Adendo de processamento de dados

COMO EXECUTAR ESTE DPA:

Para concluir este DPA, envie um e-mail para jurídico@digital.ai. Após o recebimento de um DPA devidamente preenchido por Digital.ai, tal DPA se tornará juridicamente vinculativo.

Uma versão do documento pdf do DPA pode ser baixada SUA PARTICIPAÇÃO FAZ A DIFERENÇA para revisão do cliente.

 

Adendo de processamento de dados

Este Adendo de Proteção de Dados (“DPA”) faz parte do Acordo (definido abaixo) entre Digital.ai e Cliente para Digital.ai para fornecer Serviços ao Cliente. A menos que definido de outra forma neste documento, todos os termos em letras maiúsculas têm o significado atribuído a eles no Contrato aplicável.

Digital.ai pode, no decorrer da prestação de Serviços ao Cliente de acordo com o Contrato, Processar Dados Pessoais do Cliente que estão sujeitos ao Regulamento Geral de Proteção de Dados da União Europeia, Regulamento (UE) 2016/679 (“GDPR da UE”) e o GDPR da UE, uma vez que faz parte da lei do Reino Unido em virtude da seção 3 da Lei de (Retirada) da União Europeia de 2018 (“GDPR do Reino Unido”) (coletivamente, o “RGPD”) ou outras Leis de Proteção de Dados. Este DPA estabelece as obrigações das partes com relação ao Processamento de Dados Pessoais de acordo com o Contrato.

Em consideração às obrigações mútuas aqui estabelecidas, as partes concordam em cumprir as seguintes disposições, cada uma agindo de forma razoável e de boa fé.

 

1. DEFINIÇÕES

 

"Afiliados” significa qualquer pessoa ou entidade que, direta ou indiretamente, possua, controle ou seja controlada por, ou esteja sob controle comum com uma parte, onde o controle é definido como possuir ou direcionar mais de 50% das ações com direito a voto ou participação acionária semelhante em a entidade controlada.

 

"Acordo” significa todos os acordos atuais e futuros entre Digital.ai e Cliente em conexão com o qual Digital.ai fornece Serviços envolvendo o Processamento de Dados Pessoais em nome do Cliente, como um Contrato Principal de Assinatura (“Contrato Integral para Venda de Ativos”) e todos os Pedidos aplicáveis ​​aos Serviços. Este DPA é incorporado a esse(s) Contrato(s) por esta referência.

 

"Responsável pelo Tratamento ” significa a entidade que, isoladamente ou em conjunto com outras, determina as finalidades e os meios do Tratamento de Dados Pessoais.

 

"Leis de proteção de dados” significa todas as leis de proteção de dados aplicáveis ​​à proteção dos direitos e liberdades fundamentais das pessoas e seu direito à privacidade com relação ao Processamento de Dados Pessoais sob o Contrato, incluindo leis e regulamentos locais, estaduais, nacionais e/ou estrangeiros, o GDPR e implementações do GDPR na lei nacional, conforme alterado, substituído ou suplantado de tempos em tempos.

 

"Dados Pessoais” significa quaisquer Dados do Cliente (conforme definido no Contrato) relacionados a uma pessoa física identificada ou identificável (“dados Assunto”), que está protegido pela Lei de Proteção de Dados.

 

"Violações de Dados Pessoais” significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais transmitidos, armazenados ou processados ​​de outra forma, e para o qual um Controlador é obrigado pela Lei de Proteção de Dados a notificar autoridades competentes de proteção de dados ou Titulares de Dados.

 

"Tratamento” significa qualquer operação ou conjunto de operações que seja realizada sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

 

"Subcontratante" significa a entidade que Processa Dados Pessoais em nome do Controlador.

 

"Serviços” significa o fornecimento de serviços de manutenção e suporte e/ou o fornecimento de software como serviço (“SaaS”) e/ou quaisquer outros serviços, hospedados, gerenciados ou não, que são fornecidos sob o Contrato e para os fins dos quais Digital.ai Processa Dados Pessoais em nome do Cliente.

