Adendo de Processamento de Dados

Os termos e condições abaixo (“DPA”) complementam e alteram os Termos de Serviço ("Para% s"), na medida em que a Accept Mission processa quaisquer dados pessoais originários do Espaço Econômico Europeu, do Reino Unido e da Suíça (“Dados da UE”) para Você como Cliente.

Expressões em maiúsculas não definidas no DPA têm o significado definido nos ToS. Palavras e expressões usadas neste DPA, mas não definidas no DPA ou nos ToS, têm os significados atribuídos a tais palavras e expressões na Diretiva da UE 95/46/EC ou, a partir de 25 de maio de 2018, no Regulamento Geral de Proteção de Dados (2016/ 679) (“GDPR”), incluindo qualquer legislação subordinada ou de implementação, e, para transferências de Dados para Accept Mission ApS (“Lei de Proteção de Dados Aplicável”).

1. Aceite a Missão como Processador de Dados

A Accept Mission deve ser considerada apenas como um Processador em nome de seu Cliente e Usuários quanto a quaisquer Dados do Cliente que contenham Dados Pessoais que estejam sujeitos aos requisitos do GDPR. Exceto conforme previsto neste DPA, Accept Mission não faz com que os Dados do Cliente que contenham Dados Pessoais armazenados em conexão com os Serviços sejam transferidos ou disponibilizados de outra forma a terceiros, exceto a Subcontratados terceirizados que podem processar esses dados em nome de Aceitar Missão em conexão com a prestação de Serviço da Aceitar Missão aos Clientes.

Tais ações são executadas ou autorizadas apenas pelo Cliente aplicável. O Cliente é o controlador de dados de acordo com o Regulamento para quaisquer Dados do Cliente que contenham Dados Pessoais, o que significa que tal parte controla a maneira como esses Dados Pessoais são coletados e usados, bem como a determinação das finalidades e meios de processamento de tais Dados Pessoais.

A Accept Mission não é responsável pelo conteúdo dos Dados Pessoais contidos nos Dados do Cliente ou outras informações armazenadas em seus servidores (ou servidores de seus Subcontratados) a critério do Cliente, nem a Accept Mission é responsável porque o Cliente ou Usuário coleta , lida com a divulgação, distribui ou processa tais informações.

Ao fornecer os Serviços ao Cliente de acordo com os ToS, Accept Mission pode processar Dados Pessoais em nome do Cliente. A Accept Mission concorda em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais enviados por ou para o Cliente ao Serviço ou coletados e processados por ou para o Cliente por meio do Serviço.

2. Geral

  1. Você confirma que está aceitando este DPA em Sua capacidade como Cliente Pessoal ou Cliente Empresarial.
  2. Se você estiver aceitando este DPA como Cliente Comercial, você confirma que tem autoridade para vincular a entidade que você representa como Cliente a este DPA.
  3. Este Contrato de Processamento de Dados estabelece os direitos e obrigações que se aplicam ao tratamento de dados pessoais pela Accept Mission em nome do Cliente.
  4. O presente Acordo foi concebido para garantir o cumprimento pelas Partes do artigo 28.º, n.º 3, do Regulamento 2016/679 do Parlamento Europeu e do Conselho (incluindo, mas não limitado ao artigo 28.º) sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados), que estabelece requisitos específicos para o conteúdo dos acordos de tratamento de dados.
  5. O processamento de dados pessoais da Accept Mission deve ocorrer para fins de cumprimento dos TdS, começando na data em que Você, como Cliente, aceita eletronicamente ou concorda com nossos TdS.
  6. A duração deste Pedido ou Contrato corresponde à duração dos ToS. Isso não prejudica o direito de rescisão do contrato por justa causa sem aviso prévio. Tal causa existe em particular, se uma obrigação sob este contrato ou disposições do GDPR forem violadas intencionalmente ou por negligência grosseira.
  7. Este Contrato de Processamento de Dados terá prioridade sobre quaisquer disposições semelhantes contidas em outros contratos entre as Partes, incluindo os ToS. As Cláusulas Contratuais Padrão da UE, se aplicáveis, devem prevalecer.
  8. Três apêndices estão anexados a este Contrato de Processamento de Dados. Os Apêndices fazem parte integrante deste Contrato de Processamento de Dados.
  9. O Apêndice A do Contrato de Processamento de Dados contém detalhes sobre o processamento, bem como a finalidade e a natureza do processamento, tipo de dados pessoais, categorias de titulares de dados e duração do processamento.
  10. O Apêndice B do Contrato de Processamento de Dados contém os termos e condições que se aplicam ao uso de Subprocessadores pela Accept Mission e uma lista de Subprocessadores aprovados.
  11. O Apêndice C do Contrato de Processamento de Dados contém instruções sobre o processamento que a Accept Mission deve realizar em nome do Cliente (o sujeito do processamento), as medidas mínimas de segurança e como a inspeção com a Accept Mission e quaisquer Subprocessadores deve ser realizada.
  12. Este Contrato de Processamento de Dados não isenta a Accept Mission das obrigações às quais a Accept Mission está sujeita de acordo com o Regulamento Geral de Proteção de Dados ou outra legislação.

