Adendo de Proteção de Dados

Adendo de Proteção de Dados

O cliente que concorda com estes termos (“Cliente”) celebrou um Contrato de Termos de Uso ou Contrato de Serviços SaaS com a The Enlighten Company S/A (“Enspace”) sob o qual o Enspace concordou em fornecer serviços ao Cliente (conforme alterado a partir do momento ao tempo, o “ Acordo ”).

Este Adendo de Proteção de Dados, incluindo seus Apêndices aplicáveis ​​(o “Adendo”) entrará em vigor e substituirá quaisquer termos de segurança e processamento de dados anteriormente aplicáveis ​​a partir da Data de Vigência do Adendo (conforme definido abaixo). Este Aditivo faz parte do Acordo.

Qualquer termo em letras maiúsculas usado, mas não definido de outra forma neste Adendo, terá o significado fornecido a ele no Contrato.

1. Definições 

Para os fins deste Adendo, os termos abaixo terão os significados estabelecidos abaixo. Os termos em letras maiúsculas usados, mas não definidos de outra forma neste Adendo, terão os significados estabelecidos no Contrato.

1.1 “Data Efetiva do Adendo” significa a data em que as partes concordaram com este Adendo.

1.2 “Afiliada” significa qualquer entidade que direta ou indiretamente controle, seja controlada por, ou esteja sob controle comum com a entidade objeto, onde “controle” se refere ao poder de dirigir ou causar a direção da entidade objeto, seja por meio da propriedade de títulos com direito a voto, por contrato ou de outra forma.

1.3 “Relatórios de Auditoria” tem o significado atribuído na Seção 5.4.4 (Relatórios de Auditoria).

1.4 “CCPA ” significa a Lei de Privacidade do Consumidor da Califórnia de 2018.

1.5 “Dados Pessoais do Cliente ” significa quaisquer dados pessoais ou informações pessoais dos titulares dos dados contidos nos dados fornecidos ou acessados ​​pelo Enspace por ou em nome do Cliente ou usuários finais do Cliente em conexão com os Serviços.

1.6 “Legislação Global de Proteção de Dados ” significa a Legislação Europeia de Proteção de Dados, CCPA e LGPD conforme aplicável ao processamento de Dados Pessoais do Cliente sob o Contrato.

1.7 “EEA” significa o Espaço Econômico Europeu.

1.8 “UE” significa a União Europeia.

1.9 “Legislação Europeia de Proteção de Dados ” significa o GDPR e outras leis de proteção de dados da UE, seus Estados Membros, Suíça, Islândia, Liechtenstein e Noruega e Reino Unido, aplicáveis ​​ao processamento de Dados Pessoais do Cliente sob o Contrato.

1.10 “GDPR ” significa Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais de titulares de dados da UE e sobre a livre circulação de tais dados , e revogando a Diretiva 95/46/EC.

1.11 “Incidente de Segurança da Informação” significa uma violação da segurança do Enspace que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais do Cliente em posse, custódia ou controle do Enspace. “Incidentes de segurança da informação” não incluirão tentativas malsucedidas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de login, pings, verificações de porta, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas em rede.

1.12 “LGPD ” significa a Lei Geral de Proteção de Dados do Brasil.

1.13 “Cláusulas contratuais padrão ” ou “ SCCs ” tem o significado definido para o Apêndice 3 (Soluções de transferência transfronteiriça) deste Adendo.

1.14 “Documentação de Segurança ” significa todos os documentos e informações disponibilizados pelo Enspace na Seção 5.4.1 (Auditorias).

1.15 “Medidas de segurança ” tem o significado atribuído na Seção 5.1.1 (Medidas de segurança do Enspace).

1.16 “Serviços” significa os serviços e/ou produtos a serem fornecidos pelo Enspace ao Cliente sob o Contrato.

1.17 “Sub processadores ” significa terceiros autorizados sob este Adendo a processar Dados Pessoais do Cliente em relação aos Serviços.

1.18 “Prazo ” significa o período desde a Data Efetiva do Adendo até o final da prestação dos Serviços pelo Enspace.

1.19 “Solução de Transferência” significa as Cláusulas Contratuais Padrão ou outra solução que permita a transferência legal de dados pessoais para um terceiro país de acordo com o Artigo 45 ou 46 do GDPR.

1.20 Os termos “dados pessoais”, “titular dos dados”, “ processamento ”, “ controlador ”, “ processador ” e “ autoridade supervisora ” conforme utilizados neste Adendo têm os significados atribuídos no GDPR e LGPD, conforme aplicável, e os termos “ importador de dados ” e “ exportador de dados ” têm os significados atribuídos nas Cláusulas Contratuais Padrão. Os termos “informações pessoais”, “comerciais ” e “ provedor de serviços ” têm os significados definidos na CCPA.

2. Duração do Adendo 

3. Processamento de Dados 

Este Adendo entrará em vigor na Data Efetiva do Adendo e, não obstante a expiração do Prazo, permanecerá em vigor até, e automaticamente expirará após a exclusão de todos os Dados Pessoais do Cliente pelo Enspace, conforme descrito neste Adendo.

3.1 Papéis e conformidade regulatória; Autorização.

3.1.1 Responsabilidades do Processador e do Controlador. Este Adendo se aplica apenas na medida em que estamos processando Dados Pessoais do Cliente em nome do Cliente. Se a Legislação Europeia de Proteção de Dados, LGPD ou CCPA se aplicar ao processamento de Dados Pessoais do Cliente, as partes reconhecem e concordam que:
(a) o objeto e os detalhes do processamento estão descritos no Apêndice 1;
(b) Enspace é um processador desses Dados Pessoais do Cliente sob a Legislação Europeia de Proteção de Dados ou LGPD, e/ou um Provedor de Serviços com relação a esses Dados Pessoais do Cliente sob o CCPA, conforme aplicável;
(c) o Cliente é um controlador ou processador desses Dados Pessoais do Cliente sob a Legislação Europeia de Proteção de Dados ou LGPD, e/ou uma Empresa com relação a esses Dados Pessoais do Cliente sob o CCPA, conforme aplicável; e
(d) cada parte cumprirá as obrigações aplicáveis ​​a ela de acordo com a Legislação Global de Proteção de Dados aplicável com relação ao processamento desses Dados Pessoais do Cliente.

