Contrato sobre o processamento de dados pessoais
em nome do Art. 28 do Regulamento Geral de Proteção de Dados
entre o cliente e o
INGENIOUS TECHNOLOGIES AG
- doravante denominada processador
Friedrichstraße 171
10117 Berlim
Alemanha
1. objeto do contrato
(1) Como parte do uso da tecnologia Ingenious, é necessário que o processador armazene e processe os dados coletados pelo cliente durante o uso da tecnologia Ingenious. Não se pode excluir a possibilidade de que esses dados sejam dados pessoais de acordo com o significado do Art. 4 No. 1 do GDPR. Este Contrato de Processamento de Dados aplica-se exclusivamente a esses dados (doravante denominados "Dados do Cliente").
(2) Este contrato especifica os direitos e as obrigações das partes de acordo com a lei de proteção de dados em relação ao tratamento dos dados do cliente pelo processador no cumprimento do contrato principal.
2. tipo, escopo, finalidade e duração do processamento do pedido
(1) O Processador processará os Dados do Cliente em nome e de acordo com as instruções do Cliente, de acordo com o significado do Art. 28 do GDPR (processamento comissionado). O Cliente continuará sendo o controlador dentro do significado da lei de proteção de dados de acordo com o Art. 4 No. 7 GDPR.
(2) O processamento dos Dados do Cliente dentro do escopo do processamento de dados comissionados será realizado de acordo com as disposições sobre o tipo, o escopo e a finalidade do processamento de dados contidos no Anexo 1 deste Contrato. Ele se refere ao tipo de dados do cliente especificados no Anexo 1, à finalidade do processamento de dados e ao grupo de titulares de dados especificados no mesmo.
(3) O processamento dos dados do cliente deverá ocorrer no território da República Federal da Alemanha, em outro estado membro da União Europeia ou em outro estado signatário do Acordo sobre o Espaço Econômico Europeu. Qualquer realocação para um terceiro país requer o consentimento prévio do cliente e só poderá ocorrer se os requisitos especiais do Art. 44 e seguintes do GDPR forem atendidos. GDPR forem cumpridos.
(4) O prazo e o cancelamento deste contrato são regidos pelas disposições sobre o prazo e o cancelamento do contrato principal. A rescisão do contrato principal resultará automaticamente na rescisão do presente contrato. O cancelamento isolado deste contrato está excluído.
3. autoridade do cliente para emitir instruções
(1) O processador deverá tratar os dados do cliente exclusivamente dentro da estrutura dos contratos firmados e de acordo com as instruções documentadas do cliente, de acordo com o Art. 28, parágrafo 3, frase 2 lit. a GDPR, a menos que o processador seja obrigado a processar os dados de acordo com a legislação da União ou dos Estados Membros aos quais está sujeito. Nesse caso, o processador deverá notificar o controlador sobre esses requisitos legais antes do processamento, a menos que a lei em questão proíba essa notificação devido a um interesse público importante.
(2) O Cliente se reserva o direito de emitir instruções abrangentes sobre o tipo, o escopo, os meios e as finalidades do processamento de dados dentro do escopo da descrição do pedido estabelecido neste contrato, que poderá ser especificado em instruções individuais. Se o cliente emitir instruções individuais com relação ao tratamento dos dados do cliente que ultrapassem o escopo de serviços acordado contratualmente, os custos resultantes serão arcados pelo cliente.
(3) Alterações no objeto de processamento e alterações processuais devem ser acordadas e documentadas em conjunto. O Processador somente poderá fornecer informações a terceiros ou ao titular dos dados com o consentimento prévio por escrito do Cliente. O processador não está autorizado a repassar os dados do cliente a terceiros e não deverá usar os dados para quaisquer outros fins, especialmente para seus próprios fins.
(4) O Processador não tem obrigação de revisar as instruções do Cliente nos termos da lei (de proteção de dados). O Processador deverá informar o Controlador imediatamente, de acordo com o Art. 28, parágrafo 3, frase 3 do GDPR, se, em sua opinião, uma instrução emitida pelo Controlador violar as disposições legais. O Processador está autorizado a suspender a implementação da instrução correspondente até que ela seja confirmada ou alterada pelo Controlador no Principal.
