Utolsó frissítés: 2026. március 19.

Adatkezelési Megállapodás

A jelen Adatkezelési Megállapodás (Data Processing Agreement, a „DPA”) azon – https://servicechannel.com/terms-and-conditions címen elérhető – Szerződési Feltételek („Megállapodás”) részét képezi és hatálya alá tartozik, amely a ServiceChannel.com, Inc. (a továbbiakban: „ServiceChannel”) és (a Megállapodásban meghatározottak szerinti) Vállalkozó között jött létre. Az Vállalkozó és a ServiceChannelre külön-külön „fél”, együttesen pedig „felek” néven hivatkozunk.

TEKINTETTEL ARRA, HOGY

(i) A Vállalkozó és a ServiceChannel megkötötte a Megállapodást, amelynek alapján a ServiceChannel a Szolgáltatásokat a Vállalkozó számára nyújtja.

(ii) A ServiceChannel a Szolgáltatások nyújtása során Vállalkozói Tartalmat fog kezelni (amelyek Személyes Adatokat is tartalmazhatnak);

(iii) A felek ezennel meg kívánják kötni a jelen DPA-t, amely a Vállalkozói Tartalomban szereplő Személyes Adatok ServiceChannel által történő Kezelését szabályozza.

EZÉRT a felek a következőkben állapodnak meg:

1. Meghatározások:

A Megállapodásban meghatározott kifejezések ugyanazon jelentéssel bírnak, amikor azokat a jelen Adatkezelési Megállapodásban használjuk. Ezenkívül a következő kifejezések a következő jelentéssel bírnak:

(a) „Adminisztrációs Adatok”: (i) a Vállalkozó fő fióktulajdonosával vagy adminisztrátorával folytatott levelezéshez kapcsolódó elérhetőségi adatok és a levelezés tartalma; (ii) a Vállalkozó felhatalmazott felhasználói által a Szolgáltatással kapcsolatban benyújtott támogatási kérdések;

(b) „Társvállalatok”: bármely olyan szervezet, amely a ServiceChannel irányítása alatt áll, azt irányítja vagy azzal közös irányítás alatt áll;

(c) „Brazil ÁSZF-ek”: a brazil Adatvédelmi Ügynökség („ANPD”) 19/2024. számú határozatához csatolt általános szerződési feltételek;

(d) „Anonimizált Adatok”: a Vállalkozói Személyes Adatok felhasználásával létrehozott olyan adatok, amelyek: (i) nem használhatók fel valamely magánszemélyre vonatkozó információk kikövetkeztetésére vagy más módon történő összekapcsolására; (ii) más módon nem kapcsolódnak azonosított vagy azonosítható természetes személyhez;

(e) „CCPA”: a 2018. évi kaliforniai fogyasztói adatvédelmi törvény, a Kaliforniai Polgári Törvénykönyv § 1798.100 és azt követő szakaszai, beleértve annak végrehajtási rendelkezéseit és az adatvédelmi jogokról szóló 2020. évi kaliforniai törvényt;

(f) „Adatkezelői Célok”: belső kutatás és fejlesztés végzése a ServiceChannel termékeinek és szolgáltatásainak fejlesztése, tesztelése, javítása és működésének módosítása érdekében; (b) Anonimizált Adatok létrehozása a ServiceChannel termékeinek és szolgáltatásainak betanítása vagy értékelése céljából; (c) a ServiceChannelnek a Megállapodás alapján a Vállalkozóval fennálló kapcsolatának adminisztrációja;

(g) „Vállalkozó”: az a Vállalkozó, aki aláírta a Megállapodást;

(h) „Vállalkozói Személyes Adatok”: a Vállalkozói Tartalomban található Személyes Adatok, a jelen DPA I. mellékletében részletesen leírtak szerint;

(i) „Adatvédelmi Jogszabályok”: a Személyes Adatok védelmére, titkosságára vagy biztonságára vonatkozó összes alkalmazandó jogszabály, szabály, előírás és kormányzati előírás (annak mindenkori módosított vagy egyébként frissített állapotában), beleértve (korlátozás nélkül) a GDPR-t, az UK GDPR-t, a 13.709/2018. sz. brazil törvényt („LGPD”) és az Egyesült Államok Adatvédelmi Jogszabályait;

(j) „Érintett”: (i) az a természetes személy, akire a Személyes Adatok vonatkoznak; és (ii) az a személy, aki az Adatvédelmi Jogszabályok értelmében „adatvédelmi érintett”, „fogyasztó”, vagy bármely ezzel egyenértékű kifejezéssel leírható;