3. Direitos e Obrigações do Cliente como Controlador de Dados

  1. O Cliente será responsável perante o mundo exterior (incluindo o titular dos dados) por garantir que o processamento de dados pessoais ocorra no âmbito do Regulamento Geral de Proteção de Dados e, ainda, da Lei de Proteção de Dados Aplicável.
  2. O Cliente terá, portanto, o direito e a obrigação de tomar decisões sobre as finalidades e os meios de processamento de dados pessoais.
  3. O Cliente será responsável por garantir que o processamento que a Accept Mission é instruído a realizar seja autorizado por lei.

4. Aceite os atos da Missão de acordo com as instruções

  1. A Accept Mission só terá permissão para processar dados pessoais de acordo com instruções documentadas do Cliente, a menos que o processamento seja exigido pela legislação da UE ou do Estado Membro à qual a Accept Mission está sujeita; neste caso, a Accept Mission informará o Cliente sobre este requisito legal antes do processamento, a menos que a lei proíba tais informações por motivos importantes de interesse público, cf. Artigo 28, inciso 3, parágrafo a.
  2. A Accept Mission informará imediatamente o Cliente se as instruções na opinião da Accept Mission infringirem o Regulamento Geral de Proteção de Dados ou as disposições de proteção de dados contidas em outra lei da UE ou de um Estado Membro.
  3. A Accept Mission colocará à disposição do Cliente todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas neste Adendo e no Art. 28 GDPR e deve permitir e contribuir para auditorias, incluindo inspeções, conduzidas pelo Cliente ou outro auditor mandatado pelo Cliente, de acordo com o Apêndice B, Seção “Relatórios de Inspeção e Auditoria”.

5. Confidencialidade

  1. A Accept Mission garantirá que apenas as pessoas atualmente autorizadas a fazê-lo possam acessar os dados pessoais processados em nome do Cliente. O acesso aos dados será, portanto, imediatamente negado se tal autorização for removida ou expirar.
  2. Apenas as pessoas que necessitem de acesso aos dados pessoais para cumprir as obrigações de Aceitar a Missão ao Cliente devem receber autorização. Para evitar dúvidas, o acesso deve ser baseado nos princípios de “necessidade de saber” e “acesso menos privilegiado”, e que tais pessoas tenham recebido treinamento e instruções apropriados sobre o processamento de dados pessoais. A Accept Mission fornecerá ao Cliente, mediante pedido, comprovativo da execução dos acordos de confidencialidade com o pessoal que possa ter acesso aos Dados Pessoais do Cliente, bem como comprovativo de formação periódica no domínio da proteção de dados pessoais.
  3. A Accept Mission garantirá que as pessoas autorizadas a processar dados pessoais em nome do Cliente se comprometeram a observar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada.

6. Segurança do processamento

  1. A Accept Mission tomará todas as medidas exigidas de acordo com o Artigo 32 do Regulamento Geral de Proteção de Dados, que estipula que, considerando o nível atual, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento e o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas, o Cliente e o Processador devem implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco.
  2. Dependendo de sua relevância, as medidas podem incluir o seguinte:
  3. Pseudonimização e criptografia de dados pessoais
  4. A capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento.
  5. A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico.
  6. Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
  7. A Accept Mission deve, ao garantir o acima - em todos os casos - implementar no mínimo o nível de segurança e as medidas especificadas no Apêndice C deste Contrato de Processamento de Dados.

7. Assistência ao Cliente

  1. A Accept Mission, tendo em conta a natureza do tratamento, deverá auxiliar o Cliente de forma razoável com as medidas técnicas e organizativas adequadas, no cumprimento das obrigações do Cliente de responder aos pedidos de exercício dos direitos dos titulares dos dados nos termos do Capítulo 3 dos Dados Gerais Regulamento de Proteção.

Isso implica que Aceitar Missão deve ajudar o Cliente de forma razoável na conformidade do Cliente com:

  1. obrigação de notificação ao recolher dados pessoais do titular dos dados
  2. obrigação de notificação se os dados pessoais não tiverem sido obtidos do titular dos dados
  3. direito de acesso do titular dos dados
  4. o direito de retificação
  5. o direito de apagar ('o direito de ser esquecido')
  6. o direito de restringir o processamento
  7. obrigação de notificação relativa à retificação ou apagamento de dados pessoais ou restrição de processamento
  8. o direito à portabilidade de dados
  9. o direito de se opor
  10. o direito de se opor ao resultado da tomada de decisão individual automatizada, incluindo a criação de perfis

Para evitar dúvidas, a Accept Mission notificará prontamente o Cliente e, posteriormente, fornecerá ao Cliente todas as informações pertinentes, no caso de: (i) quaisquer solicitações ou reclamações de terceiros (incluindo organizações ou associações) sobre o processamento de dados pessoais pela Accept Missão em nome do Cliente; ou (ii) qualquer autoridade supervisora ou solicitações governamentais para acesso, informações sobre auditoria ou qualquer outra ação regulatória (incluindo apenas notificação de intenção) relativa ao processamento de dados pessoais realizado pela Accept Mission no contexto do Contrato de Serviços. Caso a Accept Mission receba diretamente tal solicitação ou reclamação, a Accept Mission notificará imediatamente o Cliente e em nenhum caso responderá diretamente, a menos que com instrução prévia por escrito do Cliente.

  1. A Accept Mission ajudará o Cliente a garantir o cumprimento das obrigações do Cliente nos termos dos Artigos 32 a 36 do Regulamento Geral de Proteção de Dados, levando em consideração a natureza do processamento e os dados disponibilizados à Accept Mission, cf. Artigo 28, inciso 3, parágrafo f.

Isso implica que a Accept Mission deve, levando em consideração a natureza do processamento, ajudar razoavelmente o Cliente na conformidade do Cliente com:

  1. a obrigação de implementar medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco associado ao tratamento
  2. a obrigação de relatar violações de dados pessoais à autoridade supervisora sem demora injustificada e, se possível, dentro de 72 horas após o Cliente descobrir tal violação, a menos que seja improvável que a violação de dados pessoais resulte em risco aos direitos e liberdades das pessoas físicas
  3. a obrigação – sem demora injustificada – de comunicar a violação de dados pessoais ao titular dos dados quando tal violação for suscetível de resultar em alto risco para os direitos e liberdades das pessoas singulares
  4. a obrigação de realizar uma avaliação do impacto na proteção de dados se um tipo de tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares
  5. a obrigação de consultar a autoridade supervisora antes do processamento se uma avaliação de impacto na proteção de dados mostrar que o processamento levará a um alto risco na falta de medidas tomadas pelo Cliente para limitar o risco

8. Notificação de violação de dados pessoais

  1. Na descoberta de violação de dados pessoais nas instalações da Accept Mission ou nas instalações de um subprocessador, a Accept Mission notificará o Cliente sem demora injustificada. A notificação da Accept Mission ao Cliente deverá, se possível, ocorrer dentro de 48 horas após a Accept Mission ter descoberto a violação para permitir que o Cliente cumpra sua obrigação, se aplicável, de relatar a violação à autoridade supervisora dentro de 72 horas imediatamente e em qualquer caso .

Isso pode significar que a Accept Mission é obrigada a auxiliar na obtenção das informações listadas abaixo que, de acordo com o artigo 33, subseção 3, do Regulamento Geral de Proteção de Dados, devem ser declaradas no relatório do Cliente à autoridade supervisora:

  1. A natureza da violação de dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados e as categorias e o número aproximado de registros de dados pessoais afetados
  2. Consequências prováveis de uma violação de dados pessoais
  3. Medidas que foram tomadas ou propostas para gerenciar a violação de dados pessoais, incluindo, se aplicável, medidas para limitar seus possíveis danos

9. Apagamento e devolução de dados

Na rescisão dos serviços de processamento, a Accept Mission terá a obrigação, a critério do Cliente, de apagar ou devolver todos os dados pessoais ao Cliente e apagar as cópias existentes, a menos que a lei da UE ou a lei do Estado-Membro exija o armazenamento dos dados pessoais.

10. Início e término

  1. Este Contrato de Processamento de Dados entrará em vigor na data em que o Cliente aceitar eletronicamente ou concordar com Nossos ToS.
  2. Este Contrato de Processamento de Dados pode ser rescindido de acordo com os termos e condições de rescisão, incl. aviso de rescisão, especificado no ToS sujeito à Seção 2.6 (veja acima).
  3. Este Contrato de Processamento de Dados será aplicado enquanto o processamento for realizado. Independentemente da rescisão dos ToS e/ou deste Contrato de Processamento de Dados, o Contrato de Processamento de Dados permanecerá em vigor até o término do processamento e o apagamento dos dados pela Accept Mission e quaisquer subprocessadores.
  4. As violações deste Adendo serão tratadas como violações do Contrato de Serviços. Cada Parte será responsável por suas próprias violações da lei de proteção de dados aplicável e deverá indenizar a outra em conformidade caso a outra parte sofra um dano após tal violação.

