CLÁUSULAS CONTRATUAIS PADRÃO
SEÇÃO I
Cláusula 1
Objetivo e escopo
- O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (1) para a transferência de dados pessoais para um terceiro país.
- As Partes:(1) a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante denominada(s) “entidade(s)”) que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante cada “exportador de dados”) e (2) a(s) entidade(s) em um país terceiro que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade que também seja Parte nestas Cláusulas, conforme listado no Anexo I.A (doravante cada “importador de dados”) concordaram com estas cláusulas contratuais padrão (doravante: “Cláusulas”).
- Estas Cláusulas se aplicam com relação à transferência de dados pessoais, conforme especificado no Anexo I.B.
- O Apêndice a estas Cláusulas, contendo os Anexos nele mencionados, é parte integrante destas Cláusulas.
Cláusula 2Efeito e invariabilidade das Cláusulas
- Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice.
Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados. - Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.
Cláusula 3Terceiros beneficiários
- Os titulares de dados podem invocar e aplicar essas Cláusulas, como terceiros beneficiários, contra o exportador de dados e/ou importador de dados, com as seguintes exceções: (i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7; (ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b); (iii) Cláusula 9 – Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e); (iv) Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f); (v) Cláusula 13; (vi) Cláusula 15.1(c), (d) e (e); (vii) Cláusula 16(e); (viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.
- O parágrafo (a) não prejudica os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679.
Cláusula 4Interpretação
- Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
- Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
- Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula5Hierarquia Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão. Cláusula 6Descriçãoda(s) transferência(s) Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para as quais são transferidos, estão especificados no Anexo I.B. Cláusula7Cláusula de bloqueio
- Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
- Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.
- A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas no período anterior à sua adesão.
O exportadorde dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destasCláusulas. 8.1 Instruções
- O importador de dados processará os dados pessoais somente mediante instruções documentadas do exportador de dados.
O exportador de dados poderá dar tais instruções durante toda a vigência do contrato. - O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.
8.2 Limitação da finalidade O importador de dados processará os dados pessoais somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados. 8.3 Transparência Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Anexo, conforme preenchido pelas Partes.
Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não puder, de outra forma, compreender seu conteúdo ou exercer seus direitos.
Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível, sem revelar as informações redigidas.
Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679. 8.4 Exatidão Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, ele deverá informar o exportador de dados sem atrasos indevidos.
Nesse caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.
8.5 Duração do processamento e apagamento ou devolução dos dados O processamento pelo importador de dados deverá ocorrer somente durante o período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, a critério do exportador de dados, apagar todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e apagar as cópias existentes.
Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas.
No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente os processará na medida e pelo tempo exigidos pela lei local.
Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados, de acordo com a Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com as exigências da Cláusula 14(a). 8.6 Segurança do processamento
- O importador de dados e, durante a transmissão, também o exportador de dados devem aplicar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados, incluindo a proteção contra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a esses dados (doravante denominada “violação de dados pessoais”).
Ao avaliar o nível adequado de segurança, as Partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados.
As Partes deverão considerar, em especial, o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma.
Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controle exclusivo do exportador de dados.
Ao cumprir as obrigações previstas neste parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II.
O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança. - O importador de dados concederá acesso aos dados pessoais aos membros de seu pessoal somente na medida estritamente necessária para a implementação, gerenciamento e monitoramento do contrato.
Ele deverá garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade. - No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados de acordo com estas Cláusulas, o importador de dados tomará as medidas adequadas para resolver a violação, incluindo medidas para mitigar seus efeitos adversos.
O importador de dados também notificará o exportador de dados sem atrasos indevidos após ter tomado conhecimento da violação.
Essa notificação deve conter os detalhes de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão), suas consequências prováveis e as medidas tomadas ou propostas para solucionar a violação, incluindo, quando apropriado, medidas para atenuar seus possíveis efeitos adversos.
Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos. - O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que o exportador de dados cumpra suas obrigações nos termos do Regulamento (UE) 2016/679, em especial para notificar a autoridade supervisora competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.
8.7 Dados sensíveis Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa ou dados relativos a condenações penais e infrações (doravante denominados “dados sensíveis”), o importador de dados aplicará as restrições específicas e/ou garantias adicionais descritas no Anexo I.B.