3.1.2 Autorização pelo Controlador Terceirizado. Se a Legislação Europeia de Proteção de Dados se aplicar ao processamento de Dados Pessoais do Cliente e o Cliente for um processador, o Cliente garante à Enspace que as instruções e ações do Cliente com relação a esses Dados Pessoais do Cliente, incluindo sua nomeação do Enspace como outro processador e seu consentimento para o Enspace as transferências posteriores de Dados Pessoais do Cliente para seus Sub processadores foram autorizadas pelo controlador relevante.

3.2 Escopo do Processamento.

3.2.1 Instruções do Cliente. Ao entrar neste Adendo, o Cliente instrui o Enspace a processar os Dados Pessoais do Cliente somente de acordo com a lei aplicável: (a) para fornecer os Serviços; (b) conforme autorizado pelo Contrato, incluindo este Adendo e seus Apêndices; e (c) conforme documentado em quaisquer outras instruções escritas fornecidas pelo Cliente e reconhecidas por escrito pelo Enspace como constituindo instruções para os fins deste Adendo.

3.2.2 Conformidade do Enspace com as Instruções. O Enspace só processará os Dados Pessoais do Cliente de acordo com as instruções do Cliente descritas na Seção 3.2.1 (inclusive com relação a transferências de dados) (“Instruções do Cliente”), a menos que a Legislação Global de Proteção de Dados aplicável à qual o Enspace está sujeita exija outro processamento de Dados Pessoais do Cliente Dados do Enspace, caso em que o Enspace notificará o Cliente (a menos que a lei proíba o Enspace de fazê-lo por motivos importantes de interesse público).

4. Exclusão de dados 

4.1 Exclusão na Rescisão. Salvo disposição em contrário no Contrato, ao expirar o Prazo, o Cliente instrui o Enspace a excluir todos os Dados Pessoais do Cliente (incluindo cópias existentes) dos sistemas do Enspace conforme exigido e de acordo com a lei aplicável assim que razoavelmente possível, a menos que a lei aplicável impeço Enspace de excluir esses dados. Na medida em que o Cliente esteja sujeito a leis ou regulamentos que exijam que o Enspace retenha os Dados Pessoais do Cliente após o vencimento do Prazo e o Cliente não informe o Enspace sobre essas obrigações de retenção, o Cliente será o único responsável por qualquer exclusão de tais dados pelo Enspace em de acordo com esta Seção 4.1.

5. Segurança de dados 

5.1 Medidas de Segurança, Controles e Assistência do Enspace.

5.1.1 Medidas de segurança do Enspace. O Enspace implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Cliente conforme descrito no Apêndice 2 (as “ Medidas de Segurança Técnica e Organizacional ”). Enspace pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não diminuam materialmente a segurança geral dos Serviços.

5.1.2 Conformidade de segurança pela equipe Enspace. O Enspace concederá acesso aos Dados Pessoais do Cliente apenas a funcionários, contratados e Sub processadores que precisem de tal acesso para o escopo de seu desempenho e estejam sujeitos a acordos de confidencialidade apropriados.

5.1.3 Assistência de Segurança do Enspace. O Enspace irá (levando em consideração a natureza do processamento dos Dados Pessoais do Cliente e as informações disponíveis para o Enspace) fornecer ao Cliente a assistência razoável necessária para que o Cliente cumpra suas obrigações em relação aos Dados Pessoais do Cliente sob a Legislação Global de Proteção de Dados, incluindo os Artigos 32 a 34 (inclusive) do GDPR e artigos 6 e 46 da LGPD, por:

(a) implementar e manter as Medidas de Segurança de acordo com a Seção 5.1.1 (Medidas de Segurança do Enspace);
(b) cumprir os termos da Seção 5.2 (Incidentes de Segurança da Informação); e
(c) fornecer ao Cliente a Documentação de Segurança de acordo com a Seção 5.4.1 (Revisões da Documentação de Segurança) e o Contrato, incluindo este Adendo.

5.2 Incidentes de Segurança da Informação.

5.2.1 Notificação de Incidentes de Segurança da Informação. Se o Enspace tomar conhecimento de um Incidente de Segurança da Informação, o Enspace irá: (a) notificar o Cliente sobre o Incidente de Segurança da Informação sem demora indevida após tomar conhecimento do Incidente de Segurança da Informação; e (b) tomar medidas razoáveis ​​para identificar o caso de tal Incidente de Segurança da Informação, minimizar danos e prevenir uma recorrência.

5.2.2 Detalhes do Incidente de Segurança da Informação. As notificações feitas de acordo com esta Seção 5.2 (Incidentes de Segurança da Informação) descreverão, na medida do possível, os detalhes do Incidente de Segurança da Informação, incluindo (i) a natureza do Incidente de Segurança da Informação, incluindo sempre que possível, as categorias e o número aproximado de dados assuntos em questão e as categorias e número aproximado de registros de dados pessoais em questão; (ii) o nome e detalhes de contato do responsável pela proteção de dados ou outro ponto de contato onde mais informações possam ser obtidas, (iii) as prováveis ​​consequências do Incidente de Segurança da Informação; (iv) medidas tomadas, ou propostas a serem tomadas, para mitigar os riscos potenciais e medidas que o Enspace recomenda que o Cliente tome para lidar com o Incidente de Segurança da Informação, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.

5.2.3 Notificação. O Cliente é o único responsável pelo cumprimento das leis de notificação de incidentes aplicáveis ​​ao Cliente e pelo cumprimento de quaisquer obrigações de notificação de terceiros relacionadas a qualquer Incidente(s) de Segurança da Informação.

5.2.4 Nenhum reconhecimento de falha por Enspace. A notificação ou resposta do Enspace a um Incidente de Segurança da Informação sob esta Seção 5.2 (Incidentes de Segurança da Informação) não será interpretada como um reconhecimento pelo Enspace de qualquer falha ou responsabilidade com relação ao Incidente de Segurança da Informação.

