entre o Controlador e
INGENIOUS TECHNOLOGIES AG
- doravante denominada Processador -.
Französische Str. 48
10117 Berlim
Alemanha
1 Objeto do contrato
(1) Dentro do escopo do uso da tecnologia Ingenious de acordo com os Termos e Condições Gerais de Negócios da Ingenious (doravante o "Contrato Principal"), é necessário que o Processador armazene e processe dados coletados pelo Controlador no decorrer do uso da tecnologia Ingenious. Não se pode excluir a possibilidade de que esses dados representem dados pessoais de acordo com o significado do Art. 4, nº 1, GDPR. Este Contrato de processamento de dados comissionado aplica-se exclusivamente a esses dados (doravante denominados "Dados do Controlador").
(2) Este Contrato estabelece em termos concretos os direitos e deveres das partes em relação à proteção de dados em conexão com o tratamento dos Dados do Controlador pelo Processador na execução do Contrato Principal.
2. natureza, escopo, finalidade e prazo do processamento comissionado
(1) O Processador processará os Dados do Controlador em nome e de acordo com as instruções do Controlador, de acordo com o significado do Art. 28 do GDPR (Processamento comissionado). O Controlador continua sendo o órgão responsável dentro do significado das disposições de proteção de dados, de acordo com o Art. 4, nº 7, GDPR.
(2) O processamento dos Dados do Controlador dentro do escopo do Processamento Encomendado será realizado de acordo com as estipulações relativas à natureza, escopo e finalidade do processamento de dados contidos no Anexo 1 deste Contrato. Isso se refere à natureza dos Dados do Controlador no Anexo 1, à finalidade do processamento de dados e ao círculo de titulares de dados especificados ali.
(3) Os Dados do Controlador serão processados no território da República Federal da Alemanha, em qualquer outro estado membro da União Europeia ou em qualquer outro estado contratante do Acordo sobre o Espaço Econômico Europeu. Qualquer transferência para um terceiro país exigirá o consentimento prévio do Controlador e só poderá ocorrer se as condições especiais do Art. 44 e seguintes do GDPR forem cumpridas.
(4) O prazo e a rescisão do presente Contrato serão regidos pelas disposições relativas ao prazo e à rescisão do Contrato Principal. Qualquer rescisão do Contrato Principal tem automaticamente o efeito de rescindir este Contrato. A rescisão deste Contrato de forma isolada está excluída.
3. poderes do controlador para emitir instruções
(1) Os Dados do Controlador serão tratados pelo Processador exclusivamente dentro do escopo dos acordos firmados e de acordo com as instruções documentadas do Controlador, de acordo com o Art. 28, parágrafo 3, frase 2 (a) do GDPR, a menos que o Processador seja obrigado a processar os mesmos de acordo com a legislação da União ou do Estado Membro à qual está sujeito. Nesse caso, o Processador informará o funcionário responsável sobre esses requisitos legais antes de realizar o processamento, a menos que essa lei proíba o fornecimento de tais informações por motivos importantes de interesse público.
(2) Dentro do escopo da descrição da comissão estabelecida neste Contrato, o Controlador se reserva o direito de emitir instruções relacionadas à natureza, escopo, meios e finalidades do processamento de dados, que podem ser especificadas em mais detalhes por meio de instruções individuais. Caso o Controlador emita instruções individuais em relação ao tratamento dos Dados do Controlador que vão além do escopo de desempenho acordado contratualmente, os custos incorridos serão suportados pelo Controlador.
(3) Quaisquer alterações no objeto do processamento ou quaisquer alterações nos processos devem ser acordadas e documentadas em conjunto. O Processador somente poderá fornecer informações a terceiros ou ao titular dos dados após o consentimento prévio por escrito do Controlador. O Processador não tem o direito de repassar os Dados do Controlador a terceiros e não deverá usar os dados para nenhum outro fim, especialmente para seus próprios fins.
(4) O Processador não tem obrigação de verificar a legitimidade das instruções do Controlador de acordo com as disposições legais (de proteção de dados). O Processador deverá informar imediatamente o Controlador de acordo com o Art. 28, parágrafo 3, sentença 3, GDPR se, em sua opinião, uma instrução emitida pelo Controlador infringir as disposições legais. O Processador terá o direito de suspender a implementação da instrução correspondente até que ela tenha sido confirmada ou alterada pelo funcionário responsável do Controlador.
