Adendo de proteção de dados do parceiro
O seguinte Adendo de Proteção de Dados do Parceiro faz parte do Contrato do Programa de Parceria e estabelece os termos relativos ao processamento de dados pessoais.
1. GERAL
Este Adendo de Proteção de Dados do Parceiro (”DPA”) faz parte do Contrato do Programa de Parceria (”Contrato”) e estabelece os termos adicionais relativos ao processamento de dados pessoais. Os termos em maiúsculas têm o significado definido na próxima seção deste documento ou em outra parte do Contrato. Se houver um conflito entre os termos deste DPA e quaisquer outros termos do Contrato, este DPA prevalecerá. Para os fins deste DPA, “Provedor” significa Parceiro.
2. DEFINIÇÕES
- (a) “Lei de proteção de dados aplicável” significa toda a legislação aplicável relativa ao Processamento de Dados Pessoais nos termos do Contrato, incluindo, mas não se limitando a, (i) para Dados Pessoais originários de uma Entidade Autorizada localizada no EEE, o Regulamento Geral de Proteção de Dados (UE) 2016/679 (”GDPR”) e (ii) para dados pessoais provenientes de uma entidade autorizada localizada no Reino Unido, no GDPR do Reino Unido e na Lei de Proteção de Dados do Reino Unido de 2018.
- (b) “Entidade autorizada” significa qualquer entidade (incluindo a Siemens e suas empresas do grupo) atuando como Controladora e tendo o direito, pelo Contrato, de acessar ou usar os Serviços direta ou indiretamente.
- (c) “Controller” significa a pessoa física ou jurídica que, sozinha ou em conjunto com outras pessoas, determina os propósitos e os meios do processamento de dados pessoais.
- (d) “País com uma decisão de adequação” significa qualquer país para o qual a Comissão da UE tenha decidido que esse país garante um nível adequado de proteção de dados e, para dados pessoais originários do Reino Unido, qualquer país para o qual os regulamentos de adequação do Reino Unido tenham sido estabelecidos de acordo com as seções 17A ou 74A da Lei de Proteção de Dados de 2018.
- (e) “Violação de dados” significa qualquer violação de segurança (i) que leve à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizados a Dados Pessoais transmitidos, armazenados ou processados de outra forma, ou (ii) exigiria a notificação de tal evento a terceiros de acordo com a lei aplicável.
- (f) “EEE” significa o Espaço Econômico Europeu.
- (g) “Cláusulas contratuais padrão da UE” significa as Cláusulas Contratuais Padrão (UE) 2021/914.
- (h) “Área de origem” significa o EEE, o Reino Unido, a Suíça e cada país com requisitos de adequação semelhantes aos contidos no art. 45 e seguintes. GDPR.
- (i) “Dados pessoais” significa qualquer informação relacionada a uma pessoa física identificada ou identificável; uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
- (j) “Processamento” (e suas outras formas, como Processo, Processos, Processado) significa qualquer operação ou conjunto de operações que é realizado em Dados Pessoais ou em conjuntos de Dados Pessoais, seja por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.
- (k) “Processador” significa uma pessoa física ou jurídica, autoridade pública, agência ou qualquer outro órgão que processa dados pessoais em nome de um Controller.
- (l) “Processor Binding Corporate Rules” significa regras corporativas vinculativas para processadores que são aprovadas pela autoridade supervisora competente.
- (m) “Dados pessoais restritos” significa quaisquer Dados Pessoais originários de uma Entidade Autorizada localizada dentro de uma Área de Origem.
- (n) “Transferência (s) restrita (s)” significa qualquer Processamento (incluindo transferências, acesso internacional e transferências subsequentes) de Dados Pessoais Restritos pelo Provedor ou por qualquer um de seus Subprocessadores fora da Área de Origem relevante.
- (o) “Serviços” significará os Serviços previstos no Contrato fornecidos pelo Provedor atuando em sua função de Processador, na aceção deste DPA.
- (p) “Cláusulas contratuais padrão” significa as Cláusulas Contratuais Padrão da UE e as Cláusulas Contratuais Padrão do Reino Unido.
- (q) “Subprocessador (es)” significará qualquer outro Processador envolvido no desempenho dos Serviços.
- (r) “Salvaguardas de transferência” significará salvaguardas apropriadas para transferências restritas, conforme exigido pela Lei de Proteção de Dados Aplicável, incluindo, sem limitação, quaisquer salvaguardas apropriadas exigidas pelo Artigo 46 do GDPR.
- (s) “GDPR do Reino Unido” significa o GDPR conforme incorporado à legislação do Reino Unido em virtude da Seção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018.
- (t) “Cláusulas contratuais padrão do Reino Unido” significa as cláusulas padrão de proteção de dados adotadas de tempos em tempos pelo Gabinete do Comissário de Informação do Reino Unido (ICO) de acordo com o artigo 46 (2) do GDPR do Reino Unido, incluindo, mas não se limitando ao acordo internacional de transferência de dados (IDTA do Reino Unido) e às Cláusulas Contratuais Padrão da UE, conforme alterado pelo Adendo de Transferência Internacional de Dados da ICO às Cláusulas Contratuais Padrão da Comissão da UE (”Adendo do Reino Unido”). [1]
3. CONFORMIDADE COM A LEI DE PROTEÇÃO DE DADOS APLICÁVEL
As partes devem observar a Lei de Proteção de Dados Aplicável conforme aplicável a elas e conforme exigido neste documento. Ao fornecer Serviços, o Provedor deve, em particular, cumprir as disposições da Lei de Proteção de Dados Aplicável em relação ao Processamento de Dados Pessoais como Processador.