5.3 Responsabilidades e avaliação de segurança do cliente.

5.3.1 Responsabilidades de Segurança do Cliente. O Cliente concorda que, sem prejuízo das obrigações do Enspace sob a Seção 5.1 (Medidas de Segurança, Controles e Assistência do Enspace) e Seção 5.2 (Incidentes de Segurança da Informação):

(a) O Cliente é o único responsável pelo uso dos Serviços, incluindo:
(i) fazer uso adequado dos Serviços para garantir um nível de segurança adequado ao risco em relação aos Dados Pessoais do Cliente;
(ii) proteger as credenciais, sistemas e dispositivos de autenticação da conta que o Cliente usa para acessar os Serviços; e
(iii) proteger os sistemas e dispositivos do Cliente que o Enspace usa para fornecer os Serviços; e
(iv) fazer backup de seus Dados Pessoais do Cliente.
(b) O Enspace não tem obrigação de proteger os Dados Pessoais do Cliente que o Cliente decidir armazenar ou transferir fora dos sistemas do Enspace e de seus Sub processadores (por exemplo, armazenamento off-line ou no local).

5.3.2 Avaliação de Segurança do Cliente.

(a) O Cliente é o único responsável por revisar a Documentação de Segurança e avaliar por si mesmo se os Serviços, as Medidas de Segurança e os compromissos do Enspace sob esta Seção 5 (Segurança de Dados) atenderão às necessidades do Cliente, inclusive com relação a quaisquer obrigações de segurança do Cliente sob o Legislação Global de Proteção de Dados aplicável.
(b) O Cliente reconhece e concorda que (tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento dos Dados Pessoais do Cliente, bem como os riscos para os indivíduos) as Medidas de Segurança implementadas e mantidos pelo Enspace conforme definido na Seção 5.1.1 (Medidas de Segurança do Enspace) fornecem um nível de segurança adequado ao risco em relação aos Dados Pessoais do Cliente.

5.4 Revisões e Auditorias de Conformidade.

5.4.1 Auditorias. O Cliente pode auditar a conformidade do Enspace com suas obrigações sob este Adendo até uma vez por ano. Além disso, na medida exigida pela Legislação Global de Proteção de Dados aplicável, inclusive quando exigido pela autoridade supervisora ​​do Cliente, o Cliente ou a autoridade supervisora ​​do Cliente pode realizar auditorias mais frequentes (incluindo inspeções). O Enspace contribuirá para tais auditorias fornecendo ao Cliente ou à autoridade supervisora ​​do Cliente as informações e assistência razoavelmente necessárias para conduzir a auditoria, incluindo quaisquer registros relevantes de atividades de processamento aplicáveis ​​aos Serviços.

5.4.2 Objeções ao Auditor Terceiro. Se um terceiro conduzir a auditoria, o Enspace pode se opor ao auditor se o auditor for, na opinião razoável do Enspace, não adequadamente qualificado ou independente, um concorrente do Enspace ou manifestamente inadequado. Essa objeção do Enspace exigirá que o Cliente nomeie outro auditor ou conduza a auditoria por conta própria.

5.4.3 Solicitação de Auditoria. Para solicitar uma auditoria, o Cliente deve enviar um plano de auditoria proposto detalhado à Enspace com pelo menos duas semanas de antecedência da data da auditoria proposta. O plano de auditoria proposto deve descrever o escopo proposto, a duração e a data de início da auditoria. O Enspace revisará o plano de auditoria proposto e fornecerá ao Cliente quaisquer preocupações ou perguntas (por exemplo, qualquer solicitação de informações que possa comprometer a segurança, privacidade, emprego ou outras políticas relevantes do Enspace). O Enspace trabalhará em cooperação com o Cliente para chegar a um acordo sobre um plano de auditoria final. Nada nesta Seção 5.4 (Revisões e Auditorias de Conformidade) exigirá que o Enspace viole quaisquer deveres de confidencialidade.

5.4.4 Relatórios de Auditoria. Se o escopo de auditoria solicitado for abordado em um SSAE 16/18/ISAE 3402 Tipo 2, AICPA SOC 2 (SOC para Organizações de Serviços: Critérios de Serviços de Confiança), ou relatório de auditoria semelhante realizado por um auditor terceirizado qualificado (“ Auditoria Relatórios ”) dentro de doze (12) meses da solicitação de auditoria do Cliente e o Enspace confirmar que não há mudanças materiais conhecidas nos controles auditados, o Cliente concorda em aceitar essas descobertas em vez de solicitar uma auditoria dos controles cobertos pelo relatório.

5.4.5 Condução da Auditoria. A auditoria deve ser conduzida durante o horário comercial normal na instalação aplicável, sujeita ao plano de auditoria final acordado e à saúde e segurança do Enspace ou outras políticas relevantes, e não pode interferir de forma injustificada nas atividades comerciais do Enspace.

5.4.6 Condições de Auditoria. O Cliente notificará imediatamente o Enspace sobre qualquer não conformidade descoberta durante uma auditoria e fornecerá à Enspace quaisquer relatórios de auditoria gerados em conexão com qualquer auditoria sob esta Seção 5.4 (Revisões e Auditorias de Conformidade), a menos que proibido pela Legislação Global de Proteção de Dados aplicável ou de outra forma instruído por uma autoridade supervisora. O Cliente pode usar os relatórios de auditoria apenas para atender aos requisitos de auditoria regulatória do Cliente e/ou confirmar a conformidade com os requisitos deste Adendo. Os relatórios de auditoria e quaisquer informações Enspace compartilhadas durante o processo de auditoria são Informações Confidenciais das partes nos termos do Contrato.

5.4.7 Despesas de Auditoria. Quaisquer auditorias são por conta do Cliente. O Cliente reembolsará o Enspace por qualquer tempo gasto pelo Enspace ou seus Sub processadores em conexão com quaisquer auditorias ou inspeções sob esta Seção 5.4 (Revisões e Auditorias de Conformidade) com as taxas de serviços profissionais vigentes do Enspace, que serão disponibilizadas ao Cliente mediante solicitação. O Cliente será responsável por quaisquer taxas cobradas por qualquer auditor nomeado pelo Cliente para executar tal auditoria.

