Eficaz
Este ADENDO DE PROCESSAMENTO DE DADOS (“DPA“) é incorporado e está sujeito aos termos e condições do contrato firmado entre o Controlador e o Processador, conforme definido no Anexo I (em conjunto, “as partes“), termos de uso (disponíveis no link https://mb.wpstaging.uk/legal/#terms-of-use) ou termos e condições de uso da tecnologia do Processador aceitos pelo Controlador, que regem o uso da tecnologia ou dos serviços de suporte do Processador pelo Controlador (“Contrato“).
Todos os termos em letras maiúsculas não definidos neste DPA terão os significados estabelecidos no Contrato.
Quando o Controlador usa a tecnologia do Processador, tanto na fase de teste quanto na de produção, ou quando o Controlador usa os serviços de suporte do Processador, o Processador processa dados pessoais (definidos abaixo). As partes concordam em cumprir as seguintes disposições com relação a qualquer processamento de dados pessoais, e isso é acordado da seguinte forma:
Artigo 1
Definições
Neste DPA, os termos a seguir terão os seguintes significados:
a. “Controlador“, “Processador“, “titular dos dados“, ” dadospessoais “, “processo” e “processamento” terão os significados dados na Lei Europeia de Proteção de Dados;
b. “Lei Europeia de Proteção de Dados” significa (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (o “GDPR da UE“); e (ii) o GDPR da UE conforme salvo na legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido (o “GDPR do Reino Unido“);
c. “Lei de Proteção de Dados Aplicável” significa as leis e regulamentos mundiais de proteção de dados e privacidade, na medida em que sejam aplicáveis às partes e à natureza dos dados pessoais processados nos termos do Contrato, incluindo, quando aplicável, a Lei Europeia de Proteção de Dados, a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 (coletivamente denominada “CPRA”), e as leis nacionais de proteção de dados aplicáveis feitas sob, de acordo com ou que se aplicam em conjunto com a Lei Europeia de Proteção de Dados; em cada caso, conforme possa ser alterado ou substituído de tempos em tempos;
d. “dados pessoais” significa, além do significado dado na Lei Europeia de Proteção de Dados, qualquer informação que identifique uma pessoa, que seja digitalizada, carregada e de outra forma compartilhada com o Processador usando a tecnologia do Processador ou de acordo com o uso de serviços de suporte pelo Controlador, empresas afiliadas do Controlador, seus usuários finais ou por terceiros agindo em nome do Controlador;
e. “violação de dados pessoais” significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais divulgados e compartilhados pelo Controlador e processados pelo Processador nos termos desta DPA;
f. “Transferência restrita” significa: (i) quando o GDPR da UE se aplica, uma transferência de dados pessoais da União Europeia ou do Espaço Econômico Europeu para um país fora da União Europeia ou do Espaço Econômico Europeu que não tenha sido reconhecido pela Comissão Europeia como adequado de acordo com o Artigo 45 do GDPR da UE (“país terceiro”); e (ii) quando o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para outro país que não se baseia em regulamentos de adequação de acordo com o Artigo 45 do GDPR do Reino Unido;
g. “decisão de adequação” significa uma decisão formal tomada pela UE ou pelo Reino Unido que reconhece que outro país, território, setor ou organização internacional fornece um nível de proteção de dados pessoais equivalente ao da UE ou do Reino Unido;
h. “Cláusulas Contratuais Padrão” ou “SCCs” significam as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução da Comissão (UE) 2021/914, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. “Cláusulas Contratuais Padrão Intra UE/EEE” ou “Cláusulas Contratuais PadrãoIntra UE/EEE” significa as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução (UE) 2021/915 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão entre controladores e processadores nos termos do artigo 28(7) do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29(7) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. “Acordo Internacional de Transferência de Dados” ou “IDTA” significa o acordo emitido pelo Comissário de Informações para as Partes que fazem Transferências Restritas de acordo com o GDPR do Reino Unido (disponível no link: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. “Subprocessador” significa qualquer processador terceirizado contratado pelo Processador para processar quaisquer dados pessoais em seu nome em conexão com a tecnologia ou os serviços fornecidos ao Controlador.
Artigo 2
Relacionamento das partes
1. O Processador, conforme definido no Anexo I deste DPA, processará os dados pessoais em nome do Controlador, conforme descrito no Anexo II deste DPA. Onde Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) ou Microblink USA, LLC (10 Grand Street, STE 2400, Brooklyn, NY 11249) for o signatário do Contrato e o Processador, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República da Croácia) será considerada uma empresa afiliada e um Subprocessador.
2. Cada parte deverá cumprir as obrigações que se aplicam a ela de acordo com a Lei de Proteção de Dados Aplicável.
Artigo 3
Hierarquia
1. Em caso de contradição entre este DPA e as disposições dos Contratos relacionados entre as Partes existentes no momento em que este DPA for acordado ou celebrado posteriormente, as disposições deste DPA prevalecerão.
2. Quando aplicável, as disposições das SCCs, das SCCs Intra UE/EEE ou da IDTA complementarão este DPA. Em caso de contradição entre este DPA e as CECs, as CECs Intra UE/EEE ou a IDTA, as disposições das CECs, das CECs Intra UE/EEE ou da IDTA prevalecerão.
3. Se houver qualquer conflito ou inconsistência entre este DPA e o Contrato, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (a) quando aplicável, SCCs ou SCCs Intra UE/EEE ou IDTA; depois (b) este DPA; e depois (c) o corpo principal do Contrato. Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.
4. Este DPA se aplica ao processamento de dados pessoais, conforme especificado no Anexo II.
5. Os Anexos I a IV são parte integrante deste DPA.
Artigo 4
Processamento de dados pessoais de acordo com o GDPR da UE
1. Quando ambas as partes estiverem sujeitas ao GDPR da UE e os dados pessoais não forem transferidos para fora da União Europeia, do Espaço Econômico ou de países sem decisões de adequação nos termos do Artigo 45 do GDPR da UE, as SCCs Intra-UE/EEE serão aplicadas e completadas da seguinte forma:
Artigo 5
Processamento de acordo com o GDPR do Reino Unido
Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as SCCs intra-UE/EEA serão aplicadas com as seguintes modificações:
Artigo 6
Transferências internacionais
6.1. Transferências restritas de acordo com o GDPR da UE
1. Quando a transferência de dados pessoais for considerada uma Transferência Restrita e o GDPR da UE exigir a implementação de proteções adequadas, essa transferência estará sujeita às SCCs, que serão incorporadas por referência e farão parte integrante deste DPA. O módulo aplicável das CECs deve ser determinado dependendo da localização do Controlador e do Processador e de suas funções como exportador e importador de dados em relação aos dados pessoais processados.
2. Em relação aos dados pessoais protegidos pelo GDPR da UE, quando o Processador estiver localizado na UE, atuando como exportador de dados, e o Controlador, atuando como importador de dados, estiver localizado em um terceiro país, o Módulo Quatro das SCCs deverá ser aplicado da seguinte forma:
3. Em relação aos dados pessoais protegidos pelo GDPR da UE, quando o Controlador estiver localizado na UE e agir como exportador de dados e o Processador estiver localizado em um terceiro país e agir como importador de dados, o Módulo Dois das SCCs deverá ser aplicado da seguinte forma:
6.2. Transferências internacionais de acordo com o GDPR do Reino Unido
1. Quando o GDPR do Reino Unido se aplicar ao processamento, e quando o Processador iniciar e concordar com a transferência de dados pessoais para um subprocessador fora do Reino Unido ou para um país sem uma decisão de adequação, o Processador assinará um Contrato Internacional de Transferência de Dados com esse Subprocessador e cumprirá as regras de transferência.
2. Quando o GDPR do Reino Unido se aplica ao Controlador, o Controlador permanece responsável por todas as transferências de dados pessoais que ele iniciar ou concordar.
3. Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as partes reconhecem que uma transferência na qual o Processador devolve os dados pessoais processados ao Controlador, desde que tenha sido iniciada e acordada pelo Controlador, não é considerada uma Transferência Restrita de acordo com o GDPR do Reino Unido.
6.3. Transferências de ida e volta
1. O Processador não participará (nem permitirá que qualquer Subprocessador participe) de quaisquer outras Transferências Restritas de dados pessoais (seja como exportador ou importador dos dados pessoais), a menos que a Transferência Restrita seja feita em conformidade com a Lei de Proteção de Dados Aplicável e com as disposições deste DPA.
2. Essas medidas podem incluir (sem limitação) a transferência dos dados pessoais para um destinatário em um país que a Comissão Europeia tenha decidido que oferece proteção adequada aos dados pessoais, para um destinatário que tenha obtido autorização de regras corporativas vinculantes de acordo com a Lei de Proteção de Dados Aplicável, ou de acordo com as SCCs implementadas entre o exportador e o importador relevantes dos dados pessoais.
Artigo 7
Descrição do(s) processamento(s)
O Anexo II especifica os detalhes das operações de processamento, em particular as categorias de dados pessoais e as finalidades de processamento para as quais os dados pessoais são processados em nome do Controlador.
Artigo 8
Obrigações das partes
8.1. Instruções
1. O Processador processará os dados pessoais somente com base em instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo por requisitos legais aplicáveis aos quais o Processador esteja sujeito. Nesse caso, o Processador informará o Controlador sobre essa exigência legal antes do processamento, a menos que a lei proíba isso por motivos importantes de interesse público. Instruções subsequentes também podem ser dadas pelo Controlador durante o processamento de dados pessoais. Essas instruções devem ser sempre documentadas.
2. O Processador deverá informar imediatamente o Controlador se, na opinião do Processador, as instruções dadas pelo Controlador violarem as disposições da Lei de Proteção de Dados Aplicável.
8.2. Limitação de propósito
O Processador deverá processar os dados pessoais, de acordo com as instruções documentadas do Controlador, somente para a(s) finalidade(s) específica(s) do processamento, conforme estabelecido no Anexo II, a menos que receba instruções adicionais do Controlador, receba dados pessoais diretamente do titular dos dados com base em seu relacionamento separado do Controlador ou se documentação adicional de processamento de dados for assinada entre as partes.
8.3. Duração do processamento de dados pessoais
O processamento pelo Processador deverá ocorrer somente durante o período especificado no Anexo II.
8.4. Segurança do processamento
1. O Processador deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo III para garantir a segurança dos dados pessoais. Isso inclui a proteção dos dados contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados (violação de dados pessoais). Ao avaliar o nível adequado de segurança, as partes levarão em conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do processamento e os riscos envolvidos para os titulares dos dados.
2. O Processador concederá acesso aos dados pessoais em processamento a membros de sua equipe somente na medida estritamente necessária para implementar, gerenciar e monitorar o contrato. O Processador deverá garantir que as pessoas autorizadas a processar os dados pessoais recebidos tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade. O Processador deverá garantir que todas as pessoas autorizadas processem os dados pessoais somente conforme necessário para a finalidade do processamento.
8.5. Dados confidenciais
Se o processamento envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos ou dados biométricos com a finalidade de identificar exclusivamente uma pessoa física, dados relativos à saúde ou à vida sexual de uma pessoa, ou orientação sexual, ou dados relativos a condenações penais e infrações (“dados sensíveis”), as partes deverão atualizar as categorias de dados pessoais processados no Anexo II e o Processador deverá aplicar restrições específicas e/ou proteções adicionais.
8.6. Documentação e conformidade
1. As Partes deverão ser capazes de demonstrar conformidade com este DPA.
2. O Processador deverá manter registros das atividades de processamento realizadas de acordo com este DPA, contendo as categorias de titulares de dados envolvidos no processamento e as categorias de dados pessoais processados, a natureza, a duração e a finalidade do processamento, uma lista de medidas técnicas e organizacionais e uma avaliação do impacto da proteção de dados.
3. O Processador deverá lidar pronta e adequadamente com as consultas do Controlador sobre o processamento de dados de acordo com este DPA.
4. O Processador disponibilizará ao Controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e decorrentes diretamente da Lei de Proteção de Dados Aplicável. A pedido do Controlador, o Processador também permitirá e contribuirá para auditorias das atividades de processamento cobertas por este DPA em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou uma auditoria, o Controlador deverá levar em conta as certificações relevantes mantidas pelo Processador.
5. O Controlador pode optar por conduzir a auditoria por si mesmo ou solicitar um auditor independente. As auditorias também podem incluir inspeções nas dependências ou instalações físicas do Processador e devem, quando apropriado, ser realizadas com aviso prévio razoável de pelo menos 30 dias.
6. As Partes disponibilizarão as informações mencionadas neste artigo, inclusive os resultados de quaisquer auditorias, à(s) autoridade(s) supervisora(s) competente(s), mediante solicitação.
8.7. Uso de subprocessadores
1. O Processador tem a autorização geral do Controlador para a contratação de Subprocessadores a partir de uma lista acordada. O Processador deverá informar especificamente por escrito ao Controlador sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de Subprocessadores com pelo menos 30 dias de antecedência, dando assim ao Controlador tempo suficiente para poder se opor a essas alterações antes da contratação do(s) Subprocessador(es) em questão. O Processador fornecerá ao Controlador as informações necessárias para que ele possa exercer o direito de objeção.
2. Quando o Processador contratar um Subprocessador para realizar atividades de processamento específicas (em nome do Controlador), ele deverá fazê-lo por meio de um contrato que imponha ao Subprocessador, em substância, as mesmas obrigações de proteção de dados que as impostas ao Processador de acordo com estas cláusulas. O Processador deverá garantir que o Subprocessador cumpra as obrigações às quais está sujeito de acordo com este DPA e com a Lei de Proteção de Dados Aplicável.
3. Mediante solicitação do Controlador, o Processador fornecerá uma cópia desse contrato de Subprocessador e quaisquer alterações subsequentes ao Controlador. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o Processador poderá redigir o texto do contrato antes de compartilhar a cópia.
4. O Processador permanecerá totalmente responsável perante o Controlador pelo cumprimento das obrigações do Subprocessador, de acordo com seu contrato com o Processador. O Processador notificará o Controlador sobre qualquer falha do Subprocessador no cumprimento de suas obrigações contratuais.
5. O Processador deverá concordar com uma cláusula de terceiro beneficiário com o Subprocessador, segundo a qual – caso o Processador tenha desaparecido de fato, deixado de existir legalmente ou tenha se tornado insolvente – o Controlador terá o direito de rescindir o contrato de Subprocessador e de instruir o Subprocessador a apagar ou devolver os dados pessoais.
8.8. Notificações ao Controlador
1. Além de outras notificações previstas nesta DPA, o Processador informará o Controlador, sem atraso indevido, mas não mais do que quinze dias úteis, se o Processador tomar conhecimento de:
a. Qualquer não conformidade do Processador ou de seus funcionários com as obrigações previstas neste DPA ou com os requisitos da Lei de Proteção de Dados Aplicável relacionados à proteção de dados pessoais processados de acordo com este DPA;
b. Qualquer solicitação juridicamente vinculativa de divulgação de dados pessoais por uma autoridade de aplicação da lei, como tribunais, cortes ou autoridades administrativas, a menos que o Processador seja proibido por lei de informar o Controlador (por exemplo, para preservar a confidencialidade de uma investigação por autoridades de aplicação da lei). O Processador deverá ser capaz de fornecer informações sobre a possível divulgação legalmente obrigatória de dados pessoais;
c. Qualquer aviso, inquérito ou investigação de uma Autoridade Supervisora com relação a dados pessoais compartilhados pelo Controlador; ou
d. Qualquer reclamação ou solicitação recebida diretamente dos titulares dos dados do Controlador. O Processador não responderá substancialmente a nenhuma dessas solicitações sem a autorização prévia por escrito do Controlador.
2. Antes de fazer qualquer divulgação de dados pessoais ou de fornecer outras informações relativas a dados pessoais, o Processador deverá consultar o Controlador, exceto nas situações descritas na cláusula 1. b deste Artigo.
