Contrato de processamento digital

A IA do OneTake usa um sistema de "contêineres" para permitir que a IA do OneTake Chat tenha contexto sobre o seu negócio e forneça respostas totalmente personalizadas, enquanto a sua propriedade intelectual é protegida e não pode ser acessada de outras contas do OneTake Chat.

Contrato de processamento digital

  1. Relacionamentos entre processadores e subprocessadores
    1. O Provedor como Processador. Em situações em que o Cliente é um Controlador dos Dados Pessoais do Cliente, o Provedor será considerado um Processador que está Processando Dados Pessoais em nome do Cliente.
    2. O Provedor como Subprocessador. Nas situações em que o Cliente for um Processador dos Dados Pessoais do Cliente, o Provedor será considerado um Subprocessador dos Dados Pessoais do Cliente.
  2. Processamento
    1. Detalhes do processamento. O Anexo I(B) na Página de rosto descreve o assunto, a natureza, a finalidade e a duração desse Processamento, bem como as Categorias de Dados Pessoais coletados e as Categorias de Titulares de Dados.
    2. Instruções de processamento. O Cliente instrui o Provedor a Processar os Dados Pessoais do Cliente: (a) para fornecer e manter o Serviço; (b) conforme pode ser especificado posteriormente por meio do uso do Serviço pelo Cliente; (c) conforme documentado no Contrato; e (d) conforme documentado em quaisquer outras instruções por escrito dadas pelo Cliente e reconhecidas pelo Provedor sobre o Processamento dos Dados Pessoais do Cliente nos termos deste DPA. O Provedor obedecerá a essas instruções, a menos que seja proibido de fazê-lo pelas Leis Aplicáveis. O Provedor informará imediatamente o Cliente se não for capaz de seguir as instruções de Processamento. O Cliente forneceu e somente fornecerá instruções que estejam em conformidade com as Leis Aplicáveis.
    3. Processamento pelo Provedor. O Provedor somente processará os Dados Pessoais do Cliente de acordo com este DPA, incluindo os detalhes na Página de rosto. Se o Provedor atualizar o Serviço para atualizar o existente ou incluir novos produtos, recursos ou funcionalidades, o Provedor poderá alterar as Categorias de Titulares de Dados, Categorias de Dados Pessoais, Dados de Categoria Especial, Restrições ou Salvaguardas de Dados de Categoria Especial, Frequência de Transferência, Natureza e Finalidade do Processamento e Duração do Processamento conforme necessário para refletir as atualizações, notificando o Cliente sobre as atualizações e alterações.
    4. Processamento do Cliente. Quando o Cliente for um Processador e o Provedor for um Subprocessador, o Cliente cumprirá todas as Leis Aplicáveis que se aplicam ao Processamento de Dados Pessoais do Cliente pelo Cliente. O contrato do Cliente com seu Controlador também exigirá que o Cliente cumpra todas as Leis Aplicáveis que se aplicam ao Cliente como um Processador. Além disso, o Cliente cumprirá os requisitos do Subprocessador no contrato do Cliente com seu Controlador.
    5. Consentimento para o processamento. O Cliente cumpriu e continuará a cumprir todas as Leis de Proteção de Dados Aplicáveis relativas ao fornecimento de Dados Pessoais do Cliente ao Provedor e/ou ao Serviço, incluindo a realização de todas as divulgações, a obtenção de todos os consentimentos, o fornecimento de opções adequadas e a implementação de proteções relevantes exigidas pelas Leis de Proteção de Dados Aplicáveis.
    6. Subprocessadores.
      1. O Provedor não fornecerá, transferirá ou entregará quaisquer Dados Pessoais do Cliente a um Subprocessador, a menos que o Cliente tenha aprovado o Subprocessador. A lista atual de Subprocessadores Aprovados inclui as identidades dos Subprocessadores, seu país de localização e suas tarefas de Processamento previstas. O Provedor informará o Cliente com pelo menos 10 dias úteis de antecedência e por escrito sobre quaisquer alterações pretendidas nos Subprocessadores Aprovados, seja por adição ou substituição de um Subprocessador, o que permite que o Cliente tenha tempo suficiente para se opor às alterações antes que o Provedor comece a usar o(s) novo(s) Subprocessador(es). O Provedor fornecerá ao Cliente as informações necessárias para permitir que o Cliente exerça seu direito de se opor à alteração dos Subprocessadores Aprovados. O Cliente tem 30 dias após a notificação de uma alteração nos Subprocessadores Aprovados para se opor, caso contrário, será considerado que o Cliente aceita as alterações. Se o Cliente se opuser à alteração no prazo de 30 dias após a notificação, o Cliente e o Provedor cooperarão de boa-fé para resolver a objeção ou preocupação do Cliente.