5.4.8 Cláusulas Contratuais Padrão. As partes concordam que esta Seção 5.4 (Revisões e Auditorias de Conformidade) deve satisfazer as obrigações do Enspace de acordo com os requisitos de auditoria das Cláusulas Contratuais Padrão de 2021 aplicadas ao Importador de Dados de acordo com a Cláusula 8 e Cláusula 13(a) e a quaisquer Sub processadores de acordo com a Cláusula 9.

6. Avaliações de impacto e consultas 

O Enspace irá (levando em consideração a natureza do processamento e as informações disponíveis para o Enspace) razoavelmente auxiliar o Cliente no cumprimento de suas obrigações sob a Legislação Global de Proteção de Dados aplicável em relação a avaliações de impacto de proteção de dados e consulta prévia, incluindo, se aplicável, a obrigações nos termos dos artigos 35.º e 36.º do RGPD, por:

6.1 Relatórios de Auditoria e Medidas de Segurança. Disponibilizar para revisão cópias dos Relatórios de Auditoria ou outra documentação que descreva aspectos relevantes do programa de segurança da informação do Enspace e as medidas de segurança aplicadas em relação a ele; e

6.2 Informações Adicionais. Fornecer as informações contidas no Contrato, incluindo este Adendo.

7. Direitos do Titular dos Dados 

7.1 Responsabilidade do Cliente pelas Solicitações. Durante a Vigência, se o Enspace receber qualquer solicitação de um titular de dados em relação aos Dados Pessoais do Cliente, o Enspace irá, a seu exclusivo critério, (i) avisar o Cliente sobre a solicitação, (ii) aconselhar o titular dos dados a enviar seu pedido ao Cliente, e/ou (iii) notificar o titular dos dados de que o seu pedido foi encaminhado ao Cliente. O Cliente será responsável por responder a qualquer solicitação desse tipo.

7.2 Solicitação de Assistência do Titular dos Dados do Enspace. O Enspace irá (levando em consideração a natureza do processamento dos Dados Pessoais do Cliente) fornecer ao Cliente funcionalidade de autoatendimento por meio dos Serviços ou outra assistência razoável conforme necessário para o Cliente cumprir sua obrigação sob a Legislação Global de Proteção de Dados aplicável para responder a solicitações de titulares dos dados, incluindo, se aplicável, a obrigação do Cliente de responder às solicitações de exercício dos direitos do titular dos dados estabelecidos no Capítulo III do GDPR, nos artigos 18 e 19 da LGPD ou na seção 1798.105 do CCPA. O Cliente reembolsará o Enspace por qualquer assistência além do fornecimento de recursos de autoatendimento incluídos como parte dos Serviços nas taxas de serviços profissionais vigentes do Enspace, que serão disponibilizadas ao Cliente mediante solicitação.

8. Transferências de dados 

8.1 Instalações de armazenamento e processamento de dados. O Enspace pode, de acordo com a Seção 8.2 (Transferências de Dados Fora da EEA), armazenar e processar Dados Pessoais do Cliente em qualquer lugar que o Enspace ou seus Sub processadores mantenham instalações.

8.2 Transferências de Dados Fora do EEE.

8.2.1 Obrigações de Transferência do Enspace. Se o armazenamento e/ou processamento de Dados Pessoais do Cliente (conforme estabelecido na Seção 8.1 (Instalações de Armazenamento e Processamento de Dados)) envolver transferências de Dados Pessoais do Cliente para fora do EEE, Reino Unido ou Suíça, e a Legislação Europeia de Proteção de Dados se aplicar às transferências de tais dados (“Dados Pessoais Transferidos”), aplicar-se-ão os termos estabelecidos no Anexo 3 (Soluções de transferência internacional). O Enspace fará essas transferências de acordo com uma Solução de Transferência e disponibilizará informações ao Cliente sobre essa Solução de Transferência mediante solicitação.

8.2.2 Obrigações de Transferência do Cliente. Em relação aos Dados Pessoais Transferidos, o Cliente concorda que, se de acordo com a Legislação Europeia de Proteção de Dados, o Enspace exigir razoavelmente que o Cliente use outra Solução de Transferência oferecida pelo Enspace (além das Cláusulas Contratuais Padrão, anexadas a este documento como Apêndice 3 e incorporadas por referência na medida que o Cliente está transferindo Dados Pessoais do Cliente para fora do EEE, Reino Unido ou Suíça para o Enspace) e o Enspace solicitar razoavelmente que o Cliente tome qualquer ação (que pode incluir a execução de documentos) necessária para dar pleno efeito a tal solução, o Cliente fará isso .

8.3 Divulgação de Informações Confidenciais Contendo Dados Pessoais. Se o Cliente tiver celebrado Cláusulas Contratuais Padrão conforme descrito na Seção 8.2 (Transferências de Dados Fora do EEE), Enspace fará, não obstante qualquer termo em contrário no Contrato, fazer qualquer divulgação das Informações Confidenciais do Cliente contendo dados pessoais e quaisquer notificações relacionados a tais divulgações, de acordo com tais Cláusulas Contratuais Padrão. Para fins das Cláusulas Contratuais Padrão, o Cliente e o Enspace concordam que (i) o Cliente atuará como exportador de dados em nome do próprio Cliente e em nome de qualquer uma das entidades do Cliente e (ii) o Enspace ou sua Afiliada relevante atuará por conta própria nome e/ou em nome das Afiliadas do Enspace como importadores de dados.

9. Sub processadores

9.1 Consentimento para contratação de sub processador. O Cliente geralmente autoriza a contratação de quaisquer outros terceiros como Sub processadores e autoriza a transferência posterior de Dados Pessoais do Cliente para quaisquer Sub processadores contratados pelo Enspace. Se o Cliente tiver celebrado Cláusulas Contratuais Padrão conforme descrito na Seção 8.2 (Transferências de Dados Fora do EEE), as autorizações acima constituirão o consentimento prévio por escrito do Cliente para a subcontratação pelo Enspace do processamento de Dados Pessoais do Cliente se tal consentimento for exigido sob as Cláusulas Contratuais Padrão.