 

"Cláusulas Contratuais Padrão” significa (i) onde o GDPR da UE se aplica, as cláusulas anexas à Decisão de Implementação (UE) 2021/914 da Comissão Europeia de 4 de junho de 2021 para a transferência de Dados Pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, conforme publicado oficialmente em https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ("SCC 2021”); e (ii) onde o GDPR do Reino Unido se aplica, as cláusulas padrão de proteção de dados adotadas de acordo com ou permitidas pelo Artigo 46 do GDPR do Reino Unido, conforme publicado oficialmente em https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ("SCC 2010").

 

"Subprocessador”Significa um Digital.ai Afiliada ou terceiro contratado por Digital.ai em conexão com os Serviços e que Processa Dados Pessoais de acordo com este DPA.

 

"Autoridade Supervisora” significa uma autoridade pública independente estabelecida sob as Leis de Proteção de Dados aplicáveis.

 

2. TRATAMENTO DE DADOS PESSOAIS

 

2.1. Papel das Partes. Este DPA se aplica ao processamento de dados pessoais por Digital.ai e seus Subprocessadores em conexão com a prestação dos Serviços. Para os fins deste DPA, Digital.ai é o processador e o cliente é o controlador.

 

2.2. Âmbito do Processamento. O objeto e a duração do Processamento de Dados Pessoais são definidos no Contrato, que descreve a prestação dos Serviços ao Cliente. A natureza e as finalidades do processamento para o qual os dados pessoais são processados ​​em nome do cliente, os tipos de dados pessoais e as categorias de titulares de dados são estabelecidos em Anexo 1 a esta DPA.

 

2.3. Instruções. Digital.ai só processará Dados Pessoais em nome e de acordo com as instruções documentadas do Cliente. O Contrato (incluindo este DPA) constitui essas instruções iniciais documentadas para Processar Dados Pessoais do Cliente e cada uso dos Serviços constitui instruções adicionais. Digital.ai envidará esforços razoáveis ​​para cumprir outras instruções razoáveis ​​do Cliente, desde que sejam consistentes com os termos dos Contratos, exigidos pela Lei de Proteção de Dados e tecnicamente viáveis. Digital.ai informará o Cliente se não puder cumprir uma instrução ou em Digital.aiNa opinião da , qualquer instrução do Cliente infringe as Leis de Proteção de Dados aplicáveis.

 

2.4. Conformidade com as Leis. As partes concordam em cumprir todas as Leis de Proteção de Dados aplicáveis, conforme detalhado abaixo:

 

2.4.1. Digital.ai cumprirá todas as Leis de Proteção de Dados aplicáveis ​​a Digital.ai na sua função de Processador no que diz respeito aos Dados Pessoais. Ao fornecer os Serviços, Digital.ai processará Dados Pessoais em conformidade com as instruções documentadas do Cliente, inclusive com relação a transferências de Dados Pessoais para um terceiro país ou organização internacional (conforme descrito na Seção 7). Digital.ai também pode processar dados pessoais quando exigido pelas leis de proteção de dados aplicáveis, caso em que Digital.ai deve informar o Cliente desse requisito legal antes do Processamento, a menos que a lei proíba tal notificação por motivos importantes de interesse público.

 

2.4.2. O Cliente cumprirá todas as Leis de Proteção de Dados aplicáveis ​​ao Cliente em sua função de Controlador e obterá todos os consentimentos necessários e fornecerá todas as notificações necessárias aos Titulares dos Dados para permitir Digital.ai para realizar legalmente o Processamento contemplado por este DPA. O Cliente é responsável pela precisão e qualidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais.

 

3. DIREITOS DO TITULAR DE DADOS

 

3.1. Solicitações de titulares de dados. Digital.ai irá, de forma consistente com a funcionalidade dos Serviços e Digital.aicomo Processador, fornecer suporte razoável ao Cliente para permitir que o Cliente responda às solicitações do Titular dos Dados para exercer seus direitos sob as Leis de Proteção de Dados aplicáveis ​​(“Solicitações de titulares de dados").

 

3.2. Respondendo a solicitações de titulares de dados. O Cliente é responsável por responder às Solicitações do Titular dos Dados. Se Digital.ai recebe uma Solicitação do Titular dos Dados ou outra reclamação de um Titular dos Dados sobre o Processamento de Dados Pessoais, Digital.ai irá, na medida legalmente permitida, notificar imediatamente o Cliente, desde que o Titular dos Dados tenha fornecido informações suficientes para identificar o Cliente. A menos que exigido pela lei aplicável, Digital.ai não responderá a nenhuma Solicitação do Titular dos Dados sem a autorização ou instrução prévia por escrito do Cliente, exceto para confirmar que tal solicitação está relacionada ao Cliente.