8.8 Transferências posteriores O importador de dados somente divulgará os dados pessoais a terceiros mediante instruções documentadas do exportador de dados.
Além disso, os dados somente poderão ser divulgados a um terceiro localizado fora da União Europeia (4) (no mesmo país que o importador de dados ou em outro país terceiro, doravante denominada “transferência subsequente”) se o terceiro estiver ou concordar em se vincular a estas Cláusulas, sob o Módulo apropriado, ou se:
-
- (i) a transferência subsequente é para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
-
- (ii) o terceiro garanta de outra forma as salvaguardas apropriadas de acordo com os artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;
-
- (iii) a transferência subsequente é necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou
- (iv) a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.
Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções previstas nestas Cláusulas, em especial a limitação de finalidade. 8.9 Documentação e conformidade
- O importador de dados deverá tratar pronta e adequadamente as consultas do exportador de dados relacionadas ao processamento nos termos destas Cláusulas.
- As Partes deverão ser capazes de demonstrar a conformidade com essas Cláusulas.
Em especial, o importador de dados deverá manter a documentação adequada sobre as atividades de processamento realizadas em nome do exportador de dados. - O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade.
Ao decidir sobre uma revisão ou auditoria, o exportador de dados poderá levar em conta as certificações relevantes mantidas pelo importador de dados. - O exportador de dados pode optar por realizar a auditoria por conta própria ou solicitar um auditor independente.
As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável. - As Partes deverão fornecer as informações mencionadas nos parágrafos
(b) e
(c), incluindo os resultados de quaisquer auditorias, serão disponibilizadas à autoridade supervisora competente, mediante solicitação.
Cláusula 9Uso de subprocessadores
- OPÇÃO 1: AUTORIZAÇÃO PRÉVIA ESPECÍFICA O importador de dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do exportador de dados nos termos destas Cláusulas a um subprocessador sem a autorização prévia específica por escrito do exportador de dados.
O importador de dados deverá enviar a solicitação de autorização específica pelo menosantes da contratação do subprocessador, juntamente com as informações necessárias para permitir que o exportador de dados decida sobre a autorização.
A lista de subprocessadores já autorizados pelo exportador de dados pode ser encontrada no Anexo III.
As Partes manterão o Anexo III atualizado.OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO O importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessador(es) de uma lista acordada.
O importador de dados deve informar especificamente o exportador de dados por escrito sobre quaisquer alterações pretendidas a essa lista por meio da adição ou substituição de subprocessadores com pelo menosde antecedência, dando assim ao exportador de dados tempo suficiente para poder se opor a essas alterações antes da contratação do(s) subprocessador(es).
O importador de dados fornecerá ao exportador de dados as informações necessárias para que o exportador de dados possa exercer seu direito de objeção. - Caso o importador de dados contrate um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), ele deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para os titulares dos dados.
(8) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8.
O importador de dados deverá garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito nos termos das presentes Cláusulas. - Caso o importador de dados contrate um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), ele deverá fazê-lo por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para os titulares dos dados.
(8) As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8.
O importador de dados deverá garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito nos termos das presentes Cláusulas. - O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos de seu contrato com o importador de dados.
O importador de dados notificará o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações nos termos desse contrato. - O importador de dados acordará uma cláusula de terceiro beneficiário com o subprocessador, segundo a qual – caso o importador de dados tenha desaparecido de fato, deixado de existir legalmente ou se tornado insolvente – o exportador de dados terá o direito de rescindir o contrato de subprocessador e de instruir o subprocessador a apagar ou devolver os dados pessoais.
Cláusula 10Direitos do titular dos dados
- O importador de dados deve notificar imediatamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados.
Ele não responderá a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados. - O importador de dados deve auxiliar o exportador de dados no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para o exercício de seus direitos nos termos do Regulamento (UE) 2016/679.
A esse respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, levando em conta a natureza do processamento, por meio das quais a assistência será prestada, bem como o escopo e a extensão da assistência necessária. - No cumprimento de suas obrigações previstas nos parágrafos
(a) e
(b), o importador de dados deverá cumprir as instruções do exportador de dados.