8.9. Privacidade por design e padrão
O Processador deverá integrar considerações de privacidade em suas atividades de processamento desde o início, abrangendo o projeto, o desenvolvimento, a implementação e a manutenção contínua de seus sistemas, aplicativos e serviços. As configurações padrão do Processador para sistemas, aplicativos e serviços devem priorizar o mais alto nível de proteção à privacidade, limitando o processamento de dados pessoais por padrão. O Processador deve fornecer mecanismos que permitam que o Controlador e os titulares dos dados gerenciem facilmente suas preferências de privacidade e exerçam seus direitos.
Artigo 9
Assistência ao Controlador
1. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento.
2. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento. No cumprimento de suas obrigações de acordo com os itens (1) e (2), o Processador deverá cumprir as instruções do Controlador.
3. Além da obrigação do Processador de auxiliar o Controlador de acordo com a Cláusula 9.2, o Processador deverá, além disso, auxiliar o Controlador a garantir a conformidade com as seguintes obrigações, levando em consideração a natureza do processamento de dados e as informações disponíveis para o Processador:
a. a obrigação de realizar uma avaliação do impacto das operações de processamento previstas sobre a proteção de dados pessoais (uma “avaliação do impacto sobre a proteção de dados”), quando um tipo de processamento puder resultar em um alto risco para os direitos e liberdades de pessoas físicas. O Processador deverá fornecer assistência ao Controlador para permitir que ele realize a avaliação do impacto da proteção de dados. Ao prestar assistência, o Processador poderá redigir informações na medida necessária para proteger segredos comerciais ou outras informações confidenciais;
b. a obrigação de consultar a(s) autoridade(s) supervisora(s) competente(s) antes do processamento, quando uma avaliação do impacto da proteção de dados indicar que o processamento resultaria em um alto risco na ausência de medidas tomadas pelo Controlador para mitigar o risco;
c. a obrigação de garantir que os dados pessoais sejam precisos e atualizados, informando o Controlador sem demora se o Processador tomar conhecimento de que os dados pessoais que está processando são imprecisos ou se tornaram desatualizados;
d. as obrigações de implementar e manter medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de dados pessoais adequado ao risco. Essas medidas devem levar em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades de pessoas físicas e incluir, conforme apropriado:
i. a pseudonimização e a criptografia de dados pessoais;
ii. a capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento;
iii. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico;
iv. um processo para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
4. As Partes estabelecerão as medidas técnicas e organizacionais adequadas no Anexo III, por meio das quais o Processador deverá auxiliar o Controlador na aplicação deste Artigo, bem como o escopo e a extensão da assistência necessária. O Controlador reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnico e que o Processador pode atualizar ou modificar as medidas de segurança periodicamente, desde que essas atualizações e modificações não degradem ou diminuam a segurança geral do processamento.
Artigo 10
Notificação de violação de dados pessoais
No caso de uma violação de dados pessoais, o Processador deverá cooperar e auxiliar o Controlador para que o Controlador cumpra suas obrigações de acordo com a Lei de Proteção de Dados Aplicável, quando aplicável, levando em consideração a natureza do processamento e as informações disponíveis para o Processador.
10.1. Violação de dados referente a dados processados pelo Controlador
No caso de uma violação de dados pessoais relativa a dados processados pelo Controlador, o Processador deverá auxiliar o Controlador:
1. notificar a violação de dados pessoais à(s) autoridade(s) supervisora(s) competente(s), sem atraso indevido após o Controlador ter tomado conhecimento dela, quando relevante (a menos que seja improvável que a violação de dados pessoais resulte em um risco aos direitos e liberdades de pessoas físicas);
2. na obtenção das seguintes informações, que devem ser declaradas na notificação do Controlador e devem incluir, no mínimo
i. a natureza dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e o número aproximado de registros de dados pessoais envolvidos;
ii. as consequências prováveis da violação de dados pessoais;
iii. as medidas tomadas ou propostas a serem tomadas pelo Controlador para lidar com a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento, e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
3. no cumprimento da obrigação de comunicar sem atraso indevido a violação de dados pessoais ao titular dos dados, quando a violação de dados pessoais provavelmente resultar em um alto risco aos direitos e liberdades de pessoas físicas.
10.2. Violação de dados referente aos dados processados pelo Processador
1. No caso de uma violação de dados pessoais relativa a dados processados pelo Processador, o Processador deverá notificar o Controlador sem atraso indevido após ter tomado conhecimento da violação. Essa notificação deverá conter, no mínimo
a. uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados em questão);
b. os detalhes de um ponto de contato onde você pode obter mais informações sobre a violação de dados pessoais;
c. suas prováveis consequências e as medidas tomadas ou propostas para solucionar a violação, inclusive para atenuar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento, e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
2. As Partes estabelecerão no Anexo III outros elementos a serem fornecidos pelo Processador ao auxiliar o Controlador no cumprimento das obrigações do Controlador nos termos dos artigos 33 e 34 do Regulamento (UE) 2016/679.
Artigo 11
Não conformidade com este DPA e rescisão
1. Sem prejuízo de quaisquer disposições da Lei de Proteção de Dados Aplicável, caso o Processador esteja violando suas obrigações nos termos deste DPA, o Controlador poderá instruir o Processador a suspender o processamento de dados pessoais até que ele cumpra este DPA ou o Contrato seja rescindido. O Processador deverá informar prontamente o Controlador caso não possa cumprir este DPA, por qualquer motivo.
2. O Controlador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais de acordo com este DPA se:
a. o processamento de dados pessoais pelo Processador tiver sido suspenso pelo Controlador de acordo com a disposição 1. deste Artigo e se a conformidade com este DPA não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
b. o Processador estiver em violação substancial ou persistente deste DPA ou de suas obrigações de acordo com a Lei de Proteção de Dados Aplicável;
c. o Processador deixar de cumprir uma decisão vinculativa de um tribunal competente ou da(s) autoridade(s) supervisora(s) competente(s) com relação às suas obrigações de acordo com este DPA ou com a Lei de Proteção de Dados Aplicável.
3. O Processador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais nos termos deste DPA quando, após ter informado ao Controlador que suas instruções infringem os requisitos legais aplicáveis de acordo com o Artigo 8.1.2, o Controlador insistir no cumprimento das instruções.
4. Após a rescisão do Contrato, o Processador deverá, à escolha do Controlador, excluir todos os dados pessoais processados em nome do Controlador e certificar ao Controlador que o fez, ou devolver todos os dados pessoais ao Controlador e excluir as cópias existentes, a menos que a Lei de Proteção de Dados Aplicável exija o armazenamento dos dados pessoais. Para proteger o cliente contra a perda de dados pessoais devido a um lapso acidental do contrato, a exclusão deverá ser adiada por 60 dias após a rescisão do Contrato. Até que os dados sejam excluídos ou devolvidos, o Processador deverá continuar a garantir a conformidade com este DPA.
Artigo 12
Diversos
1. Este DPA é parte integrante do Contrato firmado entre as partes e entra em vigor quando ambas as partes o assinam.
2. Se a Lei de Proteção de Dados Aplicável ou outra regulamentação aplicável exigir que o Controlador assine o DPA ou assine as SCCs, SCCs Intra-UE ou IDTA aplicáveis a um processamento específico ou transferência restrita de dados pessoais para o Processador como um contrato separado, o Processador, mediante solicitação do Controlador, executará prontamente esse documento.
3. As partes concordam que este DPA substituirá qualquer contrato de processamento de dados existente ou documento semelhante que as partes possam ter celebrado anteriormente em relação à tecnologia e aos serviços do Processador.
4. O Controlador concede ao Microblink uma licença gratuita, perpétua, irrevogável, não exclusiva, mundial, transferível e isenta de royalties para fins de desenvolvimento e aprimoramento da tecnologia e dos produtos do Microblink, sobre imagens compartilhadas, com o direito de sublicenciar, reproduzir, distribuir, transmitir, modificar, criar trabalhos derivados, incorporar em outros trabalhos e, de outra forma, usar e explorar comercialmente quaisquer imagens em qualquer mídia agora existente ou desenvolvida no futuro. Na medida do permitido pela lei aplicável, o Controlador concorda em renunciar permanentemente a quaisquer reivindicações e declarações de direitos morais ou atribuição com relação às imagens compartilhadas.
5. Não obstante qualquer disposição em contrário no Contrato e sem prejuízo da Seção 8.2 (“Limitação da finalidade”), o Processador poderá fazer modificações periódicas neste ATD, conforme necessário, para cumprir a Lei de Proteção de Dados Aplicável e para melhorar o nível de segurança dos dados pessoais. As modificações a este ATD serão publicadas no centro jurídico do Processador (disponível no link: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) e o Processador informará o Controlador sobre quaisquer alterações substanciais a este ATD por escrito.
Controlador:
Nome: Cliente
Endereço: Conforme definido no Contrato assinado.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme definido no Contrato assinado.
Processador:
Nome: Microblink entidade conforme definido no Contrato assinado.
Endereço: Conforme definido no Contrato assinado.
Detalhes de contato do responsável pela proteção de dados: privacy@microblink.com.
Categorias de titulares de dados cujos dados pessoais são processados
Pessoas físicas – os usuários finais da Controladora, incluindo, se aplicável, os usuários finais das afiliadas da Controladora.
(Aplicável se o Controlador usar o serviço de verificação de identidade do Processador) Pessoas físicas – agentes do Controlador que usam e administram a plataforma de verificação de identidade do Processador.
Categorias de dados pessoais processados
Dependendo da configuração da tecnologia do Processador pelo Controlador, o Processador pode processar dados pessoais presentes no documento processado, incluindo, entre outros, nome, nome do meio, sobrenome, data de nascimento, local de nascimento, endereço residencial, local de residência, sexo, gênero, nacionalidade, cidadania, número do documento, número do seguro social, número de identificação pessoal, código de segurança do cartão, tipo de cartão, data de emissão, data de validade, autoridade emissora, status de doador de órgãos, status de residência, dados biométricos (no caso de fornecimento de serviços de verificação, extração e suporte, não processados com a finalidade de identificar exclusivamente uma pessoa física), como imagem facial, cor dos olhos, impressão digital, assinatura, peso ou altura e outras categorias de dados encontrados em documentos de identidade transferidos, cartões ou outros documentos compartilhados com o Processador, bem como outros dados, como e-mail, número de telefone, SSN, endereço IP ou outros dados do usuário final.
Aplicável se o Controlador usar o serviço de verificação de identidade do Processador): Informações da conta sobre o agente do Controlador, nome e sobrenome, bem como endereço de e-mail comercial.
Dados confidenciais processados
Aplicável se o Controlador usar os serviços de extração, verificação e suporte do Processador: Nenhum dado sensível é destinado ao processamento. É possível que o Processador processe dados pessoais que revelem origem racial ou étnica, dependendo do documento digitalizado. Se algum dado sensível for transferido, o Controlador envidará seus melhores esforços para notificar o Processador, e o Processador aplicará as restrições e salvaguardas necessárias.
Aplicável se o Controlador usar o serviço de verificação de identidade do Processador: Dependendo da configuração da tecnologia do Processador pelo Controlador, o Processador poderá processar dados biométricos para identificar exclusivamente uma pessoa física, dados pessoais que revelem origem racial ou étnica e dados relacionados a condenações e ofensas criminais.
Natureza do processamento
Aplicável se o Controlador usar o serviço de verificação de identidade do Processador: Usando o aplicativo do Controlador e a tecnologia do Processador, os usuários finais escaneiam seu documento de identidade e (se necessário para verificação adicional de sua identidade) capturam um elemento biométrico (rosto)” e/ou realizam uma verificação de vivacidade aplicável ao documento ou aos dados biométricos capturados ou realizam verificações de vivacidade de vídeo.
Essas informações são enviadas para a infraestrutura de nuvem do Processador na região que o Controlador escolher. Dependendo da configuração do Controlador da tecnologia do Processador, os dados podem ser extraídos da digitalização, a correspondência facial pode ser realizada, a presença de recursos de segurança no documento pode ser verificada, os dados enviados podem ser comparados com bancos de dados e listas de observação de subprocessadores, determinados campos podem ser anonimizados (se aplicável) usando modelos de IA/ML.
Os dados enviados serão processados para criar vários relatórios de uso para o Controlador.
O processador exclui os dados de acordo com a configuração do Controlador da tecnologia do Processador e deste DPA.
O Processador processará os dados pessoais do agente do Controlador para criar, manter e excluir sua conta de usuário na plataforma do Processador.
Aplicável se o Controlador usar o serviço de verificação do Processador: Usando a Solução do Controlador, o titular dos dados escaneia a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador em uma plataforma de nuvem, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização, as propriedades visuais do documento e as propriedades de dados em tipos de documentos designados são validadas e as avaliações são realizadas para determinar se o cartão está fisicamente presente durante a sessão. Quando o processo de verificação é concluído, o Processador retorna a resposta de verificação ao Controlador e, após o término da sessão de verificação, os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar o serviço de extração do Processador: Usando a Solução do Controlador, o titular dos dados escaneia a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador em uma plataforma de nuvem, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização. O Processador envia os resultados da extração e/ou as imagens digitalizadas para o Controlador quando o processo de extração é concluído, e os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar os serviços de suporte do Processador para as soluções de extração e verificação: Para transferir com segurança imagens de documentos do Controlador para o Processador, o Controlador usará o Secure Image Upload do Processador ou outro canal aprovado pelo Controlador. Antes de transferir as imagens, o Controlador deverá garantir que os titulares dos dados tenham sido informados sobre o compartilhamento pretendido e que a base legal apropriada tenha sido determinada pelo Controlador. O Processador analisa o problema de acordo com a solicitação de suporte do Controlador para fornecer serviços de suporte. Dependendo da solicitação de suporte do Controlador, o fornecimento de serviços de suporte pode incluir a depuração de problemas em um tipo de documento já suportado. Dependendo da solicitação de suporte do Controlador, a prestação de serviços de suporte pode incluir o retreinamento de modelos e, nesse caso, aplica-se o Anexo V.
Aplicável se o Controlador usar os serviços de suporte do Processador para o serviço de verificação de identidade: Se o Controlador relatar um problema de verificação, o pessoal autorizado da equipe de suporte ao cliente do Processador fornecerá assistência com o problema relatado. A equipe de suporte terá acesso à(s) transação(ões) do Controlador para solucionar problemas e/ou depurar o problema de verificação. Se necessário para fornecer suporte, o pessoal autorizado da equipe de desenvolvimento do Processador poderá ter acesso às transações do Controlador com o objetivo de fornecer suporte completo.
Finalidade(s) para a qual os dados pessoais são processados em nome do controlador
Aplicável se o Controlador usar o serviço de verificação de identidade do Processador: A finalidade do processamento é realizar verificações de acordo com o Contrato e a configuração da tecnologia do Microblinkpelo Controlador.
Aplicável se o Controlador usar o serviço de verificação do Processador: O objetivo do processamento é validar as propriedades visuais do documento e as propriedades dos dados em tipos de documentos designados e realizar avaliações para determinar se o cartão está fisicamente presente durante a sessão, de acordo com o Contrato.
Aplicável se o Controlador usar o serviço de extração do Processador: A finalidade do processamento é extrair os dados do documento de identidade e enviar os resultados da extração para o Controlador, de acordo com o Contrato.
Aplicável se o Controlador usar os serviços de suporte do Processador: A finalidade do processamento é fornecer serviços de suporte ao Controlador, de acordo com o Contrato.
Duração do processamento
Aplicável se o Controlador usar o serviço de verificação de identidade do Processador: O Processador retém os dados enviados de acordo com a configuração do Controlador da tecnologia do Processador por, no mínimo, 6 (seis) meses. Um período de retenção mais longo pode ser acordado e configurado pelo Controlador.