9.2 Informações sobre Sub processadores. Informações sobre Sub processadores, incluindo suas funções e localizações, estão disponíveis em sales@be-enlighten.com (conforme podem ser atualizadas periodicamente pelo Enspace de acordo com este Adendo).

9.3 Requisitos para envolvimento do Sub processador. Ao contratar qualquer Sub processador, o Enspace firmará um contrato por escrito com tal Sub processador contendo obrigações de proteção de dados não menos protetoras do que as do Contrato (incluindo este Adendo) com relação à proteção dos Dados Pessoais do Cliente na medida aplicável à natureza do Serviços prestados por tal Sub processador. O Enspace será responsável por todas as obrigações subcontratadas e por todos os atos e omissões do Sub processador.

9.4 Oportunidade de contestar mudanças no Sub processador. Quando qualquer novo Sub processador for contratado durante o Prazo, o Enspace irá, pelo menos 30 dias antes do novo Sub processador processar quaisquer Dados Pessoais do Cliente, notificar a contratação por e-mail (incluindo o nome e localização do Sub processador relevante e as atividades que ele realizará). Para receber notificações por e-mail relacionadas às alterações do Sub processador, o Cliente pode se registrar usando o portal encontrado em sales@be-enlighten.com.

Quando qualquer novo Sub processador for contratado durante o Prazo, o Enspace irá, pelo menos 30 dias antes do novo Sub processador processar quaisquer Dados Pessoais do Cliente, notificar o Cliente sobre a contratação (incluindo o nome e localização do Sub processador relevante e as atividades que ele realizará).

O Cliente pode se opor a qualquer novo Sub processador fornecendo notificação por escrito à Enspace dentro de dez (10) dias úteis após ser informado da contratação do Sub processador conforme descrito acima. Caso o Cliente se oponha a um novo Sub processador, o Cliente e o Enspace trabalharão juntos de boa-fé para encontrar uma resolução mutuamente aceitável para lidar com tal objeção. Se as partes não conseguirem chegar a uma resolução mutuamente aceitável dentro de um prazo razoável, o Cliente poderá, como único e exclusivo recurso, rescindir o Contrato mediante notificação por escrito à Enspace.

10. Registros de processamento 

10.1 Registros de Processamento do Enspace. O cliente reconhece que o Enspace é obrigada pelo GDPR a: (a) coletar e manter registros de certas informações, incluindo o nome e detalhes de contato de cada processador e/ou controlador em nome do qual o Enspace está atuando e, quando aplicável, de tal processador ou representante local do controlador e oficial de proteção de dados; e (b) disponibilizar essas informações às autoridades de supervisão. Consequentemente, se o RGPD se aplicar ao processamento de Dados Pessoais do Cliente, o Cliente fornecerá, quando solicitado, essas informações à Enspace e garantirá que todas as informações fornecidas sejam mantidas precisas e atualizadas.

11. Responsabilidade

11.1 Limite de Responsabilidade A responsabilidade total combinada de qualquer uma das partes e suas Afiliadas em relação à outra parte e suas Afiliadas, seja em contrato, ato ilícito ou qualquer outra teoria de responsabilidade, sob ou em conexão com o Contrato, este Adendo e as Cláusulas Contratuais Padrão se celebradas como descritos na Seção 8.2 (Transferências de dados para fora do EEE) combinados serão limitados a limitações de responsabilidade ou outros limites de responsabilidade acordados pelas partes no Contrato, sujeitos à Seção 11.2 (Exclusões de limite de responsabilidade).

11.2 Exclusões de limite de responsabilidade. Nada na Seção 11.1 (Limite de responsabilidade) afetará a responsabilidade de qualquer parte para com os titulares de dados sob as disposições de terceiros beneficiários das Cláusulas Contratuais Padrão na medida em que a limitação de tais direitos seja proibida pela Legislação Europeia de Proteção de Dados.

12. Análise 

O Cliente reconhece e concorda que o Enspace pode criar e derivar do processamento relacionado aos Serviços dados anônimos e/ou agregados que não identificam o Cliente ou qualquer pessoa física, e usar, divulgar ou compartilhar com terceiros tais dados para melhorar os produtos e serviços do Enspace e para seus outros fins comerciais legítimos.

13. Avisos 

Não obstante qualquer disposição em contrário no Contrato, quaisquer notificações exigidas ou permitidas a serem fornecidas pelo Enspace ao Cliente podem ser fornecidas (a) de acordo com a cláusula de notificação do Contrato; (b) aos principais pontos de contato do Enspace com o Cliente; e/ou (c) para qualquer e-mail fornecido pelo Cliente com a finalidade de fornecer comunicações ou alertas relacionados ao Serviço. O cliente é o único responsável por garantir que tais endereços de e-mail sejam válidos.

14. Efeito destes Termos 

Não obstante qualquer disposição em contrário no Contrato, na medida de qualquer conflito ou inconsistência entre este Adendo e os demais termos do Contrato, este Adendo prevalecerá.

Apêndice 1

Assunto e detalhes do processamento de dados

Este Apêndice 1 está incorporado ao Adendo e também faz parte das Cláusulas Contratuais Padrão (se tais Cláusulas Contratuais Padrão forem aplicáveis ​​ao Cliente).