Cláusula 11Reparação
- O importador de dados deve informar aos titulares dos dados, de forma transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a tratar de reclamações. O importador de dados concorda que os titulares dos dados também podem apresentar uma reclamação a um órgão independente de resolução de disputas (11) sem custo para o titular dos dados. Ele deverá informar aos titulares dos dados, da maneira estabelecida no parágrafo (a), sobre esse mecanismo de reparação e que eles não são obrigados a usá-lo ou a seguir uma sequência específica na busca de reparação].
- Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Cláusulas, a Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil.
As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las. - Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de: (i) apresentar uma reclamação à autoridade supervisora no Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13; (ii) encaminhar a disputa aos tribunais competentes nos termos da Cláusula 18.
- As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
- O importador de dados deve obedecer a uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado Membro.
- O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar soluções de acordo com as leis aplicáveis.
Cláusula 12Responsabilidade civil
- Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar(em) à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
- O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber indenização, por quaisquer danos materiais ou morais que o importador de dados ou seu subprocessador causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
- Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indenização, por quaisquer danos materiais ou morais que o exportador de dados ou o importador de dados (ou seu subprocessador) causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável. - As Partes concordam que, se o exportador de dados for considerado responsável, nos termos do parágrafo (c), por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar do importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelo dano.
- Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
- As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
- O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.
Cláusula 13Supervisão
- [Where the data exporter is established in an EU Member State:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente. [Quando o exportador de dados não estiver estabelecido em um Estado-Membro da UE, mas estiver abrangido pelo escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu artigo 3(2) e tiver nomeado um representante nos termos do artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade supervisora do Estado Membro no qual o representante, na acepção do artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente. [Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu Artigo 3(2) sem, no entanto, ter que nomear um representante de acordo com o Artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros nos quais os titulares de dados cujos dados pessoais são transferidos de acordo com estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.
- O importador de dados concorda em se submeter à jurisdição da autoridade supervisora competente e cooperar com ela em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas.
Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias.
Ele deverá fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.
SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICASCláusula 14Leis e práticas locais que afetam a conformidade com as Cláusulas
- As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas.
Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas Cláusulas. - As Partes declaram que, ao fornecer a garantia prevista no parágrafo (a), levaram em devida conta, em especial, os seguintes elementos:(i) as circunstâncias específicas da transferência, inclusive a extensão da cadeia de processamento, o número de atores envolvidos e os canais de transmissão utilizados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos; (ii) as leis e práticas do terceiro país de destino – inclusive as que exigem a divulgação de dados a autoridades públicas ou autorizam o acesso por tais autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis (12); (iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nestas Cláusulas, inclusive medidas aplicadas durante a transmissão e ao processamento dos dados pessoais no país de destino.
- O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.
- As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente, mediante solicitação.
- O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com os requisitos do parágrafo (a), inclusive após uma alteração nas leis do país terceiro ou uma medida (como uma solicitação de divulgação) que indique uma aplicação de tais leis na prática que não esteja de acordo com os requisitos do parágrafo (a).
- Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não pode mais cumprir suas obrigações nos termos destas Cláusulas, o exportador de dados identificará prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência ou se for instruído pela autoridade supervisora competente a fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que ele se refira ao processamento de dados pessoais de acordo com estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, aplicar-se-á a Cláusula 16(d) e (e).
Cláusula 15Obrigações do importador de dados em caso de acesso por autoridades públicas15.1 Notificação
- O importador de dados concorda em notificar o exportador de dados e, quando possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se ele:(i) receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; tal notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou (ii) tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, de acordo com as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis para o importador. [Para o Módulo Três: O exportador de dados deverá encaminhar a notificação ao controlador].
- Se o importador de dados for proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma isenção da proibição, com o objetivo de comunicar o máximo de informações possível, o mais rápido possível.
O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los mediante solicitação do exportador de dados. - Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.).
- O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
- Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, de acordo com a Cláusula 14(e) e a Cláusula 16, de informar prontamente o exportador de dados quando não puder cumprir essas Cláusulas.
15.2 Revisão da legalidade e minimização de dados
- O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis de acordo com o direito internacional e os princípios de cortesia internacional.
O importador de dados deverá, sob as mesmas condições, buscar possibilidades de recurso.
Ao contestar uma solicitação, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre seus méritos.
