Apêndice de Proteção de Dados

1.1 Conforme utilizados neste Anexo, os termos em maiúsculas, em sua forma singular ou plural, terão os significados especificados no Artigo 12.

1.2 Os termos "titular dos dados", "tratamento", "controlador", respectivamente "controlador do arquivo de dados" e "operador" usados neste Anexo terão os significados especificados no GDPR (Regulamento Geral de Proteção de Dados) ou na legislação suíça sobre proteção de dados, dependendo da finalidade de aplicação respectiva.

2.1 Objeto. Este Anexo reflete o acordo entre as Partes com relação aos termos que regem o tratamento e a segurança dos Dados do Cliente nos termos do Contrato.

2.2 Vigência. Este Anexo entrará em vigor mediante a assinatura do Contrato e permanecerá em vigor até que ocorra o último dos seguintes fatos: (i) o término da prestação dos Serviços pela dss⁺ nos termos do Contrato, inclusive, se aplicável, durante qualquer período após a rescisão do Contrato durante o qual a dss⁺ continue a prestar os Serviços em uma base transitória, ou (ii) a exclusão de todos os Dados do Cliente pela dss⁺ de acordo com este Anexo (o Prazo).

2.3 Ordem de precedência. Em caso de conflito ou inconsistência entre os termos deste Anexo e os termos de qualquer Contrato aplicável, os termos deste Anexo prevalecerão.

3.1 Legislações aplicáveis. TAs Partes reconhecem e concordam que as seguintes legislações de proteção de dados podem, dependendo das circunstâncias, se aplicar ao tratamento de Dados Pessoais do Cliente:

• GDPR;
• Legislação Suíça de Proteção de Dados; e/ou
• Outras legislações aplicáveis de proteção de dados.

3.2 Aplicabilidade deste Anexo. Salvo disposição em contrário neste Anexo, as disposições do presente se aplicarão independentemente da legislação aplicável ao tratamento de Dados Pessoais do Cliente.

4.1 Funções e conformidade

4.1.1 Responsabilidade do operador e do controlador/controlador do arquivo de dados. Se o GDPR ou a Legislação Suíça de Proteção de Dados se aplica ao tratamento de Dados Pessoais do Cliente, as Partes reconhecem e concordam que:

• O objeto e detalhes do tratamento estão especificados no Anexo 1;
• A dss⁺ é uma operadora de Dados Pessoais do Cliente, nos termos do GDPR ou da Legislação Suíça de Proteção de Dados, conforme aplicável;
• O Cliente é um controlador (respectivamente controlador do arquivo de dados) ou um operador para terceiros, conforme o caso, dos Dados Pessoais do Cliente, nos termos do GDPR ou da Legislação Suíça de Proteção de Dados, conforme aplicável; e
• Cada Parte deverá cumprir suas obrigações de acordo com o GDPR e/ou a Legislação Suíça de Proteção de Dados com relação ao tratamento dos Dados Pessoais do Cliente.

4.1.2 Autorização por um controlador de terceiros. If Customer is a processor for a third party, Customer guarantees to dss⁺ that Customer has obtained the express prior authorisation of the applicable controller to Customer's instructions and actions regarding the Customer Personal Data, including the designation of dss⁺ for performance of the Services as another processor.

4.1.3 Outra legislação. Se Outra Legislação de Proteção de Dados Aplicável se aplicar ao tratamento dos Dados Pessoais do Cliente, o Cliente se compromete com a dss⁺ a cumprir as obrigações aplicáveis a ele com relação ao tratamento dos Dados Pessoais do Cliente e a informar a dss⁺ por escrito sobre quaisquer disposições contidas em tal legislação que possam ter um impacto no tratamento dos Dados Pessoais do Cliente pela dss⁺ como operador para o Cliente.

4.2 Escopo do tratamento

4.2.1 Natureza e finalidade do tratamento. A dss⁺ tratará os Dados Pessoais do Cliente com a finalidade de fornecer os Serviços e o respectivo suporte técnico ao Cliente de acordo com o Contrato e, em particular, com este Anexo.

