Contrato de Processamento de Dados - Flux Panda Inc.

Este Acordo de Processamento de Dados ("Acordo") faz parte do Contrato de

Serviços ("Principal Agreement") entre Flux Panda Inc. ("Principal Agreement") (o "Processador de Dados" ou "Flux Panda") e a entidade cliente que é parte do Contrato (a "Empresa", "Cliente" ou "você") (juntos como as "Partes")

CONSIDERANDO QUE

(A) A Empresa, um Cliente de Flux Panda atua como Controlador de Dados, e Flux Panda atua como Processador de Dados.

(B) A Empresa deseja subcontratar determinados Serviços, que implicam no processamento de dados pessoais, para o Processador de Dados.

(C) As Partes procuram implementar um acordo de processamento de dados que cumpra os requisitos da atual estrutura legal em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).

(D) As Partes desejam estabelecer seus direitos e obrigações.

É ACORDADO COMO SEGUE:

1. Definições e Interpretação

1.1 Salvo definição em contrário, os termos e expressões em maiúsculas utilizados neste Contrato terão o seguinte significado:

1.1.1 "Acordo" significa este Acordo de Processamento de Dados e todos os Cronogramas;

1.1.2 "Dados Pessoais da Empresa" significa quaisquer dados pessoais processados por um Processador Contratado em nome da Empresa de acordo com ou em conexão com o Contrato Principal;

1.1.3 "Processador Contratado" significa um Subprocessador;

1.1.4 "Leis de proteção de dados" significa as leis de proteção de dados da UE e, na medida do aplicável, as leis de proteção de dados ou de privacidade de qualquer outro país;

1.1.5 "EEE" significa o Espaço Econômico Europeu;

1.1.6 "Leis de proteção de dados da UE" significa a Diretiva 95/46/EC da UE, conforme transposta para a legislação interna de cada Estado-membro e conforme emendada, substituída ou substituída de tempos em tempos, inclusive pelo GDPR e leis que implementam ou complementam o GDPR;

1.1.7 "GDPR" significa Regulamento Geral de Proteção de Dados da UE 2016/679;

1.1.8 "Transferência de dados" significa "transferência de dados":

1.1.8.1 uma transferência de dados pessoais da Empresa para um Processador Contratado; ou

1.1.8.2 uma transferência posterior de dados pessoais da empresa de um Processador Contratado para um Processador Subcontratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis de Proteção de Dados (ou pelos termos dos acordos de transferência de dados implementados para tratar das restrições de transferência de dados das Leis de Proteção de Dados);

1.1.9 "Serviços" significa os serviços de comércio eletrônico e vídeo SaaS que o Processador de Dados fornece.

1.1.10 "Subprocessador" significa qualquer pessoa indicada por ou em nome de Flux Panda para processar Dados Pessoais em nome da Empresa em conexão com o Contrato.

1.2 Os termos "Comissão", "Controlador", "Sujeito dos Dados", "Estado Membro", "Dados Pessoais", "Violação de Dados Pessoais", "Processamento" e "Autoridade Supervisora" terão o mesmo significado que no GDPR, e seus termos cognatos devem ser interpretados de acordo.

2. Processamento de dados pessoais da empresa

2.1 O processador deverá:

2.1.1 cumprir todas as leis de proteção de dados aplicáveis no processamento de dados pessoais da empresa; e

2.1.2 não processar os dados pessoais da empresa, exceto nas instruções documentadas da empresa em questão.

2.2 A empresa instrui o Processador a processar os dados pessoais da empresa.

3. Pessoal do processador

O Processador deverá tomar medidas razoáveis para assegurar a confiabilidade de qualquer funcionário, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, assegurando em cada caso que o acesso seja estritamente limitado àqueles indivíduos que necessitam conhecer/acessar os Dados Pessoais relevantes da Empresa, conforme estritamente necessário para os fins do Contrato Principal, e para cumprir as Leis Aplicáveis no contexto dos deveres daquele indivíduo para com o Processador Contratado, assegurando que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.

4. Segurança

4.1 Levando em consideração o estado da técnica, os custos de implementação e a natureza, escopo, contexto e propósitos do Processamento, bem como o risco de probabilidade e severidade variáveis para os direitos e liberdades das pessoas físicas, o Processador deverá, em relação aos Dados Pessoais da Empresa, implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas referidas no Artigo 32(1) do GDPR.

4.2 Ao avaliar o nível adequado de segurança, o Processador deve levar em conta, em particular, os riscos que são apresentados pelo Processamento, em particular de uma Violação de Dados Pessoais.

5. Sub-processamento

5.1 O Processador não deverá nomear (ou divulgar quaisquer dados pessoais da Empresa a) qualquer Subprocessador, a menos que exigido ou autorizado pela Empresa.