O importador não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis.
Essas exigências não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e). - O importador de dados concorda em documentar sua avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados.
Ele também deverá disponibilizá-la para a autoridade supervisora competente, mediante solicitação.
[Para o Módulo Três: O exportador de dados deverá disponibilizar a avaliação para o controlador]. - O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.
SEÇÃO IV – DISPOSIÇÕES FINAISCláusula 16Não cumprimento das Cláusulas e rescisão
- O importador de dados deverá informar imediatamente o exportador de dados caso não possa cumprir essas Cláusulas, por qualquer motivo.
- No caso de o importador de dados violar estas Cláusulas ou não conseguir cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente assegurada ou o contrato seja rescindido.
Isso não prejudica a Cláusula 14(f). - O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais nos termos destas Cláusulas, quando: (i) o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão; (ii) o importador de dados estiver violando substancial ou persistentemente estas Cláusulas; ou (iii) o importador de dados não cumprir uma decisão vinculante de um tribunal competente ou de uma autoridade supervisora com relação às suas obrigações nos termos destas Cláusulas. Nesses casos, ele deverá informar a autoridade supervisora competente [para o Módulo Três: e o controlador] sobre tal descumprimento. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.
- Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplicará a quaisquer cópias dos dados]. [Para o Módulo Quatro: Os dados pessoais coletados pelo exportador de dados na UE que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão ser imediatamente excluídos em sua totalidade, inclusive qualquer cópia dos mesmos]. O importador de dados deverá certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente processará os dados na medida e pelo tempo exigidos pela lei local.
- Qualquer uma das Partes poderá revogar seu acordo de vinculação a estas Cláusulas quando
(i) a Comissão Europeia adotar uma decisão nos termos do artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou
(ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos.
Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.
Cláusula17Lei regente Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que tal lei permita direitos de terceiros beneficiários.
As Partes concordam que essa será a lei da Alemanha. Cláusula 18Escolhade foro e jurisdição
- Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado Membro da UE.
- As Partes concordam que esses serão os tribunais da Alemanha.
- O titular dos dados também pode mover uma ação judicial contra o exportador e/ou importador de dados perante os tribunais do Estado Membro em que tem sua residência habitual.
- As Partes concordam em se submeter à jurisdição de tais tribunais.
Esse será o caso, em particular, quando o controlador e o processador se basearem nas cláusulas contratuais padrão incluídas na Decisão 2021/915.
(2) Para isso, é necessário tornar os dados anônimos de tal forma que o indivíduo não seja mais identificável por ninguém, de acordo com o considerando 26 do Regulamento (UE) 2016/679, e que esse processo seja irreversível.
(3) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(4) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo do EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(5) Veja o Artigo 28(4) do Regulamento (UE) 2016/679 e, quando o controlador for uma instituição ou órgão da UE, o Artigo 29(4) do Regulamento (UE) 2018/1725.
(6) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo do EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(7) Isso inclui se a transferência e o processamento posterior envolverem dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais ou infrações.
(8) Essa exigência pode ser atendida pelo subprocessador que aderir a estas Cláusulas no Módulo apropriado, de acordo com a Cláusula 7. (9) Essa exigência pode ser atendida pelo subprocessador que aderir a essas Cláusulas no Módulo apropriado, de acordo com a Cláusula 7.
(10)
Esse período poderá ser prorrogado por, no máximo, mais dois meses, na medida do necessário, levando-se em conta a complexidade e o número de solicitações.
O importador de dados deverá informar devida e prontamente o titular dos dados sobre tal prorrogação.
(11)
O importador de dados poderá oferecer resolução independente de disputas por meio de um órgão de arbitragem somente se este estiver estabelecido em um país que tenha ratificado a Convenção de Nova York sobre a Execução de Sentenças Arbitrais.
(12)
Com relação ao impacto de tais leis e práticas sobre a conformidade com estas Cláusulas, diferentes elementos podem ser considerados como parte de uma avaliação geral.
Tais elementos podem incluir experiência prática relevante e documentada com instâncias anteriores de solicitações de divulgação por parte de autoridades públicas, ou a ausência de tais solicitações, abrangendo um período de tempo suficientemente representativo.