      2. Ao contratar um Subprocessador, o Provedor terá um contrato por escrito com o Subprocessador que garanta que o Subprocessador só acesse e use os Dados Pessoais do Cliente (i) na medida necessária para cumprir as obrigações subcontratadas a ele e (ii) de acordo com os termos do Contrato.
      3. Se o GDPR se aplicar ao Processamento de Dados Pessoais do Cliente, (i) as obrigações de proteção de dados descritas neste DPA (conforme referido no Artigo 28(3) do GDPR, se aplicável) também serão impostas ao Subprocessador, e (ii) o contrato do Provedor com o Subprocessador incorporará essas obrigações, incluindo detalhes sobre como o Provedor e seu Subprocessador se coordenarão para responder a consultas ou solicitações sobre o Processamento de Dados Pessoais do Cliente. Além disso, o Provedor compartilhará, mediante solicitação do Cliente, uma cópia de seus contratos (incluindo quaisquer alterações) com seus Subprocessadores. Na medida necessária para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o Provedor poderá redigir o texto de seu contrato com seu Subprocessador antes de compartilhar uma cópia.
      4. O Provedor permanece totalmente responsável por todas as obrigações subcontratadas a seus Subprocessadores, incluindo os atos e omissões de seus Subprocessadores no Processamento de Dados Pessoais do Cliente. O Provedor notificará o Cliente sobre qualquer falha de seus Subprocessadores no cumprimento de uma obrigação material sobre os Dados Pessoais do Cliente nos termos do contrato entre o Provedor e o Subprocessador.
  3. Transferências restritas
    1. Autorização. O Cliente concorda que o Provedor pode transferir os Dados Pessoais do Cliente para fora do EEE, do Reino Unido ou de outro território geográfico relevante, conforme necessário para fornecer o Serviço. Se o Provedor transferir os Dados Pessoais do Cliente para um território para o qual a Comissão Europeia ou outra autoridade supervisora relevante não tenha emitido uma decisão de adequação, o Provedor implementará salvaguardas apropriadas para a transferência dos Dados Pessoais do Cliente para esse território, de acordo com as Leis de Proteção de Dados Aplicáveis.
    2. Transferências para fora do EEE. O Cliente e o Provedor concordam que, se o GDPR proteger a transferência dos Dados Pessoais do Cliente, a transferência for do Cliente de dentro do EEE para o Provedor fora do EEE, e a transferência não for regida por uma decisão de adequação tomada pela Comissão Europeia, então, ao celebrar este DPA, considera-se que o Cliente e o Provedor assinaram as Cláusulas Contratuais Contratuais Contratuais do EEE e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com as CSCs do EEE, que são preenchidas da seguinte forma:
      1. O Módulo Dois (Controlador para Processador) das SCCs do EEE se aplica quando o Cliente é um Controlador e o Provedor está processando os Dados Pessoais do Cliente para o Cliente como um Processador.
      2. O Módulo Três (Processador para Subprocessador) das SCCs do EEE se aplica quando o Cliente é um Processador e o Provedor está processando os Dados Pessoais do Cliente em nome do Cliente como um Subprocessador.
      3. Para cada módulo, aplica-se o seguinte (quando aplicável):
        1. A cláusula de acoplamento opcional da Cláusula 7 não se aplica;
        2. Na Cláusula 9, aplica-se a Opção 2 (autorização geral por escrito), e o período mínimo para aviso prévio de alterações no Subprocessador é de 10 dias úteis;