4.2.2 Instruções do Cliente. Ao celebrar o Contrato, o Cliente instrui a dss⁺, e se compromete a instruir a dss⁺, a tratar os Dados Pessoais do Cliente somente em estrita conformidade com a legislação aplicável e, além disso:

• se o GDPR se aplicar, somente para fornecer os Serviços e o suporte técnico relacionado, conforme documentado (i) em um Contrato, incluindo este Anexo, ou (ii) de qualquer outra forma por escrito; e
• se a Legislação Suíça de Proteção de Dados se aplicar ao tratamento dos Dados Pessoais do Cliente, somente com relação às operações de tratamento que o Cliente teria o direito de realizar por conta própria e desde que nenhuma obrigação legal ou contratual de manter as informações em segredo proíba o envolvimento da dss⁺.

4.2.3 A conformidade da dss⁺ com as instruções. A dss⁺ se compromete a cumprir as instruções especificadas na Seção 4.2.2, a menos que a legislação aplicável à dss⁺ exija outro tratamento dos Dados do Cliente pela dss⁺.

4.3 Obrigações do cliente

4.3.1 O Cliente será responsável, especificamente, pela qualidade, legalidade e relevância de seus dados pessoais tratados no contexto dos Serviços e será responsável perante terceiros afetados pelo tratamento e perante as autoridades competentes de proteção de dados. Em particular, o Cliente se compromete a:

• ter e manter sempre fundamentos válidos para o tratamento de tais dados pessoais;
• fornecer informações suficientes aos titulares dos dados sobre a coleta e o tratamento de seus dados pessoais;
• obter o consentimento válido dos titulares dos dados para o tratamento de seus dados pessoais, se esse consentimento for exigido pela legislação de proteção de dados aplicável; e
• garantir a conformidade com todos os direitos dos titulares dos dados (por exemplo, direito de acesso e retificação, direito de objeção etc.), bem como todas as obrigações para com as autoridades competentes de proteção de dados (por exemplo, declaração de arquivos), de acordo com a legislação e os regulamentos de proteção de dados aplicáveis.

4.3.2 Responsabilidade. O Cliente será o único responsável pelo tratamento dos Dados Pessoais do Cliente, se houver, no âmbito dos Serviços. O Cliente reconhece e aceita que a dss⁺ considerará qualquer tratamento de quaisquer Dados Pessoais do Cliente no âmbito dos Produtos Licenciados, conforme permitido pelo Contrato, bem como quaisquer instruções do Cliente com relação a tais atividades de tratamento como estando em conformidade com as leis e regulamentos aplicáveis de proteção de dados ou privacidade de dados.

5.1 Exclusão durante a vigência. A dss⁺ permitirá que o Cliente exclua ou modifique os Dados Pessoais do Cliente, durante a vigência do Contrato, desde que tal exclusão seja compatível com a funcionalidade dos Serviços.

5.2 Exclusão no final do Contrato. O Cliente exige irrevogavelmente que a dss⁺ exclua todos os Dados do Cliente (incluindo quaisquer cópias existentes) dos sistemas da dss⁺ no final do Contrato, de acordo com a lei aplicável. A dss⁺ cumprirá essa instrução o mais rápido possível, a menos que a dss⁺ seja obrigada a reter todos ou parte dos Dados do Cliente por motivos técnicos ou legais. O Cliente reconhece e aceita que é de sua exclusiva responsabilidade transferir e/ou salvaguardar os Dados do Cliente que deseja manter posteriormente.

6.1 Medidas de segurança

6.1.1 Medidas de segurança da dss⁺. A dss⁺ implementará e manterá medidas técnicas e organizacionais adequadas para proteger os Dados do Cliente contra a ocorrência de Incidentes de Segurança. Essas medidas incluem, em particular:

• o uso de firewalls;
• a pseudonimização e criptografia de dados pessoais;
• os meios para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de tratamento;
• os meios para limitar o acesso aos Dados do Cliente ao pessoal que precisa acessá-los durante o fornecimento dos Serviços;
• os meios para restaurar a disponibilidade e o acesso aos Dados Pessoais do Cliente, em prazo adequado no caso de um Incidente de Segurança;
• um procedimento para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

6.1.2 Conformidade com a segurança por parte do pessoal da dss⁺. A dss⁺ tomará as medidas adequadas para garantir a conformidade com as medidas de segurança acima mencionadas por parte de seus funcionários e subcontratados. Em particular, deverá assegurar que todas as pessoas autorizadas a tratarem de Dados Pessoais do Cliente se comprometam a manter a confidencialidade ou que se sujeitem a uma obrigação legal apropriada de confidencialidade.