(k) „EU ÁSZF-ek”: A Bizottság (EU) 2021/914 végrehajtási határozata (2021. június 4.) az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, harmadik országok részére történő személyesadat-továbbításra vonatkozó általános szerződési feltételekről, az időről időre frissített vagy helyettesített változatokban;

(l) „GDPR”: a 2016/679 (EU) rendelet (az „EU GDPR”) vagy adott esetben a „UK GDPR”, az Egyesült Királyság 2018. évi adatvédelmi törvényének 3(10) és 205. szakaszában meghatározottak szerint;

(m) „Személyes Adat”: minden olyan információ, amely: (i) azonosított vagy azonosítható természetes személyre vonatkozik, ahhoz kapcsolódik vagy észszerűen hozzákapcsolható; vagy (ii) egyéb módon „személyes adat”, „személyes információ”, „személyazonosításra alkalmas információ” vagy hasonló módon meghatározott adat vagy információ az Adatvédelmi Jogszabályok alapján;

(n) „Adatkezelés”: a Személyes Adatokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, mint például gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés (a „Kezelés”, „Kezel” és „Kezelt” kifejezések azonos jelentéssel bírnak);

(o) „Értékesítés” vagy „Értékesít”: jelentésük megegyezik a CCPA-ban meghatározott jelentéssel;

(p) „Megosztás”: a CCPA-ban meghatározott jelentéssel bír;

(q) „Biztonsági Incidens”: a biztonság olyan sérülése, amely a Vállalkozói Személyes Adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;

(r) „Általános szerződési feltételek”: (adott esetben) az EU ÁSZF-ek, az Egyesült Királyság Kiegészítése vagy a Brazil ÁSZF-ek;

(s) „Másodlagos Adatfeldolgozó”: bármely olyan külső szervezet, amelyet a ServiceChannel (Adatkezelőként eljárva) azzal bízott meg, hogy a Vállalkozó nevében vagy a Megállapodásban meghatározott Szolgáltatások nyújtása érdekében Személyes Adatokat kezeljen;

(t) „UK Kiegészítés”: az Egyesült Királyság Információs Biztosa által a 2018. évi UK Adatvédelmi Törvény 119A(1) szakasza alapján kiadott és 2022. február 2-án az Egyesült Királyság Parlamentje elé terjesztett minta kiegészítés B.1.0. verziója, annak az UK Kiegészítés 18. pontja szerinti mindenkori átdolgozott állapotában;

(u) „USA adatvédelmi jogszabályok”: az adatvédelemre, a Személyes adatok kezelésére, a magánélet védelmére és/vagy az Egyesült Államokban időről időre hatályos összes vonatkozó szövetségi és állami jogszabály, előírás és kormányzati előírás, beleértve (korlátozás nélkül) a CCPA-t és az egyéb alkalmazandó USA állami fogyasztói adatvédelmi jogszabályokat;

(v) „Használati Adatok”: a ServiceChannel által a Szolgáltatások Vállalkozó általi és annak felhatalmazott felhasználói általi használatával kapcsolatban gyűjtött diagnosztikai, használati és teljesítményadatok; és

(w) Az „Adatkezelő”, „Adatfeldolgozó”, „Üzlet” és „Szolgáltató” kifejezések jelentése megegyezik az Adatvédelmi Jogszabályokban meghatározott jelentésükkel.

2. A felek kapcsolata; a jogszabályoknak való megfelelés

2.1 A Vállalkozó:

(a) megbízza a ServiceChannelt a Vállalkozói Személyes Adatok Adatfeldolgozóként vagy Szolgáltatóként történő kezelésével;

(b) tudomásul veszi és elfogadja, hogy a ServiceChannel:

(i) az Adminisztrációs Adatokat és a Használati Adatokat Adatkezelői Célokra felhasználhatja, és hogy a GDPR és az LGPD szerint ezt Adatkezelőként teszi;

(ii) a Vállalkozói Személyes Adatokat Anonimizált Adatok létrehozásához használja fel, és ezt a GDPR alkalmazásában Adatkezelőként teszi.

2.2 Mindegyik fél köteles betartani az Adatvédelmi Jogszabályok alapján rá vonatkozó kötelezettségeket, és ugyanolyan szintű adatvédelmet biztosítani, mint amelyet az Adatvédelmi Jogszabályok előírnak.