4 Deveres do Controlador
(1) O Controlador é o único responsável pela legalidade do processamento de dados pelo Processador e também pela proteção dos direitos dos titulares dos dados, sendo, portanto, o "controlador" no sentido do Art. 4, nº 7, GDPR.
(2) O Controlador é o proprietário de todos e quaisquer direitos relacionados aos Dados do Controlador.
(3) O Controlador deverá informar imediatamente o Processador caso descubra quaisquer erros ou irregularidades relacionados ao processamento dos Dados do Controlador pelo Processador.
(4) Caso quaisquer terceiros façam reivindicações contra o Processador por conta do processamento dos Dados do Controlador, o Controlador deverá indenizar o Processador por todas essas reivindicações mediante primeira solicitação.
5 Deveres do processador
(1) O Processador garantirá e verificará regularmente se o processamento dos Dados do Controlador no âmbito da prestação de serviços nos termos do Contrato Principal em sua área de responsabilidade, que inclui os subcontratados nos termos da Cláusula 9 do presente Contrato, é realizado em conformidade com as disposições do presente Contrato.
(2) O Processador nomeou o responsável pela proteção de dados
Walter Meng, Ingenious Technologies AG, Französische Strasse 48, 10117 Berlim, Alemanha.
O Processador deve informar o Controlador imediatamente no caso de uma mudança do responsável pela proteção de dados.
(3) De acordo com o Art. 28, parágrafo 3, frase 2 (b), GDPR, o Processador deverá impor uma obrigação de sigilo de dados por acordo escrito a todas as pessoas autorizadas a acessar os dados pessoais do Controlador, e deverá informá-las sobre as obrigações específicas de proteção de dados decorrentes dessa comissão e também sobre o compromisso existente de observar as instruções e a restrição à finalidade especificada.
(4) Sem o consentimento prévio do Controlador, o Processador não poderá fazer nenhuma cópia ou duplicata dos Dados do Controlador dentro do escopo do Processamento comissionado. No entanto, excetuam-se as cópias necessárias para garantir o processamento ordenado de dados e a prestação ordenada de serviços de acordo com o Contrato Principal (incluindo backups de dados), e também as cópias necessárias para cumprir as obrigações legais de retenção.
(5) O Processador é obrigado a apoiar o Controlador, dentro dos limites razoáveis e necessários e contra o reembolso das despesas e custos incorridos como resultado, no cumprimento de suas obrigações nos termos dos artigos 12 a 22 e 32 a 36 do GDPR. O suporte deverá ser fornecido levando-se em conta o tipo de processamento e as informações disponíveis para o Processador, bem como, quando possível, medidas técnicas e organizacionais apropriadas, em particular em resposta a solicitações para exercer os direitos do titular dos dados especificados nos artigos 12 a 22 do GDPR.
(6) O Processador será obrigado a fornecer ao Controlador todas as informações necessárias, incluindo certificações e os resultados de análises e inspeções, que servem como prova documental do cumprimento das obrigações estabelecidas neste Contrato.
6. medidas técnicas e organizacionais
(1) Antes de iniciar o processamento dos Dados do Controlador, o Processador deverá implementar as medidas técnicas e organizacionais listadas no Anexo 2 deste Contrato e mantê-las em vigor durante a vigência do Contrato.
(2) Como as medidas técnicas e organizacionais serão regidas pelo progresso técnico e pelo desenvolvimento tecnológico futuro, o Processador tem permissão para implementar medidas alternativas e adequadas, desde que o nível de segurança não fique abaixo das medidas estipuladas no Anexo 2. O Processador deve documentar todas essas alterações. Alterações significativas nas medidas exigem o consentimento prévio do Controlador e devem ser documentadas pelo Processador e fornecidas ao Controlador mediante solicitação.
7. violações relatáveis pelo Processador
(1) O Processador deverá informar o Controlador imediatamente se descobrir que ele ou qualquer funcionário violou as disposições ou estipulações de proteção de dados deste Contrato ao processar os Dados do Controlador, quando houver risco de violação dos dados pessoais do Controlador, de acordo com o Art. 4, nº 12, GDPR.