4. obrigações do cliente
(1) O cliente é o único responsável pela legalidade do processamento de dados pelo processador e pela proteção dos direitos dos titulares dos dados e, portanto, é o "controlador" no sentido do Art. 4 No. 7 do GDPR.
(2) O cliente é o proprietário de todos os possíveis direitos relacionados aos dados do cliente.
(3) O Cliente deverá informar o Processador imediatamente se descobrir erros ou irregularidades em relação ao processamento dos Dados do Cliente pelo Processador.
(4) Se terceiros fizerem reivindicações contra o Processador devido ao processamento dos Dados do Cliente, o Cliente deverá indenizar o Processador contra todas essas reivindicações mediante a primeira solicitação.
5 Obrigações do processador
(1) O Processador deverá garantir e monitorar regularmente que o processamento dos Dados do Cliente dentro do escopo da prestação de serviços sob o Contrato Principal em sua área de responsabilidade, que inclui os subcontratados de acordo com a Seção 9 deste Contrato, seja realizado de acordo com as disposições deste Contrato.
(2) O responsável pela proteção de dados do processador é
Walter Meng, Ingenious Technologies AG, Französische Strasse 48, 10117 Berlim, Alemanha
foi nomeado. O Cliente deve ser informado imediatamente sobre qualquer alteração do responsável pela proteção de dados.
(3) De acordo com o Art. 28, parágrafo 3, frase 2 lit. b do GDPR, o processador deve obrigar todas as pessoas que possam acessar os dados pessoais do cliente de acordo com a ordem a manter o sigilo dos dados por escrito e informá-las sobre as obrigações especiais de proteção de dados decorrentes dessa ordem e da instrução ou limitação de finalidade existente.
(4) O processador não poderá fazer nenhuma cópia ou duplicata dos dados do cliente sem o consentimento prévio do cliente dentro do escopo do processamento do pedido. No entanto, isso não se aplica às cópias necessárias para garantir o processamento adequado dos dados e a prestação adequada de serviços de acordo com o contrato principal (incluindo backup de dados), bem como às cópias necessárias para cumprir as obrigações legais de retenção.
(5) O processador será obrigado a apoiar o controlador no cumprimento de suas obrigações nos termos dos artigos 12 a 22 e 32 a 36 do GDPR, na medida do razoável e necessário, e contra o reembolso das despesas e custos resultantes. O suporte deverá ser fornecido levando-se em conta a natureza do processamento e as informações disponíveis para o processador e, na medida do possível, medidas técnicas e organizacionais apropriadas, em particular para responder às solicitações de exercício dos direitos do titular dos dados mencionados nos artigos 12 a 22 do GDPR.
(6) O Processador é obrigado a fornecer ao Cliente todas as informações necessárias, incluindo certificações, bem como resultados de análises e inspeções, que servem como prova de conformidade com as obrigações estabelecidas neste Contrato.
6. medidas técnicas e organizacionais
(1) O Processador deverá implementar as medidas técnicas e organizacionais listadas no Anexo 2 deste Contrato antes de iniciar o processamento dos Dados do Cliente e mantê-las durante a vigência do Contrato.
(2) Como as medidas técnicas e organizacionais estão sujeitas ao progresso técnico e ao desenvolvimento tecnológico, o Processador tem permissão para implementar medidas alternativas e adequadas, desde que o nível de segurança das medidas estabelecidas no Anexo 2 não seja prejudicado. O Processador deverá documentar essas alterações. Alterações significativas nas medidas exigirão o consentimento prévio do Cliente e deverão ser documentadas pelo Processador e disponibilizadas ao Cliente mediante solicitação.