2.3 A Vállalkozó köteles biztosítani, hogy a Vállalkozói Személyes Adatok kezelésére vonatkozó utasításai megfeleljenek az Adatvédelmi Jogszabályoknak. A Vállalkozó kizárólagos felelősséggel tartozik a Vállalkozói Személyes Adatok pontosságáért, minőségéért és jogszerűségéért, valamint azon eszközökért, amelyekkel a Vállalkozó a Vállalkozói Személyes Adatokat megszerezte.

2.4 A ServiceChannel haladéktalanul értesíti a Vállalkozót, ha a ServiceChannel úgy ítéli meg, hogy a továbbiakban nem tudja teljesíteni az Adatvédelmi Jogszabályok szerinti kötelezettségeit.

2.5 A Vállalkozó észszerű és megfelelő lépéseket tehet a következők érdekében:

(a) annak biztosítása, hogy a ServiceChannel a Vállalkozói Személyes Adatokat a Vállalkozó Adatvédelmi Jogszabályok szerinti kötelezettségeivel összhangban használja fel; és

(b) a Vállalkozói Személyes Adatok jogosulatlan felhasználásának megfelelő előzetes értesítést követően történő leállítása és orvoslása.

3. Vállalkozói Személyes Adatok kezelése

3.1 A ServiceChannel a Vállalkozói Személyes Adatokat kizárólag a Megállapodás, a jelen DPA és (az Adatkezelői Célok érdekében történő adatkezelés kivételével) a Vállalkozó dokumentált utasításai szerint és azokkal összhangban kezelheti. A Vállalkozó utasítja a ServiceChannelt, hogy a Vállalkozói Személyes Adatokat a következő célokból Kezelje: (i) a Megállapodásnak és az alkalmazandó rendelkezéseknek megfelelően végzett Adatkezelés; és (ii) a Vállalkozó által adott egyéb észszerű utasításoknak való megfelelés érdekében végzett Adatkezelés, amennyiben az ilyen utasítások összhangban állnak a Megállapodás feltételeivel. A ServiceChannel haladéktalanul tájékoztatja a Vállalkozót, ha nem tudja követni ezeket az utasításokat, vagy ha véleménye szerint a Vállalkozó valamely utasítása sérti az Adatvédelmi Jogszabályokat.

3.2 A ServiceChannel nem teheti meg a következőket:

(a) Vállalkozói Személyes Adatok Értékesítése vagy Megosztása;

(b) a Vállalkozói Személyes Adatoknak a Megállapodásban meghatározott Szolgáltatások nyújtásának konkrét üzleti céljától eltérő bármely célra, illetve az Adatvédelmi Jogszabályok által egyébként megengedett céloktól eltérő bármely célra való megőrzése, felhasználása vagy közlése;

(c) a Vállalkozói Személyes Adatoknak a felek közötti közvetlen üzleti kapcsolaton kívül történő megőrzése, felhasználása vagy közlése; és

(d) a Vállalkozói Személyes Adatoknak olyan Személyes Adatokkal való kombinálása, amelyeket más személytől vagy személyektől kap, vagy azok nevében kap, vagy amelyeket az Érintettel való saját interakciójából gyűjt, kivéve, ha azt az Adatvédelmi Jogszabályok kifejezetten megengedik és a tevékenységet ezen jogszabályoknak megfelelően végzik.

3.3 A Vállalkozó szavatolja és vállalja, hogy a Vállalkozói Személyes Adatok nem tartalmazzák a következők egyikét sem:

(a) faji vagy etnikai származást, politikai véleményt, vallási vagy világnézeti meggyőződést, szakszervezeti tagságot, büntetőjogi elítéléseket felfedő Személyes Adatok és a GDPR 9. cikkében meghatározott bármely más különleges kategóriájú Személyes Adatok, illetve az Alkalmazandó Adatvédelmi Jogszabályok alapján egyébként érzékeny Személyes Adatoknak minősülő Személyes Adatok;

(b) biometrikus azonosítók vagy sablonok;

(c) pénzügyi adatok (beleértve többek között a számlázási adatokat és a kártyabirtokosi vagy érzékeny hitelesítési adatokat, ezen kifejezéseknek a Fizetési kártya ágazati adatbiztonsági szabványában szereplő meghatározása szerint);

(d) személyazonosításra alkalmas pénzügyi adatok, az 1999. évi Gramm-Leach-Bliley Pénzügyi Modernizációs Törvényben meghatározottak szerint és annak megfelelően;

(e) nemzeti azonosítószámok (korlátozás nélkül beleértve a társadalombiztosítási számokat, vezetői engedélyek számát vagy útlevélszámokat, illetve kormányzat által kibocsátott más azonosítószámokat);

(f) 13 évnél fiatalabb személyekre vonatkozó információk;

(g) oktatási nyilvántartások, az 1974. évi Családi oktatási jogokról és adatvédelemről szóló törvényben meghatározottak szerint;

(h) az egészségbiztosítás hordozhatóságáról és elszámoltathatóságáról szóló törvényben meghatározott és annak hatálya alá tartozó védett egészségügyi adatok.