4. ESCOPO DO PROCESSAMENTO
O Provedor processará Dados Pessoais somente (a) de acordo com os termos deste DPA e do Contrato; ou (b) de acordo com outras instruções documentadas da Siemens. O provedor não processará dados pessoais para seus próprios fins nem os transferirá para terceiros, a menos que seja permitido por este DPA. O Fornecedor informará imediatamente a Siemens se, em sua opinião, uma instrução da Siemens infringir a Lei de Proteção de Dados Aplicável.
5. DETALHES DAS OPERAÇÕES DE PROCESSAMENTO FORNECIDAS
Os detalhes das operações de processamento fornecidas pelo provedor - em particular o assunto do processamento, a natureza e a finalidade do processamento, os tipos de dados pessoais processados e as categorias de titulares de dados afetados - são especificados em Anexo I a este DPA.
6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS
Levando em consideração o estado da arte, os custos de implementação e a natureza, o escopo, o contexto e os propósitos do Processamento, bem como o risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas físicas, o Provedor implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, incluindo, mas não se limitando a: (a) a pseudonimização e criptografia de Dados Pessoais; (b) a capacidade para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas do Sistemas e serviços de processamento; (c) a capacidade de restaurar a disponibilidade e o acesso aos Dados Pessoais em tempo hábil no caso de um incidente físico ou técnico; (d) um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Processamento. Sem prejuízo da generalidade da frase anterior, o Provedor deve sempre implementar pelo menos as medidas técnicas e organizacionais descritas em Anexo IIa este DPA.
7. COMPROMISSO COM A CONFIDENCIALIDADE
O Provedor limitará o acesso de seu pessoal aos Dados Pessoais com base na necessidade de conhecimento. O provedor deve fornecer um aviso detalhado ao seu pessoal sobre as disposições legais e contratuais aplicáveis em relação à proteção de dados. O Provedor colocará seu pessoal sob a obrigação de cumprir tais disposições e, em particular, de manter os Dados Pessoais em segredo e de não processar os Dados Pessoais de outra forma que não seja de acordo com as instruções da Siemens. A obrigação de sigilo continuará a ser aplicada após a expiração deste Contrato e da relação contratual do pessoal com o Provedor. O provedor fornecerá prova de tal obrigação mediante solicitação.
8. SUBPROCESSADORES
- (a) O provedor tem a autorização geral da Siemens para a contratação de subprocessadores. Uma lista atual de subprocessadores encomendados pelo provedor está contida em Anexo III a este DPA.
- (b) O Provedor deve informar especificamente a Siemens por escrito sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de Subprocessadores com pelo menos 30 dias de antecedência. O Fornecedor fornecerá à Siemens as informações necessárias para permitir que a Siemens exerça o direito de se opor. Se a Siemens não levantar objeções dentro desse período de 30 dias, isso será considerado uma aprovação do novo subprocessador. Se a Siemens levantar objeções, o Fornecedor, antes de autorizar o Subprocessador a acessar Dados Pessoais, envidará esforços razoáveis para resolver as preocupações e reservas expressas pela Siemens e (i) se absterá de usar o Subprocessador; ou (ii) proporá à Siemens uma alteração razoável nos Serviços ou na configuração ou uso dos Serviços pela Siemens para evitar o processamento de dados pessoais pelo novo subprocessador que se opôs. Se o Fornecedor não conseguir eliminar os motivos da objeção da Siemens, a Siemens tem o direito de rescindir os Serviços afetados sem quaisquer danos ou penalidades. Em caso de rescisão pela Siemens, o Fornecedor reembolsará quaisquer valores pré-pagos pelo Serviço aplicável de forma proporcional.
- (c) Quando o Provedor contrata um Subprocessador para realizar atividades de processamento específicas (em nome da Siemens e/ou de Entidades Autorizadas), ele o fará por meio de um contrato por escrito que preveja, em substância, as mesmas obrigações de proteção de dados que as que vinculam o Provedor de acordo com este DPA.
- (d) O Fornecedor fornecerá, a pedido da Siemens, uma cópia desse contrato de subprocessador e quaisquer emendas subsequentes à Siemens. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo dados pessoais, o Provedor pode redigir o texto do contrato antes de compartilhar uma cópia.
- (e) O Provedor deve auditar de forma adequada e regular o Subprocessador com relação à conformidade com esses requisitos e documentar os resultados de tais auditorias.
- (f) O Fornecedor permanecerá totalmente responsável perante a Siemens pelo desempenho das obrigações do Subprocessador de acordo com seu contrato com o Fornecedor. O Fornecedor informará a Siemens sobre qualquer falha do Subprocessador em cumprir suas obrigações nos termos desse contrato.
9. PROCESSAMENTO INTERNACIONAL DE DADOS
No caso de transferências restritas para o Provedor, o Provedor deve garantir que tal Transferência Restrita seja coberta por salvaguardas de transferência adequadas, conforme estabelecido neste Seção 9 e Anexo III a este DPA.
- (a) Cláusulas contratuais padrão. O seguinte se aplicará se uma Salvaguarda de Transferência for baseada nas Cláusulas Contratuais Padrão:
- EEE-Provedores. Se o Provedor estiver localizado no EEE, o Provedor deverá celebrar as Cláusulas Contratuais Padrão (Módulo 3) com seu Subprocessador. Seções 9 (a) (vii) (“Lei Aplicável”), 9 (a) (viii) (“Escolha de foro e jurisdição”), 9 (a) (ix) (b) (“Parte 1 do Adendo do Reino Unido”) e o segunda frase da Seção 9 (a) (x) (“Entidades autorizadas em outros países”) deste DPA não se aplicarão se o Provedor estiver localizado no EEE.
- Fornecedores não pertencentes ao EEE. Se o Provedor estiver localizado fora do EEE, a Transferência Restrita será regida pelos Módulos 2 e 3 das Cláusulas Contratuais Padrão. As disposições relevantes contidas nas Cláusulas Contratuais Padrão são incorporadas por referência e são parte integrante deste DPA. As informações necessárias para os fins dos Anexos às Cláusulas Contratuais Padrão estão estabelecidas em Anexos I a IIIa este DPA.