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O processamento é contínuo (enquanto o Controlador usar a tecnologia ou os serviços). O Processador retém os dados de entrada durante as sessões de verificação ou extração, conforme aplicável, mas não armazena os dados processados, a menos que um período de retenção diferente seja acordado por escrito com o Controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Processador retém os dados pessoais até que o problema seja resolvido.
A descrição do processamento para subprocessadores está disponível no link: https://mb.wpstaging.uk/subprocessors-list/
Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
A Processor tem uma política definida sobre o manuseio de dados confidenciais, que define a classificação, a divulgação e a proteção dos dados. Todos os funcionários do Processador são obrigados a assinar cláusulas de confidencialidade que estabelecem que os segredos comerciais e as informações confidenciais devem permanecer confidenciais para sempre e devem ser entregues após a rescisão do contrato, sendo que cada violação é considerada uma violação grave. Além disso, o Processador garantirá que os pontos de extremidade da Web e as APIs sejam adequadamente protegidos e monitorados com um Web Application Firewall e proteção contra DDoS.
O Processador aplicará os conceitos de “menos privilegiado” e “necessidade de conhecer” e garantirá a segregação de funções. O Processador garantirá que os procedimentos adequados estejam em vigor para registrar novos usuários/direitos de acesso adicionais e para cancelar o registro de usuários. O Processador garantirá que o gerenciamento de acesso privilegiado seja monitorado de perto e revisado regularmente, com os direitos de acesso sendo retirados se não forem mais necessários.
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico
Em relação ao objeto deste Contrato, o Processador comunicará qualquer incidente (próximo) relacionado à segurança o mais rápido possível e de acordo com o Contrato ao contato do Controlador, incluindo as medidas de proteção tomadas para mitigar o impacto do incidente, as medidas preventivas propostas para evitar o incidente (próximo) no futuro e uma estimativa do impacto incorrido devido ao incidente. O processador definiu uma política de gerenciamento de incidentes de segurança da informação que define as funções e responsabilidades no processo de gerenciamento de incidentes. A política também descreve a classificação de incidentes e as etapas que a equipe de resposta a incidentes deve seguir, como avaliação de incidentes, contenção, erradicação de ameaças, recuperação, relatórios e aprendizado com os incidentes. O Processador deve garantir a disseminação do conhecimento e da experiência para assegurar a disponibilidade de pessoas qualificadas mesmo em caso de desastre.
Processos para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento e as medidas para garantir a responsabilidade
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança ainda sejam aplicados. Além disso, o Processador realizará regularmente avaliações de vulnerabilidade dos serviços relacionados por meio de testes de penetração e vulnerabilidade. O Processador tem políticas internas, manuais de regras e procedimentos em vigor para garantir a responsabilidade dos funcionários no processamento responsável de dados pessoais. O Processador garante que seus funcionários sejam informados sobre os requisitos e políticas de segurança do Processador e sobre os desenvolvimentos na área de segurança da informação. O Processador é inteiramente responsável pela conduta de seus funcionários.
Medidas para garantir a segurança física dos locais em que os dados pessoais são processados
As medidas do subprocessador para a segurança das instalações físicas, que fornece serviço de infraestrutura de nuvem privada, incluem várias camadas de segurança física para proteger os data centers, como identificação biométrica, detecção de metais, câmeras, barreiras para veículos e sistemas de detecção de intrusão baseados em laser.
Caso os dados pessoais sejam processados na infraestrutura do Processador ou da empresa Afiliada do Processador, o Processador também garantirá a segurança física adequada por meio do uso de câmeras, cartões de entrada e guardas de segurança.
Medidas para garantir o registro de eventos
Todas as funções de registro de sistemas e aplicativos relacionadas aos serviços fornecidos pelo Processador estão ativadas e os eventos de segurança das informações são revisados regularmente.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão
O Processador aplicará o fortalecimento do sistema para todos os serviços voltados para a Internet por meio de gerenciamento de configuração centralizado, varredura regular de vulnerabilidades e revisão de configuração.
Medidas para governança e gerenciamento internos de TI e segurança de TI
O Processador mantém um sistema eficiente de gerenciamento de segurança da informação para garantir a organização adequada das responsabilidades de segurança da informação, e uma avaliação de risco de segurança é realizada periodicamente para garantir a identificação de riscos novos ou alterados.
O Processador deverá alocar recursos e funcionários com a experiência necessária para realizar qualquer tarefa específica relacionada às suas responsabilidades de segurança nos termos deste Contrato.
O Processador garantirá a proteção adequada de todos os ativos que contenham dados pessoais fornecidos pelo Controlador no contexto deste Contrato.
Medidas para certificação/garantia de processos e produtos
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança continuem sendo aplicados.
Medidas para identificação e autorização do usuário
Aplicável se o Controlador usar o serviço de verificação de identidade, verificação e/ou extração do Processador: O acesso ao serviço é concedido apenas a usuários autorizados por meio de credenciais de cliente exclusivas que podem ser revogadas e renovadas a qualquer momento pelo Controlador.
Medidas de pseudonimização e criptografia de dados pessoais e para a proteção de dados durante a transmissão
Aplicável se o Controlador usar o serviço de verificação de identidade, verificação e/ou extração do Processador: O Processador usará métodos de criptografia forte, como TLS (versões mais recentes compatíveis) para dados em trânsito.
Aplicável se o Controlador usar a verificação de identidade do Processador: O Processador deverá implementar algoritmos de hash para tornar pseudônimas as informações pessoais que serão usadas para formar uma identificação exclusiva do titular dos dados.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir dados pessoais com segurança para o Processador, o Controlador deverá usar o Secure Image Upload do Processador, que inclui criptografia adicional de imagens com algoritmo de criptografia simétrica (AES).
Medidas para garantir a minimização de dados, retenção limitada de dados e exclusão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador não armazena dados pessoais após o processo de verificação ter sido realizado.
Aplicável se o Controlador usar o serviço de verificação de identidade e/ou suporte do Processador: O Processador deverá implementar cronogramas de retenção de dados e excluir irreversivelmente os dados de acordo com o cronograma.
Medidas para garantir a qualidade dos dados
Aplicável se o Controlador usar a verificação de identidade do Processador: O Controlador é responsável pelos dados que são enviados ao Processador, incluindo sua qualidade.
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Controlador é responsável pelos dados que são enviados ao Processador, incluindo sua qualidade. O Processador enviará ao Controlador dados pessoais extraídos dos documentos enviados pelo Controlador, juntamente com dados de informações de identificação pessoal (PII) e metadados extraídos dos documentos.
Aplicável se o Controlador usar serviços de suporte: O Controlador e o Processador determinarão a qualidade dos dados que precisam ser compartilhados para resolver o problema levantado pelo Controlador.
Medidas para a proteção de dados durante o armazenamento
Aplicável se o Controlador usar o serviço de suporte do Processador: Microblink usa o Serviço de gerenciamento de chaves e mecanismos fortes de criptografia, como AES-256, para dados em repouso.
Medidas para notificação de violação de dados pessoais
O Processador deve ter uma política que garanta a detecção rápida de eventos e pontos fracos de segurança e a reação e resposta rápidas a incidentes de segurança, inclusive violações de dados. Essa política deve incluir um procedimento de resposta a violações de dados para garantir uma reação imediata e uma comunicação adequada com o Controlador, os titulares de dados afetados ou a autoridade supervisora.
Para transferências para (sub) processadores, também descreva as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador
O Processador deverá ter acordos de processamento de dados com subprocessadores para garantir assistência ao Controlador.
Descrição das medidas técnicas e organizacionais específicas a serem tomadas pelo processador para poder prestar assistência ao controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Controlador deve certificar-se de que pode identificar seus usuários finais e, no caso de uma solicitação do titular dos dados, entregar seus identificadores ao Processador. O Processador deverá fornecer assistência ao Controlador na execução da solicitação do titular dos dados, de acordo com o procedimento para exclusão de dados.
A lista de subprocessadores autorizados pode ser encontrada no link: https://mb.wpstaging.uk/subprocessors-list/
ANEXO V – Acordo de compartilhamento de dados
Não obstante outras disposições deste Contrato, este Anexo V. regerá a coleta e o compartilhamento de imagens descritos na disposição abaixo. As definições neste Anexo V. terão o significado atribuído a elas no DPA ou no Contrato.
1. Relacionamento das partes
1. 1. Microblink você e o Cliente celebraram o Contrato onde Microblink processa dados pessoais de titulares de dados por meio do uso da tecnologia de Microblinkhospedada na infraestrutura de Microblinke/ou do Cliente; ou pelo Cliente que integra o Produto ou Serviço Microblink em seu Aplicativo e processa dados pessoais de titulares de dados ou o Cliente testa a tecnologia de Microblink.
1.2. O Cliente pode compartilhar dados pessoais para o desenvolvimento e o avanço da tecnologia da Microblinkou permitir que a Microblink use dados pessoais, previamente compartilhados para outra finalidade, para a finalidade declarada, reunindo o consentimento dos titulares dos dados em nome da Microblink. Nesses casos, cada Parte determina individualmente as finalidades e os meios de seu processamento de dados pessoais e, portanto, será considerada um controlador independente ou, em conjunto, controladores conjuntos de acordo com a Lei de Proteção de Dados Aplicável. Microblink A Empresa poderá processar os dados pessoais para outra finalidade quando tiver obtido o consentimento prévio do titular dos dados, quando necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou quando necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa física. Microblink O processamento do Microblink no cumprimento da finalidade deve, por sua vez, beneficiar o Cliente e seus titulares de dados, tornando os produtos e serviços do menos tendenciosos, discriminatórios e melhores na prevenção de fraudes, melhorando sua precisão e ampliando o escopo dos tipos de documentos suportados.
1.3. Microblink processará os dados pessoais compartilhados pelo Cliente para atingir a finalidade, descrita em mais detalhes no Artigo 2 deste Anexo V, e será considerada Controladora de acordo.
1.4. As Partes reconhecem que o site Microblink pode compartilhar dados pessoais com suas empresas afiliadas para buscar o cumprimento da finalidade descrita no Artigo 2. deste Anexo V. Cada Parte deverá cumprir as obrigações aplicáveis a ela sob a Lei de Proteção de Dados Aplicável com relação ao processamento de dados pessoais.
1.5. Cada Parte deverá ser capaz de demonstrar o cumprimento de suas obrigações de acordo com essas cláusulas.
2. Descrição do compartilhamento e do processamento
2.1. Permitir o processamento e a descrição do compartilhamento pelo Cliente
2.1.1. O Cliente concorda em compartilhar dados pessoais com Microblink para permitir o processamento adicional de dados pessoais por Microblink conforme descrito neste Artigo 2. e deverá tomar as medidas necessárias para transferir dados pessoais para Microblink.
2.1.2. Microblink deverá informar ao Cliente, por escrito, a quantidade, variedade e tipo de documentos necessários para atingir a finalidade do processamento e/ou o Cliente deverá, em nome de Microblink, coletar o consentimento dos titulares dos dados implementando um mecanismo de coleta de consentimento em seu Aplicativo, de acordo com as instruções de Microblink. Ao coletar o consentimento em nome de Microblink, o Cliente deverá apresentar aos titulares dos dados o aviso de privacidade de Microblink(disponível no link https://mb.wpstaging.uk/privacy-notice-for-microblink-customers-end-users) ou outro aviso de privacidade com nível adequado de transparência de acordo com a Lei de Proteção de Dados Aplicável.
2.1.3. O Cliente deverá atribuir um identificador exclusivo a cada titular de dados que corresponda ao identificador dos dados pessoais compartilhados. O Cliente deverá disponibilizar o identificador exclusivo para Microblink, se necessário, para executar a solicitação de direitos do titular dos dados, de acordo com o Artigo 3.
2.1.4. O Cliente garante e declara que implementará o mecanismo de coleta de consentimento de acordo com as instruções do Microblink. O Cliente informará ao Microblink se o consentimento não for a base legal adequada, de acordo com a Lei de Proteção de Dados Aplicável, para atingir a finalidade do processamento pretendido.
2.1.5. A pedido do Microblink, o Cliente deverá ser capaz de demonstrar a conformidade com esta disposição. O Cliente deverá permitir que o Microblink realize uma auditoria, às suas próprias custas, sobre a implementação do mecanismo de coleta de consentimento para assegurar a adesão a esta garantia, mediante aviso razoável e durante o horário comercial normal.
2.2. Descrição do processamento por Microblink
Categorias de titulares de dados cujos dados pessoais são transferidos Usuários finais do Cliente/Licenciado, incluindo, se aplicável, os usuários finais das Afiliadas do Licenciado e dos Sublicenciados. O Cliente não deverá compartilhar dados pessoais de usuários finais menores de idade.
Categorias de dados pessoais processados: Dependendo dos documentos compartilhados, o Microblink processará os dados pessoais presentes no documento processado, incluindo, entre outros, nome, nome do meio, sobrenome, data de nascimento, local de nascimento, endereço residencial, local de residência, sexo, gênero, nacionalidade, cidadania, número do documento, número do seguro social, número de identificação pessoal, código de segurança do cartão, tipo de cartão, data de emissão, data de validade, autoridade emissora, status de doador de órgãos, status de residência, dados biométricos, como imagem facial, cor dos olhos, impressão digital, assinatura, peso ou altura e outras categorias de dados encontrados em documentos de identidade, cartões ou outros documentos transferidos, bem como outros dados, como e-mail, número de telefone, SSN, endereço IP ou outros dados do usuário final.
A frequência do processamento: Contínuo.
Finalidade e natureza do processamento por Microblink: Após entregar o aviso de privacidade aos titulares dos dados e obter seu consentimento para o compartilhamento, o Cliente deverá transferir os dados pessoais para Microblink de forma segura. Os dados pessoais recebidos serão processados com a finalidade de aprimorar e desenvolver a tecnologia de aprendizado de máquina e visão computacional do Microblink, o que pode incluir, entre outros, suporte a uma nova versão de um documento suportado, realização da avaliação da tecnologia do Microblinkem nome do Cliente e compartilhamento de feedback sobre seu desempenho, aprimoramento da precisão de um tipo de documento já suportado (se o produto não funcionar), suporte a novos tipos de documentos (atualmente não suportados), aprimoramento da precisão em tipos de documentos já suportados, aprimoramento da precisão da extração implementando validação de resultado adicional e correção de erros, aprimoramento da precisão do modelo de OCR e suporte a novas verificações de fraude de documentos. Microblink A empresa deverá implementar todas as medidas necessárias para proteger a segurança e a confidencialidade dos dados pessoais recebidos.
Retenção de dados
Os dados pessoais sobre documentos reais devem ser retidos por seis (6) meses a partir do recebimento das imagens ou até que o titular dos dados solicite a exclusão, o que ocorrer primeiro. Os dados pessoais sobre documentos que o Microblink determinou serem falsos serão retidos por um (1) ano.
Precisão e minimização de dados
Microblink tomará todas as medidas razoáveis para garantir que os dados pessoais desnecessários, levando em conta a(s) finalidade(s) do processamento, sejam apagados ou retificados sem atrasos indevidos.
Transferências para (sub) processadores
Microblink pode compartilhar dados pessoais com suas empresas afiliadas para a finalidade permitida e elas estarão vinculadas a estas Cláusulas.
3. Direitos do titular dos dados
Microblink A Empresa e o Cliente prestarão assistência razoável um ao outro (cada um às suas próprias custas) para permitir o fornecimento de respostas adequadas a qualquer solicitação de um titular de dados para exercer seus direitos de acordo com a Lei de Proteção de Dados Aplicável, bem como qualquer outra correspondência, consulta ou reclamação recebida de um titular de dados, regulador ou outros terceiros em relação ao Processamento.