Importador de dadosO Importador de Dados (ou Provedor/Processador de Serviços) é o Enspace, uma provedora de soluções de produtividade.
Exportador de dadosO Exportador de Dados (ou Empresa/Controlador) é o Cliente que faz parte do Adendo.
AssuntoA provisão dos Serviços ao Cliente pelo Enspace, conforme estabelecido no Contrato e no Adendo.
Duração do ProcessamentoO Prazo mais o período desde a expiração do Prazo até a exclusão de todos os Dados Pessoais do Cliente pelo Enspace de acordo com o Adendo.
Natureza e Finalidade do ProcessamentoO Enspace receberá, processará e armazenará os Dados Pessoais do Cliente com a finalidade de fornecer os Serviços ao Cliente de acordo com o Contrato e o Adendo, para se comunicar com o Cliente e seus usuários finais, para fornecer atendimento ao cliente, para monitorar, manter e melhorar os Serviços e, de outra forma, cumprir suas obrigações nos termos do Contrato. O Enspace não vende Dados Pessoais do Cliente ou dados pessoais dos usuários finais do Cliente e não compartilha essas informações dos usuários finais com terceiros para compensação ou para os próprios interesses comerciais desses terceiros.
Categorias de Dados PessoaisPrimeiro e último nome Título Posição Empregador Informações de contato (empresa, e-mail, telefone, endereço comercial físico) dados de identificação Dados de conexão dados de localização Outros dados eletrônicos enviados, armazenados, enviados ou recebidos por um usuário final (que podem incluir categorias especiais de dados pessoais de acordo com o GDPR ou dados pessoais confidenciais de acordo com a LGPD, na medida em que tais dados sejam enviados, armazenados, enviados ou recebido por um usuário final; Enspace não solicita ou exige nenhuma categoria sensível ou especial de dados pessoais para prestação dos Serviços) Informações relacionadas a faturas ou pagamentos efetuados pelo serviço Enspace Informações de uso
Dados sensíveisO Enspace não solicita ou exige nenhuma categoria sensível ou especial de dados pessoais para a prestação dos Serviços) Dados Pessoais do Cliente. Os dados confidenciais podem, de tempos em tempos, ser processados ​​por meio dos Serviços em que o Cliente ou seus usuários finais optam por incluir dados confidenciais nas comunicações transmitidas usando os Serviços ou fazer upload de dados confidenciais para os Serviços. O Cliente é responsável por garantir que as proteções adequadas estejam em vigor antes de transmitir ou processar, ou antes de permitir que os usuários finais do Cliente transmitam ou processem quaisquer dados confidenciais por meio dos Serviços.
Titulares dos dadosFuncionários, agentes, consultores e/ou freelancers do Cliente (que sejam pessoas físicas) e/ou indivíduos sobre os quais os dados são fornecidos à Enspace por meio dos Serviços pelo (ou sob a orientação do) Cliente Usuários finais autorizados pelo Cliente a usar os Serviços
Sub processadoresO cliente consente o sub processamento pelas entidades indicadas.

Anexo 2

Medidas de Segurança Técnica e Organizacional

A partir da Data Efetiva do Adendo, o Enspace implementará e manterá as Medidas de Segurança técnicas e organizacionais definidas.
Enspace pode atualizar ou modificar tais Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não diminuam materialmente a segurança geral dos Serviços.
A tabela a seguir fornece mais informações sobre as medidas de segurança técnicas e organizacionais definidas abaixo:

Medida de Segurança Técnica e OrganizacionalConsulte Política de Privacidade de Dados.
Medidas de anonimização e encriptação de dados pessoaisConsulte Política de Privacidade de Dados.
Medidas para garantir confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamentoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnicoConsulte Política de Segurança e Relatório ISAE 3402.
Processos para testar, avaliar e avaliar regularmente a eficácia de medidas técnicas e organizacionais para garantir a segurança do processamentoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para identificação e autorização do usuárioConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para a proteção de dados durante a transmissãoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para a proteção de dados durante o armazenamentoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a segurança física dos locais onde os dados pessoais são processadosConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir o registro de eventosConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a configuração do sistema, incluindo configuração padrãoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para governança e gerenciamento interno de TI e segurança de TIConsulte Política de Segurança e Relatório ISAE 3402.
Medidas de certificação/garantia de processos e produtosConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a minimização de dadosConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a qualidade dos dadosConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para garantir a responsabilidadeConsulte Política de Segurança e Relatório ISAE 3402.
Medidas para permitir a portabilidade de dados e garantir o apagamentoConsulte Política de Segurança e Relatório ISAE 3402.
Medidas técnicas e organizacionais a serem tomadas pelo (sub) processador para prestar assistência ao controlador e, para transferências de um processador para um (sub) processador, para o Cliente.Quando Enspace contrata um Sub processador, Enspace e o Sub processador celebram um acordo com obrigações de proteção de dados substancialmente semelhantes àquelas contidas neste Adendo. Cada contrato de Sub processador deve garantir que o Enspace seja capaz de cumprir suas obrigações com o Cliente. Além de implementar medidas técnicas e organizacionais para proteger os dados pessoais, os Sub processadores devem (a) notificar o Enspace no caso de um Incidente de Segurança para que o Enspace possa notificar o Cliente; (b) excluir dados pessoais quando instruído pelo Enspace de acordo com as instruções do Cliente à Enspace; (c) não contratar Sub processadores adicionais sem a autorização do Enspace; (d) não alterar o local onde são tratados os dados pessoais;

Anexo 3

Soluções de transferência de dados entre fronteiras

1. Definições 

Para os fins das Cláusulas:

Para os fins deste Adendo, os termos abaixo terão os significados estabelecidos abaixo. Os termos em letras maiúsculas usados, mas não definidos de outra forma neste Adendo, terão os significados estabelecidos no Contrato.

1.1 ”Cláusulas Contratuais Padrão” significa, dependendo das circunstâncias exclusivas do Cliente, qualquer um dos seguintes:

1.1.1 Adendo de Transferência Internacional de Dados do Reino Unido, ou;

1.1.2 Cláusulas contratuais padrão da UE 2021 (“CECs da UE”)

1.2 ”Adendo de Transferência Internacional de Dados do Reino Unido” significa: o Adendo de Transferência Internacional de Dados do Reino Unido (“IDTA”) às Cláusulas Contratuais Padrão da Comissão da UE (“EU SCCs”) (Versão B1.0) emitido pelo Comissário de Informação do Reino Unido para Partes que fazem Transferências (que podem ser alteradas, atualizadas ou substituídas de tempos em tempos).

1.3 “Cláusulas Contratuais Padrão de 2021” significa as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia na decisão 2021/914.