Contato do Controlador de Dados e do Processador de Dados

  1. O cliente pode entrar em contato com a Accept Mission em [email protected]
  1. A Accept Mission pode entrar em contato com o Cliente usando as informações de contato armazenadas em sua Conta.

Apêndice A

O Apêndice A do Contrato de Processamento de Dados contém detalhes sobre o processamento, bem como a finalidade e a natureza do processamento, tipo de dados pessoais, categorias de titulares de dados e duração do processamento.

1. Controlador de dados

O controlador de dados é um Cliente do software, serviços, sistemas e/ou tecnologias de comunicação e produtividade da Accept Mission.

2. Processador de Dados

O processador de dados é Accept Mission ApS, como fornecedor de software, serviços, sistemas e/ou tecnologias de comunicação e produtividade.

3. Titulares dos Dados

Os dados pessoais tratados para efeitos do Contrato de Prestação de Serviços dizem respeito às seguintes categorias de titulares de dados:

Usuários do serviço

4. Categorias de Dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Para usuários finais

Podemos coletar os seguintes dados pessoais para usuários finais de Clientes

Registro do usuário final e informações de contato
  • Nome do usuário final
  • E-mail do usuário final
Dados de serviço do usuário final
  • IP do usuário final
  • URL do usuário final
  • Referenciador do usuário final
  • Navegador do usuário final
  • Dispositivo do usuário final
  • Eventos do usuário final
  • Configurações do usuário final
Conteúdo do usuário final

todos os dados e informações enviados pelos Usuários Finais aos Serviços e incluem texto de mensagens, arquivos, comentários e links, mas não incluem produtos de terceiros ou o Serviço.

Para clientes

Podemos coletar os seguintes dados pessoais dos Clientes.

Informações pessoais do cliente
  • Nome de contato do cliente
  • E-mail de contato do cliente
Informações de pagamento do cliente:
  • Detalhes do cartão de crédito
  • IP de contato do cliente
  • Endereço do cliente

5. Categorias Especiais de Dados

Os dados pessoais transferidos dizem respeito às seguintes categorias especiais de dados:

  • Nenhum

O Exportador de Dados pode enviar dados pessoais ao Importador de Dados por meio dos Serviços, cuja extensão é determinada e controlada pelo Exportador de Dados em conformidade com a Lei de Proteção de Dados Aplicável e que pode dizer respeito às seguintes categorias especiais de dados, se houver:

  • origem racial ou étnica;
  • opiniões políticas;
  • crenças religiosas ou filosóficas;
  • filiação sindical;
  • dados genéticos ou biométricos;
  • saúde; e
  • vida sexual

6. Operações de Processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

  • Conforme necessário para concluir um contrato para o Serviço

7. Natureza e Finalidade do Processamento

Mais detalhadamente, Accept Mission disponibiliza seu Serviço ao Cliente e por meio deste armazena e processa Dados Pessoais sobre o Cliente em nossa infraestrutura de Serviço para facilitar a autenticação, comunicação e medida de segurança aos Usuários do Serviço.

Aceitar Missão enviará e-mails para pessoas convidadas para a plataforma, permitirá que as pessoas se tornem Membros do Espaço a critério do Cliente e permitir que Membros compartilhem Conteúdo no Espaço com o objetivo de promover inovação e compartilhamento de ideias para o Cliente.

O cliente pode usar nosso serviço, de propriedade, desenvolvido e gerenciado pela Accept Mission para facilitar o compartilhamento de ideias, coleta, comentários, classificação, priorização, atribuição e rastreamento. Neste, o Cliente e quaisquer dados pessoais e Conteúdos enviados pelo Cliente são processados pela Accept Mission em nome do Cliente.

Os Dados Pessoais transferidos serão processados de acordo com os TdS e podem estar sujeitos às seguintes atividades de processamento:

  • armazenamento, criptografia, descriptografia, backup, restauração e armazenamento em cache necessários para fornecer, melhorar, manter e atualizar os Serviços fornecidos ao Exportador de Dados;
  • fornecer suporte técnico e ao cliente ao Exportador de Dados; e
  • divulgações de acordo com o Contrato, conforme exigido por lei
  • o processamento de dados continuará até que o Cliente solicite a exclusão

Você consente que os funcionários da Accept Mission possam usar descobertas agregadas sobre atividades e Conteúdo no Serviço para otimizar continuamente o desempenho e a apresentação do Serviço. Reservamo-nos o direito de publicar nossas descobertas em um nível agregado anônimo. Um exemplo de descoberta anônima seria o estudo de quantas pessoas, em geral, comentam sobre uma ideia de que também gostaram. Também mantemos o direito, mas não a obrigação, de acessar diretamente os dados de sua conta ou um espaço de trabalho a convite de um membro de um espaço de trabalho para fins de manutenção técnica, supervisão de conteúdo ou investigação, bem como suporte geral ao cliente. Qualquer feedback ou evidência analítica circunstancial conscientemente dada ou inconscientemente resultante do uso de nosso Serviço pode ser livremente explorada e compartilhada por Nós para melhorar Nosso Serviço ou tecnologia sem que isso resulte em Você ter ou receber quaisquer direitos ou propriedade sobre eles.