Caso qualquer solicitação, correspondência, consulta ou reclamação seja feita diretamente ao Cliente em relação ao processamento nos termos deste Anexo V., o Cliente não responderá a essa comunicação antes de informar prontamente, em até cinco (5) dias úteis, ao Microblink as solicitações dos titulares dos dados estabelecidas pela Lei de Proteção de Dados Aplicável e seus identificadores exclusivos. Se o Cliente for legalmente obrigado a responder a tal solicitação, o Cliente deverá, antes de responder, notificar o Microblink e fornecer a ele uma cópia da solicitação. Mediante solicitação do titular dos dados a qualquer uma das Partes, a Parte que recebeu a solicitação deverá, com relação ao processamento de dados pessoais nos termos deste Anexo V, fornecer gratuitamente à outra Parte informações relevantes relacionadas aos dados processados para a finalidade.
4. Responsabilidade civil
Cada Parte será responsável perante a outra Parte por quaisquer danos que causar à outra Parte por qualquer violação deste Anexo V. Cada Parte será responsável perante o titular dos dados, e o titular dos dados terá direito a receber indenização, por quaisquer danos materiais ou não materiais que a Parte causar ao titular dos dados por violar seus direitos de acordo com estas cláusulas. Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis, e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes. As Partes concordam que, se uma Parte for considerada responsável, ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à responsabilidade da outra Parte pelo dano.
5. Encerramento do compartilhamento de dados
O Anexo V está em vigor até sua rescisão. As partes podem concordar mutuamente em rescindir este Anexo V a qualquer momento. A Microblink permanecerá com o direito de usar e reter dados pessoais de acordo com os termos do consentimento coletado, mas não mais do que o exigido pela Lei de Proteção de Dados Aplicável, ou até receber a solicitação de exclusão do titular dos dados, na qual os dados pessoais serão apagados ou anonimizados, a menos que a Microblink seja obrigada a reter alguns ou todos os dados pessoais pela lei aplicável. Em caso de violação dos termos deste Anexo V por qualquer uma das partes, a parte não violadora terá o direito de rescindir este contrato mediante notificação por escrito à parte violadora. A parte infratora terá 30 dias a partir do recebimento da notificação para remediar a infração. Se a violação não for corrigida dentro desse período, a parte não violadora poderá rescindir este Anexo V sem aviso prévio ou responsabilidade. A rescisão dessas cláusulas não eximirá nenhuma das partes de quaisquer obrigações ou responsabilidades incorridas antes da rescisão. As cláusulas relacionadas à execução dos direitos do titular dos dados permanecerão em vigor.
Eficaz
Este ADENDO DE PROCESSAMENTO DE DADOS (“DPA“) é incorporado e está sujeito aos termos e condições do contrato firmado entre o Controlador e o Processador, conforme definido no Anexo I (em conjunto, “as partes“), termos de uso ou termos e condições de uso da tecnologia do Processador aceitos pelo Controlador, que regem o uso da tecnologia ou dos serviços de suporte do Processador pelo Controlador (“Contrato“).
Todos os termos em letras maiúsculas não definidos neste DPA terão os significados estabelecidos no Contrato.
Quando o Controlador usa a tecnologia do Processador, tanto na fase de teste quanto na de produção, ou quando o Controlador usa os serviços de suporte do Processador, o Processador processa dados pessoais (definidos abaixo). As partes concordam em cumprir as seguintes disposições com relação a qualquer processamento de dados pessoais, e isso é acordado da seguinte forma:
Artigo 1
Definições
Neste DPA, os termos a seguir terão os seguintes significados:
a. “Controlador“, “Processador“, “titular dos dados“, ” dadospessoais “, “processo” e “processamento” terão os significados dados na Lei Europeia de Proteção de Dados;
b. “Lei Europeia de Proteção de Dados” significa: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (o “GDPR da UE“); e (ii) o GDPR da UE conforme salvo na legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido (o “GDPR do Reino Unido“);
c. “Lei de Proteção de Dados Aplicável” significa todas as leis e regulamentos mundiais de proteção de dados e privacidade, na medida em que sejam aplicáveis às partes e à natureza dos dados pessoais processados nos termos do Contrato, incluindo, quando aplicável, a Lei Europeia de Proteção de Dados, a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 (coletivamente denominada “CPRA”), e toda e qualquer lei nacional de proteção de dados aplicável feita sob, de acordo com ou que se aplique em conjunto com a Lei Europeia de Proteção de Dados; em cada caso, conforme possa ser alterada ou substituída de tempos em tempos;
d. “Dados pessoais” significa, além do significado dado pela Lei Europeia de Proteção de Dados, qualquer informação que identifique uma pessoa, que seja digitalizada, carregada e de outra forma compartilhada com o Processador usando a tecnologia do Processador ou de acordo com o uso de serviços de suporte pelo Controlador, empresas afiliadas do Controlador ou por terceiros agindo em nome do Controlador;
e. “violação de dados pessoais” significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais divulgados e compartilhados pelo Controlador e processados pelo Processador nos termos desta DPA;
f. “Transferência restrita” significa: (i) quando o GDPR da UE se aplica, uma transferência de dados pessoais da União Europeia ou do Espaço Econômico Europeu para um país fora da União Europeia ou do Espaço Econômico Europeu que não tenha sido reconhecido pela Comissão Europeia como adequado de acordo com o Artigo 45 do GDPR da UE (“país terceiro”); e (ii) quando o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para outro país que não se baseia em regulamentos de adequação de acordo com o Artigo 45 do GDPR do Reino Unido;
g. “decisão de adequação” significa uma decisão formal tomada pela UE ou pelo Reino Unido que reconhece que outro país, território, setor ou organização internacional oferece um nível de proteção de dados pessoais equivalente ao da UE ou do Reino Unido;
h. “Cláusulas Contratuais Padrão” ou “SCCs” significam as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução da Comissão (UE) 2021/914, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. “Cláusulas Contratuais Padrão Intra UE/EEE” ou “Cláusulas Contratuais PadrãoIntra UE/EEE” significa as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução (UE) 2021/915 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão entre controladores e processadores nos termos do artigo 28(7) do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29(7) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. “Acordo Internacional de Transferência de Dados” ou “IDTA” significa o acordo emitido pelo Comissário de Informações para as Partes que fazem Transferências Restritas de acordo com o GDPR do Reino Unido (disponível no link: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. “Subprocessador” significa qualquer Processador terceirizado contratado pelo Processador para processar quaisquer dados pessoais em seu nome em conexão com a tecnologia ou os serviços fornecidos ao Controlador.
Artigo 2
Relacionamento das partes
1. O Processador, conforme definido no Anexo I deste DPA, processará dados pessoais em nome do Controlador, conforme descrito no Anexo II deste DPA. Onde Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) ou Microblink USA, LLC (10 Grand Street, STE 2400, Brooklyn, NY 11249) for o signatário do Contrato e o Processador, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República da Croácia) será considerada uma empresa afiliada e um Subprocessador.
2. Cada parte deverá cumprir as obrigações que se aplicam a ela de acordo com a Lei de Proteção de Dados Aplicável.
Artigo 3
Hierarquia
1. Em caso de contradição entre este DPA e as disposições dos Contratos relacionados entre as Partes existentes no momento em que este DPA for acordado ou celebrado posteriormente, as disposições deste DPA prevalecerão.
2. Quando aplicável, as disposições das SCCs, das SCCs Intra UE/EEE ou da IDTA complementarão este DPA. Em caso de contradição entre este DPA e as CECs, as CECs Intra UE/EEE ou a IDTA, as disposições das CECs, das CECs Intra UE/EEE ou da IDTA prevalecerão.
3. Se houver qualquer conflito ou inconsistência entre este DPA e o Contrato, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (a) quando aplicável, SCCs ou SCCs Intra UE/EEE ou IDTA; depois (b) este DPA; e depois (c) o corpo principal do Contrato. Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.
4. Este DPA se aplica ao processamento de dados pessoais, conforme especificado no Anexo II.
5. Os Anexos I a IV são parte integrante deste DPA.
Artigo 4
Processamento de dados pessoais de acordo com o GDPR da UE
1. Quando ambas as partes estiverem sujeitas ao GDPR da UE e os dados pessoais não forem transferidos para fora da União Europeia, do Espaço Econômico ou de países sem decisões de adequação nos termos do Artigo 45 do GDPR da UE, as SCCs Intra-UE/EEE serão aplicadas e completadas da seguinte forma:
a. sempre que houver a opção de escolher um regulamento, será aplicado o Regulamento (UE) 2016/679;
b. a Cláusula 5 opcional (Cláusula de atracação) deverá ser aplicada;
c. na Cláusula 7.7. Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
d. O Anexo I das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo I desta DPA;
e. O Anexo II das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo II desta DPA;
f. O Anexo III das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
g. O Anexo IV das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
Artigo 5
Processamento de acordo com o GDPR do Reino Unido
Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as SCCs intra-UE/EEA serão aplicadas com as seguintes modificações:
a. sempre que houver uma opção para escolher um regulamento, o GDPR do Reino Unido será aplicado;
b. as referências a “UE”, “União”, “Estado-Membro” e “legislação do Estado-Membro” serão substituídas por referências a “Reino Unido” ou “legislação nacional”;
c. as referências aos “tribunais competentes” serão substituídas por referências aos “tribunais competentes do Reino Unido”;
d. a Cláusula 5 opcional (Cláusula de atracação) deverá ser aplicada;
e. na Cláusula 7.7. Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
f. O Anexo I das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo I desta DPA;
g. O Anexo II das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo II desta DPA;
h. O Anexo III das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
i. O Anexo IV das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
Artigo 6
Transferências internacionais
6.1. Transferências restritas de acordo com o GDPR da UE
1. Quando a transferência de dados pessoais for considerada uma Transferência Restrita e o GDPR da UE exigir a implementação de proteções adequadas, essa transferência estará sujeita às SCCs, que serão incorporadas por referência e farão parte integrante deste DPA. O módulo aplicável das CECs deve ser determinado dependendo da localização do Controlador e do Processador e de suas funções como exportador e importador de dados em relação aos dados pessoais processados.
2. Em relação aos dados pessoais protegidos pelo GDPR da UE, quando o Processador estiver localizado na UE, atuando como exportador de dados, e o Controlador, atuando como importador de dados, estiver localizado em um terceiro país, o Módulo Quatro das SCCs deverá ser aplicado da seguinte forma:
a. a Cláusula 7 opcional (Cláusula de atracação) deverá ser aplicada;
b. Na Cláusula 9, Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
c. Na Cláusula 11, a cláusula de opção não se aplica;
d. Na Cláusula 17, a lei aplicável será a lei da República da Croácia;
e. Na Cláusula 18, para a solução de controvérsias decorrentes destas Cláusulas, você deverá recorrer aos tribunais da República da Croácia;
f. Os Anexos I.A e I.B das SCCs da UE serão considerados preenchidos com as informações estabelecidas nos Anexos I e II desta DPA e o Anexo I.C terá a Croatian Personal Data Protection Agency como autoridade supervisora competente;
g. O Anexo II das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
h. O Anexo III das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
3. Em relação aos dados pessoais protegidos pelo GDPR da UE, quando o Controlador estiver localizado na UE e estiver atuando como exportador de dados e o Processador estiver localizado em um terceiro país e estiver atuando como importador de dados, o Módulo Dois das SCCs deverá ser aplicado da seguinte forma:
a. a Cláusula 7 opcional (Cláusula de atracação) deverá ser aplicada;
b. Na Cláusula 9, Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
c. Na Cláusula 11, a cláusula de opção não se aplica;
d. Na Cláusula 17, a lei aplicável será a lei da República da Croácia;
e. Na Cláusula 18, para a solução de controvérsias decorrentes destas Cláusulas, serão resolvidos pelos tribunais da República da Croácia;
f. Os Anexos I.A e I.B das SCCs serão considerados preenchidos com as informações estabelecidas nos Anexos I e II deste DPA e o Anexo I.C terá a Croatian Personal Data Protection Agency como autoridade supervisora competente;
g. O Anexo II das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
h. O Anexo III das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
6.2. Transferências internacionais de acordo com o GDPR do Reino Unido
1. Quando o GDPR do Reino Unido se aplicar ao processamento, e quando o Processador iniciar e concordar com a transferência de dados pessoais para um subprocessador fora do Reino Unido ou para um país sem uma decisão de adequação, o Processador assinará um Contrato Internacional de Transferência de Dados com esse Subprocessador e cumprirá as regras de transferência.
2. Quando o GDPR do Reino Unido se aplicar ao Controlador, este permanecerá responsável por todas as transferências de dados pessoais que iniciar ou concordar.
3. Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as partes reconhecem que a transferência em que o Processador devolve os dados pessoais processados ao Controlador, desde que tenha sido iniciada e acordada pelo Controlador, não é considerada uma Transferência Restrita de acordo com o GDPR do Reino Unido.
6.3. Transferências de ida e volta
1. O Processador não participará (nem permitirá que qualquer Subprocessador participe) de quaisquer outras Transferências Restritas de dados pessoais (seja como exportador ou importador dos dados pessoais), a menos que a Transferência Restrita seja feita em conformidade com a Lei de Proteção de Dados Aplicável e com as disposições deste DPA.
2. Essas medidas podem incluir (sem limitação) a transferência dos dados pessoais para um destinatário em um país que a Comissão Europeia tenha decidido que oferece proteção adequada aos dados pessoais, para um destinatário que tenha obtido autorização de regras corporativas vinculantes de acordo com a Lei de Proteção de Dados Aplicável, ou de acordo com as SCCs implementadas entre o exportador e o importador relevantes dos dados pessoais.
Artigo 7
Descrição do(s) processamento(s)
Os detalhes das operações de processamento, em particular as categorias de dados pessoais e as finalidades de processamento para as quais os dados pessoais são processados em nome do Controlador, estão especificados no Anexo II.
Artigo 8
Obrigações das partes
8.1. Instruções
1. O Processador processará os dados pessoais somente com base em instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo por requisitos legais aplicáveis aos quais o Processador esteja sujeito. Nesse caso, o Processador informará o Controlador sobre essa exigência legal antes do processamento, a menos que a lei proíba isso por motivos importantes de interesse público. Instruções subsequentes também podem ser dadas pelo Controlador durante o processamento de dados pessoais. Essas instruções devem ser sempre documentadas.
2. O Processador deverá informar imediatamente o Controlador se, na opinião do Processador, as instruções dadas pelo Controlador violarem as disposições da Lei de Proteção de Dados Aplicável.
8.2. Limitação de propósito
O Processador processará os dados pessoais, de acordo com as instruções documentadas do Controlador, somente para a(s) finalidade(s) específica(s) do processamento, conforme estabelecido no Anexo II, a menos que receba instruções adicionais do Controlador ou se documentação adicional de processamento de dados for assinada entre as partes.
8.3. Duração do processamento de dados pessoais
O processamento pelo Processador deverá ocorrer somente durante o período especificado no Anexo II.
8.4. Segurança do processamento
1. O Processador deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo III para garantir a segurança dos dados pessoais. Isso inclui a proteção dos dados contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados (violação de dados pessoais). Ao avaliar o nível adequado de segurança, as partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do processamento e os riscos envolvidos para os titulares dos dados.
2. O Processador concederá acesso aos dados pessoais em processamento a membros de sua equipe somente na medida estritamente necessária para a implementação, o gerenciamento e o monitoramento do contrato. O Processador deverá garantir que as pessoas autorizadas a processar os dados pessoais recebidos tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade. O Processador deverá garantir que todas as pessoas autorizadas processem os dados pessoais somente conforme necessário para a Finalidade Permitida.
8.5. Dados confidenciais
Se o processamento envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (“dados sensíveis”), as partes deverão atualizar as categorias de dados pessoais processados no Anexo II e o Processador deverá aplicar restrições específicas e/ou proteções adicionais.
