Acordo de Processamento de Dados do Zonos

Este Acordo de Processamento de Dados ("DPA") atua como um adendo aos Termos de Serviço e Política de Privacidade do Zonos ("Acordo Principal") entre a iGlobal Exports, LLC, DBA Zonos ("Zonos") e o Cliente ("Cliente"), (juntos como as "Partes").

CONSIDERANDO: 

A. O Cliente atua como Controlador de Dados.

B. O Cliente deseja subcontratar certos Serviços, que implicam o processamento de dados pessoais, para o Zonos como Processador.

C. As Partes buscam implementar um DPA que esteja em conformidade com os requisitos do atual arcabouço legal em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).

D. As Partes desejam estabelecer seus direitos e obrigações.

Este DPA inclui e incorpora por referência os anexos e adendos mencionados no final deste documento. Todos os termos em maiúsculas não definidos neste DPA terão o significado estabelecido no Acordo Principal.

As partes concordam com o seguinte:

1. Definições

Salvo definição em contrário aqui, os termos em maiúsculas e expressões utilizadas neste DPA terão o seguinte significado:

1. "Processador Contratado" significa um Subprocessador;

2. "Leis de Proteção de Dados" significa as Leis de Proteção de Dados da UE e, na medida aplicável, as leis de proteção de dados ou privacidade de qualquer outro país;

3. "Transferência de Dados" significa:

   1. Uma transferência de Dados Pessoais do Cliente para um Processador Contratado; ou
   2. Uma transferência subsequente de Dados Pessoais de um Processador Contratado para um Subcontratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis de Proteção de Dados (ou pelos termos de acordos de transferência de dados estabelecidos para lidar com as restrições de transferência de dados das Leis de Proteção de Dados);

4. "DPA" significa este Acordo de Processamento de Dados e todos os Anexos;

5. "EEA" significa Espaço Econômico Europeu;

6. "Leis de Proteção de Dados da UE" significa a Diretiva 95/46/CE da UE, conforme transposta para a legislação nacional de cada Estado-Membro e conforme alterada, substituída ou revogada de tempos em tempos, incluindo pelo GDPR e leis que implementam ou complementam o GDPR;

7. "GDPR" significa Regulamento Geral de Proteção de Dados da UE 2016/679;

8. "Dados Pessoais" significa quaisquer Dados Pessoais Processados por um Processador Contratado em nome do Cliente nos termos ou em conexão com o Acordo Principal;

9. "Serviços" significa qualquer produto ou serviço fornecido pela Zonos ao Cliente nos termos e conforme mais detalhadamente descrito no Acordo Principal;

10. "Subprocessador" significa qualquer Processador nomeado por ou em nome da Zonos para processar Dados Pessoais em nome do Cliente em conexão com o DPA.

11. Os termos "Controlador", "Titular dos Dados", "Estado-Membro", "Dados Pessoais", "Violação de Dados Pessoais" e "Processamento" terão o mesmo significado que no GDPR e seus termos cognatos serão interpretados de acordo.

2. Obrigações do Cliente

1. Cumprimento das Leis.

   1. No âmbito do DPA e no uso dos Serviços, o Cliente concorda em cumprir suas obrigações como Controlador nos termos das Leis de Proteção de Dados no Processamento de Dados Pessoais e quaisquer instruções de Processamento emitidas para a Zonos.
   2. O Cliente notificou e obteve (ou obterá) todos os consentimentos e direitos necessários sob as Leis de Proteção de Dados para que a Zonos processe Dados Pessoais e forneça os Serviços nos termos do Acordo Principal e deste DPA.

2. Instruções do Controlador. As Partes concordam que o Acordo Principal (incluindo este DPA), juntamente com o uso dos Serviços da Zonos pelo Cliente de acordo com o Acordo Principal, constituem as instruções completas e finais do Cliente para a Zonos em relação ao Processamento de Dados Pessoais, e instruções adicionais fora do escopo das instruções exigirão acordo prévio por escrito entre o Cliente e a Zonos.

3. Obrigações da Zonos

1. Cumprimento das Leis. No âmbito do DPA e no uso dos Serviços, a Zonos deverá:

   1. Ser responsável por cumprir todas as Leis de Proteção de Dados aplicáveis como Processador no Processamento de Dados Pessoais; e
   2. Não Processar os Dados Pessoais do Cliente senão mediante instruções documentadas do Cliente.

2. Pessoal da Zonos. A Zonos deverá tomar medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado que possa ter acesso aos Dados Pessoais, garantindo em cada caso que o acesso seja estritamente limitado àqueles indivíduos que precisam saber/acessar os Dados Pessoais relevantes, conforme estritamente necessário para os fins do Acordo Principal, e para cumprir as Leis Aplicáveis no contexto das funções da Zonos para o Processador Contratado, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade.

3. Segurança.

   1. Levando em consideração o estado da arte, os custos de implementação, e a natureza, alcance, contexto e propósitos do Processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais, a Zonos deverá, em relação aos Dados Pessoais, implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas referidas no Artigo 32(1) do GDPR.
   2. Ao avaliar o nível apropriado de segurança, a Zonos deverá levar em consideração os riscos apresentados pelo Processamento, em particular de uma Violação de Dados Pessoais.

4. Subprocessamento. A Zonos não deverá nomear (ou divulgar quaisquer Dados Pessoais para) qualquer Subprocessador, a menos que seja exigido ou autorizado pelo Cliente.

5. Direitos do Titular dos Dados.

   1. Levando em consideração a natureza do Processamento, a Zonos deverá auxiliar o Cliente implementando medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações da Zonos, conforme razoavelmente entendido pela Zonos, para responder a solicitações de exercício dos direitos do Titular dos Dados sob as Leis de Proteção de Dados.