        3. Na Cláusula 11, a linguagem opcional não se aplica;
        4. Todos os colchetes da Cláusula 13 foram removidos;
        5. Na Cláusula 17 (Opção 1), as SCCs do EEE serão regidas pelas leis do Estado Membro Regente;
        6. Na Cláusula 18(b), as controvérsias serão resolvidas nos tribunais do Estado Membro Regente; e
        7. A página de rosto desta DPA contém as informações exigidas no Anexo I, Anexo II e Anexo III das SCCs do EEE.
    3. Transferências para fora do Reino Unido. O Cliente e o Provedor concordam que, se o GDPR do Reino Unido proteger a transferência de Dados Pessoais do Cliente, a transferência for do Cliente de dentro do Reino Unido para o Provedor fora do Reino Unido e a transferência não for regida por uma decisão de adequação tomada pelo Secretário de Estado do Reino Unido, então, ao celebrar este DPA, considera-se que o Cliente e o Provedor assinaram o Adendo do Reino Unido e seus Anexos, que são incorporados por referência. Qualquer transferência desse tipo é feita de acordo com o Adendo do Reino Unido, que é preenchido da seguinte forma:
      1. A Seção 3.2 deste DPA contém as informações exigidas na Tabela 2 do Adendo do Reino Unido.
      2. A Tabela 4 do UK Addendum é modificada como segue: Nenhuma das partes poderá rescindir o Adendo do Reino Unido conforme estabelecido na Seção 19 do Adendo do Reino Unido; na medida em que a OIC emitir um Adendo Aprovado revisado nos termos da Seção 18 do Adendo do Reino Unido, as partes trabalharão de boa-fé para revisar este DPA de acordo.
      3. A página de rosto contém as informações exigidas pelo Anexo 1A, Anexo 1B, Anexo II e Anexo III do UK Addendum.
    4. Outras transferências internacionais. Para as transferências de Dados Pessoais em que a legislação suíça (e não a legislação de qualquer estado membro do EEE ou do Reino Unido) se aplica à natureza internacional da transferência, as referências ao GDPR na Cláusula 4 das SCCs do EEE são, na medida em que for legalmente exigido, alteradas para se referirem à Lei Federal de Proteção de Dados da Suíça ou seu sucessor, e o conceito de autoridade supervisora incluirá o Comissário Federal de Proteção de Dados e Informações da Suíça.
  4. Resposta a incidentes de segurança
    1. Ao tomar conhecimento de qualquer Incidente de Segurança, o Provedor irá: (a) notificará o Cliente sem atrasos indevidos, quando possível, mas no máximo 72 horas após tomar conhecimento do Incidente de Segurança; (b) fornecerá informações oportunas sobre o Incidente de Segurança à medida que ele se tornar conhecido ou for razoavelmente solicitado pelo Cliente; e (c) tomará prontamente medidas razoáveis para conter e investigar o Incidente de Segurança. A notificação ou resposta do Provedor a um Incidente de Segurança, conforme exigido por este DPA, não será interpretada como um reconhecimento pelo Provedor de qualquer falha ou responsabilidade pelo Incidente de Segurança.
  5. Auditoria e relatórios
    1. Direitos de auditoria. O Provedor fornecerá ao Cliente todas as informações razoavelmente necessárias para demonstrar sua conformidade com este DPA e o Provedor permitirá e contribuirá para auditorias, incluindo inspeções pelo Cliente, para avaliar a conformidade do Provedor com este DPA. No entanto, o Provedor poderá restringir o acesso a dados ou informações se o acesso do Cliente às informações afetar negativamente os direitos de propriedade intelectual, as obrigações de confidencialidade ou outras obrigações do Provedor de acordo com as Leis Aplicáveis. O Cliente reconhece e concorda que somente exercerá seus direitos de auditoria nos termos deste DPA e quaisquer direitos de auditoria concedidos pelas Leis de Proteção de Dados Aplicáveis, instruindo o Provedor a cumprir os requisitos de relatório e diligência devida abaixo. O Provedor manterá registros de sua conformidade com este DPA por 3 anos após o término do DPA.
    2. Relatórios de segurança. O Cliente reconhece que o Provedor é regularmente auditado em relação aos padrões definidos na Política de Segurança por auditores terceirizados independentes. Mediante solicitação por escrito, o Provedor fornecerá ao Cliente, em caráter confidencial, uma cópia resumida de seu Relatório atual, para que o Cliente possa verificar a conformidade do Provedor com os padrões definidos na Política de Segurança.
    3. Due Diligence de segurança. Além do Relatório, o Provedor responderá a solicitações razoáveis de informações feitas pelo Cliente para confirmar a conformidade do Provedor com este DPA, incluindo respostas à segurança das informações, due diligence e questionários de auditoria, ou fornecendo informações adicionais sobre seu programa de segurança das informações. Todas essas solicitações devem ser feitas por escrito e dirigidas ao Contato de Segurança do Provedor e só podem ser feitas uma vez por ano.