4. Az adatkezelés bizalmassága/ServiceChannel személyzet

4.1 A ServiceChannel gondoskodik arról, hogy a Vállalkozói Személyes Adatoknak kezelésére általa felhatalmazott bármely személy („Felhatalmazott Személy”) a Vállalkozói Személyes Adatokat a ServiceChannel jelen Megállapodás szerinti titoktartási kötelezettségeivel összhangban védje.

4.2 A ServiceChannel gondoskodik arról, hogy a Vállalkozói Személyes Adatok Kezelésében részt vevő munkatársait tájékoztassák a Vállalkozói Személyes Adatok bizalmas jellegéről, és titoktartási kötelezettség terhelje őket.

4.3 A ServiceChannel köteles biztosítani, hogy a Vállalkozói Személyes Adatokhoz csak azon munkatársai férjenek hozzá, akiknek a Szolgáltatások teljesítéséhez feltétlenül szükségük van ilyen hozzáférésre.

5. Biztonság/Incidenskezelés és értesítés

5.1 A ServiceChannelnek megfelelő technikai és szervezési intézkedéseket kell bevezetnie a Vállalkozói Személyes Adatok bizalmas jellegének, integritásának és rendelkezésre állásának védelme érdekében, a II. mellékletben meghatározottak szerint.

5.2 Ha a ServiceChannel bármilyen Biztonsági Incidensről szerez tudomást, a ServiceChannel haladéktalanul: (i) értesíti a Vállalkozót a Biztonsági Incidensről; (ii) kivizsgálja a Biztonsági Incidenst, és tájékoztatást nyújt a Vállalkozónak a Biztonsági Incidensről; és (iii) észszerű lépéseket tesz a hatások enyhítése és a Biztonsági Incidensből eredő károk minimalizálása érdekében.

5.3 A ServiceChannel a Vállalkozó kérésére köteles észszerű segítséget nyújtani a Vállalkozónak a ServiceChannel által a Vállalkozó részére kiértesített Biztonsági Incidenssel kapcsolatban az Adatvédelmi Jogszabályok szerint a Vállalkozót terhelő kötelezettségek teljesítésében.

5.4 A ServiceChannel nem köteles értesíteni a Vállalkozót a Vállalkozói Személyes Adatokhoz vagy a ServiceChannelnek a Vállalkozói Személyes Adatokat tároló bármely berendezéséhez vagy létesítményéhez való jogosulatlan hozzáférésre tett sikertelen kísérletekről, korlátozás nélkül beleértve a tűzfalak vagy peremszerverek pingelését és egyéb broadcast jellegű támadásait, a portszkennelést, a sikertelen bejelentkezési kísérleteket, a szolgáltatásmegtagadási támadásokat vagy hasonló incidenseket.

5.5 A Biztonsági Incidensekről szóló értesítés(eke)t, ha vannak ilyenek, a Vállalkozó egy vagy több üzleti, műszaki vagy adminisztratív kapcsolattartójához kell eljuttatni a ServiceChannel választása szerinti bármely módon, beleértve az e-mailt is. A Vállalkozó kizárólagosan felelős annak biztosításáért, hogy a ServiceChannel támogatási rendszereiben mindig pontos elérhetőségi adatokat vezessen.

5.6 A ServiceChannel által a jelen 5. szakasz alapján a Biztonsági Incidensről küldött értesítés vagy arra adott válasz nem értelmezhető a ServiceChannel részéről a Biztonsági Incidenssel kapcsolatos bármely hiba vagy felelősség elismeréseként.