 

4. RETENÇÃO E EXCLUSÃO DE DADOS PESSOAIS

 

4.1. Retenção de Dados Pessoais. Após a rescisão do Contrato entre as partes e/ou após o término da prestação dos Serviços aos quais este DPA se aplica, Digital.ai excluirá ou devolverá quaisquer Dados Pessoais do Cliente de acordo com as Leis de Proteção de Dados e/ou consistente com os termos do Contrato assim que razoavelmente praticável, a menos que a lei aplicável exija armazenamento adicional.

 

5. SEGURANÇA DO PROCESSAMENTO

 

5.1. Medidas de segurança. Digital.ai implementará e manterá medidas técnicas e organizacionais apropriadas, conforme especificado no Anexo II a este DPA, para proteger os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais de acordo com as Leis de Proteção de Dados aplicáveis. O Cliente é responsável por fazer uma determinação independente sobre se as medidas técnicas e organizacionais para os Serviços atendem aos requisitos do Cliente, incluindo qualquer uma de suas obrigações de segurança de acordo com as Leis de Proteção de Dados aplicáveis.

 

5.2. Pessoal. Para processar dados pessoais, Digital.ai e seus Subprocessadores devem conceder acesso apenas a pessoal autorizado que tenha se comprometido com requisitos de confidencialidade pelo menos tão protetores quanto os deste DPA ou do Contrato. Esse pessoal deverá processar Dados Pessoais de acordo com as instruções do Cliente, conforme estabelecido no Contrato e apenas na medida necessária para a execução dos Serviços.

 

6. SUBPROCESSADORES

 

6.1. Uso de Subprocessadores. Cliente autoriza Digital.ai contratar Subprocessadores de acordo com este DPA, desde que Digital.ai deverá entrar em um acordo por escrito com tais Subprocessadores que seja consistente com os termos deste instrumento. Digital.ai será responsável pelos atos e omissões de qualquer Subprocessador na mesma medida como se fossem executados por Digital.ai.

 

6.2. Lista de subprocessadores. A lista de subprocessadores usados ​​por Digital.ai para fornecer os Serviços, a partir da data de vigência deste DPA está anexado a este instrumento como Anexo III e está publicado em: https://info.digital.ai/rs/981-LQX-968/images/Digital.ai-Data-Protection-FAQ-2021.pdf  ("Lista de subprocessadores"). Digital.ai notificará o Cliente sobre quaisquer adições ou substituições pretendidas à Lista de Subprocessadores, atualizando a Lista de Subprocessadores publicada pelo menos trinta (30) dias antes de autorizar qualquer novo Subprocessador a Processar Dados Pessoais.

 

6.3. Direitos de objeção. Esta Seção 6.3 será aplicável na medida em que o Cliente estiver estabelecido na Área Econômica Europeia (“ "), o Reino Unido ("UK”) e/ou Suíça ou onde exigido pelas Leis de Proteção de Dados aplicáveis ​​ao Cliente. Nesse caso, se o Cliente se opuser por motivos razoáveis ​​relacionados à proteção de dados para Digital.aiuso de um novo Subprocessador pelo Cliente, o Cliente deverá imediatamente, e dentro de quinze (15) dias após Digital.ainotificação de acordo com a Seção 6.2 acima, fornecer Digital.ai com notificação por escrito de tal objeção. No caso de tal objeção, Digital.ai tomará medidas comercialmente razoáveis ​​para lidar com as objeções levantadas pelo Cliente e fornecerá ao Cliente uma explicação por escrito razoável das medidas tomadas para lidar com tal objeção.

 

7. TRANSFERÊNCIAS DE DADOS

 

7.1. Transferências. Cliente autoriza Digital.ai e seus Subprocessadores para Processar Dados Pessoais para fins de prestação dos Serviços, cujo Processamento pode incluir a realização das transferências necessárias de Dados Pessoais, de acordo com os termos deste DPA.