  6. Coordenação e cooperação
    1. Resposta a Consultas. Se o Provedor receber qualquer consulta ou solicitação de qualquer outra pessoa sobre o Processamento dos Dados Pessoais do Cliente, o Provedor notificará o Cliente sobre a solicitação e o Provedor não responderá à solicitação sem o consentimento prévio do Cliente. Exemplos desses tipos de consultas e solicitações incluem uma ordem judicial, administrativa ou de agência reguladora sobre os Dados Pessoais do Cliente, onde notificar o Cliente não é proibido pela Lei Aplicável, ou uma solicitação de um titular de dados. Se permitido pela Lei Aplicável, o Provedor seguirá as instruções razoáveis do Cliente sobre essas solicitações, incluindo o fornecimento de atualizações de status e outras informações razoavelmente solicitadas pelo Cliente. Se um titular de dados fizer uma solicitação válida de acordo com as Leis de Proteção de Dados Aplicáveis para excluir ou optar por não fornecer os Dados Pessoais do Cliente ao Provedor, o Provedor ajudará o Cliente a atender à solicitação de acordo com a Lei de Proteção de Dados Aplicável. O Provedor cooperará e fornecerá assistência razoável ao Cliente, às custas do Cliente, em qualquer resposta legal ou outra ação processual tomada pelo Cliente em resposta a uma solicitação de terceiros sobre o Processamento do Provedor dos Dados Pessoais do Cliente nos termos deste DPA.
    2. DPIAs e DTIAs. Se exigido pelas Leis de Proteção de Dados Aplicáveis, o Provedor ajudará razoavelmente o Cliente a conduzir quaisquer avaliações de impacto de proteção de dados obrigatórias ou avaliações de impacto de transferência de dados e consultas com as autoridades de proteção de dados relevantes, levando em consideração a natureza do Processamento e dos Dados Pessoais do Cliente.
  7. Exclusão de dados pessoais do cliente
    1. Exclusão pelo Cliente. O Provedor permitirá que o Cliente exclua os Dados Pessoais do Cliente de uma maneira consistente com a funcionalidade dos Serviços. O Provedor cumprirá essa instrução assim que for razoavelmente praticável, exceto quando o armazenamento adicional dos Dados Pessoais do Cliente for exigido pela Lei Aplicável.
    2. Exclusão na expiração do DPA.
      1. Após a expiração do DPA, o Provedor devolverá ou excluirá os Dados Pessoais do Cliente de acordo com as instruções do Cliente, a menos que o armazenamento adicional dos Dados Pessoais do Cliente seja exigido ou autorizado pela Lei Aplicável. Se a devolução ou destruição for impraticável ou proibida pelas Leis Aplicáveis, o Provedor fará esforços razoáveis para evitar o Processamento adicional dos Dados Pessoais do Cliente e continuará a proteger os Dados Pessoais do Cliente que permanecerem em sua posse, custódia ou controle. Por exemplo, as Leis Aplicáveis podem exigir que o Provedor continue a hospedar ou processar os Dados Pessoais do Cliente.
      2. Se o Cliente e o Provedor tiverem celebrado as Cláusulas Contratuais Conjuntas do EEE ou o Adendo do Reino Unido como parte deste DPA, o Provedor somente fornecerá ao Cliente a certificação de exclusão de Dados Pessoais descrita na Cláusula 8.1(d) e na Cláusula 8.5 das Cláusulas Contratuais Conjuntas do EEE se o Cliente solicitar uma.
  8. Limitação de responsabilidade
    1. Limites de Responsabilidade e Renúncia a Danos. Até o limite máximo permitido pelas Leis de Proteção de Dados Aplicáveis, a responsabilidade cumulativa total de cada parte com a outra parte decorrente ou relacionada a este DPA estará sujeita às isenções, exclusões e limitações de responsabilidade estabelecidas no Contrato.
    2. Reivindicações de partes relacionadas. Quaisquer reivindicações feitas contra o Provedor ou suas Afiliadas decorrentes ou relacionadas a este DPA só podem ser apresentadas pela entidade do Cliente que é parte do Contrato.
    3. Exceções. Este DPA não limita qualquer responsabilidade perante um indivíduo sobre os direitos de proteção de dados do indivíduo de acordo com as Leis de Proteção de Dados Aplicáveis. Além disso, este DPA não limita qualquer responsabilidade entre as partes por violações das SCCs do EEE ou do Adendo do Reino Unido.