8.6. Documentação e conformidade
1. As Partes deverão ser capazes de demonstrar conformidade com este DPA.
2. O Processador deverá manter registros das atividades de processamento realizadas de acordo com este DPA, contendo categorias de titulares de dados envolvidos no processamento e categorias de dados pessoais processados, natureza, duração e finalidade do processamento, lista de medidas técnicas e organizacionais e avaliação do impacto da proteção de dados.
3. O Processador deverá lidar pronta e adequadamente com as consultas do Controlador sobre o processamento de dados de acordo com este DPA.
4. O Processador disponibilizará ao Controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e decorrentes diretamente da Lei de Proteção de Dados Aplicável. A pedido do Controlador, o Processador também permitirá e contribuirá para auditorias das atividades de processamento cobertas por este DPA, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou uma auditoria, o Controlador deverá levar em conta as certificações relevantes mantidas pelo Processador.
5. O Controlador pode optar por conduzir a auditoria por si mesmo ou solicitar um auditor independente. As auditorias também podem incluir inspeções nas dependências ou instalações físicas do Processador e devem, quando apropriado, ser realizadas com aviso prévio razoável, com pelo menos 30 dias de antecedência.
6. As Partes disponibilizarão as informações mencionadas neste artigo, inclusive os resultados de quaisquer auditorias, à(s) autoridade(s) supervisora(s) competente(s), mediante solicitação.
8.7. Uso de subprocessadores
1. O Processador tem a autorização geral do Controlador para a contratação de Subprocessadores a partir de uma lista acordada. O Processador deverá informar especificamente ao Controlador, por escrito, sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de Subprocessadores com pelo menos 30 dias de antecedência, dando assim ao Controlador tempo suficiente para poder se opor a essas alterações antes da contratação do(s) Subprocessador(es) em questão. O Processador deverá fornecer ao Controlador as informações necessárias para que ele possa exercer o direito de objeção.
2. Quando o Processador contratar um Subprocessador para realizar atividades de processamento específicas (em nome do Controlador), ele deverá fazê-lo por meio de um contrato que imponha ao Subprocessador, em substância, as mesmas obrigações de proteção de dados que as impostas ao Processador de acordo com estas cláusulas. O Processador deverá garantir que o Subprocessador cumpra as obrigações às quais está sujeito de acordo com este DPA e com a Lei de Proteção de Dados Aplicável.
3. Mediante solicitação do Controlador, o Processador deverá fornecer uma cópia desse contrato de Subprocessador e quaisquer alterações subsequentes ao Controlador. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o Processador poderá redigir o texto do contrato antes de compartilhar a cópia.
4. O Processador permanecerá totalmente responsável perante o Controlador pelo cumprimento das obrigações do Subprocessador, de acordo com seu contrato com o Processador. O Processador notificará o Controlador sobre qualquer falha do Subprocessador no cumprimento de suas obrigações contratuais.
5. O Processador deverá acordar com o Subprocessador uma cláusula de beneficiário terceiro pela qual – caso o Processador tenha desaparecido de fato, deixado de existir legalmente ou tenha se tornado insolvente – o Controlador terá o direito de rescindir o contrato de Subprocessador e de instruir o Subprocessador a apagar ou devolver os dados pessoais.
8.8. Notificações ao Controlador
1. Além de outras notificações previstas nesta DPA, o Processador informará o Controlador, sem atrasos indevidos, mas não mais do que cinco dias úteis, se o Processador tomar conhecimento de:
a. Qualquer não conformidade do Processador ou de seus funcionários com as obrigações previstas neste DPA ou com os requisitos da Lei de Proteção de Dados Aplicável relacionados à proteção de dados pessoais processados de acordo com este DPA;
b. Qualquer solicitação juridicamente vinculativa de divulgação de dados pessoais por uma autoridade de aplicação da lei, como tribunais, cortes ou autoridades administrativas, a menos que o Processador seja proibido por lei de informar o Controlador (por exemplo, para preservar a confidencialidade de uma investigação por autoridades de aplicação da lei). O Processador deverá ser capaz de fornecer informações sobre a possível divulgação legalmente obrigatória de dados pessoais;
c. Qualquer aviso, inquérito ou investigação de uma Autoridade Supervisora com relação a dados pessoais compartilhados pelo Controlador; ou
d. Qualquer reclamação ou solicitação recebida diretamente dos titulares dos dados do Controlador. O Processador não responderá substancialmente a nenhuma dessas solicitações sem a autorização prévia por escrito do Controlador.
3. Antes de fazer qualquer divulgação de dados pessoais ou de fornecer outras informações relativas a dados pessoais, o Processador deverá consultar o Controlador, exceto nas situações descritas na cláusula 1.b deste Artigo.
8.9. Privacidade por design e padrão
O Processador deverá integrar considerações de privacidade em suas atividades de processamento desde o início, abrangendo o projeto, o desenvolvimento, a implementação e a manutenção contínua de seus sistemas, aplicativos e serviços. As configurações padrão do Processador para sistemas, aplicativos e serviços devem priorizar o mais alto nível de proteção de privacidade, limitando o processamento de dados pessoais por padrão. O Processador deverá fornecer mecanismos que permitam que o Controlador e os titulares dos dados gerenciem facilmente suas preferências de privacidade e exerçam seus direitos.
Artigo 9
Assistência ao Controlador
1. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento.
2. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento. No cumprimento de suas obrigações de acordo com os itens (1) e (2), o Processador deverá cumprir as instruções do Controlador.
3. Além da obrigação do Processador de auxiliar o Controlador de acordo com a Cláusula 9.2, o Processador deverá, além disso, auxiliar o Controlador a garantir a conformidade com as seguintes obrigações, levando em consideração a natureza do processamento de dados e as informações disponíveis para o Processador:
a. a obrigação de realizar uma avaliação do impacto das operações de processamento previstas sobre a proteção de dados pessoais (uma “avaliação do impacto sobre a proteção de dados”), quando um tipo de processamento puder resultar em um alto risco para os direitos e liberdades de pessoas físicas. O Processador deverá fornecer assistência ao Controlador para permitir que ele realize a avaliação do impacto da proteção de dados. Ao prestar assistência, o Processador poderá redigir informações na medida necessária para proteger segredos comerciais ou outras informações confidenciais;
b. a obrigação de consultar a(s) autoridade(s) supervisora(s) competente(s) antes do processamento, quando uma avaliação do impacto da proteção de dados indicar que o processamento resultaria em um alto risco na ausência de medidas tomadas pelo Controlador para mitigar o risco;
c. a obrigação de garantir que os dados pessoais sejam precisos e atualizados, informando o Controlador sem demora se o Processador tomar conhecimento de que os dados pessoais que está processando são imprecisos ou se tornaram desatualizados;
d. as obrigações de implementar e manter medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de dados pessoais adequado ao risco. Essas medidas devem levar em consideração o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas e incluir, conforme apropriado:
i. a pseudonimização e a criptografia de dados pessoais;
ii. a capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento;
iii. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico;
iv. um processo para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
4. As Partes estabelecerão as medidas técnicas e organizacionais adequadas no Anexo III, por meio das quais o Processador deverá auxiliar o Controlador na aplicação deste Artigo, bem como o escopo e a extensão da assistência necessária. O Controlador reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnico e que o Processador pode atualizar ou modificar as medidas de segurança periodicamente, desde que tais atualizações e modificações não degradem ou diminuam a segurança geral do processamento.
Artigo 10
Notificação de violação de dados pessoais
No caso de uma violação de dados pessoais, o Processador deverá cooperar e auxiliar o Controlador para que o Controlador cumpra suas obrigações de acordo com a Lei de Proteção de Dados Aplicável, quando aplicável, levando em consideração a natureza do processamento e as informações disponíveis para o Processador.
10.1. Violação de dados referente a dados processados pelo Controlador
No caso de uma violação de dados pessoais referente a dados processados pelo Controlador, o Processador deverá auxiliar o Controlador:
a. notificar a violação de dados pessoais à(s) autoridade(s) supervisora(s) competente(s), sem atraso indevido após o Controlador ter tomado conhecimento dela, quando relevante (a menos que seja improvável que a violação de dados pessoais resulte em um risco aos direitos e liberdades de pessoas físicas);
b. na obtenção das seguintes informações, que devem ser declaradas na notificação do Controlador e devem incluir, no mínimo
i. a natureza dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e o número aproximado de registros de dados pessoais envolvidos;
ii. as consequências prováveis da violação de dados pessoais;
iii. as medidas tomadas ou propostas a serem tomadas pelo Controlador para lidar com a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
c. no cumprimento da obrigação de comunicar, sem atrasos indevidos, a violação de dados pessoais ao titular dos dados, quando a violação de dados pessoais provavelmente resultar em um alto risco aos direitos e liberdades de pessoas físicas.
10.2. Violação de dados referente aos dados processados pelo Processador
1. No caso de uma violação de dados pessoais relativa a dados processados pelo Processador, o Processador deverá notificar o Controlador sem atraso indevido após ter tomado conhecimento da violação. Essa notificação deverá conter, no mínimo
a. uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados em questão);
b. os detalhes de um ponto de contato onde você pode obter mais informações sobre a violação de dados pessoais;
c. suas prováveis consequências e as medidas tomadas ou propostas para solucionar a violação, inclusive para atenuar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
2. As Partes estabelecerão no Anexo III todos os outros elementos a serem fornecidos pelo Processador ao auxiliar o Controlador no cumprimento das obrigações do Controlador nos termos dos artigos 33 e 34 do Regulamento (UE) 2016/679.
Artigo 11
Não conformidade com este DPA e rescisão
1. Sem prejuízo de quaisquer disposições da Lei de Proteção de Dados Aplicável, caso o Processador esteja violando suas obrigações nos termos deste DPA, o Controlador poderá instruir o Processador a suspender o processamento de dados pessoais até que ele cumpra este DPA ou o Contrato seja rescindido. O Processador deverá informar imediatamente o Controlador caso não possa cumprir este DPA, por qualquer motivo.
2. O Controlador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais de acordo com este DPA se:
a. o processamento de dados pessoais pelo Processador tiver sido suspenso pelo Controlador de acordo com a disposição 1. deste Artigo e se a conformidade com este DPA não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
b. o Processador estiver em violação substancial ou persistente deste DPA ou de suas obrigações de acordo com a Lei de Proteção de Dados Aplicável;
c. o Processador deixar de cumprir uma decisão vinculativa de um tribunal competente ou da(s) autoridade(s) supervisora(s) competente(s) com relação às suas obrigações de acordo com este DPA ou com a Lei de Proteção de Dados Aplicável.
3. O Processador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais nos termos deste DPA quando, após ter informado ao Controlador que suas instruções infringem os requisitos legais aplicáveis de acordo com o Artigo 8.1.2, o Controlador insistir no cumprimento das instruções.
4. Após a rescisão do Contrato, o Processador deverá, à escolha do Controlador, excluir todos os dados pessoais processados em nome do Controlador e certificar ao Controlador que o fez, ou devolver todos os dados pessoais ao Controlador e excluir as cópias existentes, a menos que a Lei de Proteção de Dados Aplicável exija o armazenamento dos dados pessoais. Até que os dados sejam excluídos ou devolvidos, o Processador deverá continuar a garantir a conformidade com este DPA.
Artigo 12
Diversos
1. Este DPA representa uma parte integrante do Contrato firmado entre as partes e entra em vigor quando ambas as partes assinam o Contrato.
2. Se a Lei de Proteção de Dados Aplicável ou outra regulamentação aplicável exigir que o Controlador assine o DPA ou assine as SCCs, SCCs Intra-UE ou IDTA aplicáveis a um processamento específico ou transferência restrita de dados pessoais para o Processador como um contrato separado, o Processador, mediante solicitação do Controlador, executará prontamente esse documento.
3. As partes concordam que este DPA substituirá qualquer contrato de processamento de dados existente ou documento semelhante que as partes possam ter celebrado anteriormente em relação à tecnologia e aos serviços do Processador.
4. Não obstante qualquer disposição em contrário no Contrato e sem prejuízo da Seção 8.2 (“Limitação da finalidade”), o Processador poderá fazer modificações periódicas neste ATD, conforme necessário, para cumprir a Lei de Proteção de Dados Aplicável e para melhorar o nível de segurança dos dados pessoais. As modificações a este DPA serão publicadas no centro jurídico do Processador (disponível no link: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) e o Processador informará o Controlador sobre quaisquer alterações substanciais a este DPA por escrito.
Controlador:
Nome: Licenciado
Endereço: Conforme definido no Contrato assinado.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme definido no Contrato assinado.
Processador:
Nome: Microblink entidade conforme definido no Contrato assinado.
Endereço: Conforme definido no Contrato assinado.
Detalhes de contato do responsável pela proteção de dados: privacy@microblink.com.
Categorias de titulares de dados cujos dados pessoais são processados
Pessoas físicas – os usuários finais da Controladora, incluindo, se aplicável, os usuários finais das afiliadas da Controladora.
Categorias de dados pessoais processados
Dados pessoais presentes no documento processado, incluindo, entre outros, nome, nome do meio, sobrenome, data de nascimento, local de nascimento, endereço residencial, local de residência, sexo, gênero, nacionalidade, cidadania, número do documento, número do seguro social, número de identificação pessoal, código de segurança do cartão, tipo de cartão, data de emissão, data de expiração, autoridade emissora, status de doador de órgãos, status de residência, dados biométricos (não processados com a finalidade de identificar exclusivamente uma pessoa física), como imagem do rosto, cor dos olhos, impressão digital, assinatura, peso ou altura, como o número do cartão, data de emissão, data de validade, autoridade emissora, status de residência, etc, data de validade, autoridade emissora, status de doador de órgãos, status de residência, dados biométricos (não processados com a finalidade de identificar exclusivamente uma pessoa física), como imagem facial, cor dos olhos, impressão digital, assinatura, peso ou altura e outras categorias de dados encontrados em documentos de identidade transferidos, cartões ou outros documentos compartilhados com o Processador.
Dados confidenciais processados
Nenhum dado sensível é destinado ao processamento. Se algum dado sensível for transferido, o Controlador notificará o Processador e este aplicará as restrições e proteções necessárias.
Natureza do processamento
Aplicável se o Controlador usar o serviço de verificação do Processador: Usando a Solução do Controlador, o titular dos dados escaneia a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador no Google Cloud Platform, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização e a presença de recursos de segurança é verificada e/ou a análise dos atributos físicos do documento digitalizado é realizada. Quando o processo de verificação é concluído, o Processador retorna a resposta de verificação ao Controlador e, após o término da sessão de verificação, os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar o serviço de extração do Processador: Usando a Solução do Controlador, o titular dos dados digitaliza a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador no Google Cloud Platform, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização. O Processador envia os resultados da extração e/ou as imagens digitalizadas para o Controlador quando o processo de extração é concluído, e os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança imagens de documentos com os quais o Controlador tem problemas para o Processador, o Controlador usa o Upload seguro de imagens do Processador. O Processador analisa o problema de acordo com a solicitação de suporte do Controlador para fornecer serviços de suporte. Dependendo da solicitação de suporte do Controlador, o fornecimento de serviços de suporte pode incluir a depuração de problemas em um tipo de documento já suportado, o suporte a uma nova versão de um documento suportado e o aprimoramento da precisão de um tipo de documento já suportado, se o produto não funcionar. A prestação de serviços de suporte pode, dependendo da solicitação de suporte do Controlador, incluir o retreinamento de modelos.
Finalidade(s) para a qual os dados pessoais são processados em nome do controlador
Aplicável se o Controlador usar o serviço de verificação do Processador: A finalidade do processamento é verificar a presença de recursos de segurança no documento de identidade e devolver a resposta de verificação ao Controlador, de acordo com o Contrato.
Aplicável se o Controlador usar o serviço de extração do Processador: A finalidade do processamento é extrair os dados do documento de identidade e enviar os resultados da extração para o Controlador, de acordo com o Contrato.
