessoais do cliente pela Supernormal é o desempenho da Plataforma Supernormal.
Tipos de dados pessoais do cliente. Dados pessoais do cliente que são processados de acordo com os Termos do Usuário.
ANEXO A AO ADENDO DE PROCESSAMENTO DE DADOS
Este Anexo A faz parte do Adendo e complementa as Cláusulas Contratuais Padrão. Os termos em maiúsculas não definidos neste Anexo A têm o significado estabelecido no Adendo.
As partes concordam que os seguintes termos complementarão as Cláusulas Contratuais Padrão:
1. TERMOS COMPLEMENTARES.
As partes concordam que: (i) uma nova Cláusula 1 (e) é adicionada às Cláusulas Contratuais Padrão, com a seguinte redação: “Na medida aplicável neste documento, essas Cláusulas também se aplicam mutatis mutandis ao processamento de dados pessoais pelas Partes que estão sujeitos à Lei Federal Suíça de Proteção de Dados. Quando aplicável, as referências à legislação dos Estados-Membros da UE ou às autoridades de supervisão da UE devem ser modificadas para incluir a referência apropriada sob a lei suíça no que se refere às transferências de dados pessoais que estão sujeitas à Lei Federal Suíça de Proteção de Dados.”; (ii) uma nova Cláusula 1 (f) é adicionada às Cláusulas Contratuais Padrão, com a seguinte redação: “Na medida do aplicável nos termos deste documento, estas Cláusulas, conforme complementadas pelo Anexo III, também se aplicam mutuamente Mutandis ao processamento de dados pessoais pelas Partes que estão sujeitos às Leis de Proteção de Dados do Reino Unido (conforme definido no Anexo III). ”; (iii) o texto opcional na Cláusula 7 é excluído; (iv) a Opção 1 na Cláusula 9 é eliminada e a Opção 2 é mantida, e o importador de dados pode contratar novos subprocessadores de acordo com a Seção 3.2 — 3.3 do Adendo; (v) o texto opcional na Cláusula 11 é excluído; e (vi) nas Cláusulas 17 e 18, a lei vigente e os tribunais competentes são os da Irlanda (para transferências do EEE), Suíça (para transferências suíças) ou Inglaterra e País de Gales (para transferências para o Reino Unido).
2. ANEXO I.
O Anexo I das Cláusulas Contratuais Padrão deve ter a seguinte redação:
A. Lista de partes
Exportador de dados: Cliente.
Endereço: Conforme estabelecido na seção Avisos dos Termos do Usuário.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme estabelecido na seção Avisos dos Termos do Usuário.
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: A plataforma supernormal.
Função: Controlador.
Importador de dados: Sobrenatural.
Endereço: Conforme estabelecido na seção Avisos dos Termos do Usuário.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme estabelecido na seção Avisos dos Termos do Usuário.
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: A plataforma supernormal.
Função: Processador.
B. Descrição da transferência:
Categorias de titulares de dados cujos dados pessoais são transferidos: As categorias de titulares de dados cujos dados pessoais são transferidos de acordo com as Cláusulas.
Categorias de dados pessoais transferidos: As categorias de dados pessoais transferidos de acordo com as Cláusulas.
Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurança adicionais: Todos os dados confidenciais enviados para a Plataforma Supernormal pelo exportador de dados.
A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua): Os dados pessoais são transferidos de acordo com a funcionalidade padrão da Plataforma Supernormal, ou conforme acordado de outra forma pelas partes.
Natureza do processamento: A plataforma supernormal.
Finalidade (s) da transferência de dados e processamento adicional: A plataforma supernormal.
O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: O importador de dados reterá os dados pessoais de acordo com o Adendo.
Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento: Para o assunto, natureza e duração, conforme identificado acima.
C. Autoridade supervisora competente: A autoridade supervisora mandatada pela Cláusula 13. Se nenhuma autoridade supervisora for exigida pela Cláusula 13, então a Comissão Irlandesa de Proteção de Dados (DPC) e, se isso não for possível, conforme acordado de outra forma pelas partes, de acordo com as condições estabelecidas na Cláusula 13.
D. Perguntas adicionais sobre a avaliação do impacto da transferência de dados:
O importador de dados processará quaisquer dados pessoais de acordo com as Cláusulas sobre uma pessoa que não seja dos Estados Unidos que sejam “informações de inteligência estrangeira”, conforme definido por 50 U.S.C. § 1801 (e)?
Não é do conhecimento do importador de dados.
O importador de dados está sujeito a alguma lei em um país fora do Espaço Econômico Europeu, da Suíça e/ou do Reino Unido, onde os dados pessoais são armazenados ou acessados, o que possa interferir no cumprimento de suas obrigações nos termos das Cláusulas? Por exemplo, Seção 702 da FISA. Se sim, liste essas leis:
Até a data de vigência do Adendo, nenhum tribunal considerou que o importador de dados era elegível para receber um processo emitido de acordo com as leis contempladas nesta questão, incluindo a Seção 702 da FISA, e nenhuma ação judicial desse tipo está pendente.
O importador de dados já recebeu uma solicitação de informações de autoridades públicas de acordo com as leis contempladas na pergunta acima? Se sim, explique:
Não.
O importador de dados já recebeu uma solicitação de autoridades públicas para dados pessoais de indivíduos localizados no Espaço Econômico Europeu, na Suíça e/ou no Reino Unido? Se sim, explique:
Não.
E. Resultado da avaliação de impacto da transferência de dados:
Levando em consideração as informações e obrigações estabelecidas no Adendo e, conforme pode ser o caso de uma parte, a pesquisa independente dessa parte, até onde as partes sabem, os dados pessoais originários do Espaço Econômico Europeu, Suíça e/ou Reino Unido que são transferidos de acordo com as Cláusulas para um país que não oferece um nível adequado de proteção de acordo com as leis de proteção de dados aplicáveis recebem um nível de proteção essencialmente equivalente. ao garantido pelas leis de proteção de dados aplicáveis.
F. Termos esclarecedores:
As partes concordam que: (i) a certificação de exclusão exigida pela Cláusula 8.5 e pela Cláusula 16 (d) das Cláusulas será fornecida mediante solicitação por escrito do exportador de dados; (ii) as medidas que o importador de dados deve tomar de acordo com a Cláusula 8.6 (c) das Cláusulas cobrirão apenas os sistemas afetados do importador de dados; (iii) a auditoria descrita na Cláusula 8.9 das Cláusulas será realizada em de acordo com a Seção 7 do Adendo; (iv) o direito de rescisão contemplado pela Cláusula 14 (f) e pela Cláusula 16 (c) das Cláusulas será limitado à rescisão das Cláusulas; (v) salvo indicação em contrário do importador de dados, o exportador de dados será responsável pela comunicação com os titulares dos dados de acordo com a Cláusula 15.1 (a) das Cláusulas; (vi) as informações exigidas pela Cláusula 15.1 (c) das Cláusulas serão fornecidas mediante solicitação por escrito do exportador de dados; e (vii) não obstante qualquer disposição em contrário, o exportador de dados reembolsará o importador de dados por todos os custos e despesas incorridos pelo importador de dados em conexão com o desempenho das obrigações do importador de dados nos termos da Cláusula 15.1 (b) e da Cláusula 15.2 das Cláusulas, sem levar em conta qualquer limitação de responsabilidade estabelecida nos Termos do Usuário.
3. ANEXO II.
O Anexo II das Cláusulas Contratuais Padrão deve ter a seguinte redação:
O importador de dados deve envidar esforços comercialmente razoáveis para implementar e manter medidas técnicas e organizacionais projetadas para proteger os dados pessoais de acordo com os Termos do Usuário.
De acordo com a Cláusula 10 (b), o importador de dados fornecerá assistência ao exportador de dados com as solicitações dos titulares dos dados, de acordo com o Adendo.
4. ANEXO III.
Um novo Anexo III deve ser adicionado às Cláusulas Contratuais Padrão com a seguinte redação:
O Adendo de transferência internacional de dados do Gabinete do Comissário da Informação do Reino Unido às cláusulas contratuais padrão da Comissão da UE (”Adendo do Reino Unido”) é incorporado aqui por referência.
Tabela 1: A data de início na Tabela 1 é a data efetiva do Adendo. Todas as outras informações exigidas pela Tabela 1 estão estabelecidas no Anexo I, Seção A das Cláusulas.
Tabela 2: O Adendo do Reino Unido faz parte da versão dos SCCs aprovados da UE à qual este Adendo do Reino Unido está anexado, incluindo as Informações do Apêndice, em vigor a partir da data efetiva do Adendo.
Tabela 3: As informações exigidas pela Tabela 3 estão apresentadas nos Anexos I e II das Cláusulas.
Tabela 4: As partes concordam que o importador pode encerrar o Adendo do Reino Unido conforme estabelecido na Seção 19.