Apêndice B

1. Termos de uso de Subprocessadores pela Missão de Aceitação

A Accept Mission tem o consentimento geral do Cliente para a contratação dos Subprocessadores já contratados, na data deste Adendo e conforme listado neste Apêndice B.

2. Subprocessadores

Como a Missão de Aceitação do Processador de Dados garante que os Subprocessadores estejam sujeitos a obrigações de proteção de dados não menos protetoras como as especificadas neste Contrato de Processamento de Dados com base em um contrato ou outro documento legal sob a lei da UE ou a lei nacional dos Estados Membros, em particular fornecendo as garantias necessárias de que o Subprocessador implementará as medidas técnicas e organizacionais apropriadas de forma que o processamento atenda aos requisitos do Regulamento Geral de Proteção de Dados.

O Cliente reconhece e concorda que (i) As Afiliadas da Accept Mission podem ser mantidas como Subprocessadores; e (ii) A Accept Mission e as Afiliadas da Accept Mission, respectivamente, podem contratar Subprocessadores terceirizados em conexão com a prestação dos Serviços. A Accept Mission ou uma Afiliada da Accept Mission celebrou um contrato por escrito com cada Subprocessador contendo obrigações de proteção de dados não menos protetoras do que as deste Contrato e a lei aplicável com relação à proteção dos Dados do Cliente na medida aplicável à natureza dos Serviços fornecidos por tal Subprocessador. Se, na execução deste DPA, a Accept Mission transferir quaisquer Dados Pessoais para um subprocessador localizado fora do EEE, a Accept Mission deverá, antes de tal transferência, garantir que um mecanismo legal para alcançar a adequação em relação a esse processamento está no lugar.

3. Lista de Subprocessadores

A Accept Mission disponibilizará ao Cliente a lista atual de Subprocessadores para os Serviços. Essas listas de Subprocessadores devem incluir uma especificação da entidade legal desses Subprocessadores e a localização dos Dados do Cliente.

4. Mudanças nos Subprocessadores

A Accept Mission informará o Cliente por escrito sobre quaisquer alterações pretendidas relativas à adição ou substituição de subprocessadores com pelo menos 30 dias de antecedência.

5. Direito de objeção

Aceitar Missão dará ao Cliente a oportunidade de se opor à contratação dos novos Subprocessadores dentro de 30 dias após ser notificado. A objeção deve ser baseada em motivos razoáveis. Se a Accept Mission e o Cliente não conseguirem resolver tal objeção, qualquer uma das partes poderá rescindir o Contrato mediante notificação por escrito à outra parte. O Cliente receberá um reembolso de quaisquer taxas pré-pagas mas não utilizadas pelo período após a data efetiva da rescisão.

Quando a Accept Mission contrata um subprocessador para realizar atividades de processamento específicas em nome do Cliente, a Accept Mission deve garantir que as mesmas obrigações de proteção de dados estabelecidas neste Adendo sejam impostas a esse subprocessador, em particular fornecendo garantias suficientes para implementar medidas técnicas e organizacionais apropriadas de forma que o processamento atenda aos requisitos deste Adendo e da Lei de Proteção de Dados Aplicável.

Mediante solicitação, uma cópia de tal contrato de subprocessador e alterações subsequentes devem ser disponibilizadas ao Cliente, com exceção de cláusulas sobre questões relacionadas a negócios que não afetem o conteúdo legal de proteção de dados do contrato de subprocessador.

A Accept Mission manterá sempre uma lista atualizada de todos os subprocessadores usados, incluindo em cada caso os detalhes exigidos neste Apêndice B, e disponibilizará essa lista ao Cliente mediante solicitação.

A Accept Mission será responsável pelos atos e omissões de qualquer subprocessador na mesma medida como se os atos ou omissões fossem realizados pela Accept Mission. Isso não afeta os direitos dos titulares de dados sob a Lei de Proteção de Dados Aplicável.

6. Transferências Internacionais

A Accept Mission pode transferir e processar os Dados do Cliente em qualquer lugar do mundo onde a Accept Mission, suas Afiliadas ou seus Subprocessadores mantenham operações de processamento de dados, após ter previamente informado e obtido o consentimento do Cliente. A Accept Mission deve sempre fornecer um nível adequado de proteção para os Dados do Cliente processados, de acordo com os requisitos das Leis de Proteção de Dados. Especificamente, a Accept Mission deve garantir uma base legal válida para qualquer transferência, conforme descrito no Capítulo 5 do GDPR e nos Artigos 4549 do mesmo.