Aplicável se o Controlador usar os serviços de suporte do Processador: A finalidade do processamento é fornecer serviços de suporte ao Controlador, de acordo com o Contrato.
Duração do processamento
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O processamento é contínuo (enquanto o Controlador usar a tecnologia ou os serviços). O Processador retém os dados de entrada durante as sessões de verificação ou extração, conforme aplicável, mas não armazena os dados processados, a menos que um período de retenção diferente seja acordado por escrito com o Controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Processador retém as imagens até que o problema seja resolvido.
Para processamento por (sub) processadores, especifique também o assunto, a natureza e a duração do processamento
Google Cloud Platform – a infraestrutura de nuvem da Microblink LLC no Google Cloud Platform será usada para executar a tecnologia do Processador. O processamento de dados pessoais deve ser realizado continuamente, desde que o Controlador use a tecnologia.
Microblink A LLC é uma entidade fornecedora de suporte Microblink e atua como subprocessadora quando não é uma entidade signatária de contrato. Os dados serão processados conforme descrito acima, e as medidas de segurança serão aplicadas conforme descrito no Anexo III.
Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
A Processor tem uma política definida sobre o manuseio de dados confidenciais, que define a classificação, a divulgação e a proteção dos dados. Todos os funcionários do Processador são obrigados a assinar cláusulas de confidencialidade que estabelecem que os segredos comerciais e as informações confidenciais devem permanecer confidenciais para sempre e devem ser entregues após a rescisão do contrato, sendo que cada violação é considerada uma violação grave. Além disso, o Processador garantirá que a Interface de Programação de Aplicativos seja adequadamente protegida e monitorada com Firewall de Aplicativos da Web e proteção DDoS.
O Processador aplicará os conceitos de “menos privilegiado” e “necessidade de conhecer” e garantirá a segregação de funções. O Processador garantirá que os procedimentos adequados estejam em vigor para registrar novos usuários/direitos de acesso adicionais e para cancelar o registro de usuários. O Processador garantirá que o gerenciamento de acesso privilegiado seja monitorado de perto e baseado em uma revisão regular dos direitos de acesso, com os direitos de acesso sendo retirados se não forem mais necessários.
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico
Em relação ao objeto deste Contrato, o Processador comunicará qualquer incidente (próximo) relacionado à segurança o mais rápido possível e de acordo com o Contrato ao contato do Controlador, incluindo as medidas de proteção tomadas para atenuar o impacto do incidente, as medidas preventivas propostas para evitar o incidente (próximo) no futuro e uma estimativa do impacto causado pelo incidente. O processador definiu uma política de gerenciamento de incidentes de segurança da informação que define as funções e responsabilidades no processo de gerenciamento de incidentes. A política também descreve a classificação de incidentes e as etapas que a equipe de resposta a incidentes deve seguir, como avaliação de incidentes, contenção, erradicação de ameaças, recuperação, relatórios e aprendizado com os incidentes. O Processador deve garantir a disseminação do conhecimento e da experiência para assegurar a disponibilidade de pessoas qualificadas mesmo em caso de desastre.
Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento e as medidas para garantir a responsabilidade
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança continuem sendo aplicados. Além disso, o Processador realizará regularmente avaliações de vulnerabilidade dos serviços relacionados por meio de testes de penetração e vulnerabilidade. O Processador tem políticas internas, manuais de regras e procedimentos em vigor para garantir a responsabilidade dos funcionários no processamento responsável de dados pessoais. O Processador garante que seus funcionários sejam informados sobre os requisitos e políticas de segurança do Processador e sobre os desenvolvimentos na área de segurança da informação. O Processador é inteiramente responsável pela conduta de seus funcionários.
Medidas para garantir a segurança física dos locais em que os dados pessoais são processados
As medidas de segurança das instalações físicas do subprocessador (Google Cloud Platform), que fornece serviço de infraestrutura de nuvem privada, incluem várias camadas de segurança física para proteger os data centers, como identificação biométrica, detecção de metais, câmeras, barreiras para veículos e sistemas de detecção de intrusão baseados em laser.(https://www.google.com/about/datacenters/data-security/)
Caso o processamento de dados pessoais ocorra na infraestrutura do Processador ou da empresa Afiliada do Processador, o Processador também garantirá a segurança física adequada por meio do uso de câmeras, cartões de entrada e guardas de segurança.
Medidas para garantir o registro de eventos
Todas as funções de registro de sistemas e aplicativos relacionadas aos serviços fornecidos pelo Processador são ativadas e os eventos de segurança das informações são revisados regularmente.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão
O Processor aplicará o fortalecimento do sistema para todos os serviços voltados para a Internet por meio de gerenciamento de configuração centralizado, varredura regular de vulnerabilidades e revisão de configuração.
Medidas para governança e gerenciamento internos de TI e segurança de TI
O Processador mantém um sistema eficiente de gerenciamento de segurança da informação para garantir a organização adequada das responsabilidades de segurança da informação, e uma avaliação de risco de segurança é realizada periodicamente para garantir a identificação de riscos novos ou alterados.
O Processador deverá alocar recursos e funcionários que tenham a experiência necessária para realizar qualquer tarefa específica em relação às suas responsabilidades de segurança nos termos deste Contrato.
O Processador garantirá que haja proteção adequada de todos os ativos que contenham dados pessoais fornecidos pelo Controlador no contexto deste Contrato.
Medidas para certificação/garantia de processos e produtos
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança continuem sendo aplicados.
Medidas para identificação e autorização do usuário
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O acesso ao serviço é concedido apenas a usuários autorizados por meio de credenciais de cliente exclusivas que podem ser revogadas e renovadas a qualquer momento pelo Controlador.
Medidas de pseudonimização e criptografia de dados pessoais e para a proteção de dados durante a transmissão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador usará métodos de criptografia forte, como TLS (versões mais recentes compatíveis) para dados em trânsito.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança os dados pessoais para o Processador, o Controlador deverá usar o Secure Image Upload do Processador.
Medidas para garantir a minimização de dados, retenção limitada de dados e exclusão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador não armazena dados pessoais após o processo de verificação ter sido realizado.
Aplicável se o Controlador usar o serviço de suporte do Processador: O Processador deverá implementar cronogramas de retenção de dados e excluir irreversivelmente os dados de acordo com o cronograma.
Medidas para garantir a qualidade dos dados
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Controlador é responsável pelos dados que são enviados ao Processador, incluindo sua qualidade. O Processador enviará ao Controlador dados pessoais extraídos dos documentos enviados pelo Controlador, juntamente com dados de informações de identificação pessoal (PII) e metadados extraídos dos documentos.
Aplicável se o Controlador usar serviços de suporte: O Controlador e o Processador determinarão a qualidade dos dados que precisam ser compartilhados para resolver o problema levantado pelo Controlador.
Medidas para a proteção de dados durante o armazenamento
Aplicável se o Controlador usar o serviço de suporte do Processador: Microblink usa o Key Management Service para criptografia de dados em repouso.
Medidas de pseudonimização e criptografia de dados pessoais e para a proteção de dados durante a transmissão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador usará métodos de criptografia forte, como TLS (versões mais recentes compatíveis) para dados em trânsito.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança os Dados Pessoais para Microblink, o Licenciado deverá usar Microblink’ Secure Image Upload.
Para transferências para (sub) processadores, também descreva as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador
O Processador deverá ter acordos de processamento de dados com subprocessadores para garantir assistência ao Controlador.
Descrição das medidas técnicas e organizacionais específicas a serem tomadas pelo processador para poder prestar assistência ao controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Controlador deve certificar-se de que pode identificar seus usuários finais e, no caso de uma solicitação do titular dos dados, entregar seus identificadores ao Processador. O Processador deverá fornecer assistência ao Controlador na execução da solicitação do titular dos dados, de acordo com o procedimento para exclusão de dados.
O controlador autorizou o uso dos seguintes subprocessadores:
1. Nome: Microblink LLC (se o signatário for Microblink Ltd. ou Microblink USA LLC)
Endereço: Trg Drage Iblera 10, 10000 Zagreb, Croácia
Nome da pessoa de contato, cargo e detalhes de contato: Ena Oršić, Associada Jurídica e Diretora de Proteção de Dados
Descrição do processamento: Fornecimento de serviços de suporte.
2. Nome: Google Cloud Platform
Endereço: Conforme especificado no link a seguir.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme especificado no link a seguir.
Descrição do processamento: A plataforma do subprocessador será usada para executar a tecnologia do processador para processar os dados pessoais durante a sessão de extração e/ou verificação. Após a conclusão da sessão, os dados não serão armazenados.
Eficaz
Este ADENDO DE PROCESSAMENTO DE DADOS (“DPA“) é incorporado e está sujeito aos termos e condições do contrato firmado entre o Controlador e o Processador, conforme definido no Anexo I (em conjunto, “as partes“), termos de uso ou termos e condições de uso da tecnologia do Processador aceitos pelo Controlador, que regem o uso da tecnologia ou dos serviços de suporte do Processador pelo Controlador (“Contrato“).
Todos os termos em letras maiúsculas não definidos neste DPA terão os significados estabelecidos no Contrato.
Quando o Controlador usa a tecnologia do Processador, tanto na fase de teste quanto na de produção, ou quando o Controlador usa os serviços de suporte do Processador, o Processador processa dados pessoais (definidos abaixo). As partes concordam em cumprir as seguintes disposições com relação a qualquer processamento de dados pessoais, e isso é acordado da seguinte forma:
Artigo 1
Definições
Neste DPA, os termos a seguir terão os seguintes significados:
a. “Controlador“, “Processador“, “titular dos dados“, ” dadospessoais “, “processo” e “processamento” terão os significados dados na Lei Europeia de Proteção de Dados;
b. “Lei Europeia de Proteção de Dados” significa: (i) Regulamento 2016/679 do Parlamento Europeu e do Conselho relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (o “GDPR da UE“); e (ii) o GDPR da UE conforme salvo na legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018 do Reino Unido (o “GDPR do Reino Unido“);
c. “Lei de Proteção de Dados Aplicável” significa todas as leis e regulamentos mundiais de proteção de dados e privacidade, na medida em que sejam aplicáveis às partes e à natureza dos dados pessoais processados nos termos do Contrato, incluindo, quando aplicável, a Lei Europeia de Proteção de Dados, a Lei de Privacidade do Consumidor da Califórnia de 2018, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 (coletivamente denominada “CPRA”), e toda e qualquer lei nacional de proteção de dados aplicável feita sob, de acordo com ou que se aplique em conjunto com a Lei Europeia de Proteção de Dados; em cada caso, conforme possa ser alterada ou substituída de tempos em tempos;
d. “Dados pessoais” significa, além do significado dado pela Lei Europeia de Proteção de Dados, qualquer informação que identifique uma pessoa, que seja digitalizada, carregada e de outra forma compartilhada com o Processador usando a tecnologia do Processador ou de acordo com o uso de serviços de suporte pelo Controlador, empresas afiliadas do Controlador ou por terceiros agindo em nome do Controlador;
e. “violação de dados pessoais” significa qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais divulgados e compartilhados pelo Controlador e processados pelo Processador nos termos desta DPA;
f. “Transferência restrita” significa: (i) quando o GDPR da UE se aplica, uma transferência de dados pessoais da União Europeia ou do Espaço Econômico Europeu para um país fora da União Europeia ou do Espaço Econômico Europeu que não tenha sido reconhecido pela Comissão Europeia como adequado de acordo com o Artigo 45 do GDPR da UE (“país terceiro”); e (ii) quando o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para outro país que não se baseia em regulamentos de adequação de acordo com o Artigo 45 do GDPR do Reino Unido;
g. “decisão de adequação” significa uma decisão formal tomada pela UE ou pelo Reino Unido que reconhece que outro país, território, setor ou organização internacional oferece um nível de proteção de dados pessoais equivalente ao da UE ou do Reino Unido;
h. “Cláusulas Contratuais Padrão” ou “SCCs” significam as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução da Comissão (UE) 2021/914, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en);
i. “Cláusulas Contratuais Padrão Intra UE/EEE” ou “Cláusulas Contratuais PadrãoIntra UE/EEE” significa as cláusulas contratuais adotadas pela Comissão Europeia em sua Decisão de Execução (UE) 2021/915 da Comissão, de 4 de junho de 2021, sobre cláusulas contratuais padrão entre controladores e processadores nos termos do artigo 28(7) do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho e do artigo 29(7) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (disponível no link: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_en);
j. “Acordo Internacional de Transferência de Dados” ou “IDTA” significa o acordo emitido pelo Comissário de Informações para as Partes que fazem Transferências Restritas de acordo com o GDPR do Reino Unido (disponível no link: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf);
k. “Subprocessador” significa qualquer Processador terceirizado contratado pelo Processador para processar quaisquer dados pessoais em seu nome em conexão com a tecnologia ou os serviços fornecidos ao Controlador.
Artigo 2
Relacionamento das partes
1. O Processador, conforme definido no Anexo I deste DPA, processará dados pessoais em nome do Controlador, conforme descrito no Anexo II deste DPA. Onde Microblink Ltd. (6th Floor, 9 Appold Street, Londres, Reino Unido, EC2A 2AP) ou Microblink US (10 Grand Street, STE 2400, Brooklyn, NY 11249) for o signatário do Contrato e o Processador, Microblink LLC (Trg Drage Iblera 10, 10000, Zagreb, República da Croácia) será considerada uma empresa afiliada e um Subprocessador.
2. Cada parte deverá cumprir as obrigações que se aplicam a ela de acordo com a Lei de Proteção de Dados Aplicável.
Artigo 3
Hierarquia
1. Em caso de contradição entre este DPA e as disposições dos Contratos relacionados entre as Partes existentes no momento em que este DPA for acordado ou celebrado posteriormente, as disposições deste DPA prevalecerão.
2. Quando aplicável, as disposições das SCCs, das SCCs Intra UE/EEE ou da IDTA complementarão este DPA. Em caso de contradição entre este DPA e as CECs ou as CECs Intra UE/EEE ou a IDTA, as disposições das CECs ou das CECs Intra UE/EEE ou da IDTA prevalecerão.
3. Se houver qualquer conflito ou inconsistência entre este DPA e o Contrato, as disposições dos seguintes documentos (em ordem de precedência) prevalecerão: (a) quando aplicável, SCCs ou SCCs Intra UE/EEE ou IDTA; depois (b) este DPA; e depois (c) o corpo principal do Contrato. Exceto pelas alterações feitas por este DPA, o Contrato permanece inalterado e em pleno vigor e efeito.
4. Este DPA se aplica ao processamento de dados pessoais, conforme especificado no Anexo II.
5. Os Anexos I a IV são parte integrante deste DPA.
Artigo 4
Processamento de dados pessoais de acordo com o GDPR da UE
1. Quando ambas as partes estiverem sujeitas ao GDPR da UE e os dados pessoais não forem transferidos para fora da União Europeia, do Espaço Econômico ou de países sem decisões de adequação nos termos do Artigo 45 do GDPR da UE, as SCCs Intra-UE/EEE serão aplicadas e completadas da seguinte forma:
a. sempre que houver a opção de escolher um regulamento, será aplicado o Regulamento (UE) 2016/679;
b. a Cláusula 5 opcional (Cláusula de atracação) deverá ser aplicada;
c. na Cláusula 7.7. Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
d. O Anexo I das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo I desta DPA;
e. O Anexo II das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo II desta DPA;
f. O Anexo III das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
g. O Anexo IV das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
Artigo 5
Processamento de acordo com o GDPR do Reino Unido
Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as SCCs intra-UE/EEA serão aplicadas com as seguintes modificações:
a. sempre que houver uma opção para escolher um regulamento, o GDPR do Reino Unido será aplicado;
b. as referências a “UE”, “União”, “Estado-Membro” e “legislação do Estado-Membro” serão substituídas por referências a “Reino Unido” ou “legislação nacional”;
c. as referências aos “tribunais competentes” serão substituídas por referências aos “tribunais competentes do Reino Unido”;
d. a Cláusula 5 opcional (Cláusula de atracação) deverá ser aplicada;
e. na Cláusula 7.7. Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
f. O Anexo I das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo I desta DPA;
g. O Anexo II das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo II desta DPA;
h. O Anexo III das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
i. O Anexo IV das SCCs Intra UE/EEE será considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
Artigo 6
Transferências internacionais
6.1. Transferências restritas de acordo com o GDPR da UE
1. Quando a transferência de dados pessoais for considerada uma Transferência Restrita e o GDPR da UE exigir a implementação de proteções adequadas, essa transferência estará sujeita às SCCs, que serão incorporadas por referência e farão parte integrante deste DPA. O módulo aplicável das CECs deve ser determinado dependendo da localização do Controlador e do Processador e de suas funções como exportador e importador de dados em relação aos dados pessoais processados.