6.2 Incidentes de segurança

6.2.1 Notificação de Incidentes de Segurança ao Cliente. Se a dss⁺ tomar conhecimento de um Incidente de Segurança, a dss⁺ se compromete a informar o Cliente assim que possível por qualquer meio útil (em particular, por meio da pessoa de contato designada pelo Cliente). A dss⁺ deverá, na medida do possível, descrever, com detalhes suficientes, a natureza do Incidente de Segurança, bem como as medidas tomadas pela dss⁺ para mitigar riscos potenciais e as medidas que a dss⁺ recomenda que o Cliente tome. As ações da dss⁺ em relação a esta Seção 6.2 não constituirão e não serão interpretadas como admissão pela dss⁺ de qualquer falha ou responsabilidade em relação ao Incidente de Segurança ocorrido.

6.2.2 Obrigações do Cliente. A dss⁺ não analisará o conteúdo dos Dados do Cliente com a finalidade de identificar o tipo de dados envolvido. O Cliente será o único responsável pela realização de qualquer análise de Dados do Cliente e pelo cumprimento das disposições legais a ele aplicáveis, em particular, quaisquer obrigações do Cliente de fornecer uma notificação do Incidente de Segurança a qualquer autoridade competente e/ou aos titulares dos dados. Nesse contexto, a dss⁺ fornecerá ao Cliente, às custas deste último, qualquer assistência razoavelmente necessária para que o Cliente possa cumprir suas obrigações.

6.3 Informações e auditorias sobre as medidas de segurança

6.3.1 Informações. Se o GDPR se aplicar ao tratamento de Dados Pessoais do Cliente, a dss⁺ disponibilizará ao Cliente, além das informações contidas no Contrato, incluindo este Anexo, todos os documentos e informações razoavelmente necessários para demonstrar a conformidade da dss⁺ com o GDPR e com as obrigações dele decorrentes.

6.3.2 Right of audit. dss⁺ shall allow Customer or an independent auditor appointed by Customer to conduct audits (including inspections) to verify the compliance of dss⁺ with its obligations under the GDPR. dss⁺ shall provide reasonable assistance with respect to the audits described in this Section 6.3.2. Direito de auditoria. A dss⁺ permitirá que o Cliente ou um auditor independente nomeado pelo Cliente realize auditorias (incluindo inspeções) para verificar a conformidade da dss⁺ com suas obrigações nos termos do GDPR. A dss⁺ fornecerá assistência razoável com relação às auditorias descritas nesta Seção 6.3.2. Após a conclusão da auditoria, o Cliente encaminhará o relatório completo da auditoria à dss⁺, gratuitamente.

6.3.3 Solicitação. Qualquer solicitação nos termos das Seções 6.3.1 (Informações) ou 6.3.2 (Auditorias) deverá ser comunicada à dss⁺ por escrito e indicar (i) os Dados Pessoais do Cliente em questão, (ii) os motivos pelos quais as condições mencionadas nas Seções 6.3.1 (Informações), respectivamente 6.3.2 (Auditorias) se aplicam a esses dados, (iii) os documentos específicos a serem revisados, respectivamente, as obrigações específicas da dss⁺ a serem auditadas, e (iv) que o Cliente se compromete expressamente a usar as informações coletadas apenas para garantir que a dss⁺ esteja em conformidade com suas obrigações com relação aos Dados Pessoais do Cliente e, em particular, que as informações coletadas não sejam usadas com relação a qualquer processo legal ou administrativo contra a dss⁺. A menos que haja circunstâncias excepcionais, o Cliente não poderá fazer mais de uma solicitação por ano.