Sem prejuízo do processo de notificação e aprovação acima mencionado, a Accept Mission pode introduzir a transferência dos dados para países terceiros localizados fora do Espaço Económico Europeu (“EEE”), se a Accept Mission tiver implementado uma solução de transferência compatível com a Proteção de Dados Aplicável Lei.

Quando tal solução de transferência for baseada nas Cláusulas Modelo da Comissão da UE, a Accept Mission fornecerá ao Cliente uma avaliação do impacto da transferência, incluindo detalhes sobre os locais de processamento, as atividades de processamento que serão realizadas, os tipos de dados, quaisquer salvaguardas adicionais e medidas (técnicas, organizacionais e contratuais) a serem implementadas, bem como a avaliação de risco da Accept Mission no subprocessador pretendido e/ou transferência. Essa notificação deve ser realizada antes da implementação da transferência, e o Cliente terá pelo menos 90 dias para analisá-la. O Cliente pode rejeitar a transferência, parcial ou totalmente, caso em que a Accept Mission não deverá contratar nem realizar a transferência prevista. Se os serviços contratados não puderem ser executados sem a referida transferência, o Cliente terá a opção de rescindir o Contrato de Serviços e o Aditivo, total ou parcialmente conforme necessário, sem qualquer penalidade.

apêndice C

O Apêndice C do Contrato de Processamento de Dados contém instruções sobre o processamento que a Accept Mission deve realizar em nome do Cliente (o sujeito do processamento), as medidas de segurança técnicas e organizacionais implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) como a inspeção com a Missão de Aceitação e quaisquer Subprocessadores deve ser realizada.

A Accept Mission implementou um Programa de Segurança da Informação interno que abrange Segurança de Dados e Rede, Controles de Acesso e Site, Segurança de Pessoal e Subprocessador.

1. Aceite os controles de segurança da missão

  • Segurança física – A Accept Mission usa data centers fisicamente seguros. Todos os data centers cumprem ou excedem os requisitos de segurança do SOC2. Todos os data centers são equipados com CFTV, segurança 24 horas por dia, 7 dias por semana e sistema de acesso por cartão-chave. A Accept Mission usa data centers distribuídos geograficamente para backups.
  • Redundância – A infraestrutura da Accept Mission permite manutenção e melhorias com tempo de inatividade mínimo.
  • Fonte de energia – Os data centers da Accept Mission são equipados com energia de backup e fontes de alimentação ininterruptas que podem durar dias.
  • Patches – A Accept Mission estabeleceu uma política para manter os sistemas atualizados com as atualizações de segurança necessárias.
  • Continuidade de Negócios – os dados são replicados e armazenados em backup em vários sistemas para ajudar a proteger contra destruição ou perda indesejada de dados. Os procedimentos de restauração de backup e os planos de continuidade de negócios são testados anualmente.
  • Dados em trânsito – Accept Mission usa esquemas e protocolos de criptografia padrão do setor para criptografar transmissões de dados entre os data centers.
  • Detecção de intruso – A Accept Mission emprega um sistema de detecção de intrusão para fornecer informações sobre as atividades de ataque em andamento e ajudar a remediar o ataque mais rapidamente.
  • Resposta a incidentes – A Accept Mission estabeleceu protocolos para lidar com incidentes e violações de segurança e informará as partes envolvidas.
  • Criptografia – Accept Mission usa métodos de criptografia padrão do setor para criptografar dados em trânsito e em repouso.
  • Controle de acesso – O pessoal da Missão de Aceitação deve se autenticar por meio de um sistema de autenticação central ou por meio de um sistema de logon único para administrar os Serviços.
  • Segurança de senha – Aceitar Missão requer o uso de IDs exclusivos, senhas fortes e autenticação de dois fatores.
  • Revisão de acesso – O acesso é guiado por uma política interna de privilégios mínimos e revisões de acesso.
  • Trilha de auditoria – Aceite o acesso aos logs da Missão aos seus sistemas por meio de uma trilha de auditoria imutável.
  • Separação de dados – Accept Mission separa os dados do cliente em um ambiente multilocatário por meio de chaves de criptografia separadas.
  • Apagamento de disco – Os discos desativados são apagados com segurança após o uso pretendido ou destruídos com segurança em caso de mau funcionamento.
  • Pessoal – O pessoal da Accept Mission adere às políticas da empresa em relação à privacidade, segurança, ética e um código de conduta profissional.
  • Verificação em segundo plano – A Accept Mission realiza verificações de antecedentes com novas contratações.
  • Acesso de dados – O pessoal da Accept Mission não acessará ou processará o Conteúdo do Cliente sem autorização explícita do Cliente, a menos que exigido por lei.
  • Segurança do subprocessador – A Accept Mission realiza revisões das práticas de segurança e privacidade dos Subprocessadores antes de integrar os Subprocessadores, a fim de garantir o nível adequado de segurança e privacidade dos dados e do escopo dos serviços que estão contratados para fornecer. Uma vez que a revisão do Subprocessador é realizada e o risco associado é avaliado, o Subprocessador celebra os termos apropriados do contrato de privacidade, confidencialidade e segurança.