(2) Quando o Controlador tiver o dever legal de fornecer informações após um incidente nos termos do parágrafo (1) devido a uma divulgação ilegal dos Dados do Controlador (em particular nos termos dos Artigos 33 e 34 do GDPR), o Processador deverá, a pedido do Controlador, apoiar este último, dentro do escopo do que for razoável e necessário, no cumprimento de seus deveres de fornecimento de informações, sujeito ao reembolso das despesas e custos incorridos pelo Processador.
8. direitos de controle do controlador
(1) Antes do início do processamento de dados e, depois, em intervalos regulares, o Controlador deverá, às suas próprias custas, certificar-se das medidas técnicas e organizacionais tomadas pelo Processador de acordo com o Anexo 2 e documentar o resultado. Para esse fim, ele poderá obter informações do próprio Processador, solicitar a apresentação de um atestado de um especialista ou, após o acordo de um compromisso com a devida antecedência, certificar-se pessoalmente, sem interromper as operações comerciais e sujeito à observância de sigilo estrito em relação aos segredos industriais e comerciais do Processador. O Processador se compromete a apoiar as inspeções do Controlador de maneira apropriada e a tolerar todas as medidas de controle necessárias.
(2) O Processador se compromete, mediante solicitação por escrito do Controlador, a fornecer a este último, dentro de um período razoável, todas as informações necessárias para a realização de uma inspeção.
(3) O Processador terá, a seu próprio critério, o direito, levando em consideração as obrigações legais do Controlador, de reter informações que sejam sensíveis em relação aos negócios do Processador, ou se o Processador violar disposições legais ou outras disposições contratuais por meio da divulgação de tais informações. O Controlador não terá o direito de ter acesso a dados ou informações sobre outros clientes do Processador, a informações relacionadas a custos, controle de qualidade e relatórios de gerenciamento de contratos ou a quaisquer outros dados confidenciais do Processador que não sejam diretamente relevantes para os fins de controle acordados.
(4) O Controlador deve informar o Processador em tempo hábil (como regra, pelo menos duas semanas antes) de todas as circunstâncias relacionadas à realização da inspeção. Como regra geral, o Controlador pode realizar uma inspeção por ano civil. O direito do Controlador de realizar outras inspeções no caso de incidentes especiais não é afetado pelo presente documento.
(5) Caso o Controlador instrua um terceiro a realizar a inspeção, o Controlador deverá, mediante acordo por escrito, impor a esse terceiro as mesmas obrigações que o próprio Controlador tem para com o Processador nos termos desta Cláusula 8 deste Contrato. Além disso, o Controlador imporá uma obrigação de confidencialidade e sigilo ao terceiro, a menos que o terceiro esteja vinculado a um dever de sigilo profissional. A pedido do Processador, o Controlador deverá apresentar prontamente ao Processador os acordos feitos com o terceiro contendo esses compromissos. O Controlador não poderá instruir nenhum concorrente do Processador a realizar a inspeção.
(6) A critério do Processador, a prova documental da conformidade com as medidas técnicas e organizacionais de acordo com o Anexo 2 também pode, em vez de uma inspeção no local, ser fornecida por meio da apresentação de um atestado atual adequado, de relatórios ou extratos de relatórios de órgãos independentes (por exemplo, de contadores públicos certificados, auditores, oficiais de proteção de dados, um departamento de segurança de TI, auditores de proteção de dados ou auditores de qualidade) ou uma certificação adequada por meio de uma auditoria de segurança de TI ou de proteção de dados - por exemplo, de acordo com a proteção de base do BSI [proteção de base emitida pelo Escritório Federal Alemão de Segurança da Informação] - ("Relatório de Auditoria"), desde que o relatório de auditoria permita que o Controlador se satisfaça de maneira adequada com a conformidade com as medidas técnicas e organizacionais de acordo com o Anexo 2.Por exemplo, de acordo com a proteção de linha de base do BSI [proteção de linha de base emitida pelo Escritório Federal Alemão para Segurança da Informação] - ("Relatório de Auditoria"), desde que o relatório de auditoria permita que o Controlador se satisfaça de maneira apropriada com a conformidade com as medidas técnicas e organizacionais de acordo com o Anexo 2 deste Contrato.