6.3.4 Exercício de direitos. Ao receber uma solicitação de acordo com a Seção anterior, e desde que todas as condições sejam atendidas, a dss⁺ atenderá à solicitação da seguinte forma:

• A dss⁺ informará ao Cliente, com relação à revisão de documentos (Seção 6.3.1 [Informações] acima), o período durante o qual este poderá consultar os documentos nos escritórios da dss⁺. A menos que expressamente acordado de outra forma pela dss⁺, o Cliente não estará autorizado a fazer cópias dos documentos consultados. Alternativamente, a dss⁺ poderá decidir fornecer os documentos por qualquer outro meio útil, em particular através de envio eletrônico;
• A dss⁺ informará o Cliente, com relação às auditorias (Seção 6.3.2 [Auditoria] acima): (i) a data ou datas em que as auditorias poderão ocorrer; e (ii) a finalidade da auditoria, em particular, as inspeções que poderão ser realizadas a fim de se verificar a conformidade da dss⁺ com suas obrigações, nos termos deste Anexo. O Cliente arcará integralmente com os seus custos internos ou com os custos do auditor independente por ele nomeado. A dss⁺ poderá faturar ao Cliente seus próprios custos associados à preparação e execução da auditoria, com base nos custos incorridos pela dss⁺. A dss⁺ poderá se opor a qualquer auditor independente nomeado pelo Cliente se, na opinião da dss⁺, o auditor não for suficientemente qualificado, for concorrente da dss⁺ ou se, de qualquer outra forma, não puder desempenhar suas funções adequadamente. Nesse caso, o Cliente poderá realizar a auditoria ele mesmo ou propor outro auditor à dss⁺.

6.3.5 Informações confidenciais. As disposições contidas nesta Seção 6.3 não serão interpretadas como exigindo que a dss⁺ forneça ao Cliente (i) quaisquer informações relativas a segredos comerciais da dss⁺ ou quaisquer informações de natureza confidencial, ou (ii) quaisquer informações relativas a clientes da dss⁺ (exceto o Cliente). A dss⁺ poderá fazer com que a revisão de documentos (Seção 6.3.1 [Informações] acima) ou a condução de auditoria (Seção 6.3.2 [Auditorias] acima) fique sujeita à celebração de contrato de confidencialidade específico.

7.1 Conformidade. A dss⁺ fornecerá ao Cliente todas as informações necessárias para que este possa demonstrar conformidade com suas obrigações nos termos do GDPR ou da Legislação Suíça de Proteção de Dados. O Cliente também se compromete a fornecer à dss⁺ todas as informações necessárias para que a dss⁺ possa demonstrar o cumprimento de suas obrigações nos termos do GDPR ou da Legislação Suíça de Proteção de Dados.

7.2 Solicitações de titulares de dados. Se a dss⁺ receber uma solicitação de um titular de dados com relação aos Dados Pessoais do Cliente, a dss⁺ orientará o titular de dados a enviar sua solicitação ao Cliente, e o Cliente será responsável por responder a todas essas solicitações. As Partes concordam que é de responsabilidade exclusiva do Cliente responder às solicitações dos titulares dos dados.

7.3 Ações do Cliente. A dss⁺ auxiliará o Cliente no cumprimento de suas obrigações legais para com os titulares dos dados na medida do razoável e compatível com a funcionalidade dos Serviços. As medidas abrangerão todos os direitos dos titulares dos dados nos termos da lei de proteção de dados aplicável, em particular o acesso, a retificação, a limitação, a objeção, o apagamento e a portabilidade de seus Dados Pessoais do Cliente.

7.4 Relatórios de impacto e consulta prévia. Se o GDPR se aplicar ao tratamento dos Dados Pessoais do Cliente, a dss⁺ se compromete, na medida em que for razoavelmente esperado que o faça à luz da natureza do tratamento e das informações disponíveis, a ajudar o Cliente a garantir sua conformidade com a avaliação de impacto e as obrigações de consulta prévia nos termos dos Artigos 35 e 36 do GDPR.