2. Limites de armazenamento e eliminação

O processamento não será limitado no tempo e será realizado até que este Contrato de Processamento de Dados seja rescindido ou cancelado por uma das Partes.

Os dados pessoais são armazenados com Accept Mission até que o Cliente ou um Membro solicite que seus dados sejam apagados ou devolvidos. Aceitar missão permite que os clientes exportem seus dados brutos a qualquer momento no formato JSON padrão do setor. Além disso, os dados do cliente podem ser excluídos mediante solicitação na rescisão ou serão excluídos de acordo com as políticas internas de retenção de dados da Accept Mission.

3. Relatórios de Inspeção e Auditoria

A Accept Mission fornecerá respostas por escrito (de forma confidencial) às solicitações de informações feitas pelo Cliente, incluindo respostas a questionários de segurança da informação e auditoria que sejam necessários para confirmar a conformidade da Accept Mission com este DPA, desde que o Cliente não exerça esse direito por mais de uma vez por ano, a menos que a Accept Mission tenha tido um incidente de segurança, caso em que o Cliente tem o direito de realizar uma auditoria sem demora injustificada.

Mediante solicitação do Cliente, e sujeito às obrigações de confidencialidade estabelecidas no adendo de processamento de dados, a Accept Mission disponibilizará ao Cliente que não seja um concorrente da Accept Mission (ou auditor terceirizado independente do Cliente que não seja concorrente da Accept Mission ) informações sobre o cumprimento da Accept Mission com as obrigações estabelecidas no DPA.

O Cliente tem o direito de entrar em contato com a Accept Mission para solicitar uma auditoria remota ou no local da arquitetura, instalações, dados e registros (incluindo ferramentas), sistemas e procedimentos relevantes para as atividades de processamento realizadas pela Accept Mission em nome dos Dados Pessoais do Cliente. O Cliente será responsável pelos custos associados à realização de tal auditoria, a menos que após sua realização tenha sido comprovado que a Accept Mission violou este Adendo ou as Leis de Proteção de Dados Aplicáveis. Nesse caso, a Accept Mission arcará com todos os custos associados à execução da auditoria.

Antes do início de qualquer auditoria no local, o Cliente e a Missão de Aceitação devem concordar mutuamente sobre o escopo, tempo e duração da auditoria. O Cliente deverá notificar imediatamente a Accept Mission com informações sobre qualquer não conformidade descoberta durante o curso de uma auditoria. Este procedimento pode ser iniciado no máximo uma vez por ano e com um mínimo de trinta (30) dias de antecedência à Missão de Aceitação, a menos que a Missão de Aceitação tenha tido um incidente de segurança, caso em que o Cliente tem o direito de realizar uma auditoria sem atraso indevido.

4. Criptografia do Conteúdo do Cliente

No banco de dados, criptografamos conteúdo não pesquisável, como senhas, mas não criptografamos seu conteúdo de outra forma, para que você possa pesquisar entre membros e conteúdo sempre que precisar encontrar uma ideia específica.

Quando um usuário usa o serviço Accept Mission, os detalhes de suas interações são capturados e enviados para Accept Mission por meio de chamadas de API por HTTPS. Todas as nossas outras APIs e sites também usam HTTPS exclusivamente. Tudo o que o Cliente e o Usuário enviam para a Accept Mission, e tudo o que a Accept Mission envia para o Cliente e o Usuário é enviado por meio de canais totalmente criptografados. A Accept Mission emprega o protocolo Transport Layer Security com criptografia RSA-2048 para manter nossa comunicação privada.

O Google Cloud Platform criptografa os dados do cliente armazenados em repouso por padrão. Os dados no Google Cloud Platform são divididos em partes de subarquivos para armazenamento, e cada parte é criptografada no nível de armazenamento com uma chave de criptografia individual. A chave usada para criptografar os dados em um fragmento é chamada de chave de criptografia de dados (DEK). Devido ao alto volume de chaves no Google e à necessidade de baixa latência e alta disponibilidade, essas chaves são armazenadas próximas aos dados criptografados. As DEKs são criptografadas com (ou “empacotadas” por) uma chave de criptografia de chave (KEK). Para mais informações, consulte https://cloud.google.com/security/#dataencryption.

5. Separação de dados do cliente

O acesso é concedido através do envio de um token de autenticação nas solicitações. Este token contém um conjunto de permissões com base na classificação do Usuário e no(s) Espaço(s), Missões e todos os outros Conteúdos aos quais o Usuário tem acesso.