2. Soluções de transferência de dados entre fronteiras 

2.1 Ordem de Precedência. Caso os Serviços sejam cobertos por mais de uma Solução de Transferência, a transferência de dados pessoais estará sujeita a uma única Solução de Transferência de acordo com a seguinte ordem de precedência: (a) as Cláusulas Contratuais Padrão aplicáveis, conforme estabelecido na Seção 2.2 (Cláusulas contratuais padrão do Reino Unido) ou Seção 2.3 (As Cláusulas contratuais padrão de 2021) deste Apêndice 3; e, se nem (a) nem (b) forem aplicáveis, então (c) outras Soluções de Transferência de dados permitidas pela Legislação Global de Proteção de Dados aplicável.

2.2 Cláusulas Contratuais Padrão de 2021. As partes concordam que as Cláusulas Contratuais Padrão de 2021 se aplicarão aos dados pessoais transferidos por meio dos Serviços do Espaço Econômico Europeu, diretamente ou por meio de transferência posterior, para qualquer país ou destinatário fora do Espaço Econômico Europeu que não seja reconhecido pelo Comissão como proporcionando um nível adequado de proteção dos dados pessoais. Para transferências de dados do Espaço Econômico Europeu que estão sujeitas às Cláusulas Contratuais Padrão de 2021, as Cláusulas Contratuais Padrão de 2021 serão consideradas celebradas (e incorporadas a este Adendo por esta referência) e preenchidas da seguinte forma:

2.2.1 O Módulo Dois (Controlador para Processador) das Cláusulas Contratuais Padrão de 2021 será aplicado quando o Cliente for o controlador dos Dados Pessoais do Cliente e o Enspace estiver processando os Dados Pessoais do Cliente.

2.2.2 O Módulo Três (Processador para Processador) das Cláusulas Contratuais Padrão de 2021 será aplicado quando o Cliente for um processador de Dados Pessoais do Cliente e o Enspace estiver processando Dados Pessoais do Cliente.

2.2.3 Para cada Módulo, quando aplicável:

(a) na Cláusula 7 das Cláusulas Contratuais Padrão de 2021, a cláusula de ancoragem opcional não se aplicará;
(b) na Cláusula 9 das Cláusulas Contratuais Padrão de 2021, a Opção 2 “Autorização Geral por Escrito” se aplicará e o período para notificação prévia de mudanças no Sub processador será conforme estabelecido na Seção 9 (Sub processadores) deste Adendo;
(c) na Cláusula 11 das Cláusulas Contratuais Padrão de 2021, o idioma opcional não se aplicará;
(d) na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão de 2021 serão regidas pela lei irlandesa;
(e) na Cláusula 18(b) das Cláusulas Contratuais Padrão de 2021, as disputas serão resolvidas perante os tribunais da Irlanda;
(f) no Anexo I, Parte A (Lista de Partes) das Cláusulas Contratuais Padrão de 2021:
(i) Exportador de Dados: Cliente.
(ii) Detalhes de contato: O(s) endereço(s) de e-mail designado(s) pelo Cliente na conta do Cliente por meio de suas preferências de notificação.
(iii) Função do Exportador de Dados: A função do Exportador de Dados é definida na Seção 3.1 (Funções e Conformidade Regulatória; Autorização) deste Adendo. As partes reconhecem e concordam que, com relação ao processamento dos Dados Pessoais do Cliente, o Cliente pode atuar como controlador ou processador e o Enspace é um processador. O Enspace processará os Dados Pessoais do Cliente de acordo com as Instruções do Cliente, conforme estabelecido na Seção 3.2.1.
(iv) Assinatura e Data: Ao celebrar o Contrato, considera-se que o Exportador de Dados assinou estas Cláusulas Contratuais Padrão aqui incorporadas, incluindo seus Anexos, a partir da data de vigência do Contrato.
(v) Importador de dados: The Enlighten Company S/A dbo Enspace.
(vi) DAdress: 350 Tenth Ave Suite 500, San Diego, CA 92101
(vii) Detalhes de contato: Equipe de segurança de dados Enspace – data@enspace.io
(viii) Função do Importador de Dados: As partes reconhecem e concordam que, com relação ao processamento dos Dados Pessoais do Cliente, o Cliente pode atuar como controlador ou processador e o Enspace é um processador. O Enspace processará os Dados Pessoais do Cliente de acordo com as Instruções do Cliente.
(xi) Assinatura e Data: Ao celebrar o Contrato, considera-se que o Importador de Dados assinou estas Cláusulas Contratuais Padrão, aqui incorporadas, incluindo seus Anexos, a partir da Data de Vigência do Contrato.
(g) no Anexo I, Parte B (Descrição da Transferência) das Cláusulas Contratuais Padrão de 2021:
(i) As categorias de titulares de dados estão descritas na Seção “Titular dos Dados” do Apêndice 1 (Objeto e Detalhes do Processamento de Dados) deste Adendo.
(ii) As categorias de dados pessoais transferidos são descritas na Seção “Categorias de Dados Pessoais” do Apêndice 1 (Objeto e Detalhes do Processamento de Dados) deste Adendo.
(iii) Os Dados Sensíveis transferidos estão descritos na Seção “Dados Sensíveis” do Apêndice 1 (Objeto e Detalhes do Processamento de Dados) deste Adendo.
(iv) Assinatura e Data: Ao celebrar o Contrato, considera-se que o Exportador de Dados assinou estas Cláusulas Contratuais Padrão aqui incorporadas, incluindo seus Anexos, a partir da data de vigência do Contrato.
(v) A natureza do processamento é descrita na Seção “Natureza e Finalidade do Processamento” do Apêndice 1 (Objeto e Detalhes do Processamento de Dados) deste Adendo.
(vi) A finalidade do processamento está descrita na Seção “Natureza e Finalidade do Processamento” do Apêndice 1 (Objeto e Detalhes do Processamento de Dados) deste Adendo.
(vii)O período durante o qual os dados pessoais serão retidos e os critérios usados ​​para determinar esse período são os seguintes: Antes da rescisão do Contrato, o Enspace processará os Dados Pessoais do Cliente armazenados para os fins permitidos estabelecidos na Seção 3.1.1. (Instruções do Cliente) até que o Cliente opte por excluir ou solicitar a devolução de tais Dados Pessoais do Cliente de acordo com a seção 4 do Adendo. Antes da rescisão do Contrato, o Cliente concorda que é o único responsável por excluir os Dados Pessoais do Cliente por meio dos Serviços. Após a rescisão do Contrato, o Enspace irá (i) fornecer ao Cliente trinta (30) dias após a data efetiva da rescisão para obter uma cópia de quaisquer Dados Pessoais do Cliente armazenados por meio dos Serviços e (ii) excluir quaisquer Dados Pessoais do Cliente armazenados dentro de trinta (30) dias mediante solicitação do cliente, a menos que prazos alternativos para retenção e/ou exclusão sejam estabelecidos de outra forma no Contrato ou posteriormente acordados pelas partes por escrito. Quaisquer dados pessoais do cliente arquivados nos sistemas de backup do Enspace serão isolados com segurança e protegidos de qualquer processamento adicional, exceto conforme exigido pela lei ou regulamentação aplicável.
(h) no Anexo I, Parte C das Cláusulas Contratuais Padrão de 2021: A Comissão Irlandesa de Proteção de Dados será a autoridade supervisora ​​competente.
(i) O Apêndice 2 (Medidas de Segurança Técnica e Organizacional) deste Aditivo serve como Anexo II das Cláusulas Contratuais Padrão.