- Cláusula de encaixe. A opção prevista na Cláusula 7 das Cláusulas Contratuais Padrão não se aplica.
- Transferências subsequentes. Qualquer transferência posterior deve estar em conformidade com as Cláusulas 8 e 9 do Módulo aplicável das Cláusulas Contratuais Padrão. Caso a Siemens esteja localizada fora do EEE e atue como importadora de dados de acordo com as Cláusulas Contratuais Padrão com Entidades Autorizadas, a cláusula de terceiro beneficiário estipulada pela Cláusula 9 (e) das Cláusulas Contratuais Padrão será a favor dessa Entidade Autorizada.
- Uso de subprocessadores.A opção 2 da Cláusula 9 das Cláusulas Contratuais Padrão será aplicada. Para os fins da Cláusula 9 (a) das Cláusulas Contratuais Padrão, o Fornecedor tem a autorização geral da Siemens para contratar Subprocessadores de acordo com Seção 8 deste DPA.
- Reparação. Caso o Provedor ofereça aos titulares dos dados a opção de apresentar uma reclamação a um órgão independente de resolução de disputas (consulte a Opção na Cláusula 11 das Cláusulas Contratuais Padrão), o Fornecedor informará a Siemens sobre o órgão de arbitragem responsável por escrito e cumprirá os requisitos aplicáveis contidos na Cláusula 11 das Cláusulas Contratuais Padrão e as regras de arbitragem aplicáveis.
- Lei vigente. A lei aplicável para os fins da Cláusula 17 das Cláusulas Contratuais Padrão será a lei designada na seção de legislação aplicável do Contrato. Se o Contrato não for regido pela lei de um Estado-Membro da UE, as Cláusulas Contratuais Padrão da UE serão regidas pelas leis da Alemanha.
- Escolha do fórum e jurisdição. Os tribunais previstos na Cláusula 18 das Cláusulas Contratuais Padrão serão aqueles designados na seção de foro do Contrato. Se o Contrato não designar um tribunal de um Estado-Membro da UE como tendo jurisdição exclusiva para resolver qualquer disputa ou ação judicial decorrente ou relacionada ao Contrato, as partes concordam que os tribunais da Alemanha terão jurisdição exclusiva para resolver qualquer disputa decorrente das Cláusulas Contratuais Padrão da UE.
- Entidades autorizadas no Reino Unido. Caso as Transferências Restritas tenham origem em Entidades Autorizadas localizadas no Reino Unido, o seguinte se aplicará:
- Adendo do Reino Unido. O Adendo do Reino Unido deve ser usado, a menos que acordado de outra forma por escrito pela Siemens.
- Parte 1 do Adendo do Reino Unido. A Parte 1 da Adenda do Reino Unido deve ser aplicada da seguinte forma:
- Tabela 1: Os detalhes das partes e as principais informações de contato estão contidos em Anexo I a este DPA.
- Tabela 2: A versão dos SCCs aprovados da UE (conforme definido pelo Adendo do Reino Unido) à qual o Adendo do Reino Unido está anexado são as Cláusulas Contratuais Padrão da UE com os Módulos e Cláusulas selecionados acima em Seção 9 (a) deste DPA. Nenhum dado pessoal recebido do importador é combinado com dados pessoais coletados pelo exportador.
- Tabela 3: As informações do apêndice, conforme exigido pela Tabela 3 do Adendo do Reino Unido, estão contidas em Anexos I a III a este DPA.
- Tabela 4: Nenhuma das partes pode rescindir o Adendo do Reino Unido quando o Adendo Aprovado (conforme definido no Adendo do Reino Unido) for alterado.
- Entidades autorizadas em outros países. Caso as Cláusulas Contratuais Padrão protejam as Transferências Restritas de Entidades Autorizadas localizadas fora do EEE e do Reino Unido (por exemplo, Suíça), (1) as referências gerais e específicas nas Cláusulas Contratuais Padrão ao GDPR ou às leis da UE ou dos Estados-Membros terão o mesmo significado que a referência equivalente nas Leis de Proteção de Dados Aplicáveis do país onde a Entidade Autorizada está localizada, conforme aplicável; e (2) referências à “autoridade supervisora competente” devem ser interpretados como referências à proteção de dados competente autoridade nesse país. A lei aplicável, a escolha do foro e a jurisdição serão regidas por Seções 9 (a) (vii) e (viii) deste DPA, a menos que exigido de outra forma pelas leis aplicáveis à respectiva Entidade Autorizada, caso em que as Cláusulas Contratuais Padrão serão regidas pelas leis do país em que a Entidade Autorizada está localizada e quaisquer referências aos “tribunais” competentes devem ser interpretadas como referências aos tribunais competentes desse país.
- Regras corporativas vinculativas para processadores. O seguinte se aplicará se uma Proteção de Transferência for baseada nas Regras Corporativas Vinculativas do Processador: O Provedor deverá vincular contratualmente esse Subprocessador a cumprir as Regras Corporativas Vinculativas do Processador com relação aos Dados Pessoais Processados de acordo com este DPA.
- Salvaguardas adicionais de transferência. Caso uma Salvaguarda de Transferência não seja baseada em Cláusulas Contratuais Padrão, as Cláusulas 14 e 15 das Cláusulas Contratuais Padrão serão aplicadas mutatis-mutandis às Transferências Restritas sob essa outra Salvaguarda de Transferência, a menos que a respectiva Salvaguarda de Transferência contenha, em substância, os mesmos direitos e obrigações em relação a (i) leis e práticas locais que afetam a conformidade com as Salvaguardas de Transferência e (ii) obrigações em caso de acesso por autoridades públicas, conforme contido nas Cláusulas 14 e 15 das Cláusulas Contratuais Padrão.