6. Másodlagos adatfeldolgozás

6.1 A Vállalkozó tudomásul veszi és elfogadja, hogy (i) a ServiceChannel Társvállalatokat nevezhet ki Másodlagos Adatfeldolgozóinak; és (ii) a ServiceChannel harmadik fél Másodlagos Adatfeldolgozókat vehet igénybe a Szolgáltatások nyújtásával kapcsolatban. Bármely ilyen Másodlagos Adatfeldolgozó csak a ServiceChannel által tőle megrendelt szolgáltatások nyújtása céljából szerezheti meg a Vállalkozói Személyes Adatokat, és a Vállalkozói Személyes Adatokat tilos bármilyen más célra felhasználnia. A ServiceChannel olyan írásos megállapodást fog kötni, amely a Másodlagos Adatfeldolgozóra vonatkozóan olyan adatvédelmi kötelezettségeket ír elő, amelyek lényegében hasonlóak a jelen Megállapodás által a ServiceChannelre rótt kötelezettségekhez. A ServiceChannel fog teljes felelősséggel tartozni a Vállalkozó felé a Másodlagos Adatfeldolgozónak a ServiceChannellel kötött szerződése szerinti kötelezettségeinek teljesítéséért.

6.2 A ServiceChannel továbbra is igénybe veheti azokat a Másodlagos Adatfeldolgozókat, amelyeket a ServiceChannel már igénybe vesz, vagy bármely ServiceChannel Társvállalatot is a jelen Megállapodás időpontja szerint a https://bit.ly/SC_Subprocessors oldalon felsoroltak szerint.

6.3 A ServiceChannel köteles a Vállalkozót előzetesen írásban értesíteni bármely új Másodlagos Adatfeldolgozó kinevezéséről, beleértve a Másodlagos Adatfeldolgozó által elvégzendő Adatkezelés teljes részleteit is. Ha a Vállalkozó az értesítés kézhezvételétől számított 10 napon belül írásban értesíti a ServiceChannelt a javasolt megbízással szembeni (észszerű indokon alapuló) bármely kifogásról, a ServiceChannel mindaddig nem nevezheti ki a javasolt Másodlagos Adatfeldolgozót, amíg észszerű lépéseket nem tett a Vállalkozó által felvetett kifogások kezelésére, és a Vállalkozót észszerű írásos magyarázattal nem látta el a megtett lépésekről.

7. Korlátozott adattovábbítások

7.1 Az Általános Szerződési Feltételek a jelen 7. pontban részletezettek szerint hivatkozás útján beépülnek a jelen DPA-ba, és alkalmazandók a Vállalkozói Személyes Adatoknak a Vállalkozótól (mint adatátadó) részéről a ServiceChannel (mint adatátvevő) részére történő továbbítására, amennyiben:

(a) a GDPR vonatkozik az ilyen Vállalkozói Személyes Adatok Vállalkozó általi Kezelésére az adattovábbítás alkalmával;

(b) az Adatvédelmi Jogszabályok, amelyek a Vállalkozói Személyes Adatoknak a Vállalkozó általi kezelésére vonatkoznak az adattovábbítás alkalmával (az „Átadói Adatvédelmi Jogszabályok”) tiltják a Vállalkozói Személyes Adatok ServiceChannel részére történő továbbítását a jelen DPA alapján olyan adattovábbítási mechanizmus hiányában, amely megfelelő garanciákat alkalmaz az adott Vállalkozói Személyes Adatok Kezelése tekintetében, és a következők közül bármelyik vagy több is fennáll:

(i) a Vállalkozói Személyes Adatoknak a jelen DPA alapján a Vállalkozó által történő továbbítása tekintetében illetékes hatóság hivatalosan nem fogadott el standard adatvédelmi kikötéseket vagy más továbbítási mechanizmusokat az Átadói Adatvédelmi Jogszabályok alapján, és az Átadói Adatvédelmi Jogszabályok hatálya alá tartozó adattovábbításokkal kapcsolatos bevett piaci gyakorlat szerint az Európai Bizottság által jóváhagyott általános szerződési feltételeket kell kötni az Átadói Adatvédelmi Jogszabályok szerinti bármely olyan követelmény kielégítése érdekében, hogy megfelelő garanciákat vezessenek be az adott adattovábbítással kapcsolatban; vagy

(ii) az Európai Bizottság által jóváhagyott általános szerződési feltételek megkötése egyébként észszerűen kielégítene az Átadói Adatvédelmi Jogszabályok szerinti bármely olyan követelményt, hogy megfelelő garanciákat vezessenek be az adott adattovábbítás tekintetében; vagy

(c) a brazil LGPD által védett Vállalkozói Személyes adatokra vonatkozóan a Brazil ÁSZF-ek az I. mellékletben részletezettek szerint, a Nemzetközi adattovábbítási mechanizmusként alkalmazandók minden olyan esetre, amikor a célország nem rendelkezik az LGPD-ben meghatározott szintű vagy ahhoz hasonló szintű védelemmel.