 

7.2. Transferências Restritas. Todas as transferências de Dados Pessoais sob este DPA fora do EEE, Reino Unido e/ou Suíça para países que não garantem um nível adequado de proteção de dados dentro do significado das Leis de Proteção de Dados dos territórios anteriores (“Países restritos”) será regido pelas Cláusulas Contratuais Padrão relevantes, que estão incorporadas a este DPA. A transferência safeguardas, conforme estabelecido nesta Seção 7, aplicar-se-ão a: (i) onde se aplicar o GDPR da UE, uma transferência de Dados Pessoais do EEE ou da Suíça para um País Restrito; e (ii) onde se aplica o RGPD do Reino Unido, uma transferência de Dados Pessoais do Reino Unido para um País Restrito; (“Transferências restritas").

 

7.3. SCCs de controlador para processador: as cláusulas contratuais padrão serão aplicadas a quaisquer transferências restritas de dados pessoais do cliente (como “exportador de dados”) para Digital.ai (como “importador de dados”), como segue:

 

7.3.1. Dados Pessoais da UE. Com relação aos Dados Pessoais protegidos pelo GDPR da UE, as SCCs de 2021 serão aplicadas da seguinte forma: (i) o Módulo Dois (Controlador para Processador) será aplicado e os Módulos Um, Três e Quatro serão excluídos em sua totalidade; (ii) A Cláusula 7 deve ser excluída em sua totalidade e as partes podem adicionar entidades adicionais a este DPA celebrando um DPA adicional (conforme disponibilizado SUA PARTICIPAÇÃO FAZ A DIFERENÇA; (iii) na Cláusula 9, aplicar-se-á a Opção 2, conforme detalhado na Cláusula 6 deste DPA; (v) na Cláusula 17, a Opção 1 será aplicada e as SCCs 2021 serão regidas pela lei holandesa; (vi) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Holanda; e (vii) Anexo I e Anexo II das SCCs 2021 devem ser preenchidos com as informações estabelecidas nos Anexos I e II anexados a este DPA.

 

7.3.2. Dados Pessoais Suíços. Para efeitos das SCC 2021, o termo 'estado membro' não deve ser interpretado de forma a excluir os titulares dos dados na Suíça da possibilidade de demandar seus direitos em seu local de residência habitual (Suíça) de acordo com a Cláusula 18(c). Até 31 de dezembro de 2022, e por qualquer período mais longo exigido pela lei suíça aplicável, as SCCs de 2021 também protegerão os dados de pessoas jurídicas no escopo da Lei Federal Suíça de Proteção de Dados de 19 de junho de 1992 (SR 235.1; “FADP” ).

 

7.3.3. Dados Pessoais do Reino Unido. Com relação aos Dados Pessoais protegidos pelo GDPR do Reino Unido, as SCCs de 2010 serão aplicadas no que se refere a transferências ou Dados Pessoais do Reino Unido. Quaisquer futuras alterações, atualizações ou versões alteradas das SCCs de 2010 introduzidas pela Autoridade de Proteção de Dados do Reino Unido com o objetivo de cumprir as disposições internacionais de transferência de dados da Lei de Proteção de Dados do Reino Unido de 2018 serão incorporadas e farão parte do contrato entre Cliente e Digital.ai. O Apêndice 1 e o Apêndice 2 das SCCs 2010 devem ser preenchidos com as informações estabelecidas nos Anexos I e II anexados a este DPA.

 

7.4. Esclarecimentos. Não é intenção de nenhuma das partes, nem efeito deste DPA, contradizer ou restringir qualquer uma das disposições estabelecidas nas Cláusulas Contratuais Padrão. Em nenhum caso este DPA restringe ou limita os direitos de qualquer titular de dados ou Autoridade Supervisora ​​competente. Nada neste DPA deve ser interpretado como prevalecendo sobre qualquer cláusula conflitante das SCCs de 2010 ou das SCCs de 2021. Onde este DPA especifica regras de auditoria e subprocessador, tais especificações também se aplicam em relação aos SCCs de 2010 e SCCs de 2021.

 

7.5. Mecanismo alternativo de transferência de dados. Para evitar dúvidas, caso o mecanismo de transferência identificado nesta Seção 7 seja considerado inválido por uma Autoridade Supervisora ​​ou tribunal com autoridade aplicável, as Partes deverão se esforçar de boa fé para negociar um mecanismo alternativo (se disponível e necessário) para permitir a continuação transferência de Dados Pessoais.