- Outros. O Provedor concorda e compreende que a Lei de Proteção de Dados aplicável local pode conter restrições de transferência semelhantes ou adicionais, conforme contidas nesta Seção 9. Nesse caso, o Fornecedor concorda em envidar esforços razoáveis e cooperar com a Siemens de boa fé para atender a esses requisitos.
10. ASSISTÊNCIA DO PROVEDOR
O Provedor deve ajudar razoavelmente a Siemens a garantir a conformidade com a Lei de Proteção de Dados Aplicável, em particular auxiliando a Siemens da seguinte forma:
- (a) Correção, exclusão ou restrição de processamento. O Provedor deve (i) fornecer a capacidade de retificar, apagar ou restringir o Processamento de Dados Pessoais por meio das funcionalidades dos Serviços, ou (ii) corrigir, apagar ou restringir o Processamento de Dados Pessoais conforme instruído pela Siemens.
- (b) Acesso aos dados pessoais. Na medida em que as informações relacionadas a um titular de dados não estejam acessíveis por meio do Serviço, o Provedor, conforme necessário para permitir que a Siemens e as Entidades Autorizadas cumpram suas obrigações de acordo com as Leis de Proteção de Dados aplicáveis, fornecerá assistência para disponibilizar essas informações à Siemens e/ou às Entidades Autorizadas.
- (c) Solicitações de titulares de dados e autoridades. O Provedor notificará imediatamente a Siemens sobre: (i) qualquer solicitação ou reclamação recebida ou qualquer notificação de investigação por uma autoridade ou agência policial, governamental ou regulatória; e (ii) qualquer solicitação recebida diretamente de qualquer titular de dados sobre seus Dados Pessoais. Com relação aos itens (i) e (ii) acima, o Fornecedor não responderá sem instruções da Siemens. Se assim for instruído, o Fornecedor apoiará razoavelmente a Siemens na resposta a tais solicitações.
- (d) Portabilidade de dados. Mediante solicitação da Siemens e se exigido pela Lei de Proteção de Dados Aplicável, o Provedor (i) fornecerá a capacidade de extrair Dados Pessoais por referência a um titular de dados específico de acordo com as funcionalidades do Serviço ou (ii) disponibilizará o conjunto relevante de dados para a Siemens e/ou a respectiva Entidade Autorizada, em cada caso em um formato estruturado, comumente usado e legível por máquina.
- (e) Avaliações de impacto na proteção de dados. Se solicitado pela Siemens, o Provedor fornecerá todas as informações e suporte razoável para realizar avaliações de impacto na proteção de dados de acordo com as Leis de Proteção de Dados Aplicáveis.
11. RESCISÃO DA RELAÇÃO DE PROCESSAMENTO DE DADOS
Após o término da relação de processamento de dados, a menos que seja instruído de outra forma pela Siemens ou estabelecido neste documento, o Provedor devolverá à Siemens todos os Dados Pessoais disponibilizados ao Provedor ou obtidos ou gerados pelo Provedor em conexão com os Serviços contratualmente acordados e excluirá ou destruirá irrevogavelmente quaisquer dados restantes. A exclusão ou destruição deve ser confirmada pelo Provedor por escrito, mediante solicitação.
12. OBRIGAÇÕES DE NOTIFICAÇÃO
- (a) O Fornecedor notificará a Siemens imediatamente, mas em qualquer caso dentro de 48 horas, caso o Provedor descubra ou suspeite razoavelmente de qualquer violação de dados.
- (b) Na notificação à Siemens, o Fornecedor deve fornecer à Siemens as seguintes informações: (i) detalhes de um ponto de contato onde (ou de quem) mais informações podem ser obtidas, (ii) uma descrição da natureza da violação (incluindo, sempre que possível, nomes, categorias e número aproximado de titulares de dados e registros de dados pessoais envolvidos), (iii) as consequências prováveis e as medidas tomadas ou propostas para resolver a violação, incluindo onde medidas apropriadas para mitigar seus possíveis efeitos adversos. Se e na medida em que não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deve conter as informações então disponíveis e, assim que disponíveis, outras informações devem ser fornecidas posteriormente sem demora injustificada.
- (c) Qualquer notificação sob este Seção 12 deve ser feito (i) para o respectivo ponto de contato identificado no Contrato e (ii) para dataprotection@siemens.com.
- (d) O Fornecedor deverá, às custas e despesas do Fornecedor, (i) cooperar totalmente com a Siemens na investigação de uma violação de dados; (ii) auxiliar e cooperar com a Siemens em relação a quaisquer notificações ou divulgações legalmente exigidas às pessoas afetadas (por comunicação individual, comunicação pública via mídia ou por meio de medidas similares), autoridades policiais, reguladores e/ou outros terceiros; e (iii) tomar qualquer outra ação que a Siemens considere considere necessário em relação a tal violação de dados e a qualquer disputa, consulta ou reclamação relacionada à violação de dados.
- (e) A menos que a lei aplicável ou uma ordem de um regulador competente exija o contrário, a Siemens tomará a decisão final, a seu exclusivo critério, (i) se uma violação de dados exige notificação e (ii) da forma da notificação. Caso o Provedor forneça tais notificações sobre uma violação de dados, tais notificações devem ser aprovadas, com antecedência, pela Siemens.
- (f) O provedor deve, às suas custas, tomar as medidas apropriadas para lidar com a violação de dados, incluindo medidas para mitigar seus efeitos adversos (incluindo medidas para proteger o ambiente operacional). O Provedor também deve tomar medidas imediatas para evitar a recorrência de qualquer violação de dados, incluindo qualquer ação exigida pela Lei de Proteção de Dados aplicável.