7 Notificação de infrações pelo processador
(1) O Processador informará o Cliente imediatamente se descobrir que ele ou um funcionário violou os regulamentos de proteção de dados ou as disposições deste Contrato ao processar os dados do Cliente, desde que haja um risco de violação da proteção dos dados pessoais do Cliente de acordo com o Art. 4 No. 12 GDPR.
(2) Na medida em que o Cliente estiver sujeito a obrigações legais de informação devido à aquisição ilegal de dados do Cliente (em particular, de acordo com os Artigos 33 e 34 do GDPR) como resultado de um incidente de acordo com o parágrafo (1), o Processador deverá apoiar o Cliente no cumprimento das obrigações de informação a pedido do Cliente dentro do escopo do que é razoável e necessário contra o reembolso das despesas e custos incorridos pelo Processador como resultado.
8. direitos de controle do cliente
(1) O Cliente deverá se certificar, às suas próprias custas, das medidas técnicas e organizacionais do Processador, de acordo com o Anexo 2, antes de iniciar o processamento de dados e, depois disso, regularmente e documentar o resultado. Para esse fim, ele poderá obter informações do próprio Processador, obter um certificado de um especialista ou, após marcar uma reunião em tempo hábil, convencer-se pessoalmente sem interromper as operações e mantendo a estrita confidencialidade dos segredos comerciais e empresariais do Processador. O Processador se compromete a apoiar as inspeções do Cliente de maneira apropriada e a tolerar todas as medidas de inspeção necessárias.
(2) O Processador se compromete a fornecer ao Cliente, mediante solicitação por escrito e dentro de um período de tempo razoável, todas as informações necessárias para a realização de uma inspeção.
(3) O Processador terá o direito, a seu critério, levando em consideração as obrigações legais do Cliente, de não divulgar informações que sejam sensíveis com relação aos negócios do Processador ou se o Processador estiver violando disposições estatutárias ou outras disposições contratuais ao divulgá-las. O Principal não está autorizado a obter acesso a dados ou informações sobre outros clientes do Processador, a informações relativas a custos, a relatórios de auditoria de qualidade e de gerenciamento de contratos e a quaisquer outros dados confidenciais do Processador que não sejam diretamente relevantes para os fins de controle acordados.
(4) O Principal deverá informar o Processador em tempo hábil (geralmente com pelo menos duas semanas de antecedência) sobre todas as circunstâncias relacionadas à realização da inspeção. Como regra geral, o Cliente poderá realizar uma inspeção por ano civil. Isso não afeta o direito do Cliente de realizar outras inspeções em caso de incidentes especiais.
(5) Se o Cliente contratar um terceiro para realizar a inspeção, o Cliente obrigará o terceiro, por escrito, da mesma forma que o Cliente está obrigado ao Processador nos termos desta Seção 10 deste Contrato. Além disso, o Cliente obrigará o terceiro a manter a confidencialidade e o sigilo, a menos que o terceiro esteja sujeito a uma obrigação profissional de confidencialidade. Mediante solicitação do Processador, o Principal deverá apresentar imediatamente ao Processador os acordos de obrigação com o terceiro. O cliente não poderá encarregar um concorrente do processador de realizar a inspeção.
(6) A critério do Processador, a prova de conformidade com as medidas técnicas e organizacionais de acordo com o Anexo 2 também pode ser fornecida em vez de uma inspeção no local, por meio da apresentação de um certificado adequado e atualizado, relatórios ou extratos de relatórios de órgãos independentes (por exemplo, auditores, responsáveis pela proteção de dados, departamento de segurança de TI, auditores de proteção de dados ou auditores de qualidade) ou uma certificação adequada por meio de uma auditoria de segurança de TI ou de proteção de dados - por exemplo, de acordo com o BSI-Grund. O Cliente poderá obter uma certificação adequada por meio de uma auditoria de segurança de TI ou de proteção de dados - por exemplo, de acordo com a proteção básica do BSI - ("relatório de auditoria"), se o relatório de auditoria permitir que o Cliente se certifique da conformidade com as medidas técnicas e organizacionais de acordo com o Anexo 2 deste Contrato de maneira razoável.