2.3 Transferências de dados da Suíça. Com relação a qualquer transferência de dados pessoais para fora da Suíça ou de Dados Pessoais regidos pela Lei Federal Suíça de Proteção de Dados (“FADP”) (e o FADP revisado (“revFADP”), quando em vigor), para um terceiro país (sem uma decisão de adequação ou equivalente emitida pela Comissão Europeia ou autoridade competente na Suíça), as Partes concordam que as SCCs da UE neste Adendo devem ser aplicadas, sujeitas aos seguintes termos e condições:

A. Referências: Os termos “Regulamento Geral de Proteção de Dados” ou “Regulamento (UE) 2016/679” conforme utilizados nas SCCs da UE devem ser interpretados para incluir o FADP e, quando aplicável, o revFADP.

B. Cláusula 13: Na medida em que a transferência de Dados Pessoais esteja sujeita apenas ao FADP/revFADP, o Comissário Federal de Proteção e Informação de Dados (FDPIC) da Suíça é a autoridade supervisora ​​exclusiva. Na medida em que a transferência de Dados Pessoais é regida pelo GDPR e pelo FADP/revFADP, a autoridade supervisora ​​competente com supervisão paralela (de acordo com o Anexo IC das SCCs da UE) é o FDPIC e na medida em que a transferência é regida pelo GDPR, devem ser observados os critérios da Cláusula 13(a) para a seleção da autoridade competente.

C. Cláusula 17: As SCCs da UE serão regidas pela lei suíça, se a transferência estiver sujeita exclusivamente ao FADP/revFADP ou, em outros casos, à lei de um dos Estados-Membros da UE, desde que a lei do Estado-Membro permita terceiros – direitos do beneficiário da parte.

D. Cláusula 18(b): Qualquer disputa decorrente das SCCs da UE será resolvida pelos tribunais da Suíça, se a transferência estiver sujeita exclusivamente ao FADP/revFADP ou a um Estado Membro da UE em outros casos.

E. Cláusula 18(c): O termo “Estado Membro” não deve ser interpretado de forma a excluir os titulares dos dados na Suíça da possibilidade de pleitear seus direitos em seu local de residência habitual (Suíça) de acordo com a Cláusula 18(c) das SCCs da UE.

F. revFADP: Os SCCs da UE protegerão os dados das pessoas jurídicas até a entrada em vigor do revFADP.

2.4 Adendo de Transferência Internacional de Dados do Reino Unido. As partes concordam que o Adendo de Transferência Internacional de Dados do Reino Unido se aplicará aos dados pessoais transferidos por meio dos Serviços do Reino Unido, diretamente ou por transferência posterior, para qualquer país ou destinatário fora do Reino Unido que não seja reconhecido pelo órgão competente autoridade reguladora do Reino Unido ou órgão governamental do Reino Unido como fornecendo um nível adequado de proteção para dados pessoais. Para transferências de dados do Reino Unido sujeitas ao Adendo de Transferência Internacional de Dados do Reino Unido, o Adendo de Transferência Internacional de Dados do Reino Unido será considerado celebrado (e incorporado a este Adendo por esta referência) e preenchido da seguinte forma:

 Parte 1: 

1) Tabela 1: Partes

uma. A Data de Início é a data da última assinatura das Partes neste Aditivo ou no Contrato.
b. As Partes são definidas no Anexo IA das SCCs da UE às quais este IDTA é anexado.

2) Tabela 2: SCCs selecionados, módulos e cláusulas selecionadas

uma. Adendo SCCs da UE
eu. A versão dos SCCs da UE aprovados aos quais este IDTA é anexado, incluindo as informações do apêndice, se aplica.

3) Tabela 3: Informações do Apêndice

uma. Anexo 1A: Lista de Partes
eu. As Partes são definidas no Anexo IA das SCCs da UE às quais este IDTA é anexado.
b. Anexo 1B: Descrição da Transferência
eu. A Descrição da Transferência está estabelecida no Anexo IB das SCCs da UE às quais este IDTA é anexado.
c. Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados
eu. As medidas técnicas e organizacionais são definidas no Anexo II das SCCs da UE às quais este IDTA é anexado.
c. Anexo III: Lista de Sub processadores:
eu. Não aplicável.

4) Tabela 4: Encerramento deste Adendo quando o Adendo Aprovado Mudar:

uma. O Exportador e o Importador podem rescindir este IDTA conforme estabelecido na Seção 19 do IDTA
Parte 2: A Parte 2 do IDTA é aqui incorporada por referência.

2.5 Conflito. Na medida em que houver qualquer conflito direto entre as Cláusulas Contratuais Padrão e quaisquer outros termos deste Adendo, do Contrato ou da Política de Privacidade, as disposições das Cláusulas Contratuais Padrão prevalecerão.