- (g) O Provedor reembolsará à Siemens todos os custos e despesas incorridos por tal Violação de Dados causada pelo Provedor, incluindo, mas não se limitando aos custos de fornecer monitoramento de crédito aos indivíduos cujos Dados Pessoais foram afetados pela Violação de Dados. As limitações de responsabilidade em favor do Fornecedor nos termos do Contrato não se aplicarão a esse respeito.
13. DOCUMENTAÇÃO E AUDITORIAS
- (a) O Provedor deve (i) monitorar, por meios apropriados, sua própria conformidade com suas obrigações de proteção de dados de acordo com este DPA e a Lei de Proteção de Dados Aplicável; (ii) criar relatórios periódicos (pelo menos anuais) e baseados em ocasiões (cada um deles a”Relatório”); e (iii) disponibilizar os Relatórios para a Siemens e Entidades Autorizadas mediante solicitação. Quando um padrão e uma estrutura de controle implementados pelo Provedor fornecem controles, esses controles serão executados de acordo com os padrões e regras do órgão regulador ou de credenciamento para cada padrão ou estrutura de controle aplicável.
- (b) Se necessário abordar adequadamente seus direitos e obrigações de auditoria de acordo com a Lei de Proteção de Dados Aplicável, as Salvaguardas de Transferência aplicáveis ou se solicitado por uma autoridade competente de proteção de dados ou outra autoridade ou agência governamental competente, o Fornecedor disponibilizará à Siemens e às Entidades Autorizadas - além dos Relatórios - todas as informações adicionais razoavelmente solicitadas, permitindo e contribuindo para auditorias, incluindo inspeções, conduzidas pela Siemens ou por Entidades Autorizadas ou por outro auditor mandatado pela Siemens Siemens ou entidades autorizadas. Para tal finalidade, a Siemens, as Entidades Autorizadas ou outro auditor mandatado pela Siemens ou pelas Entidades Autorizadas também terão o direito de realizar inspeções no local durante o horário comercial normal, sem interromper as operações comerciais do Fornecedor e após um aviso prévio razoável.
14. USO DE COOKIES
Se o Serviço fizer uso de cookies ou tecnologias similares, o seguinte se aplicará: O Provedor deverá, a menos que especificamente acordado de outra forma pela Siemens com referência a isso Seção 14, armazene apenas informações (por exemplo, escrevendo um cookie) ou obtenha acesso às informações já armazenadas no equipamento terminal de um usuário do Serviço (por exemplo, por meio de um cookie) com o único propósito de realizar a transmissão de uma comunicação por uma rede de comunicações eletrônicas, ou conforme estritamente necessário para que o Provedor forneça as principais funcionalidades dos Serviços.
15. DIVERSOS
O Fornecedor entende e concorda que os requisitos deste DPA são parte integrante do Contrato e que uma violação material de qualquer um desses requisitos deve ser considerada uma violação material pelo Fornecedor do Contrato, dando à Siemens o direito às soluções relevantes relacionadas à violação contidas no Contrato.
16. REQUISITOS ADICIONAIS RELATIVOS AOS DADOS DA SIEMENS
Se e na medida em que o Provedor acessar Dados Pessoais recebidos de uma empresa do grupo Siemens estabelecida nos Estados Unidos da América (”Siemens, empresa norte-americana”) ou de um titular de dados residente nos Estados Unidos da América, então, além do exposto acima, o Provedor: (i) deverá cumprir as leis federais, estaduais e locais dos EUA em relação aos Dados Pessoais aplicáveis ao Provedor, a esses Dados Pessoais e aos proprietários ou controladores desses Dados Pessoais; quando o exposto acima for aplicável, o termo “Lei de Proteção de Dados Aplicável”, conforme usado neste documento, incluirá as leis anteriores; (ii) exceto conforme especificamente previsto neste documento ou no Contrato, não deve vender, compartilhar, alugar, liberar, divulgar, disseminar ou disponibilizar Dados pessoais para terceiros; e não deve combinar os Dados Pessoais com outras informações; (iii) notificará a Siemens se o Provedor determinar que o Provedor não pode mais cumprir suas obrigações aqui estabelecidas; (iv) garantirá que cada pessoa que processa Dados Pessoais esteja sujeita a um dever de confidencialidade com relação aos Dados Pessoais; (v) será considerada e atuará como “prestadora de serviços” de acordo com a Lei de Proteção de Dados Aplicável (incluindo a Consumidor da Califórnia) Lei de Privacidade, seus regulamentos de implementação e quaisquer emendas à mesma); e (vii) certifica que compreende as restrições aqui contidas e as cumprirá.
Anexo I do DPA (e, quando aplicável, as cláusulas contratuais padrão)
A.LISTA DE FESTAS
Destinatário dos serviços/exportador de dados:
Nome: | Entidade Siemens especificada no Formulário de Execução |
Endereço: | Conforme fornecido no Formulário de Execução |
Nome de contato, cargo e detalhes de contato | Escritório do Diretor de Proteção de Dados da Siemens Werner-von-Siemens-Straße 1, 80333 Munique, Alemanha Correio eletrônico: datapotection@siemens.com |
Atividades relevantes para os dados transferidos/processados | O Parceiro fornecerá serviços de sucesso do cliente e/ou manutenção e suporte aos Clientes conforme indicado no Formulário de Autorização do Parceiro, de acordo com o Contrato. Ao realizar esses serviços, o Parceiro também pode ter acesso aos sistemas e redes do cliente final da Siemens e o acesso aos dados pessoais não pode ser excluído. |
Função (controlador/processador) | A Siemens atua como Controladora das atividades de processamento fornecidas pelo Fornecedor em relação à Siemens e como Processadora de acordo com as instruções de suas Entidades Autorizadas para as atividades de processamento fornecidas pelo Fornecedor em relação às Entidades Autorizadas. |
Fornecedor/importador de dados:
Nome: | Entidade provedora especificada no Formulário de Execução |
Endereço: | Conforme fornecido no Formulário de Execução |
Nome de contato, cargo e detalhes de contato | Conforme fornecido no Formulário de Autorização do Parceiro |
Atividades relevantes para os dados transferidos/processados | Veja a tabela acima |
Função (controlador/processador) | O Provedor atua como Processador de Processamento de Dados Pessoais em nome da Siemens e, conforme o caso, de Entidades Autorizadas. |
B.DESCRIÇÃO DAS OPERAÇÕES DE TRANSFERÊNCIA/PROCESSAMENTO
Categorias de titulares de dados cujos dados pessoais são transferidos/processados: | ☒ Funcionários e funcionários (incluindo candidatos, regulares, temporários, de meio período, estagiários, contratados e agentes) ☒ Pessoas de contato em parceiros de negócios, fornecedores, fornecedores e outros parceiros de cooperação ☒ Clientes e/ou seus funcionários e funcionários (incluindo candidatos, regulares, temporários, de meio período, estagiários, contratados e agentes) ☒ Usuários de produtos/serviços de software da Siemens ☐ Outros, por favor, liste: Outros sujeitos de dados afetados, cujos dados pessoais estão contidos em um aplicativo ou sistema de TI que está no escopo dos Serviços fornecidos. |
Categorias de dados pessoais transferidos/processados | ☒ Informações de contato (como nome, endereço, número de telefone ou fax, endereço de e-mail etc.) ☒ Organização organizacional (como cargo, departamento etc.) ☒ Dados de localização (como GPS, etc.) ☐ Identificadores governamentais e pessoais (como número do seguro social, número da carteira de motorista, número do seguro social etc.) ☐ Dados financeiros (como renda, arquivos de empréstimos, transações, informações de crédito, hábitos de compra e consumo, status de insolvência, etc.) ☐ Dados de emprego (como dados de recrutamento e qualificação, dados de remuneração e folha de pagamento, dados de identificação do funcionário, status do funcionário, dados de frequência, dados do histórico de trabalho, etc.) ☒ Dados da conta do usuário (como nome de usuário/ID e senha, etc.) ☒ Informações relacionadas ao uso de ativos de TI pelo titular dos dados (como endereço IP, informações de login, credenciais etc.) ☐ Informações da conta financeira (como dados bancários/de cartão de crédito, números de contas, números de cartão de crédito etc.) ☐ Outros; por favor, liste: Quaisquer outros dados pessoais contidos em um aplicativo ou sistema de TI que esteja no escopo dos Serviços fornecidos. |
Categorias especiais de dados pessoais a serem acessados ou processados | ☐ Informações sobre origem racial ou étnica ☐ Informações sobre opiniões políticas ☐ Informações sobre crenças religiosas ou filosóficas ☐ Informações sobre filiação sindical ☐ Informações sobre vida sexual ou orientação sexual ☐ Dados biométricos ☐ Dados genéticos ☐ Dados de saúde (como deficiências físicas ou mentais, histórico médico familiar, histórico médico pessoal, registros médicos, prescrições, etc.) ☐ Outros; por favor, liste: As restrições ou salvaguardas aplicadas a esses Dados Pessoais confidenciais estão descritas em Anexo II para este DPA |
A frequência da transferência (acesso/processamento) | ☐ O provedor hospeda dados pessoais em nome da Siemens e, conforme o caso, de entidades autorizadas ☒ O provedor acessa remotamente os dados pessoais ao fornecer os serviços ☒ de forma pontual ☒ de forma contínua ☐ Caso contrário, o provedor processa dados pessoais ao fornecer os serviços ☐ de forma pontual ☐ de forma contínua |
Natureza do processamento | ☐ Coleção ☒ Gravação ☒ Organização ☒ Estruturação ☐ Armazenamento ☒ Adaptação ou alteração ☐ Recuperação ☒ Consulta ☒ Uso ☐ Divulgação por transmissão ☐ Disseminação ☐ Caso contrário, disponibilização ☐ Alinhamento ou combinação ☐ Restrição ☐ Eliminação ou destruição de dados ☒ Acesso remoto ☐ Outros: |
Finalidade/atividades relevantes para os dados transferidos/processados | ☒ O provedor fornece serviços de manutenção e suporte e pode ter acesso, incluindo acesso remoto aos Dados Pessoais. ☐ O provedor fornece serviços profissionais executando serviços em conexão com um aplicativo/sistema ou rede, como: instalação, configuração ou migração de dados ou outros serviços de TI relacionados, e pode ter acesso, incluindo acesso remoto a Dados Pessoais. ☐ O provedor fornece serviços gerenciados, incluindo gerenciamento de data center e infraestrutura, gerenciamento de backup e recuperação, e pode ter acesso, incluindo acesso remoto a Dados Pessoais. ☐ O provedor fornece XaaS (Software, plataforma ou infraestrutura como serviço) fornecendo serviços de hospedagem, operação, gerenciamento, manutenção e suporte. ☒ Outros: O provedor fornece serviços de sucesso do cliente e pode ter acesso, incluindo acesso remoto, aos Dados Pessoais. |
Duração | ☐ Os Dados Pessoais serão retidos pelo período do Contrato. ☐ Os dados pessoais serão retidos por um período de: ☒ Outros: Os dados pessoais serão retidos pelo período do Pedido, a menos que seja instruído de outra forma. |
Para transferências para subprocessadores, especifique também o assunto, a natureza e a duração do processamento | O assunto, a natureza e a duração do processamento são especificados por subprocessador em Anexo III a este DPA. |
C.AUTORIDADE SUPERVISORA COMPETENTE
Quando a Siemens estiver estabelecida em um Estado-Membro da UE, a autoridade supervisora responsável por garantir a conformidade da Siemens com o GDPR no que diz respeito à transferência de dados atuará como autoridade supervisora competente. Para a Siemens Aktiengesellschaft, Alemanha, a autoridade supervisora é:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Passeio 18
91522 Ansbach
Alemanha
Quando a Siemens não estiver estabelecida em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do GDPR de acordo com o Artigo 3 (2), a autoridade supervisora do Estado Membro no qual o representante, na aceção do Artigo 27 (1) do GDPR, está estabelecido atuará como autoridade supervisora competente; a saber:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Passeio 18
91522 Ansbach
Alemanha
Anexo II do DPA (e, quando aplicável, as cláusulas contratuais padrão)
Medidas técnicas e organizacionais (incluindo medidas técnicas e organizacionais para garantir a segurança dos dados)
As seguintes medidas só se aplicam ao Provedor, na medida em que os sistemas de TI, redes e aplicativos subjacentes sejam de responsabilidade e/ou sob a custódia ou controle do Provedor. Descrição das medidas de segurança técnicas e organizacionais implementadas pelo Provedor e seu (s) Subprocessador (es):
# | Medidas | Esfera A ID da regra |
Segurança física e ambiental | ||
O provedor implementa medidas adequadas para impedir que pessoas não autorizadas tenham acesso ao equipamento de processamento de dados (ou seja, servidores de banco de dados e aplicativos e hardware relacionado). Isso deve ser feito por meio de: estabelecer áreas de segurança; protegendo e restringindo caminhos de acesso; protegendo o equipamento de processamento de dados descentralizado e os computadores pessoais; estabelecer autorizações de acesso para funcionários e terceiros, incluindo a respectiva documentação; regulamentos sobre cartões de acesso; restrições aos cartões de acesso; todo o acesso ao data center onde os Dados Pessoais estão hospedados será registrado, monitorado e rastreado; o data center onde os Dados Pessoais estão hospedados é protegido por controles de acesso restrito e outras medidas de segurança apropriadas; e a manutenção e a inspeção de equipamentos de suporte em áreas de TI e data centers devem ser realizadas somente por pessoal autorizado. | 11.1.1-02 | |
Controle de acesso (sistemas de TI e/ou aplicativos de TI) | ||
O provedor implementa um conceito de funções e responsabilidades. | 06.1.1-01 | |
O provedor implementa uma estrutura de autorização e autenticação que inclui, mas não se limita aos seguintes elementos: controles de acesso baseados em funções implementados; processo para criar, modificar e excluir contas implementadas; o acesso aos sistemas e aplicativos de TI é protegido por mecanismos de autenticação; métodos de autenticação apropriados são usados com base nas características e opções técnicas do sistema ou aplicativo de TI; o acesso aos sistemas e aplicativos de TI deve exigir, pelo menos, autenticação de dois fatores para contas privilegiadas; todo o acesso aos Dados Pessoais é registrado, monitorado e rastreado; medidas de autorização e registro para conexões de rede de entrada para sistemas e aplicativos de TI (incluindo firewalls para permitir ou negar conexões de rede de entrada) implementadas; direitos de acesso privilegiado a sistemas de TI, aplicativos e serviços de rede são concedidos somente a indivíduos que precisam deles para realizar suas tarefas (princípio do menor privilégio); os direitos de acesso privilegiado aos sistemas e aplicativos de TI são documentados e mantidos atualizados; os direitos de acesso aos sistemas e aplicativos de TI são revisados e atualizados regularmente; política de senha implementada, incluindo requisitos em relação à complexidade da senha, tamanho mínimo e expiração após um período de tempo adequado, sem reutilização de senhas usadas recentemente; Sistemas e aplicativos de TI impõem tecnicamente a política de senhas; os direitos de acesso dos funcionários e do pessoal externo aos sistemas e aplicativos de TI são removidos imediatamente após a rescisão do contrato de trabalho ou contrato; e é garantido o uso de certificados de autenticação seguros de última geração. | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
Os sistemas e aplicativos de TI são bloqueados automaticamente ou encerram a sessão após exceder um limite razoável de tempo de inatividade definido. | 11.2.9-03 11.2.9-04 | |
O provedor limita o acesso privilegiado aos ativos da nuvem a intervalos únicos ou específicos de endereços IP. | ST002-0008 | |
O acesso privilegiado aos ativos da nuvem é feito por meio de um bastion host. | ST002-0009 | |
O provedor mantém procedimentos de login em sistemas de TI com proteções contra atividades de login suspeitas (por exemplo, contra ataques de força bruta e de adivinhação de senhas). | 09.4.2-02 | |
Controle de disponibilidade | ||
O provedor protege sistemas e aplicativos contra software malicioso implementando soluções antimalware apropriadas e de última geração. | 12.2.1-01 | |
O provedor define, documenta e implementa um conceito de backup para sistemas de TI, incluindo os seguintes elementos técnicos e organizacionais: a mídia de armazenamento de backups é protegida contra acesso não autorizado e ameaças ambientais (por exemplo, calor, umidade, incêndio); intervalos de backup definidos; e a restauração de dados a partir de backups é testada regularmente com base na importância do sistema ou aplicativo de TI. | 12.3.1-01 | |
O provedor armazena backups em um local físico diferente do local em que o sistema produtivo está hospedado. | ST002-0013 | |
Os sistemas e aplicativos de TI em ambientes de não produção são separados lógica ou fisicamente dos sistemas e aplicativos de TI em ambientes de produção. | 12,1,4-01 | |
Os data centers nos quais os dados pessoais são armazenados ou processados são protegidos contra desastres naturais, ataques físicos ou acidentes. | 11.1.4-02 | |
Equipamentos de suporte em áreas de TI e data centers, como cabos, eletricidade, instalações de telecomunicações, abastecimento de água ou sistemas de ar condicionado, estão protegidos contra interrupções e manipulações não autorizadas. | 11.1.4-02 | |
Operations Security | ||
O Provedor mantém e implementa uma Estrutura de Segurança da Informação que reflete as medidas descritas neste documento, que é revisada e atualizada regularmente. | 05.1.1-01 | |
O provedor registra eventos relevantes à segurança, como atividades de gerenciamento de usuários (por exemplo, criação, exclusão), logons falhados, alterações na configuração de segurança do sistema em sistemas e aplicativos de TI. | 12.4.1-01 | |
O provedor analisa continuamente os respectivos sistemas de TI e dados de registro de aplicativos em busca de anomalias, irregularidades, indicadores de comprometimento e outras atividades suspeitas. | 12,4,1-03 | |
O provedor verifica e testa sistemas e aplicativos de TI em busca de vulnerabilidades de segurança regularmente. | 12.6.1-01 | |
O provedor implementa e mantém um processo de gerenciamento de mudanças para sistemas e aplicativos de TI. | 12,1.2-01 | |
O provedor mantém um processo para atualizar e implementar correções e atualizações de segurança do fornecedor nos respectivos sistemas e aplicativos de TI. | 12.6.1-03 | |
O provedor apaga irremediavelmente os dados ou destrói fisicamente a mídia de armazenamento de dados antes de descartar ou reutilizar um sistema de TI. | 11.2.7-01 | |
Controles de transmissão | ||
O provedor documenta e atualiza regularmente as topologias de rede e seus requisitos de segurança. | 13,1-02 | |
O provedor monitora de forma contínua e sistemática os sistemas de TI, aplicativos e zonas de rede relevantes para detectar atividades de rede maliciosas e anormais por meio de Firewalls (por exemplo, firewalls com estado, firewalls de aplicativos); Servidores proxy; Sistemas de Detecção de Intrusão (IDS) e/ou Sistemas de Prevenção de Intrusão (IPS); Filtragem de URL; e Sistemas de gerenciamento de eventos e informações de segurança (SIEM). | 13,1-06 | |
O provedor administra sistemas e aplicativos de TI usando conexões criptografadas de última geração. | 13,1,3-09 | |
O provedor protege a integridade do conteúdo durante a transmissão por meio de protocolos de rede de última geração, como o TLS. | 13,2,3-05 | |
O provedor criptografa ou permite que seus provedores criptografem os dados do provedor que são transmitidos por redes públicas. | ST002-0017 | |
O provedor usa sistemas de gerenciamento de chaves (KMS) seguros para armazenar chaves secretas na nuvem. | ST002-0018 | |
Incidentes de segurança | ||
O provedor mantém e implementa um processo de tratamento de incidentes, incluindo, mas não se limitando a: registros de violações de segurança; Processos de notificação do provedor; e um esquema de resposta a incidentes para abordar o seguinte no momento do incidente: (i) funções, responsabilidades e estratégias de comunicação e contato no caso de um comprometimento (ii) procedimentos específicos de resposta a incidentes e (iii) cobertura e respostas de todos os componentes críticos do sistema. | 06.1.3-01 | |
Gerenciamento de ativos, aquisição de sistemas, desenvolvimento e manutenção | ||
O provedor identifica e documenta os requisitos de segurança das informações antes do desenvolvimento e aquisição de novos sistemas e aplicativos de TI, bem como antes de fazer melhorias nos sistemas e aplicativos de TI existentes. | 14,1-01 | |
O provedor estabelece um processo formal para controlar e realizar alterações nos aplicativos desenvolvidos. | 14,2,2-01 | |
O provedor planeja e incorpora testes de segurança ao ciclo de vida de desenvolvimento do sistema de sistemas e aplicativos de TI. | 14,2,8-01 | |
O provedor implementa um processo adequado de correção de segurança que inclui: monitoramento de componentes para possíveis fraquezas (CVEs); classificação prioritária de correção; implementação oportuna da correção; e download de patches de fontes confiáveis. | 08.1.1-01 PR001-0001 | |
Human Resource Security | ||
O provedor implementa as seguintes medidas na área de segurança de recursos humanos: funcionários com acesso a Dados Pessoais estão sujeitos a obrigações de confidencialidade; e funcionários com acesso a Dados Pessoais são treinados regularmente em relação às leis e regulamentos de proteção de dados aplicáveis. | 07.1.1-01 | |
O provedor implementa um processo de desativação para funcionários do provedor e fornecedores externos. | 07.3.1-02 08.1.4-01 | |
Criptografia (relevante para DP no contexto de serviços de rede) | ||
O provedor usa certificados seguros de última geração e implementa o seguinte: os certificados digitais só são aceitos e confiáveis se o certificado digital tiver sido emitido por uma autoridade de certificação confiável; os certificados são usados e alocados para sistemas e aplicativos de TI dedicados; e a validade dos certificados digitais é verificada. | 07.1.1-01 | |
O provedor implementa um processo para o gerenciamento e implementação de chaves criptográficas, incluindo regras e requisitos para gerar, armazenar, fazer backup, distribuir e revogar chaves criptográficas. | 07.3.1-02 08.1.4-01 |
Anexo III do DPA (e, quando aplicável, as cláusulas contratuais padrão)
LISTA DE SUBPROCESSADORES E LOCALIZAÇÕES DE DATA CENTERS
O “Formulário de Autorização do Parceiro” estabelece o
Entidades (incluindo parceiros e subprocessadores) envolvidas no armazenamento/hospedagem de dados pessoais,
Localizações de data centers aplicáveis,
Subprocessadores envolvidos no processamento de dados pessoais para fins que não sejam de armazenamento/hospedagem,
que são incorporados aqui por esta referência.
O provedor não transferirá dados pessoais da respectiva localização do data center sem o consentimento da Siemens. O mecanismo de notificação e objeção contido em Seção 8 não se aplicará a este respeito.