8.1 Países autorizados. Salvo disposição em contrário no Contrato, o Cliente concorda que a dss⁺ reterá e tratará os Dados do Cliente na Suíça, na União Europeia, no Reino Unido, na Índia, nos EUA, na Austrália ou em país que tenha sido reconhecido pela Comissão Europeia ou pela Suíça como garantindo um nível adequado de proteção de dados pessoais.

8.2 Autorização especial. A dss⁺ informará (a menos que a dss⁺ tenha a obrigação legal de não divulgar) ao Cliente, antes de qualquer transferência de Dados Pessoais do Cliente para um país não especificado na Seção 8.1 acima, e o Cliente se compromete a autorizar tal transferência, desde que a dss⁺ possa garantir, por qualquer meio útil, um nível adequado de proteção para os Dados Pessoais do Cliente.

9.1 Consentimento. Salvo disposição em contrário no Contrato, o Cliente autoriza especificamente a dss⁺ a usar subcontratados, que podem ser Empresas Afiliadas da dss⁺ ou outros terceiros. A lista atual de subcontratados consta do Apenso 2. Se o GDPR for aplicável, a dss⁺ se compromete a informar o Cliente, com antecedência e por escrito, sobre quaisquer alterações planejadas com relação ao acréscimo ou substituição de outros subcontratados, a fim de permitir que o Cliente levante objeções contra qualquer de tais subcontratados.

9.2 Requisitos. A dss⁺ se compromete, no caso de delegação de acordo com a Seção 9.1 acima, a garantir por escrito que:

• o subcontratado só acessará e tratará os Dados do Cliente na medida em que necessário para cumprir suas obrigações; e
• o subcontratado tenha obrigações contratuais para com a dss⁺ que sejam pelo menos equivalentes àquelas da dss⁺ para com o Cliente decorrentes deste Anexo; e
• se o GDPR se aplicar, as obrigações estabelecidas no Artigo 28(3) do GDPR foram impostas ao subcontratado.

9.3 Objeção. Se o GDPR se aplicar, o Cliente terá 14 dias após ser informado sobre o acréscimo ou substituição planejada de um subcontratado (inclusive o nome e a localização do subcontratado em questão e as atividades que ele realizará) para apresentar suas objeções. Se a dss⁺ confirmar a nomeação do subcontratado ao Cliente, o Cliente terá o direito de rescindir o Contrato aplicável com efeito imediato, mediante notificação por escrito, enviada no prazo de 14 dias após o recebimento da confirmação da dss⁺. Esse direito de rescisão será o único e exclusivo recurso do Cliente no caso de objeção a um novo subcontratado. O fato de o Cliente não reagir dentro de qualquer dos prazos especificados nesta Seção 9.3, será considerado como aceitação do novo subcontratado.

10.1 O Cliente reconhece que a dss⁺ pode ser obrigada, em particular pelo GDPR, a:

• coletar e armazenar determinadas informações, incluindo o nome e os detalhes de contato de cada operador e/ou controlador com o qual a dss⁺ atua e, quando aplicável, o representante local do controlador e/ou o responsável pela proteção de dados, bem como as categorias de tratamento realizadas; e
• Disponibilizar essas informações a qualquer autoridade competente.

10.2 O Cliente se compromete a fornecer à dss⁺ todas as informações razoavelmente necessárias para que a dss⁺ cumpra suas obrigações.

11.1 Responsável pela proteção de dados do Cliente. Se o GDPR exigir que o Cliente nomeie um responsável pela proteção de dados, o Cliente deverá fornecer os detalhes de contato dessa pessoa à dss⁺. A dss⁺ é obrigada a manter os detalhes de contato do responsável pela proteção de dados do Cliente em um registro de atividades de tratamento de dados. Ao não fornecer à dss⁺ os detalhes de contato de um responsável pela proteção de dados, o Cliente confirma à dss⁺ que não é obrigado a indicar um.