6. Direitos dos sujeitos dos dados

6.1 Levando em consideração a natureza do Processamento, o Processador deverá auxiliar a Empresa implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações da Empresa, como razoavelmente compreendido pela Empresa, para responder aos pedidos de exercício dos direitos do Sujeito dos Dados nos termos das Leis de Proteção de Dados.

6.2 O processador deverá:

6.2.1 notificar imediatamente a empresa se ela receber um pedido de um envolvido sob qualquer lei de proteção de dados em relação aos dados pessoais da empresa; e

6.2.2 garantir que não responda a essa solicitação, exceto nas instruções documentadas da Empresa ou conforme exigido pelas Leis Aplicáveis às quais o Processador está sujeito, caso em que o Processador deverá, na medida do permitido pelas Leis Aplicáveis, informar a Empresa dessa exigência legal antes que o Processador Contratado responda à solicitação.

7. Quebra de dados pessoais

7.1 O Processador deverá notificar a Empresa sem atraso indevido quando o Processador tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais da Empresa, fornecendo à Empresa informações suficientes para permitir que a Empresa cumpra qualquer obrigação de informar ou informar os Sujeitos de Dados sobre a Violação de Dados Pessoais nos termos das Leis de Proteção de Dados.

7.2 O processador deverá cooperar com a Empresa e tomar as medidas comerciais razoáveis, conforme as instruções da Empresa, para auxiliar na investigação, mitigação e remediação de cada uma dessas violações de dados pessoais.

8. O Processador de Avaliação de Impacto da Proteção de Dados e Consultas Prévias deverá fornecer assistência razoável à Empresa com quaisquer avaliações de impacto da proteção de dados, e consultas prévias com as Autoridades de Supervisão ou outras autoridades competentes em matéria de privacidade de dados, que a Empresa razoavelmente considere ser exigida pelo artigo 35 ou 36 da GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso somente em relação ao Processamento de Dados Pessoais da Empresa pelos Processadores Contratados e levando em consideração a natureza do Processamento e informações disponíveis para os mesmos.

9. Eliminação ou devolução de dados pessoais da empresa

9.1 Sujeito a esta seção 9 Processador deverá prontamente e em qualquer caso dentro

10 dias úteis da data de cessação de quaisquer Serviços que envolvam o Processamento de Dados Pessoais da Empresa (a "Data de Cessação"), apagar e obter a eliminação de todas as cópias desses Dados Pessoais da Empresa.

10. Direitos de auditoria

10.1 Sujeito a esta seção 10, o Processador deverá disponibilizar à Empresa, mediante solicitação, todas as informações necessárias para demonstrar a conformidade com este Contrato e deverá permitir e contribuir para auditorias, incluindo inspeções, pela Empresa ou por um auditor mandatado pela Empresa em relação ao Processamento de Dados Pessoais da Empresa pelos Processadores Contratados.

10.2 Os direitos de informação e auditoria da Empresa somente surgem sob a seção 10.1 na medida em que o Contrato não lhes dê informações e direitos de auditoria que atendam às exigências relevantes da Lei de Proteção de Dados.

11. Transferência de dados

11.1 O Processador não pode transferir ou autorizar a transferência de Dados para países fora da UE e/ou do Espaço Econômico Europeu (EEA) sem o consentimento prévio por escrito da Empresa. Se os dados pessoais processados sob este Acordo forem transferidos de um país dentro da Área Econômica Européia para um país fora da Área Econômica Européia, as Partes deverão assegurar que os dados pessoais sejam adequadamente protegidos. Para conseguir isto, as Partes deverão, salvo acordo em contrário, confiar nas cláusulas contratuais padrão aprovadas pela UE para a transferência de dados pessoais.

12. Condições gerais

12.1 Confidencialidade. Cada Parte deve manter o presente Contrato e as informações que receber sobre a outra Parte e seus negócios em conexão com este Contrato ("Informações Confidenciais") confidenciais e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que isso for necessário:

(a) a divulgação é exigida por lei;

(b) as informações relevantes já são de domínio público.

12.2 Avisos. Todas as notificações e comunicações dadas sob este Contrato devem ser feitas por escrito e serão entregues pessoalmente, enviadas por correio ou enviadas por e-mail para o endereço ou endereço eletrônico indicado no cabeçalho deste Contrato em outro endereço, conforme notificado de tempos em tempos pelas Partes mudando de endereço.

13. Legislação e Jurisdição Governante

13.1 Este Acordo é regido pelas leis do Estado de Delaware. Esta DPA será regida e interpretada de acordo com a lei e as disposições de jurisdição do Acordo, a menos que exigido de outra forma pelas Leis de Proteção de Dados aplicáveis.

13.2 Qualquer disputa que surja em conexão com este Acordo, que as Partes não poderão resolver amigavelmente, será submetida à jurisdição exclusiva dos tribunais do Estado Membro do Controlador de Dados, sujeito a possível recurso ao Estado Membro do Controlador de Dados.