9. subcontratação
(1) O Processador somente poderá estabelecer relações de subcontratação com relação ao processamento de Dados do Controlador após o consentimento prévio por escrito do Controlador. Esse consentimento prévio somente poderá ser recusado pelo Controlador por motivos convincentes, cuja evidência deverá ser apresentada ao Processador. O Processador, mediante solicitação, entregará ao Controlador uma visão geral atualizada dos subprocessadores envolvidos. Quando a autorização por escrito tiver sido concedida, o Processador sempre informará o Controlador sobre qualquer alteração pretendida com relação ao recrutamento ou à substituição de outros processadores.
(2) Os Subprocessadores nomeados no Anexo 3 são considerados aprovados pelo Controlador.
(3) No caso da contratação de um subprocessador, o Processador deverá, por contrato ou qualquer outro instrumento legal nos termos da legislação da União Europeia ou da legislação do estado membro relevante, impor ao subprocessador as mesmas obrigações de proteção de dados estipuladas neste Contrato. Se um subprocessador deixar de cumprir as obrigações estipuladas neste Contrato ou violar quaisquer disposições de proteção de dados, o Processador será responsável perante o Controlador pelo cumprimento das obrigações do subprocessador.
(4) Os serviços dos quais o Processador se vale de terceiros como um serviço auxiliar para fins de apoio no desempenho da comissão não são entendidos como relações de subcontratação no sentido desta disposição e, portanto, não exigem o consentimento do Controlador. Isso inclui, em particular, serviços de telecomunicações, serviços de segurança, manutenção e serviço ao usuário, pessoal de limpeza, auditores e o descarte de suportes de dados. Entretanto, para garantir a proteção e a segurança dos dados do Controlador, o Processador deverá, também no caso de serviços auxiliares terceirizados, ser obrigado a firmar acordos contratuais em conformidade com a lei e a implementar medidas de controle.
10. direitos dos titulares dos dados
(1) Os direitos das pessoas afetadas pelo processamento de dados devem ser reivindicados contra o Controlador.
(2) Caso um titular de dados solicite diretamente ao Processador a proteção de seus direitos relativos a dados pessoais de acordo com os Arts. 12 a 22 do GDPR, o Processador encaminhará o titular dos dados ao Controlador.
(3) No caso de um titular de dados reivindicar seus direitos nos termos dos Artigos. 12 a 22 do GDPR, o Processador deverá apoiar o Controlador na satisfação dessas reivindicações dentro de um escopo razoável e dentro do escopo necessário para o Controlador, na medida em que o Controlador não puder satisfazer as reivindicações sem a cooperação do Processador. O Controlador deverá reembolsar o Processador por qualquer despesa adicional.
(4) O Processador deverá permitir que o Controlador retifique, apague ou bloqueie os Dados do Controlador ou, a pedido do Controlador, deverá realizar a retificação, o bloqueio ou o apagamento por conta própria se e na medida em que o Controlador não puder fazê-lo por conta própria.
11. devolução e exclusão dos Dados do Controlador fornecidos
(1) Após o término da prestação de serviços cobertos pelo Contrato (em particular, no caso de rescisão ou qualquer outro término do Contrato Principal), o Processador deverá, a critério do Controlador, devolver ou apagar todos os Dados do Controlador e destruir quaisquer cópias existentes, exceto quando houver uma obrigação de armazenar os dados de acordo com uma disposição legal.
(2) O Processador deverá preparar um protocolo de apagamento ou destruição dos Dados do Controlador e fornecê-lo ao Controlador mediante solicitação.
(3) A documentação que serve como prova documental do processamento ordenado de dados de acordo com os termos da comissão ou que deve ser retida pelos períodos de retenção estatutários deve ser armazenada pelo Processador após o término do Contrato em conformidade com os respectivos períodos de retenção.
12 Relacionamento com o contrato principal
Exceto quando disposições especiais estiverem contidas neste Contrato, as disposições do Contrato Principal serão aplicáveis. No caso de quaisquer discrepâncias entre este Contrato e as disposições de outros acordos, em particular do Contrato Principal, as disposições deste Contrato terão precedência no que diz respeito ao processamento dos Dados do Controlador.