9. relações de subcontratação
(1) O Processador somente poderá estabelecer relações de subcontratação com relação ao processamento dos Dados do Cliente com o consentimento prévio por escrito do Cliente. Esse consentimento prévio somente poderá ser recusado pelo Cliente por justa causa a ser comprovada ao Processador. Mediante solicitação, o Processador deverá fornecer ao Cliente uma visão geral atualizada dos subprocessadores contratados. Em caso de autorização por escrito, o Processador deverá sempre informar o Cliente sobre qualquer mudança pretendida com relação ao envolvimento ou substituição de outros processadores.
(2) Os subprocessadores mencionados no Anexo 3 serão considerados como já autorizados pelo Cliente.
(3) Quando um subprocessador for contratado, o processador imporá ao subprocessador, por meio de um contrato ou outro instrumento legal nos termos da legislação da União ou do Estado-Membro em questão, as mesmas obrigações de proteção de dados que as estabelecidas neste contrato. Se um subprocessador não cumprir as obrigações estabelecidas neste contrato ou violar os regulamentos de proteção de dados, o processador será responsável perante o cliente pelo cumprimento das obrigações do subprocessador.
(4) Os serviços que o Processador utiliza de terceiros como um serviço auxiliar para dar suporte à execução do pedido não devem ser entendidos como relações de subcontratação no sentido desta disposição e, portanto, não requerem o consentimento do Cliente. Isso inclui, em particular, serviços de telecomunicações, serviços de segurança, serviços de manutenção e de usuário, pessoal de limpeza, auditores e o descarte de mídia de armazenamento de dados. Entretanto, o processador é obrigado a fazer acordos contratuais adequados e em conformidade com a lei e a tomar medidas de controle para garantir a proteção e a segurança dos dados do cliente, mesmo no caso de serviços auxiliares terceirizados.
10 Direitos dos titulares dos dados
(1) Os direitos das pessoas afetadas pelo processamento de dados devem ser reivindicados contra o cliente.
(2) Se um titular de dados entrar em contato com o Processador diretamente para exercer seus direitos nos termos dos artigos 12 a 22 do GDPR em relação aos dados que lhe dizem respeito, o Processador deverá encaminhar o titular dos dados ao Controlador.
(3) No caso de um titular de dados reivindicar seus direitos de acordo com os Artigos 12 a 22 do GDPR, o Processador deverá apoiar o Controlador no cumprimento dessas reivindicações na medida em que for razoável e necessário para o Controlador, a menos que o Controlador possa cumprir as reivindicações sem a cooperação do Processador. O Cliente deverá reembolsar o Processador por quaisquer despesas adicionais.
(4) O Processador deverá permitir que o Cliente corrija, exclua ou bloqueie os Dados do Cliente ou, a pedido do Cliente, realize a correção, o bloqueio ou a exclusão por conta própria se e na medida em que isso for impossível para o próprio Cliente.
11. devolução e exclusão dos dados do cliente fornecidos
(1) A Processadora deverá, a critério do Cliente, devolver ou excluir todos os dados do Cliente após o término da prestação do serviço contratual (especialmente em caso de cancelamento ou outra rescisão do contrato principal) e destruir as cópias existentes, a menos que haja uma obrigação legal de armazenar os dados.
(2) O Processador deverá preparar um registro da exclusão ou destruição dos Dados do Cliente, que deverá ser apresentado ao Cliente mediante solicitação.
(3) A documentação que serve como prova do processamento adequado dos dados, de acordo com a ordem ou os períodos de retenção legais, deve ser mantida pelo processador após o término do contrato, de acordo com os respectivos períodos de retenção.
12. relação com o contrato principal
Na medida em que não houver disposições especiais contidas neste contrato, as disposições do contrato principal serão aplicáveis. No caso de contradições entre este contrato e as disposições de outros acordos, em particular do contrato principal, as disposições deste contrato terão precedência no que diz respeito ao processamento de dados do cliente.
Download em PDF do contrato de processamento de dados: