Os termos em maiúsculas usados, mas não definidos neste DPA, terão o significado estabelecido no Acordo.
- 1. DEFINIÇÕES
- 1.1“Controlador” significa a entidade que, sozinha ou em conjunto com outras, determina as finalidades e os meios de Processamento de Dados Pessoais.
- 1.2 “Leis de Proteção de Dados ” significam todas as leis aplicáveis ao Processamento de Dados Pessoais pela respectiva Parte.
- 1.3 “Titular dos Dados” significa qualquer indivíduo sobre o qual os Dados Pessoais possam ser processados nos termos desta DPA.
- 1.4 “Dados Pessoais ” significa informações relacionadas a uma pessoa física identificada ou identificável que são fornecidas pelo Cliente aos Serviços.
- 1.5 “Processo ” ou “Processamento” significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, seja ou não por meios automatizados, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição de Dados Pessoais.
- 1.6 “Processador” significa a entidade que processa os Dados Pessoais em nome do Controlador de Dados.
- 2. Relação entre as partes. O Cliente e a Aryaka celebraram um Contrato de Serviços.
As Partes reconhecem que o Cliente é um Controlador para fins do Contrato e a Aryaka é um Processador.
As Partes processarão os Dados Pessoais de acordo com o Contrato e as Leis de Proteção de Dados aplicáveis - 3. Obrigações do cliente. O Cliente fornecerá apenas Dados Pessoais que sejam adequados, relevantes e razoavelmente necessários para que a Aryaka execute os Serviços.
O Cliente declara e garante que sua coleta de Dados Pessoais e divulgação para a Aryaka está em conformidade com todas as Leis de Proteção de Dados aplicáveis. - 4. Instruções.
. A Aryaka processará os dados pessoais apenas
(i) de acordo com as instruções do Cliente, conforme documentado no Contrato e descrito em detalhes no Anexo IB; e
(ii) conforme necessário para cumprir a lei aplicável, desde que a Aryaka não seja obrigada a agir de acordo com qualquer instrução do Cliente que possa (na opinião razoável da Aryaka) fazer com que a Aryaka viole a lei aplicável.
A Aryaka informará o Cliente se acreditar que quaisquer instruções do Cliente relativas ao Processamento de Dados Pessoais violariam a Lei de Proteção de Dados aplicável. - 5. Segurança. A Aryaka tomará medidas razoáveis para implementar medidas técnicas e organizacionais apropriadas destinadas a proteger os Dados Pessoais contra ameaças ou riscos previstos à sua segurança, confidencialidade ou integridade.
A Aryaka garantirá que as pessoas autorizadas a processar dados pessoais se comprometam com a confidencialidade ou estejam sob uma obrigação legal de confidencialidade apropriada. - 6. Violação de dados. A Aryaka notificará o Cliente sem atrasos indevidos sempre que souber que houve uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais Processados (cada um, uma “Violação de Dados“), a menos que proibido pela lei aplicável ou instruído de outra forma pela aplicação da lei ou por uma autoridade supervisora.
Levando em consideração a natureza do Processamento e as informações disponíveis para a Aryaka, a Aryaka tomará medidas razoáveis para auxiliar o Cliente, mediante solicitação razoável do Cliente, no cumprimento das obrigações de notificação do Cliente em relação a violações de dados, conforme exigido pela lei aplicável.
A Aryaka se reserva o direito de cobrar uma taxa razoável do Cliente por qualquer assistência solicitada. - 7. Devolução ou descarte. No prazo de 30 dias após a rescisão do Contrato, o Cliente poderá solicitar que a Aryaka destrua ou devolva todos os Dados Pessoais ao Cliente, a menos que a lei aplicável exija o armazenamento dos Dados Pessoais pela Aryaka.
- 8. Auditorias; Consultas. Mediante solicitação razoável do Cliente (a ser exercida no máximo uma vez por ano, a menos que exigido com mais frequência por uma autoridade supervisora), a Aryaka disponibilizará prontamente ao Cliente todas as informações em sua posse necessárias para demonstrar a conformidade da Aryaka com suas obrigações nos termos deste DPA e permitirá e contribuirá para auditorias razoáveis.
Todas as informações fornecidas serão Informações Confidenciais da Aryaka e não poderão ser divulgadas sem o consentimento prévio por escrito da Aryaka, exceto conforme exigido pela lei aplicável. - 9. Subcontratação. O Cliente autoriza a Aryaka a transferir Dados Pessoais para subprocessadores com a finalidade de fornecer os Serviços ao Cliente.
