Avaliação de impacto da transferência de dados

À luz da decisão “Schrems II” do Tribunal de Justiça da União Europeia e das recomendações do Conselho Europeu de Proteção de Dados, a Accept Mission realiza avaliações de impacto para transferências de dados que fazem parte do Accept Mission Service.

Esta Avaliação de Impacto de Transferência de Dados (“DTIA”) identifica e descreve o risco, bem como as salvaguardas que a Accept Mission implementou em relação às transferências de dados pessoais de clientes do Espaço Econômico Europeu, Reino Unido ou Suíça (“Europa”) para o Estados Unidos e a capacidade da Accept Mission de cumprir suas obrigações como “exportador de dados”.

Na sua decisão Schrems II, o Tribunal de Justiça da UE esclareceu que o uso de cláusulas contratuais padrão (“SCC”) exige que os controladores de dados realizem uma avaliação caso a caso do nível de proteção de dados que os SCCs podem fornecer, levando em consideração conta a natureza das transferências de dados pessoais e o país de destino.

Consulte o Adendo de Proteção de Dados da Missão de Aceitação (“DPA”) para obter uma descrição da natureza do processamento de dados. A Accept Mission implementou medidas suplementares para proteger dados pessoais para transferências a terceiros nos Estados Unidos. Para ver para onde transferimos dados para nossos fornecedores fora do local do servidor, consulte nosso lista de subprocessadores.

Avaliação do país de destino

A seguir Leis dos EUA relevantes para a transferência de dados UE-EUA foram identificados pelo Tribunal de Justiça da União Europeia em Schrems II como sendo potenciais obstáculos para garantir uma proteção essencialmente equivalente para dados pessoais nos EUA:

  • FISA 702
  • Ordem Executiva 12333
  • Lei da Nuvem

Como os Estados Unidos não oferecem aos dados pessoais um nível de proteção essencialmente equivalente àqueles que o GDPR fornece, são necessárias medidas técnicas, organizacionais ou contratuais adicionais.

Finalidade da transferência e qualquer processamento adicional:

A Accept Mission usa vários subprocessadores que armazenam dados nos Estados Unidos e cujos funcionários podem acessar dados pessoais nos Estados Unidos. Por favor, veja nosso lista de subprocessadores para informações específicas e fluxos de dados.

Frequência

A Accept Mission transfere dados de forma contínua, à medida que o Serviço é usado.

Categorias de Dados Pessoais

  • Endereços de e-mail do usuário final
  • Nomes de usuários finais
  • IP do usuário final
  • Detalhes do cartão de crédito do cliente
  • IP de contato do cliente
  • Endereço do cliente
  • Detalhes do cartão de crédito do cliente
  • Nome de contato do cliente
  • E-mail de contato do cliente

Por favor, veja nosso lista de subprocessadores para obter informações específicas sobre o processador das categorias de dados pessoais enviados para os Estados Unidos.

Dados sensíveis

Não transferimos intencionalmente quaisquer dados confidenciais para os Estados Unidos.

Solicitações de aplicação da lei

Cada subprocessador da Accept Mission possui uma política de solicitação de aplicação da lei e notificará a Accept Mission, quando permitido por lei, antes de divulgar informações em resposta a uma solicitação.

Comprimento da cadeia de processamento

Os dados são transferidos externamente para nossos subprocessadores.

Mecanismo de Transferência Aplicável

Quando os dados pessoais do cliente originários da Europa são transferidos pela Accept Mission para subprocessadores de terceiros nos Estados Unidos, a Accept Mission entrou em DPAs com SCCs com essas partes.

Medidas Complementares do Fornecedor

Cada subprocessador da Accept Mission concordou com medidas contratuais que são pelo menos tão restritivas quanto aquelas que a Accept Mission concordou com os Clientes. Por favor, veja nosso lista de subprocessadores para obter informações específicas sobre certificações e conformidade, medidas de segurança técnica e organizacional do subprocessador individual.

Medidas Adicionais

Restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos:

  • Cada subprocessador da Accept Mission processando dados pessoais nos Estados Unidos tem uma política de solicitação de aplicação da lei em vigor e notificará a Accept Mission, quando permitido por lei, antes de divulgar informações em resposta a uma solicitação.
  • Cada subprocessador da Accept Mission que processa dados pessoais nos Estados Unidos é certificado para cumprir com os padrões iguais ou superiores aos da Accept Mission, por exemplo, SOC2 Tipo 2.
  • Cada subprocessador da Accept Mission processando dados pessoais nos Estados Unidos tem um período de retenção limitado para esses dados.
  • As categorias de dados pessoais são separadas e nem todas estão disponíveis para o mesmo subprocessador. Alguns estão processando endereços de e-mail de usuários finais, mas não endereços IP. Um segundo é o processamento de endereços IP. Um terceiro está processando os detalhes do cartão de crédito do cliente.
  • Sempre que possível, os dados são criptografados e os períodos de anonimato e retenção são minimizados.
  • A Accept Mission oferece treinamento em proteção de dados para todos os funcionários da Accept Mission.

Por favor, veja nosso lista de subprocessadores para obter informações específicas sobre as medidas do fornecedor e medidas adicionais para dados enviados aos Estados Unidos.

Embora leis como “FISA 702” possam ser usadas para obter informações de cidadãos não americanos, os dados pessoais enviados para os Estados Unidos são mínimos e não estão vinculados a outros pontos de dados. Um nome pode ser identificado com um endereço de e-mail, mas não com um endereço IP e não com qualquer informação ou conteúdo comportamental.

A Accept Mission (como “exportador de dados”) considera baixos os riscos para os direitos dos indivíduos na transferência e processamento do conjunto limitado de categorias de dados pessoais europeus nos/para os Estados Unidos.

Com a natureza da transferência de dados pessoais descrita neste documento, a Accept Mission e as medidas adicionais tomadas pela Accept Mission e pelos fornecedores terceirizados, a Accept Mission não vê a necessidade de medidas suplementares adicionais neste momento.

Reavaliação

A Accept Mission revisará e, se necessário, reconsiderará os riscos associados aos seus subprocessadores, bem como as medidas implementadas por si e por terceiros em intervalos regulares, pelo menos anualmente.