  9. Conflitos entre documentos
    1. Este DPA faz parte do Contrato e o complementa. Se houver alguma inconsistência entre este DPA, o Contrato ou qualquer uma de suas partes, a parte listada anteriormente prevalecerá sobre a parte listada posteriormente para essa inconsistência: (1) as CECs do EEE ou o Adendo do Reino Unido, (2) este DPA e, em seguida, (3) o Contrato.
  10. Prazo do contrato
    1. Este DPA terá início quando o Provedor e o Cliente concordarem com uma Página de rosto do DPA e assinarem ou aceitarem eletronicamente o Contrato e continuará até que o Contrato expire ou seja rescindido. No entanto, o Provedor e o Cliente permanecerão sujeitos às obrigações deste DPA e das Leis de Proteção de Dados Aplicáveis até que o Cliente pare de transferir os Dados Pessoais do Cliente para o Provedor e o Provedor pare de processar os Dados Pessoais do Cliente.
  11. Definições
    1. "Leis Aplicáveis" significa as leis, regras, regulamentos, ordens judiciais e outros requisitos vinculativos de uma autoridade governamental relevante que se aplicam ou regem uma parte.
    2. "Leis de Proteção de Dados Aplicáveis" significa as Leis Aplicáveis que regem como o Serviço pode processar ou usar as informações pessoais de um indivíduo, dados pessoais, informações de identificação pessoal ou outro termo semelhante.
    3. "Controlador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que determina a finalidade e a extensão do Processamento de Dados Pessoais.
    4. "Página de rosto" significa um documento assinado ou aceito eletronicamente pelas partes que incorpora estes Termos Padrão da DPA e identifica o Provedor, o Cliente e o assunto e os detalhes do processamento de dados.
    5. "Dados Pessoais do Cliente" significa os Dados Pessoais que o Cliente carrega ou fornece ao Provedor como parte do Serviço e que são regidos por este DPA.
    6. "DPA" significa estes Termos Padrão da DPA, a Página de rosto entre o Provedor e o Cliente e as políticas e os documentos mencionados ou anexados à Página de rosto.
    7. "EEA SCCs" significa as cláusulas contratuais padrão anexadas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho Europeu.
    8. "Área Econômica Europeia" ou "EEA" significa os estados membros da União Europeia, Noruega, Islândia e Liechtenstein.
    9. "GDPR" significa o Regulamento da União Europeia 2016/679, conforme implementado pela lei local no país membro relevante do EEE.
    10. "Dados Pessoais" terão o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para informações pessoais, dados pessoais ou outro termo semelhante.
    11. "Processamento" ou "Processo" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para qualquer uso ou desempenho de uma operação de computador em Dados Pessoais, inclusive por métodos automáticos.
    12. "Processador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para a empresa que processa dados pessoais em nome do Controlador.
    13. "Relatório" significa relatórios de auditoria preparados por outra empresa de acordo com os padrões definidos na Política de Segurança em nome do Provedor.
    14. "Transferência restrita" significa (a) quando o GDPR se aplica, uma transferência de dados pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia; e (b) quando o GDPR do Reino Unido se aplica, uma transferência de dados pessoais do Reino Unido para qualquer outro país que não esteja sujeito a regulamentos de adequação adotados de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018.
    15. "Incidente de segurança" significa uma violação de dados pessoais, conforme definido no Artigo 4 do GDPR.
    16. "Serviço" significa o produto e/ou serviços descritos no Contrato.
    17. "Dados de Categoria Especial" terão o significado dado no Artigo 9 do GDPR.
    18. "Subprocessador" terá o(s) significado(s) dado(s) nas Leis de Proteção de Dados Aplicáveis para uma empresa que, com a aprovação e aceitação do Controlador, auxilia o Processador no Processamento de Dados Pessoais em nome do Controlador.
    19. "UK GDPR" significa o Regulamento da União Europeia 2016/679, conforme implementado pela seção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018 no Reino Unido.
    20. "Adendo do Reino Unido" significa o adendo de transferência internacional de dados para as SCCs do EEE emitido pelo Comissário de Informações para as Partes que fazem Transferências Restritas de acordo com a Lei de Proteção de Dados S119A(1) de 2018.