 

8. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS

 

8.1. Notificação de Violação de Dados Pessoais. Digital.ai notificará o Cliente imediatamente, sem demora injustificada, após tomar conhecimento de qualquer violação de dados pessoais envolvendo dados pessoais do cliente processados ​​por Digital.ai e fornecer informações razoáveis ​​em sua posse para ajudar o Cliente a cumprir suas obrigações de relatar uma Violação de Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados. Digital.ai envidará esforços razoáveis ​​para identificar a causa de tal Violação de Dados Pessoais e tomará as medidas apropriadas para mitigar os efeitos e minimizar qualquer dano resultante da Violação de Dados Pessoais na medida em que tal remediação esteja dentro Digital.aicontrole razoável. A notificação será entregue ao Cliente de acordo com a Seção 8.2. Tal notificação não deve ser interpretada ou interpretada como uma admissão de culpa ou responsabilidade por Digital.ai.

 

8.2. Aviso de Entrega. Notificações de Violações de Dados Pessoais, se houver, serão entregues a um ou mais contatos comerciais, técnicos ou administrativos do Cliente por meio de Digital.ai seleciona, inclusive via e-mail. O cliente é responsável por garantir que fornece e mantém informações de contato precisas em todos os momentos.

 

9. AUDITAR

 

9.1. Pedidos de Informação. Digital.ai disponibilizará ao Cliente, mediante solicitação por escrito razoável, informações relacionadas ao Processamento de Dados Pessoais do Cliente conforme necessário para demonstrar Digital.aicumprimento das obrigações decorrentes deste DPA.

 

9.2. Auditoria do cliente. Digital.ai permitirá solicitações de inspeção pelo Cliente (ou seu auditor independente) relacionadas aos Dados Pessoais Processados ​​por Digital.ai a fim de verificar Digital.aiconformidade com este DPA, se: (a) Digital.ai não forneceu provas escritas suficientes de sua conformidade com as medidas técnicas e organizacionais, por exemplo, uma certificação de conformidade com a ISO 27001 ou outras normas; (b) ocorreu uma violação de dados pessoais; (c) uma auditoria for formalmente solicitada pela Autoridade de Supervisão do Cliente; ou (d) a Lei de Proteção de Dados concede ao Cliente o direito obrigatório de inspeção no local; e desde que o Cliente não exerça esse direito mais de uma vez por ano, a menos que a Lei de Proteção de Dados obrigatória exija inspeções mais frequentes. Qualquer informação fornecida por Digital.ai de acordo com esta Seção 9 está sujeita às obrigações de confidencialidade do Contrato. Tais inspeções serão conduzidas de forma a não impactar a segurança, confidencialidade, integridade, disponibilidade e continuidade das instalações, redes e sistemas inspecionados, nem comprometer quaisquer dados confidenciais neles processados.

 

9.3. Custo da Auditoria. O cliente é responsável pelos custos de qualquer auditoria, a menos que tal auditoria revele uma violação material por Digital.ai deste DPA, então Digital.ai arcará com suas próprias despesas de auditoria. Se uma auditoria determinar que Digital.ai violou suas obrigações sob este DPA, Digital.ai irá remediar prontamente a violação às suas próprias custas.

 

 

10. AVALIAÇÕES DE IMPACTO DE PROTEÇÃO DE DADOS

 

10.1. Se o Cliente for obrigado pela Lei de Proteção de Dados aplicável a realizar uma avaliação de impacto de proteção de dados ou consulta prévia com uma Autoridade Supervisora ​​relacionada ao uso dos Serviços pelo Cliente, Digital.ai irá, mediante solicitação razoável do Cliente, fornecer os documentos geralmente disponíveis para os Serviços; por exemplo, quaisquer relatórios SOC 2 de Controle Organizacional de Serviço (SOC) então atuais, certificações ISO/IEC 27001:2013 e/ou relatórios sucessores de padrão industrial comparáveis, conforme aplicável aos Serviços.

 

10.2. Qualquer assistência adicional na cooperação ou consulta prévia com uma Autoridade Supervisora ​​no desempenho de suas tarefas relacionadas a esta Seção 10, na medida exigida pela Lei de Proteção de Dados, deve ser mutuamente acordada entre as Partes, levando em consideração a natureza do Processamento e informações disponíveis para Digital.ai. Na medida legalmente permitida, o Cliente será responsável por quaisquer custos decorrentes de Digital.aiprestação de tal assistência

 

11. GERAL

 

11.1. Afiliados do cliente. O cliente é responsável por coordenar toda a comunicação com Digital.ai em nome de suas Afiliadas em relação a este DPA. O Cliente declara que está autorizado a celebrar este DPA e quaisquer Cláusulas Contratuais Padrão aqui incorporadas ou celebradas sob este DPA, emitir instruções e fazer e receber quaisquer comunicações ou notificações em relação a este DPA em nome de suas Afiliadas.

 

11.2. Conflito. A lei aplicável e os tribunais competentes para este DPA são os do Contrato principal ao qual este DPA se vincula. Se houver algum conflito ou inconsistência entre este DPA e o Contrato, este DPA prevalecerá na medida em que o conflito ou inconsistência estiver relacionado aos Dados Pessoais.

 

11.3. Terminação. O Prazo deste DPA terminará de acordo com os termos do Contrato.

 

11.4. Diversos. Cada referência ao DPA aqui significa este DPA incluindo seus anexos e/ou apêndices. Os títulos das seções contidas neste DPA são apenas para fins de referência e não devem afetar de forma alguma o significado ou a interpretação deste DPA.

 

EM TESTEMUNHO DO QUE, este DPA é celebrado e se torna uma parte obrigatória do(s) Contrato(s) entre o Cliente e Digital.ai, a partir da Data de Assinatura do Cliente abaixo. Se este documento tiver sido assinado eletronicamente por qualquer uma das partes, tal assinatura terá o mesmo efeito legal que uma assinatura manuscrita.

 

 

ANEXO I

Descrição do Processamento

Este Anexo 1 se aplica para descrever o Processamento de Dados Pessoais do Cliente para fins das Cláusulas Contratuais Padrão de 2010, Cláusulas Contratuais Padrão de 2021 e Lei de Proteção de Dados aplicável.

A. LISTA DE PARTES

Exportador(es) de dados:

 

1. Nome: Nome do cliente conforme indicado no contrato vigente

 

Endereço: Endereço do Cliente conforme indicado no Contrato vigente

 

Nome da pessoa de contato, cargo e detalhes de contato: signatário autorizado para reger o Acordo

 

Atividades relevantes: Uso de Digital.aiprodutos e serviços de acordo com o Contrato.

 

Assinatura e data: Ao entrar no DPA, considera-se que o exportador de dados assinou as Cláusulas Contratuais Padrão aqui incorporadas a partir da data de vigência do DPA.

 

Função (controlador/processador):   Responsável pelo Tratamento

 

Importador(es) de dados:

 

Nome: Digital.ai Software, Inc.

 

Endereço: 555 Fayetteville Street, Suite #210, Raleigh, Carolina do Norte 27601

 

Nome da pessoa de contato, cargo e detalhes de contato: jurídico@digital.ai

 

Atividades relevantes: Fornecimento de Digital.aiprodutos e serviços de acordo com o Contrato.

 

Assinatura e data: Ao entrar no DPA, considera-se que o importador de dados assinou as Cláusulas Contratuais Padrão aqui incorporadas a partir da data de vigência do DPA.

 

Função (controlador/processador): Subcontratante

 

B. DESCRIÇÃO DA TRANSFERÊNCIA

 

Categorias de titulares de dados cujos dados pessoais são transferidos:

 

As categorias de titulares de dados incluem Usuários do Cliente (conforme definido no Contrato) de Digital.ai produtos e serviços.

 

Categorias de dados pessoais transferidos:

 

Informações de identificação (nome, título, endereço de e-mail); informações de login (nome de usuário e senha); dados de login (hora e data dos logs); dados relacionados às solicitações de suporte dos usuários.

 

Dados confidenciais transferidos (se aplicável) e restrições aplicadas ou safeguardas que tenham plenamente em consideração a natureza dos dados e os riscos envolvidos, como por exemplo limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para pessoal com formação especializada), manutenção de um registo de acesso aos dados, restrições para posterior transferências ou medidas de segurança adicionais:

 

Nenhuma informação sensível é processada por Digital.ai.

 

Frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua):

 

As transferências serão feitas de forma contínua para produtos e serviços em nuvem e de forma pontual para solicitações de suporte.

 

Natureza do processamento:

 

Digital.ai atua como um processador para os dados pessoais enviados pelo cliente durante o uso Digital.aiprodutos e serviços da empresa; a natureza do processamento inclui transferência, armazenamento e outras atividades de processamento especificadas de acordo com os termos do Contrato.

 

Finalidade(s) da transferência de dados e processamento posterior:

 

Para fornecer e apoiar Digital.aiprodutos e serviços ao Cliente conforme acordado no Contrato (incluindo este DPA).

 

O período durante o qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados ​​para determinar esse período:

Durante a vigência do Acordo em vigor com Digital.ai, exceto onde especificado de outra forma no Contrato, ou de outra forma permitido ou exigido por lei.

 

Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento:

 

Digital.ai (Data Importer) usa os subprocessadores identificados no Lista de subprocessadores estabelecido em Anexo III, suportar Digital.ai no fornecimento de seus produtos e serviços ao Cliente (Exportador de Dados). O assunto e a duração do processamento estão descritos acima neste Anexo. A natureza dos serviços de subprocessamento específicos é ainda mais particularizada na Lista de Subprocessadores identificados no Anexo III.

 

 

C. AUTORIDADE DE SUPERVISÃO Competente

 

Identifique a(s) autoridade(s) supervisora(es) competente(s) de acordo com a Cláusula 13:

 

A autoridade supervisora ​​competente determinada de acordo com a Cláusula 13 das Cláusulas Contratuais Padrão.

• Cláusulas contratuais padrão de 2021: a lei aplicável às SCCs de 2021 será a lei da Holanda.

• Cláusulas contratuais padrão de 2010: as CCEs de 2010 serão regidas pelas leis do Estado-membro em que o exportador de dados está estabelecido, ou seja, o Reino Unido.

 

ANEXO II

Medidas de Segurança Técnica e Organizacional

Este Anexo II se aplica para descrever as medidas técnicas e organizacionais aplicáveis ​​para os fins das Cláusulas Contratuais Padrão de 2010, Cláusulas Contratuais Padrão de 2021 e Lei de Proteção de Dados aplicável.

As medidas técnicas e organizacionais estabelecidas no Anexo II foram implementadas pelo importador de dados para garantir um nível adequado de segurança, levando em consideração a natureza, escopo, contexto e finalidades do processamento e o risco de probabilidade e gravidade variáveis ​​para os direitos e liberdades das pessoas físicas.

Descrição das medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados:

Política, Procedimentos e Normas de Segurança da Informação. Digital.ai manterá um programa de segurança da informação (incluindo a adoção e execução de políticas e procedimentos internos) projetado para ajudar a proteger os dados pessoais contra perda, acesso ou divulgação acidental ou ilegal. uma revisão de tudo Digital.ai políticas, procedimentos e normas técnicas de segurança da informação é realizada pelo menos uma vez por ano. Quando aplicável, cópias de backup de dados pessoais podem ser disponibilizadas e testadas periodicamente para confirmar a integridade e demonstrar resiliência. Uma avaliação de vulnerabilidade é realizada em sistemas críticos periodicamente, e testes de penetração são realizados pelo menos uma vez por ano.

Criptografia. Digital.ai utiliza métodos de criptografia que são considerados seguros de acordo com as melhores práticas da indústria devem ser usados ​​para proteger os dados em repouso e em trânsito. Os métodos de criptografia usados ​​atendem ou excedem o Transport Layer Security (TLS) 1.2 ou Advanced Encryption Standard (AES) 256.

Auditorias de planta. Onde aplicável, Digital.ai utilizará auditores externos e/ou realizará auditorias internas para verificar a adequação de suas medidas de segurança de acordo com as normas ISO 27001, SOC 2 ou ISO 13485.

Controles de Acesso. Identificação e autorização do usuário. Digital.ai manterá controles de acesso e políticas para gerenciar qual acesso é permitido ao Digital.ai rede de cada conexão de rede e usuário, incluindo o uso de firewalls ou tecnologia funcionalmente equivalente e controles de autenticação.