A Aryaka manterá uma lista dos subprocessadores.
Uma lista atualizada de subprocessadores está incluída no Anexo III.
A Aryaka fornecerá ao Cliente um aviso prévio de 14 dias quando adicionar um subprocessador a essa lista e a oportunidade de se opor a tal adição.
Se a Aryaka não receber uma objeção no prazo de 14 dias após a notificação, considera-se que o subprocessador foi aceito pelo Cliente.
A Aryaka celebrará um contrato com esse subprocessador que inclua termos de proteção de dados semelhantes a este DPA. - 10. Assistência da Aryaka. Mediante solicitação razoável do Cliente e levando em consideração a natureza do Processamento, a Aryaka tomará medidas razoáveis para auxiliar o Cliente com a obrigação do Cliente de responder às solicitações dos Titulares dos Dados para exercer seus direitos sob a lei aplicável, tomando medidas técnicas e organizacionais apropriadas.
Levando em conta a natureza do processamento e as informações disponíveis para a Aryaka, a Aryaka também ajudará o cliente, mediante solicitação razoável do cliente, a cumprir suas obrigações de conformidade em relação à realização de avaliações de impacto de proteção de dados e consultas relacionadas às autoridades de supervisão.
A Aryaka se reserva o direito de cobrar uma taxa razoável do Cliente por tal assistência solicitada. - 11. Disposições da Lei de Privacidade do Consumidor da Califórnia (CCPA).
- 11.1 Conformidade legal. A Aryaka fornecerá o mesmo nível de proteção de privacidade para os Dados Pessoais dos residentes da Califórnia, conforme exigido do Cliente de acordo com a CCPA.
A Aryaka notificará o Cliente por escrito se determinar que não pode mais cumprir suas obrigações nos termos da CCPA.
O Cliente tem o direito, mediante notificação à Aryaka, de tomar medidas razoáveis e apropriadas para interromper e remediar o uso não autorizado de Dados Pessoais, inclusive quando a Aryaka tiver notificado o Cliente de que não pode mais cumprir suas obrigações de acordo com a CCPA. - 11.2 Restrição de processamento. Em nenhuma hipótese a Aryaka poderá:
(a) divulgar Dados Pessoais de residentes da Califórnia a terceiros em troca de dinheiro ou outra consideração valiosa ou divulgar Dados Pessoais a terceiros para publicidade comportamental entre contextos;
(b) divulgar Dados Pessoais de residentes da Califórnia a terceiros para benefício comercial da Aryaka ou de terceiros;
(c) reter, usar ou divulgar Dados Pessoais de residentes da Califórnia fora do relacionamento comercial direto da Aryaka com o Cliente ou para fins comerciais que não sejam os fins comerciais especificados no Contrato ou conforme permitido pelas leis aplicáveis; ou
(d) combinar Dados Pessoais de residentes da Califórnia com informações pessoais que a Aryaka recebe de, ou em nome de, outras pessoas, ou coleta a partir de sua própria interação com o Titular dos Dados, exceto conforme permitido pelas leis aplicáveis.
A Aryaka certifica que compreende e cumprirá as restrições acima mencionadas. - 12. Transferências de dados
- 12.1 Transferências restritas de dados pessoais sujeitas ao GDPR. As Cláusulas Contratuais Padrão da UE (Módulo 2 Controlador para Processador) ((UE) 2021/914) disponíveis em [www .aryaka.com/SCC2021-Controller-to-Processor /] (“EU SCCs”), e incorporadas neste documento por referência, juntamente com os Anexos I e II, serão aplicáveis a qualquer transferência de Dados Pessoais que esteja sujeita ao Regulamento Geral de Proteção de Dados da UE ((UE) 2016/679) (“GDPR”).
Não obstante o acima exposto, as SCCs da UE não se aplicarão na medida em que a transferência for coberta por (i) uma decisão adotada por uma autoridade competente com jurisdição sobre o Cliente, declarando que uma jurisdição atende a um nível adequado de proteção de Dados Pessoais (uma “Decisão de Adequação”). - 12.1.1 Na Cláusula 9, as partes concordam que a Opção 2 será aplicada de acordo com a Seção [9] (Subcontratação).
- 12.1.2 A linguagem opcional da Cláusula 11 está excluída.