Isso fornece separação lógica entre dados pertencentes a vários usuários. Accept Mission é o único inquilino em nossa infraestrutura. Os dados de um cliente podem residir em sistemas de banco de dados que armazenam dados pertencentes a outros clientes, mas nossos controles lógicos (token, chave e segredo) separam um usuário dos dados de outro usuário.

6. Logon único e autenticação multifator

O Accept Mission é compatível com o logon único de SAML. Dependendo do provedor de logon único que o Cliente possui, a autenticação multifator é uma opção que o Cliente pode habilitar com seu provedor de logon único. Detalhes sobre como habilitar o logon único podem ser encontrados nas configurações de acesso.

7. Localização e Armazenamento de Dados do Cliente

O GDPR não exige que os Dados Pessoais permaneçam na UE enquanto houver uma estrutura legal para validar a transferência de dados; o GDPR reconhece várias estruturas, incluindo as Cláusulas Contratuais Padrão da UE.

Os servidores de aplicativos e banco de dados da Accept Mission estão localizados na União Européia, especificamente em Frankfurt, Alemanha, nos servidores da Google Inc.. Isso significa que, em repouso, seu Conteúdo nunca sairá da UE.

O Serviço em si pode ser fornecido usando equipamentos ou instalações localizadas na União Europeia ou nos Estados Unidos. Os Subprocessadores dos EUA assinaram Cláusulas Contratuais Padrão (conforme aprovadas pela Comissão Europeia) que fornecem fundamentos legais para garantir que, quando processados nos Estados Unidos, os dados pessoais de cidadãos da UE processados ao usar o Serviço receberão uma nível de proteção na aceção do artigo 46.º do Regulamento (UE) 2016/679 (Regulamento Geral de Proteção de Dados). Os Dados Pessoais são parcialmente armazenados e processados por esses Subprocessadores.

O Google é nosso provedor de hospedagem de produção. Os discos rígidos do Google utilizam tecnologias como FDE (criptografia de disco completo) e bloqueio de unidade para proteger os dados em repouso. Quando um disco rígido é retirado, os indivíduos autorizados verificam se o disco foi apagado gravando zeros na unidade e executando um processo de verificação em várias etapas para garantir que a unidade não contenha dados. Se a unidade não puder ser apagada por qualquer motivo, ela será armazenada com segurança até que possa ser destruída fisicamente. A destruição física de discos é um processo de vários estágios que começa com um triturador que deforma a unidade, seguido por um triturador que quebra a unidade em pequenos pedaços, que são então reciclados em uma instalação segura. Cada centro de dados segue uma política de descarte estrita e quaisquer variações são tratadas imediatamente.

8. Verificações e verificações de segurança

O Accept Mission executa verificações de segurança regulares por meio de um serviço de terceiros, e nosso código-fonte é verificado automaticamente à medida que é confirmado. Sempre que o Accept Mission atualiza qualquer uma das dependências de código externo, o Accept Mission realiza uma auditoria de segurança completa para verificar se nenhuma vulnerabilidade entrou na base de código do Accept Mission. O Accept Mission também assina várias listas de discussão de segurança para o software que o Accept Mission usa. O último garante que o Accept Mission esteja sempre ciente das vulnerabilidades descobertas recentemente e pode implementar soluções alternativas ou patches disponíveis.

9. Tratamento de Dados do Cliente pelo Pessoal

O acesso ao armazenamento de dados é restrito a um número muito pequeno de pessoas, e não há como o Accept Mission “personificar” ou visualizar o conteúdo por meio de uma interface de alternador de contas ou vê-lo por meio da interface de usuário do administrador.

Nos casos em que Accept Mission precisar solucionar erros, Accept Mission irá testá-lo em um ambiente de desenvolvimento ou obter permissão explícita do Cliente para acesso à conta (geralmente fazendo com que você convide manualmente nossa conta de suporte como membro de sua conta, que pode ser removida em a qualquer momento) ou solicitando compartilhamento de tela. As solicitações de acesso e acesso aos bancos de dados da Missão de Aceitação e infraestrutura do servidor e todas as confirmações de alteração de código são registradas para fins de segurança.

Conforme descrito em nossos Termos de Serviço, a equipe de suporte tem acesso a determinadas informações de contato e registros de atividades por padrão para poder atender o Cliente da melhor maneira possível. O acesso a este tipo de dados é sempre restrito com autenticação de dois fatores e os Dados Pessoais não são vendidos a terceiros.

10. Replicação de Dados do Cliente

A Accept Mission cria backups dos Dados do Cliente três vezes ao dia e retém esses backups por até um mês. No caso de um incidente de segurança, técnico, físico ou de perda de dados, as reversões dos Dados do Cliente podem ser iniciadas em tempo hábil.