Segurança física. Os controles de barreira física são usados ​​para impedir a entrada não autorizada em instalações onde os dados pessoais são processados ​​por ou em nome de Digital.ai. Os controles existem tanto no perímetro quanto nos pontos de acesso do prédio. A entrada geralmente requer validação de controle de acesso eletrônico (por exemplo, sistemas de acesso com cartão etc.) Funcionários e contratados recebem crachás de identificação com foto que devem ser usados ​​enquanto os funcionários e contratados estiverem em qualquer uma das instalações. Os visitantes são obrigados a se registrar com o pessoal designado, devem mostrar identificação apropriada, recebem um crachá de identificação de visitante que deve ser usado enquanto o visitante estiver em qualquer uma das instalações e são continuamente escoltados por funcionários ou contratados autorizados durante a visita às instalações.

Registro de eventos. Digital.aiA rede e os sistemas do são configurados para que os erros do sistema e os eventos de segurança sejam registrados e os arquivos de registro sejam protegidos contra alternância pelos usuários.

Configuração do sistema. Digital.ai desenvolverá, documentará e manterá uma configuração de linha de base atual para todos os sistemas no escopo. A linha de base deve ser revisada e atualizada anualmente e conforme necessário devido a atualizações do sistema, patches ou outras alterações significativas. As configurações anteriores para oferecer suporte à reversão devem ser mantidas. A configuração de linha de base mínima deve ser estabelecida para sistemas de informação ou computador com controles de segurança elevados.

 

Informações adicionais sobre Digital.aiAs certificações e práticas de segurança da empresa estão localizadas SUA PARTICIPAÇÃO FAZ A DIFERENÇA .ANEXO III

Lista de subprocessadores

  • Amazon Web Services (“AWS”)
    • Descrição: provedor de serviços em nuvem
  • Tecnologia Rackspace
    • Descrição: provedor de serviços em nuvem

Outros subprocessadores

  • ServiçoRocket, Inc.
    • Descrição: Suporte ao cliente baseado em nuvem e serviços de implementação
  • Pendo.io, Inc.
    • Descrição: Suporte e análise de software baseado em nuvem
  • Floco de neve, Inc.
    • Descrição: Banco de dados como provedor de serviços
  • Zendesk
    • Descrição: Software de atendimento ao cliente
  • Sumô Lógica, Inc.
    • Descrição: segurança de software baseada em nuvem e análise de log

 

 

 

Adendo da CCPA do Provedor de Serviços

Este Adendo Suplementar da CCPA (“Termo aditivo”) faz parte do DPA entre Digital.ai (para os fins deste Adendo, referido como o “Provedor de Serviço”) E Experiência e dinâmica de loja conforme indicado no Contrato regente.

 

Durante a prestação de Serviços ao Cliente de acordo com o Contrato, Digital.ai pode processar informações pessoais da empresa que estão sujeitas à Lei de Privacidade do Consumidor da Califórnia, Cal. Civ. Código § 1798.100 e seq. ("CCPA”). Os termos a seguir são incorporados ao Contrato com o objetivo de garantir a conformidade com a CCPA.

Para os fins deste Adendo, as seguintes definições serão aplicadas além das definições contidas no DPA e no Contrato, incluindo todos os adendos que possam complementá-lo.

 

1. Definições

1.1 Neste Adendo, os seguintes termos terão os significados definidos abaixo:

1.1.1 "Informações pessoais da empresa” significa qualquer informação pessoal, conforme definido na CCPA, Processada pelo Provedor de Serviços em nome da Capacidades ou de suas afiliadas de acordo com ou em conexão com o Contrato;

1.1.2 "ProcessadoouTratamento” significa qualquer operação ou conjunto de operações realizadas nas Informações Pessoais da Capacidades;

2. Processamento de Informações Pessoais da Capacidades. Na medida em que o desempenho do Provedor de Serviços de suas obrigações sob o Contrato envolva o Processamento de Informações Pessoais da Capacidades, o Provedor de Serviços concorda que não vou reter, usar ou divulgar Informações Pessoais da Capacidades para qualquer finalidade, inclusive para qualquer finalidade comercial, exceto para a finalidade específica de executar os serviços especificados no Contrato para a Capacidades, ou conforme permitido pela CCPA ou pelos regulamentos promulgados pela Procurador-geral da Califórnia de acordo com Cal. Civ. Código § 1798.185.