Isso se refere, em especial, a registros internos ou outra documentação, elaborados continuamente de acordo com a devida diligência e certificados em nível de gerência sênior, desde que essas informações possam ser legalmente compartilhadas com terceiros.
Quando essa experiência prática for utilizada para concluir que o importador de dados não será impedido de cumprir essas Cláusulas, ela deverá ser apoiada por outros elementos relevantes e objetivos, e caberá às Partes considerar cuidadosamente se esses elementos juntos têm peso suficiente, em termos de confiabilidade e representatividade, para apoiar essa conclusão.
Em particular, as Partes devem levar em consideração se sua experiência prática é corroborada e não contradita por informações confiáveis disponíveis publicamente ou acessíveis de outra forma sobre a existência ou ausência de solicitações no mesmo setor e/ou a aplicação da lei na prática, como jurisprudência e relatórios de órgãos de supervisão independentes.
APÊNDICE
NOTA EXPLICATIVA: Deve ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferências e, nesse sentido, determinar a(s) respectiva(s) função(ões) das Partes como exportador(es) de dados e/ou importador(es) de dados.
Isso não exige necessariamente o preenchimento e a assinatura de anexos separados para cada transferência/categoria de transferências e/ou relação contratual, quando essa transparência puder ser obtida por meio de um único anexo.
Entretanto, quando necessário para garantir clareza suficiente, devem ser usados apêndices separados.
ANEXO I
A. LISTA DE PARTES Exportador(es) de dados: [Identidade e detalhes de contato do(s) exportador(es) de dados e, quando aplicável, de seu responsável pela proteção de dados e/ou representante na União Europeia].
- Nome: ………. Endereço: ……. Nome, cargo e detalhes de contato da pessoa de contato: ……….. Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: ………… Assinatura e data: ………..
- Função (controlador/processador): ………….
Importador(es) de dados: [Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato responsável pela proteção de dados].
- Nome: ………. Endereço: ……. Nome, cargo e detalhes de contato da pessoa de contato: ……….. Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: ………… Assinatura e data: ………..
- Função (controlador/processador): ………….
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos … Categorias de dados pessoais transferidos … Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.
… A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).
… Natureza do processamento … Finalidade(s) da transferência de dados e processamento posterior … O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período … Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento … C. AUTORIDADE SUPERVISORA COMPETENTE
Identificar a(s) autoridade(s) de supervisão competente(s) de acordo com a Cláusula 13 …
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS OBSERVAÇÃO EXPLICATIVA: As medidas técnicas e organizacionais devem ser descritas em termos específicos (e não genéricos).
Consulte também o comentário geral na primeira página do Apêndice, em particular sobre a necessidade de indicar claramente quais medidas se aplicam a cada transferência/conjunto de transferências. Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas.
[Exemplos de medidas possíveis: Medidas de pseudonimização e criptografia de dados pessoais Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico Processos para testar regularmente, Medidas para a identificação e autorização do usuário Medidas para a proteção dos dados durante a transmissão Medidas para a proteção dos dados durante o armazenamento Medidas para garantir a segurança física dos locais em que os dados pessoais são processados Medidas para garantir o registro de eventos Medidas para garantir a configuração do sistema, Medidas para garantir a configuração do sistema, incluindo a configuração padrão Medidas para governança e gerenciamento interno de TI e segurança de TI Medidas para certificação/garantia de processos e produtos Medidas para garantir a minimização de dados Medidas para garantir a qualidade dos dados Medidas para garantir a retenção limitada de dados Medidas para garantir a responsabilidade Medidas para permitir a portabilidade de dados e garantir o apagamento]. Para transferências para (sub) processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador e, para transferências de um processador para um subprocessador, ao exportador de dados
ANEXO III
LISTA DE SUBPROCESSADORES NOTA EXPLICATIVA: Este anexo deve ser preenchido para os Módulos Dois e Três, no caso de autorização específica de subprocessadores (Cláusula 9(a), Opção 1).
O controlador autorizou o uso dos seguintes subprocessadores:
- Nome: ……….
Endereço: …….
Nome, cargo e detalhes de contato da pessoa de contato: ……….. - Descrição do processamento (incluindo uma delimitação clara das responsabilidades, caso vários subprocessadores sejam autorizados): ………….