2. Em relação aos dados pessoais protegidos pelo GDPR da UE, quando o Processador estiver localizado na UE, atuando como exportador de dados, e o Controlador, atuando como importador de dados, estiver localizado em um terceiro país, o Módulo Quatro das SCCs deverá ser aplicado da seguinte forma:
a. a Cláusula 7 opcional (Cláusula de atracação) deverá ser aplicada;
b. Na Cláusula 9, Opção 2: A autorização geral por escrito deverá ser aplicada com um período de tempo especificado de trinta dias;
c. Na Cláusula 11, a cláusula de opção não se aplica;
d. Na Cláusula 17, a lei aplicável será a lei da República da Croácia;
e. Na Cláusula 18, para a solução de controvérsias decorrentes destas Cláusulas, serão resolvidos pelos tribunais da República da Croácia;
f. Os Anexos I.A e I.B das Cláusulas Contratuais Suplementares da UE serão considerados preenchidos com as informações estabelecidas nos Anexos I e II desta DPA e o Anexo I.C terá a Agência Croata de Proteção de Dados Pessoais como autoridade supervisora competente;
g. O Anexo II das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo III desta DPA; e
h. O Anexo III das SCCs da UE deve ser considerado preenchido com as informações estabelecidas no Anexo IV desta DPA.
6.2. Transferências internacionais de acordo com o GDPR do Reino Unido
1. Quando o GDPR do Reino Unido se aplicar ao processamento, e quando o Processador iniciar e concordar com a transferência de dados pessoais para um subprocessador fora do Reino Unido ou para um país sem uma decisão de adequação, o Processador assinará um Contrato Internacional de Transferência de Dados com esse Subprocessador e cumprirá as regras de transferência.
2. Quando o GDPR do Reino Unido se aplica ao Controlador, o Controlador permanece responsável por todas as transferências de dados pessoais que ele iniciar ou concordar.
3. Em relação às transferências de dados pessoais protegidos pelo GDPR do Reino Unido, as partes reconhecem que a transferência em que o Processador devolve os dados pessoais processados ao Controlador, desde que tenha sido iniciada e acordada pelo Controlador, não é considerada uma Transferência Restrita de acordo com o GDPR do Reino Unido.
6.3. Transferências de ida e volta
1. O Processador não participará (nem permitirá que qualquer Subprocessador participe) de quaisquer outras Transferências Restritas de dados pessoais (seja como exportador ou importador dos dados pessoais), a menos que a Transferência Restrita seja feita em conformidade com a Lei de Proteção de Dados Aplicável e com as disposições deste DPA.
2. Essas medidas podem incluir (sem limitação) a transferência dos dados pessoais para um destinatário em um país que a Comissão Europeia tenha decidido que oferece proteção adequada aos dados pessoais, para um destinatário que tenha obtido autorização de regras corporativas vinculantes de acordo com a Lei de Proteção de Dados Aplicável, ou de acordo com as SCCs implementadas entre o exportador e o importador relevantes dos dados pessoais.
Artigo 7
Descrição do(s) processamento(s)
Os detalhes das operações de processamento, em particular as categorias de dados pessoais e as finalidades de processamento para as quais os dados pessoais são processados em nome do Controlador, estão especificados no Anexo II.
Cláusula 8
Obrigações das partes
8.1. Instruções
1. O Processador processará os dados pessoais somente com base em instruções documentadas do Controlador, a menos que seja obrigado a fazê-lo por requisitos legais aplicáveis aos quais o Processador esteja sujeito. Nesse caso, o Processador informará o Controlador sobre essa exigência legal antes do processamento, a menos que a lei proíba isso por motivos importantes de interesse público. Instruções subsequentes também podem ser dadas pelo Controlador durante o processamento de dados pessoais. Essas instruções devem ser sempre documentadas.
2. O Processador deverá informar imediatamente o Controlador se, na opinião do Processador, as instruções dadas pelo Controlador violarem as disposições da Lei de Proteção de Dados Aplicável.
8.2. Limitação de propósito
O Processador processará os dados pessoais, de acordo com as instruções documentadas do Controlador, somente para a(s) finalidade(s) específica(s) do processamento, conforme estabelecido no Anexo II, a menos que receba instruções adicionais do Controlador ou se documentação adicional de processamento de dados for assinada entre as partes.
8.3. Duração do processamento de dados pessoais
O processamento pelo Processador deverá ocorrer somente durante o período especificado no Anexo II.
8.4. Segurança do processamento
1. O Processador deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo III para garantir a segurança dos dados pessoais. Isso inclui a proteção dos dados contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos dados (violação de dados pessoais). Ao avaliar o nível adequado de segurança, as partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e as finalidades do processamento e os riscos envolvidos para os titulares dos dados.
2. O Processador concederá acesso aos dados pessoais em processamento a membros de sua equipe somente na medida estritamente necessária para a implementação, o gerenciamento e o monitoramento do contrato. O Processador deverá garantir que as pessoas autorizadas a processar os dados pessoais recebidos tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade. O Processador deverá garantir que todas as pessoas autorizadas processem os dados pessoais somente conforme necessário para a Finalidade Permitida.
8.5. Dados confidenciais
Se o processamento envolver dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (“dados sensíveis”), as partes deverão atualizar as categorias de dados pessoais processados no Anexo II e o Processador deverá aplicar restrições específicas e/ou proteções adicionais.
8.6. Documentação e conformidade
1. As Partes deverão ser capazes de demonstrar conformidade com este DPA.
2. O Processador deverá manter registros das atividades de processamento realizadas de acordo com este DPA, contendo categorias de titulares de dados envolvidos no processamento e categorias de dados pessoais processados, natureza, duração e finalidade do processamento, lista de medidas técnicas e organizacionais e avaliação do impacto da proteção de dados.
3. O Processador deverá lidar pronta e adequadamente com as consultas do Controlador sobre o processamento de dados de acordo com este DPA.
4. O Processador disponibilizará ao Controlador todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e decorrentes diretamente da Lei de Proteção de Dados Aplicável. A pedido do Controlador, o Processador também permitirá e contribuirá para auditorias das atividades de processamento cobertas por este DPA, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou uma auditoria, o Controlador deverá levar em conta as certificações relevantes mantidas pelo Processador.
5. O Controlador pode optar por conduzir a auditoria por si mesmo ou solicitar um auditor independente. As auditorias também podem incluir inspeções nas dependências ou instalações físicas do Processador e devem, quando apropriado, ser realizadas com aviso prévio razoável, com pelo menos 30 dias de antecedência.
6. As Partes disponibilizarão as informações mencionadas neste artigo, inclusive os resultados de quaisquer auditorias, à(s) autoridade(s) supervisora(s) competente(s), mediante solicitação.
8.7. Uso de subprocessadores
1. O Processador tem a autorização geral do Controlador para a contratação de Subprocessadores a partir de uma lista acordada. O Processador deverá informar especificamente por escrito ao Controlador sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de Subprocessadores com pelo menos 30 dias de antecedência, dando assim ao Controlador tempo suficiente para poder se opor a essas alterações antes da contratação do(s) Subprocessador(es) em questão. O Processador deverá fornecer ao Controlador as informações necessárias para que ele possa exercer o direito de objeção.
2. Quando o Processador contratar um Subprocessador para realizar atividades de processamento específicas (em nome do Controlador), ele deverá fazê-lo por meio de um contrato que imponha ao Subprocessador, em substância, as mesmas obrigações de proteção de dados que as impostas ao Processador de acordo com estas cláusulas. O Processador deverá garantir que o Subprocessador cumpra as obrigações às quais está sujeito de acordo com este DPA e com a Lei de Proteção de Dados Aplicável.
3. Mediante solicitação do Controlador, o Processador fornecerá uma cópia desse contrato de Subprocessador e quaisquer alterações subsequentes ao Controlador. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o Processador poderá redigir o texto do contrato antes de compartilhar a cópia.
4. O Processador permanecerá totalmente responsável perante o Controlador pelo cumprimento das obrigações do Subprocessador, de acordo com seu contrato com o Processador. O Processador notificará o Controlador sobre qualquer falha do Subprocessador no cumprimento de suas obrigações contratuais.
5. O Processador deverá acordar com o Subprocessador uma cláusula de beneficiário terceiro pela qual – caso o Processador tenha desaparecido de fato, deixado de existir legalmente ou tenha se tornado insolvente – o Controlador terá o direito de rescindir o contrato de Subprocessador e de instruir o Subprocessador a apagar ou devolver os dados pessoais.
8.8. Notificações ao Controlador
1. Além de outras notificações previstas nesta DPA, o Processador informará o Controlador, sem atrasos indevidos, mas não mais do que cinco dias úteis, se o Processador tomar conhecimento de:
a. Qualquer não conformidade do Processador ou de seus funcionários com as obrigações previstas neste DPA ou com os requisitos da Lei de Proteção de Dados Aplicável relacionados à proteção de dados pessoais processados de acordo com este DPA;
b. Qualquer solicitação juridicamente vinculativa de divulgação de dados pessoais por uma autoridade de aplicação da lei, como tribunais, cortes ou autoridades administrativas, a menos que o Processador seja proibido por lei de informar o Controlador (por exemplo, para preservar a confidencialidade de uma investigação por autoridades de aplicação da lei). O Processador deverá ser capaz de fornecer informações sobre a possível divulgação legalmente obrigatória de dados pessoais;
c. Qualquer aviso, inquérito ou investigação de uma Autoridade Supervisora com relação a dados pessoais compartilhados pelo Controlador; ou
d. Qualquer reclamação ou solicitação recebida diretamente dos titulares dos dados do Controlador. O Processador não responderá substancialmente a nenhuma dessas solicitações sem a autorização prévia por escrito do Controlador.
3. Antes de fazer qualquer divulgação de dados pessoais ou de fornecer outras informações relativas a dados pessoais, o Processador deverá consultar o Controlador, exceto nas situações descritas na cláusula 1.b deste Artigo.
8.9. Privacidade por design e padrão
O Processador deverá integrar considerações de privacidade em suas atividades de processamento desde o início, abrangendo o projeto, o desenvolvimento, a implementação e a manutenção contínua de seus sistemas, aplicativos e serviços. As configurações padrão do Processador para sistemas, aplicativos e serviços devem priorizar o mais alto nível de proteção de privacidade, limitando o processamento de dados pessoais por padrão. O Processador deverá fornecer mecanismos que permitam que o Controlador e os titulares dos dados gerenciem facilmente suas preferências de privacidade e exerçam seus direitos.
Artigo 9
Assistência ao Controlador
1. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento.
2. O Processador deverá auxiliar o Controlador no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para exercer seus direitos, levando em consideração a natureza do processamento. No cumprimento de suas obrigações de acordo com os itens (1) e (2), o Processador deverá cumprir as instruções do Controlador.
3. Além da obrigação do Processador de auxiliar o Controlador de acordo com a Cláusula 9.2, o Processador deverá, além disso, auxiliar o Controlador a garantir a conformidade com as seguintes obrigações, levando em consideração a natureza do processamento de dados e as informações disponíveis para o Processador:
a. a obrigação de realizar uma avaliação do impacto das operações de processamento previstas sobre a proteção de dados pessoais (uma “avaliação do impacto sobre a proteção de dados”), quando um tipo de processamento puder resultar em um alto risco para os direitos e liberdades de pessoas físicas. O Processador deverá fornecer assistência ao Controlador para permitir que ele realize a avaliação do impacto da proteção de dados. Ao prestar assistência, o Processador poderá redigir informações na medida necessária para proteger segredos comerciais ou outras informações confidenciais;
b. a obrigação de consultar a(s) autoridade(s) supervisora(s) competente(s) antes do processamento, quando uma avaliação do impacto da proteção de dados indicar que o processamento resultaria em um alto risco na ausência de medidas tomadas pelo Controlador para mitigar o risco;
c. a obrigação de garantir que os dados pessoais sejam precisos e atualizados, informando o Controlador sem demora se o Processador tomar conhecimento de que os dados pessoais que está processando são imprecisos ou se tornaram desatualizados;
d. as obrigações de implementar e manter medidas técnicas e organizacionais apropriadas para garantir um nível de segurança de dados pessoais adequado ao risco. Essas medidas devem levar em conta o estado da técnica, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas e incluir, conforme apropriado:
i. a pseudonimização e a criptografia de dados pessoais;
ii. a capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento;
iii. a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico;
iv. um processo para testar, avaliar e comprovar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
4. As Partes estabelecerão as medidas técnicas e organizacionais adequadas no Anexo III, por meio das quais o Processador deverá auxiliar o Controlador na aplicação deste Artigo, bem como o escopo e a extensão da assistência necessária. O Controlador reconhece que as medidas de segurança estão sujeitas a progresso e desenvolvimento técnico e que o Processador pode atualizar ou modificar as medidas de segurança periodicamente, desde que tais atualizações e modificações não degradem ou diminuam a segurança geral do processamento.
Cláusula 10
Notificação de violação de dados pessoais
No caso de uma violação de dados pessoais, o Processador deverá cooperar e auxiliar o Controlador para que o Controlador cumpra suas obrigações de acordo com a Lei de Proteção de Dados Aplicável, quando aplicável, levando em consideração a natureza do processamento e as informações disponíveis para o Processador.
10.1. Violação de dados referente a dados processados pelo Controlador
No caso de uma violação de dados pessoais referente a dados processados pelo Controlador, o Processador deverá auxiliar o Controlador:
a. notificar a violação de dados pessoais à(s) autoridade(s) supervisora(s) competente(s), sem atraso indevido após o Controlador ter tomado conhecimento dela, quando relevante (a menos que seja improvável que a violação de dados pessoais resulte em um risco aos direitos e liberdades de pessoas físicas);
b. na obtenção das seguintes informações, que devem ser declaradas na notificação do Controlador e devem incluir, no mínimo
i. a natureza dos dados pessoais, incluindo, quando possível, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e o número aproximado de registros de dados pessoais envolvidos;
ii. as consequências prováveis da violação de dados pessoais;
iii. as medidas tomadas ou propostas a serem tomadas pelo Controlador para lidar com a violação de dados pessoais, incluindo, quando apropriado, medidas para mitigar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
c. no cumprimento da obrigação de comunicar, sem atrasos indevidos, a violação de dados pessoais ao titular dos dados, quando a violação de dados pessoais provavelmente resultar em um alto risco aos direitos e liberdades de pessoas físicas.
10.2. Violação de dados referente aos dados processados pelo Processador
1. No caso de uma violação de dados pessoais relativa a dados processados pelo Processador, o Processador deverá notificar o Controlador sem atraso indevido após ter tomado conhecimento da violação. Essa notificação deverá conter, no mínimo
a. uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados em questão);
b. os detalhes de um ponto de contato onde você pode obter mais informações sobre a violação de dados pessoais;
c. suas prováveis consequências e as medidas tomadas ou propostas para solucionar a violação, inclusive para atenuar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas essas informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
2. As Partes estabelecerão no Anexo III todos os outros elementos a serem fornecidos pelo Processador ao auxiliar o Controlador no cumprimento das obrigações do Controlador nos termos dos artigos 33 e 34 do Regulamento (UE) 2016/679.