   2. A Zonos concorda em:

      1. Notificar prontamente o Cliente se receber uma solicitação de um Titular dos Dados sob qualquer Lei de Proteção de Dados em relação aos Dados Pessoais; e
      2. Garantir que não responda a essa solicitação exceto mediante instruções documentadas do Cliente ou conforme exigido pelas Leis Aplicáveis às quais a Zonos está sujeita, caso em que a Zonos deverá, na medida permitida pelas Leis Aplicáveis, informar o Cliente desse requisito legal antes que o Processador Contratado responda à solicitação.

6. Violação de Dados Pessoais.

   1. A Zonos deverá notificar o Cliente sem demora indevida ao tomar conhecimento de uma Violação de Dados Pessoais afetando Dados Pessoais, fornecendo ao Cliente informações suficientes para permitir que o Cliente cumpra quaisquer obrigações de relatar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais sob as Leis de Proteção de Dados.
   2. A Zonos deverá cooperar com o Cliente e tomar medidas comerciais razoáveis conforme direcionado pelo Cliente para auxiliar na investigação, mitigação e remediação de cada Violação de Dados Pessoais.

7. Avaliação de Impacto de Proteção de Dados e Consulta Prévia. A Zonos deverá fornecer assistência razoável ao Cliente com quaisquer avaliações de impacto de proteção de dados e consultas prévias com Autoridades de Supervisão ou outras autoridades competentes de privacidade de dados, que o Cliente razoavelmente considere serem necessárias nos termos do artigo 35 ou 36 do GDPR ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso exclusivamente em relação ao Processamento de Dados Pessoais pelos Processadores Contratados, levando em consideração a natureza do Processamento e as informações disponíveis para os Processadores Contratados.

8. Devolução ou Exclusão de Dados. Após a desativação ou término dos Serviços, todos os Dados Pessoais serão excluídos, exceto se a Zonos for obrigada por lei aplicável a reter parte ou todos os Dados Pessoais, ou a Dados Pessoais arquivados em sistemas de backup, os quais a Zonos deverá isolar e proteger de qualquer processamento adicional, exceto na medida exigida por lei aplicável.

9. Relatórios de Segurança. A Zonos deverá manter registros de seus padrões de segurança. Mediante solicitação por escrito do Cliente, a Zonos deverá fornecer respostas (de forma confidencial) a todas as solicitações razoáveis de informações feitas pelo Cliente, incluindo respostas a questionários de segurança da informação e auditorias, que o Cliente (agindo de forma razoável) considere necessárias para confirmar a conformidade da Zonos com este DPA, desde que o Cliente não exerça esse direito mais de uma vez por ano.

10. Transferência de Dados. O Cliente reconhece e concorda que a Zonos pode acessar e processar Dados Pessoais em uma base global conforme necessário para fornecer os Serviços de acordo com o Acordo Principal, e em particular que os Dados Pessoais serão transferidos e processados pela Zonos nos Estados Unidos e em outras jurisdições onde os Subprocessadores da Zonos têm operações. A Zonos garantirá que tais transferências sejam feitas em conformidade com os requisitos das Leis de Proteção de Dados, incluindo conformidade com cláusulas contratuais padrão aprovadas pela UE para transferência de dados pessoais.

11. Disposições Adicionais para Informações Pessoais da Califórnia.

    1. Esta Seção 11 se aplica apenas às Informações Pessoais da Califórnia.

    2. Ao processar Informações Pessoais da Califórnia de acordo com as instruções do Cliente, as Partes reconhecem e concordam que o Cliente é uma empresa e a Zonos é um prestador de serviços para os fins da CCPA.

    3. As Partes concordam que a Zonos processará Informações Pessoais da Califórnia como um prestador de serviços estritamente para o propósito de realizar os Serviços nos termos do Acordo Principal. A Zonos utiliza dados de serviço para seus próprios fins legítimos de negócios conforme a Política de Privacidade da Zonos. As Partes concordam que a Zonos não deverá fazer o seguinte:

       1. Vender Informações Pessoais da Califórnia (conforme definido na CCPA);
       2. Retornar, usar ou divulgar Informações Pessoais da Califórnia para um fim comercial que não seja para o propósito comercial ou conforme permitido pela CCPA; ou
       3. Retornar, usar ou divulgar Informações Pessoais da Califórnia fora do relacionamento comercial direto entre o Cliente e a Zonos.

    4. A Zonos certifica que entende e cumprirá as restrições estabelecidas na Seção 11(c).

4. Termos Gerais

1. Confidencialidade. Cada Parte deve manter este Acordo e as informações que recebe sobre a outra Parte e seus negócios em conexão com este DPA ("Informações Confidenciais") confidenciais e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que:

   1. A divulgação seja exigida por lei;
   2. As informações relevantes já estejam no domínio público.

2. Notificações. Todas as notificações e comunicações feitas sob este DPA devem ser por escrito e serão entregues pessoalmente, enviadas por correio ou por e-mail para o endereço ou endereço de e-mail indicado no cabeçalho deste DPA, em tal outro endereço conforme notificado de tempos em tempos pelas Partes alterando o endereço.

5. Lei Aplicável e Jurisdição

Este DPA é regido pelas leis e disposições de jurisdição no Acordo Principal, a menos que seja exigido de outra forma pelas Leis de Proteção de Dados.

Anexo A. Lista de Subprocessadores da Zonos

Disponível mediante solicitação

Anexo B. Medidas de Segurança

Disponível mediante solicitação