11.2 Pessoa de contato. Se o GDPR não exigir que o Cliente indique um responsável pela proteção de dados, o Cliente ainda poderá fornecer à dss⁺ os detalhes de contato de sua pessoa responsável por questões de proteção de dados. Essa pessoa será o principal ponto de contato da dss⁺ para todas as comunicações de proteção de dados, promovendo assim um compartilhamento de informações mais rápido e eficiente.

11.3 Pessoa de contato para a proteção de dados da dss⁺. Todas as comunicações a serem feitas à dss⁺ relacionadas a este Anexo e/ou à proteção de dados deverão ser endereçadas para o e-mail privacy@consultdss.com.

12.1 Empresa. Afiliada significa qualquer empresa que controle, seja controlada, ou esteja sob controle comum de uma Parte. Para os fins desta definição, "controle" significa: (i) propriedade de pelo menos 50% do capital da empresa; (ii) propriedade de pelo menos 50% dos direitos de voto na empresa; ou (iii) o poder de exercer influência decisiva sobre a administração da empresa.

12.2 Contrato significa os Termos e Condições Gerais da dss⁺, dos quais este Anexo é parte integrante.

12.3 Anexo significa este anexo

12.4 Cliente tem o significado especificado no Contrato.

12.5 Dados do Cliente significa os dados (i) transmitidos pelo Cliente à dss⁺, coletados pela dss⁺ (do Cliente ou de terceiros em nome do Cliente, incluindo qualquer usuário final dos Serviços) em conexão com a prestação dos Serviços e (ii) que são mantidos ou tratados pela dss⁺.

12.6 Dados Pessoais do Cliente significam dados de natureza pessoal ou dados pessoais, ou seja, qualquer informação relacionada a uma pessoa física identificada ou identificável, direta ou indiretamente, particularmente por referência a um identificador, como um nome, número de identificação, dados de localização, identificador on-line ou um ou mais elementos específicos de sua identidade física, fisiológica, genética, mental, econômica, cultural ou social, de acordo com e em conformidade com as leis de proteção de dados aplicáveis a esses dados, contidos nos Dados do Cliente.

12.7 dss⁺ tem o significado especificado no Contrato.

12.8 Compartimento significa qualquer documento anexado a este Anexo.

12.9 GDPR significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (GDPR).

12.10 Outra Legislação de Proteção de Dados Aplicável significa toda a legislação de proteção de dados que não seja a Legislação Suíça de Proteção de Dados e o GDPR.

12.11 Serviços significa todos os Serviços fornecidos pela dss⁺ ao Cliente nos termos do Contrato.

12.12 Incidente de segurançasignifica uma infração de segurança que resulte em destruição acidental ou ilegítima, perda, alteração, divulgação não autorizada dos Dados do Cliente ou acesso não autorizado aos Dados do Cliente.

12.13 Legislação Suíça de Proteção de Dados significa a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça) e suas portarias de implementação.

12.14 Prazo tem o significado definido na Seção 2.2.

Categorias de dados pessoais

Os dados pessoais tratados por meio dos Serviços podem incluir as seguintes categorias de dados:

• sobrenome, nome,
• data de nascimento, gênero,
• endereço, número de telefone e endereço de e-mail,
• informações gerais relacionadas à saúde,
• dados de localização (cidades/países visitados).

Titulares de dados

Os dados pessoais tratados por meio dos Serviços podem estar relacionados às seguintes categorias de titulares de dados:

• usuários finais dos Serviços, incluindo os colaboradores e consultores do Cliente;
• qualquer outra pessoa que transmita dados por meio dos Serviços.

• Unifii Pty Ltd (ABN 83 147 673 738), Unit 9, 90 Mona Vale Road, Mona Vale, New South Wales 2103 (provedor de infraestrutura e serviços relacionados)
• Amazon Web Services (serviços de hospedagem)
• DSS Sustainable Solutions India Private Limited (afiliada para suporte e serviços técnicos)
• Coastal Training Technologies Corp (afiliada para serviços técnicos e de suporte)
• Coastal Training Technologies India Private Limited (afiliada para serviços técnicos e de suporte)
• Microsoft Azure (serviços de hospedagem)