Artigo 11
Não conformidade com este DPA e rescisão
1. Sem prejuízo de quaisquer disposições da Lei de Proteção de Dados Aplicável, caso o Processador esteja violando suas obrigações nos termos deste DPA, o Controlador poderá instruir o Processador a suspender o processamento de dados pessoais até que ele cumpra este DPA ou o Contrato seja rescindido. O Processador deverá informar prontamente o Controlador caso não possa cumprir este DPA, por qualquer motivo.
2. O Controlador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais de acordo com este DPA se:
a. o processamento de dados pessoais pelo Processador tiver sido suspenso pelo Controlador de acordo com a disposição 1. deste Artigo e se a conformidade com este DPA não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
b. o Processador estiver em violação substancial ou persistente deste DPA ou de suas obrigações de acordo com a Lei de Proteção de Dados Aplicável;
c. o Processador deixar de cumprir uma decisão vinculativa de um tribunal competente ou da(s) autoridade(s) supervisora(s) competente(s) com relação às suas obrigações de acordo com este DPA ou com a Lei de Proteção de Dados Aplicável.
3. O Processador terá o direito de rescindir o Contrato no que diz respeito ao processamento de dados pessoais nos termos deste DPA quando, após ter informado ao Controlador que suas instruções infringem os requisitos legais aplicáveis de acordo com o Artigo 8.1.2, o Controlador insistir no cumprimento das instruções.
4. Após a rescisão do Contrato, o Processador deverá, a critério do Controlador, excluir todos os dados pessoais processados em nome do Controlador e certificar ao Controlador que o fez, ou devolver todos os dados pessoais ao Controlador e excluir as cópias existentes, a menos que a Lei de Proteção de Dados Aplicável exija o armazenamento dos dados pessoais. Até que os dados sejam excluídos ou devolvidos, o Processador deverá continuar a garantir a conformidade com este DPA.
Artigo 12
Diversos
1. Este DPA representa uma parte integrante do Contrato firmado entre as partes e entra em vigor quando ambas as partes assinam o Contrato.
2. Se a Lei de Proteção de Dados Aplicável ou outra regulamentação aplicável exigir que o Controlador assine o DPA ou assine as SCCs, SCCs Intra-UE ou IDTA aplicáveis a um processamento específico ou transferência restrita de dados pessoais para o Processador como um contrato separado, o Processador, mediante solicitação do Controlador, executará prontamente esse documento.
3. As partes concordam que este DPA substituirá qualquer contrato de processamento de dados existente ou documento semelhante que as partes possam ter celebrado anteriormente em relação à tecnologia e aos serviços do Processador.
4. Não obstante qualquer disposição em contrário no Contrato e sem prejuízo da Seção 8.2 (“Limitação da finalidade”), o Processador poderá fazer modificações periódicas neste ATD, conforme necessário, para cumprir a Lei de Proteção de Dados Aplicável e para melhorar o nível de segurança dos dados pessoais. As modificações a este DPA serão publicadas no centro jurídico do Processador (disponível no link: https://mb.wpstaging.uk/dpa-for-the-use-of-microblink-technology-and-support-services/) e o Processador informará o Controlador sobre quaisquer alterações substanciais a este DPA por escrito.
Controlador:
Nome: Licenciado
Endereço: Conforme definido no Contrato assinado.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme definido no Contrato assinado.
Processador:
Nome: Microblink entidade conforme definido no Contrato assinado.
Endereço: Conforme definido no Contrato assinado.
Detalhes de contato do responsável pela proteção de dados: privacy@microblink.com.
Categorias de titulares de dados cujos dados pessoais são processados
Pessoas físicas – os usuários finais da Controladora, incluindo, se aplicável, os usuários finais das afiliadas da Controladora.
Categorias de dados pessoais processados
Nome e sobrenome, endereço, data e local de nascimento, gênero, sexo, nacionalidade, país de residência, assinatura, número do passaporte, número do seguro social, número da carteira de motorista, número da carteira de identidade estadual ou nacional, número de outra carteira de identidade, número de identificação pessoal, imagem do rosto, cor dos olhos, peso, altura, status de doador de órgãos, outras categorias de dados encontrados em documentos de identidade transferidos e dados biométricos (não usados para identificar inegavelmente um indivíduo).
Dados confidenciais processados
Nenhum dado sensível é destinado ao processamento. Se algum dado sensível for transferido, o Controlador notificará o Processador e este aplicará as restrições e proteções necessárias.
Natureza do processamento
Aplicável se o Controlador usar o serviço de verificação do Processador: Usando a Solução do Controlador, o titular dos dados escaneia a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador no Google Cloud Platform, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização e a presença de recursos de segurança é verificada e/ou a análise dos atributos físicos do documento digitalizado é realizada. Quando o processo de verificação é concluído, o Processador retorna a resposta de verificação ao Controlador e, após o término da sessão de verificação, os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar o serviço de extração do Processador: Usando a Solução do Controlador, o titular dos dados digitaliza a frente e/ou o verso do documento de identidade. As digitalizações são enviadas para a infraestrutura de nuvem do Processador no Google Cloud Platform, onde, usando a tecnologia do Processador, os dados pessoais são extraídos da digitalização. O Processador envia os resultados da extração e/ou as imagens digitalizadas para o Controlador quando o processo de extração é concluído, e os dados pessoais são excluídos da infraestrutura de nuvem do Processador.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança imagens de documentos com os quais o Controlador tem problemas para o Processador, o Controlador usa o Upload seguro de imagens do Processador. O Processador analisa o problema de acordo com a solicitação de suporte do Controlador para fornecer serviços de suporte. Dependendo da solicitação de suporte do Controlador, o fornecimento de serviços de suporte pode incluir a depuração de problemas em um tipo de documento já suportado, o suporte a uma nova versão de um documento suportado e o aprimoramento da precisão de um tipo de documento já suportado, se o produto não funcionar. A prestação de serviços de suporte pode, dependendo da solicitação de suporte do Controlador, incluir o retreinamento de modelos.
Finalidade(s) para a qual os dados pessoais são processados em nome do controlador
Aplicável se o Controlador usar o serviço de verificação do Processador: A finalidade do processamento é verificar a presença de recursos de segurança no documento de identidade e devolver a resposta de verificação ao Controlador, de acordo com o Contrato.
Aplicável se o Controlador usar o serviço de extração do Processador: A finalidade do processamento é extrair os dados do documento de identidade e enviar os resultados da extração para o Controlador, de acordo com o Contrato.
Aplicável se o Controlador usar os serviços de suporte do Processador: A finalidade do processamento é fornecer serviços de suporte ao Controlador, de acordo com o Contrato.
Duração do processamento
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O processamento é contínuo (enquanto o Controlador usar a tecnologia ou os serviços). O Processador retém os dados de entrada durante as sessões de verificação ou extração, conforme aplicável, mas não armazena os dados processados, a menos que um período de retenção diferente seja acordado por escrito com o Controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Processador retém as imagens até que o problema seja resolvido.
Para processamento por (sub) processadores, especifique também o assunto, a natureza e a duração do processamento
Google Cloud Platform – a infraestrutura de nuvem da Microblink LLC no Google Cloud Platform será usada para executar a tecnologia do Processador. O processamento de dados pessoais deve ser realizado continuamente, desde que o Controlador use a tecnologia.
Microblink A LLC é uma entidade fornecedora de suporte Microblink e atua como subprocessadora quando não é uma entidade signatária de contrato. Os dados serão processados conforme descrito acima, e as medidas de segurança serão aplicadas conforme descrito no Anexo III.
Medidas para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
A Processor tem uma política definida sobre o manuseio de dados confidenciais, que define a classificação, a divulgação e a proteção dos dados. Todos os funcionários do Processador são obrigados a assinar cláusulas de confidencialidade que estabelecem que os segredos comerciais e as informações confidenciais devem permanecer confidenciais para sempre e devem ser entregues após a rescisão do contrato, sendo que cada violação é considerada uma violação grave. Além disso, o Processador garantirá que a Interface de Programação de Aplicativos seja adequadamente protegida e monitorada com Firewall de Aplicativos da Web e proteção DDoS.
O Processador aplicará os conceitos de “menos privilegiado” e “necessidade de conhecer” e garantirá a segregação de funções. O Processador garantirá que os procedimentos adequados estejam em vigor para registrar novos usuários/direitos de acesso adicionais e para cancelar o registro de usuários. O Processador garantirá que o gerenciamento de acesso privilegiado seja monitorado de perto e baseado em uma revisão regular dos direitos de acesso, com os direitos de acesso sendo retirados se não forem mais necessários.
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico
Em relação ao objeto deste Contrato, o Processador relatará qualquer incidente (próximo) relacionado à segurança o mais rápido possível e de acordo com o Contrato ao contato do Controlador, incluindo as medidas de proteção tomadas para mitigar o impacto do incidente, as medidas preventivas propostas para evitar o incidente (próximo) no futuro e uma estimativa do impacto incorrido devido ao incidente. O processador definiu uma política de gerenciamento de incidentes de segurança da informação que define as funções e responsabilidades no processo de gerenciamento de incidentes. A política também descreve a classificação de incidentes e as etapas que a equipe de resposta a incidentes deve seguir, como avaliação de incidentes, contenção, erradicação de ameaças, recuperação, relatórios e aprendizado com os incidentes. O Processador deve garantir a disseminação do conhecimento e da experiência para assegurar a disponibilidade de pessoas qualificadas mesmo em caso de desastre.
Processos para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizacionais a fim de garantir a segurança do processamento e as medidas para garantir a responsabilidade
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança continuem sendo aplicados. Além disso, o Processador realizará regularmente avaliações de vulnerabilidade dos serviços relacionados por meio de testes de penetração e vulnerabilidade. O Processador tem políticas internas, manuais de regras e procedimentos em vigor para garantir a responsabilidade dos funcionários no processamento responsável de dados pessoais. O Processador garante que seus funcionários sejam informados sobre os requisitos e políticas de segurança do Processador e sobre os desenvolvimentos na área de segurança da informação. O Processador é inteiramente responsável pela conduta de seus funcionários.
Medidas para garantir a segurança física dos locais em que os dados pessoais são processados
As medidas de segurança das instalações físicas do subprocessador (Google Cloud Platform), que fornece serviço de infraestrutura de nuvem privada, incluem várias camadas de segurança física para proteger os data centers, como identificação biométrica, detecção de metais, câmeras, barreiras para veículos e sistemas de detecção de intrusão baseados em laser.(https://www.google.com/about/datacenters/data-security/)
Caso o processamento de dados pessoais ocorra na infraestrutura do Processador ou da empresa Afiliada do Processador, o Processador também garantirá a segurança física adequada por meio do uso de câmeras, cartões de entrada e guardas de segurança.
Medidas para garantir o registro de eventos
Todas as funções de registro de sistemas e aplicativos relacionadas aos serviços fornecidos pelo Processador estão ativadas e os eventos de segurança das informações são revisados regularmente.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão
O Processor aplicará o fortalecimento do sistema para todos os serviços voltados para a Internet por meio de gerenciamento de configuração centralizado, varredura regular de vulnerabilidades e revisão de configuração.
Medidas para governança e gerenciamento internos de TI e segurança de TI
O Processador mantém um sistema eficiente de gerenciamento de segurança de informações para garantir a organização adequada das responsabilidades de segurança de informações, e uma avaliação de risco de segurança é realizada periodicamente para garantir a identificação de riscos novos ou alterados.
O Processador deverá alocar recursos e funcionários que tenham a experiência necessária para realizar qualquer tarefa específica em relação às suas responsabilidades de segurança nos termos deste Contrato.
O Processador garantirá que haja proteção adequada de todos os ativos que contenham dados pessoais fornecidos pelo Controlador no contexto deste Contrato.
Medidas para certificação/garantia de processos e produtos
A critério completo do Processador, um processo periódico de autocertificação será concluído pelo Processador para garantir que todas as políticas e procedimentos relacionados à segurança continuem sendo aplicados.
Medidas para identificação e autorização do usuário
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O acesso ao serviço é concedido apenas a usuários autorizados por meio de credenciais de cliente exclusivas que podem ser revogadas e renovadas a qualquer momento pelo Controlador.
Medidas de pseudonimização e criptografia de dados pessoais e para a proteção de dados durante a transmissão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador usará métodos de criptografia forte, como TLS (versões mais recentes compatíveis) para dados em trânsito.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança os dados pessoais para o Processador, o Controlador deverá usar o Secure Image Upload do Processador.
Medidas para garantir a minimização de dados, retenção limitada de dados e exclusão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador não armazena dados pessoais após o processo de verificação ter sido realizado.
Aplicável se o Controlador usar o serviço de suporte do Processador: O Processador deverá implementar cronogramas de retenção de dados e excluir irreversivelmente os dados de acordo com o cronograma.
Medidas para garantir a qualidade dos dados
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Controlador é responsável pelos dados que são enviados ao Processador, incluindo sua qualidade. O Processador enviará ao Controlador dados pessoais extraídos dos documentos enviados pelo Controlador, juntamente com dados de informações de identificação pessoal (PII) e metadados extraídos dos documentos.
Aplicável se o Controlador usar serviços de suporte: O Controlador e o Processador determinarão a qualidade dos dados que precisam ser compartilhados para resolver o problema levantado pelo Controlador.
Medidas para a proteção de dados durante o armazenamento
Aplicável se o Controlador usar o serviço de suporte do Processador: Microblink usa o Key Management Service para criptografia de dados em repouso.
Medidas de pseudonimização e criptografia de dados pessoais e para a proteção de dados durante a transmissão
Aplicável se o Controlador usar o serviço de verificação e/ou extração do Processador: O Processador usará métodos de criptografia forte, como TLS (versões mais recentes compatíveis) para dados em trânsito.
Aplicável se o Controlador usar os serviços de suporte do Processador: Para transferir com segurança os Dados Pessoais para Microblink, o Licenciado deverá usar Microblink’ Secure Image Upload.
Para transferências para (sub) processadores, também descreva as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador
O Processador deve ter acordos de processamento de dados com subprocessadores para garantir assistência ao Controlador.
Descrição das medidas técnicas e organizacionais específicas a serem tomadas pelo processador para poder prestar assistência ao controlador.
Aplicável se o Controlador usar os serviços de suporte do Processador: O Controlador deve certificar-se de que pode identificar seus usuários finais e, no caso de uma solicitação do titular dos dados, entregar seus identificadores ao Processador. O Processador deverá fornecer assistência ao Controlador na execução da solicitação do titular dos dados, de acordo com o procedimento para exclusão de dados.
O controlador autorizou o uso dos seguintes subprocessadores:
1. Nome: Microblink LLC (se o signatário for Microblink Ltd. ou Microblink USA LLC)
Endereço: Trg Drage Iblera 10, 10000 Zagreb, Croácia
Nome da pessoa de contato, cargo e detalhes de contato: Ena Oršić, Associada Jurídica e Diretora de Proteção de Dados
Descrição do processamento: Fornecimento de serviços de suporte.
2. Nome: Google Cloud Platform
Endereço: Conforme especificado no link a seguir.
Nome, cargo e detalhes de contato da pessoa de contato: Conforme especificado no link a seguir.
Descrição do processamento: A plataforma do subprocessador será usada para executar a tecnologia do processador para processar os dados pessoais durante a sessão de extração e/ou verificação. Após a conclusão da sessão, os dados não serão armazenados.
Exploring our solutions is just a click away. Try our products or have a chat with one of our experts to delve deeper into what we offer.