- 12.1.3 Na Cláusula 17, as EU SCCs serão regidas pelas leis dos Países Baixos.
- 12.1.4 Na Cláusula 18, qualquer disputa decorrente das CECs da UE será resolvida pelos tribunais dos Países Baixos.
- 12.1.5 No Anexo IC, a autoridade de proteção de dados onde o Cliente está localizado é a autoridade supervisora competente.
- 12.2 Transferências restritas da Suíça. As SCCs da UE, conforme modificadas nesta seção, serão aplicáveis a qualquer transferência de Dados Pessoais que esteja sujeita à Lei Federal Suíça de Proteção de Dados (FADP) e que não esteja sujeita a uma Decisão de Adequação:
- 12.2.1 O termo “Estado Membro da UE” não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de processar seus direitos em seu local de residência habitual (Suíça), de acordo com a Cláusula 18(c).
- 12.2.2 As referências ao GDPR nas SCCs da UE devem ser entendidas como referências ao FADP.
- 12.2.3 Na Cláusula 17, as SCCs da UE serão regidas pelas leis da Suíça.
- 12.2.4 No Anexo IC, o Comissário Federal Suíço para Proteção de Dados e Informações é a autoridade supervisora competente.
- 12.3 Transferências restritas do Reino Unido. Quando a Transferência de Dados Pessoais estiver sujeita às leis do Reino Unido (incluindo o Regulamento Geral de Proteção de Dados do Reino Unido) e não estiver sujeita a uma Decisão de Adequação, as partes concordam:
- 12.3.1 As disposições do Adendo de Transferência Internacional de Dados do Reino Unido para as Cláusulas Contratuais Padrão da Comissão da UE, Versão B1.0, em vigor a partir de 21 de março de 2022, disponível em https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“Adendo do Reino Unido”), incluindo a Parte 2 ‘Cláusulas Obrigatórias’, são aqui incorporadas por referência e devem ser aplicadas integralmente;
- 12.3.2 Na Tabela 1 do Adendo do Reino Unido, os nomes das partes, suas funções e seus detalhes devem ser definidos no Anexo 1;
- 12.3.3 Nas Tabelas 2 e 3 do Adendo do Reino Unido, o Módulo 2 das SCCs da UE incorporadas a este DPA por referência, incluindo as informações estabelecidas nos Anexos anexos, deverá ser aplicado; e
- 12.3.4 Na Tabela 4 do UK Addendum, qualquer uma das partes pode encerrar o UK Addendum.
- 13. CONFLITOS; APLICABILIDADE. Se qualquer disposição deste DPA for considerada inválida ou inexequível por qualquer tribunal de jurisdição competente, tal decisão não invalidará ou tornará inexequível qualquer outra disposição deste DPA ou qualquer outro contrato entre o Cliente e a Aryaka.
Este DPA complementa o Contrato.
Este APD prevalecerá no caso de qualquer inconsistência entre o Acordo e este APD.
Quaisquer outras disposições ou obrigações nos termos do Contrato que não sejam afetadas por este DPA permanecerão em pleno vigor e efeito.
Se este DPA, ou quaisquer ações a serem tomadas ou contempladas para serem tomadas na execução deste DPA, não satisfizerem ou não satisfizerem as obrigações de qualquer uma das partes de acordo com as leis aplicáveis a cada parte, as partes negociarão de boa fé uma emenda apropriada a este DPA.
ANEXO I
A. LISTA DE PARTES
Exportador(es) de dados:
Nome: Consulte o formulário de pedido entre o cliente e a Aryaka.
Endereço: Ver Formulário de Pedido entre o Cliente e a Aryaka.
Nome, cargo e detalhes de contato da pessoa de contato: Ver Formulário de Pedido entre o Cliente e a Aryaka.
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Ver Contrato entre o Cliente e a Aryaka.
Assinatura e data: ————-
Função (controlador/processador): Controlador
Importador(es) de dados:
Nome: Aryaka Networks, Inc.
Endereço: 3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 EUA
Nome da pessoa de contato, cargo e detalhes de contato: Edward Frye, Diretor de Segurança da Informação, [email protected].
Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Ver Acordo entre as Partes.
Função (controlador/processador): Processador
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos
- Indivíduos que englobam a equipe do Cliente, trabalhadores temporários, consultores e todos aqueles afiliados à força de trabalho do Cliente ou que utilizam o sistema e os serviços oferecidos.
Os clientes, fornecedores, parceiros, vendedores e quaisquer terceiros dos quais o Cliente possa ter acesso aos Dados Pessoais:
- Informações relativas aos usuários do Cliente, incluindo seus detalhes de contato, ou qualquer informação voluntariamente compartilhada com a Aryaka por meio dos Serviços ou canais alternativos.
Metadados essenciais para a prestação de serviços adaptados ao ambiente específico do Cliente.
Esses metadados abrangem atributos como detalhes do arquivo, tipo de arquivo, valores de hash, argumentos de linha de comando, dados de acesso à rede (incluindo endereços IP e protocolos) e informações relacionadas à rede (incluindo endereços IP de rede interna, endereços IP públicos e dados de URL do site).Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais: Nenhuma em geral.
No entanto, apenas com relação aos serviços “Secure Web Gateway” e Firewall, quaisquer dados confidenciais que possam estar visíveis ou expostos no tráfego do Cliente que flui através dos Serviços são incidentais e dependem do uso desses serviços pelo Cliente. A frequência da transferência: ContínuaNaturezado processamento: Os serviços do Aryaka Security at the Service Edge (SASE) representam um perímetro de rede empresarial modernizado, realizado por meio de uma combinação estreitamente integrada de rede e software de segurança.
Esse sistema conecta filiais, usuários móveis, bem como centros de dados físicos e baseados em nuvem, garantindo uma conexão segura e confiável tanto para a Wide Area Network (WAN) quanto para o acesso à Internet Finalidade (s) da transferência de dados e processamento posterior: Prestação dos Serviços ao Cliente de acordo com o Contrato e o Pedido concluído entre as partes.
O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: Os dados pessoais serão retidos pelo período necessário para a execução dos Serviços nos termos do Contrato, a menos que um período mais longo seja exigido pela legislação aplicável.
Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento: Veja a descrição acima.
ANEXO II – MEDIDAS DE SEGURANÇA
A Aryaka mantém várias políticas, normas e processos concebidos para proteger os Dados Pessoais.
A seguir, apresentamos uma descrição de algumas das principais medidas de segurança técnica e organizacional implementadas pela Aryaka. Controles de acesso físico A Aryaka implementa e mantém medidas destinadas a impedir que pessoas não autorizadas obtenham acesso físico aos locais da Aryaka. Controles de acesso técnico A Aryaka implementa e mantém medidas destinadas a impedir o acesso de pessoas não autorizadas aos sistemas de processamento de dados da Aryaka, incluindo:
- Proteção híbrida contra negação de serviço distribuída (DDoS) integrando detecção e atenuação (no local ou na nuvem) com prevenção de ataques DDoS volumétricos baseados na nuvem e suporte da Equipe de Resposta a Emergências (ERT) 24×7; e
- Segurança de borda de rede que fornece soluções avançadas de segurança de perímetro integradas ao dispositivo de rede de área ampla definida por software (SD-WAN) do cliente.
Controles de acesso a dados A Aryaka implementa e mantém medidas destinadas a restringir o acesso ao seu sistema de processamento de dados a indivíduos que precisam de tal acesso dentro do escopo e na extensão coberta por sua respectiva permissão de acesso (autorização).
Controles detrabalho A Aryaka implementa e mantém medidas destinadas a garantir que os Dados Pessoais processados na execução dos Serviços para o Cliente sejam processados exclusivamente de acordo com o Contrato.
Controles de disponibilidade A Aryaka implementa e mantém medidas destinadas a proteger os dados pessoais contra divulgação, destruição ou perda acidental ou não autorizada.
ANEXO III – LISTA DE SUBPROCESSADORES
Salesforce: Uso: Gerenciamento de relacionamento com o cliente Local onde a instância é residente: Estados Unidos Acessado pelo pessoal da Aryaka de: Estados Unidos, Índia, Alemanha, Reino Unido, Canadá, Austrália, Japão, Holanda, Coreia do Sul e Suíça
NetSuite: Uso: Contabilidade Local onde a instância é residente: Estados Unidos Acessado pelo pessoal da Aryaka de: Estados Unidos e Índia
Zuora: Uso: Faturamento Local onde a instância é residente: Estados Unidos Acessado por Aryaka Personnel from: United States and India
Marketo: Use: Marketing e mensagens Local onde a instância é residente: Estados Unidos Acessado por Aryaka Personnel from: United States, United Kingdom, and India