(d) az adattovábbítás „további adattovábbításnak” minősül (az Általános Szerződési Feltételek vonatkozó moduljában meghatározottak szerint).

7.2 A 7.1. szakaszban említett adattovábbítások tekintetében az Általános Szerződési Feltételek a következők szerint tekintendők kitöltöttnek:

(a) A második modul alkalmazandó;

(b) a 7. feltételben az opcionális dokkolási feltétel alkalmazandó;

(c) a 9. feltételben a 2. lehetőség alkalmazandó, és a másodlagos adatfeldolgozók változásairól szóló előzetes értesítés időtartama a jelen Megállapodás 0 szakaszában rögzítettek szerint alakul;

(d) a 11. feltételben az opcionális lehetőséget tartalmazó szövegrész nem alkalmazandó;

(e) a 17. feltételben az 1. lehetőség alkalmazandó, és az EU ÁSZF-ekre az ír jog lesz az irányadó;

(f) a 18(b) feltételben a vitákat Írország bíróságai előtt kell rendezni;

(g) az I. melléklet kitöltöttnek tekintendő a jelen Megállapodás I. mellékletében meghatározott információkkal;

(h) A II. melléklet kitöltöttnek tekintendő a jelen Megállapodás II. mellékletében meghatározott információkkal.

7.3 Amennyiben az UK GDPR vonatkozik a Vállalkozóra, amikor a 7.1. pontban említett adattovábbítást végez, az UK Kiegészítés a jelen DPA részét fogja képezni, alkalmazandó lesz az ilyen adattovábbításokra, és az alábbiak szerint tekintendő kitöltöttnek:

(a) a „Kiegészítés Szerinti EU ÁSZF-ek” a jelen DPA-ba a 7.1. és 7.2. szakaszokkal összhangban beépülő Általános Szerződési Feltételeket jelentik;

(b) a „Függelék Szerinti Információk” a jelen DPA I. mellékletében és II. mellékletében meghatározott információkat jelentik; és

(c) Az UK Kiegészítés 1-3. táblázata a fenti 7.2. pontban meghatározottak szerint tekintendő kitöltöttnek, és a 4. táblázatban az „egyik fél sem” lehetőséget kell bejelöltnek tekinteni.

7.4 A jelen DPA és az Általános Szerződési Feltételek közötti bármely ellentmondás esetén az Általános Szerződési Feltételek az irányadók.

7.5 A felek megállapodnak, hogy a jelen DPA aláírása ugyanolyan hatállyal bír, mint az Általános Szerződési Feltételek és az UK Kiegészítés aláírása.

8. Együttműködés és az Érintettek jogai

8.1 A ServiceChannel köteles a jogszabályok által megengedett és előírt mértékig azonnal értesíteni a Vállalkozót, ha egy Érintettől az Adatvédelmi Jogszabályok szerinti jogai gyakorlására vonatkozó kérelmet kap. A ServiceChannel a Vállalkozó előzetes írásos hozzájárulása nélkül nem válaszolhat az Érintettektől érkezett ilyen kérelmekre, kivéve annak megerősítését, hogy a kérelem a Vállalkozóra vonatkozik.

8.2 Amennyiben a Vállalkozónak a Szolgáltatások általa történő használata vagy igénybe vétele során nem áll módjában elérni, helyesbíteni, korlátozni, blokkolni vagy törölni a Vállalkozói Személyes Adatokat, az Adatvédelmi Jogszabályokban előírtak szerint, a ServiceChannel kereskedelmileg észszerű erőfeszítéseket tesz annak érdekében, hogy teljesítse a Vállalkozó ilyen intézkedések elősegítésére vonatkozó észszerű kéréseit, amennyiben a ServiceChannel számára a jogszabályok ezt megengedik.

8.3 A ServiceChannel köteles észszerű együttműködést biztosítani a Vállalkozó számára (a Vállalkozó költségén) az Adatvédelmi Jogszabályok által esetlegesen előírt adatvédelmi hatásvizsgálatokkal kapcsolatban.

9. Azonosítók Nélküli Adatok

9.1 A ServiceChannel által létrehozott Anonimizált Adatok tekintetében a ServiceChannel köteles:

(a) észszerű intézkedéseket tenni annak biztosítása érdekében, hogy az információk ne legyenek összekapcsolhatók az Érintettekkel;

(b) nyilvánosan kötelezettséget vállalni az ilyen Azonosítók Nélküli Adatok kezelésére, kizárólag személyazonosításra alkalmatlan formában, és nem kísérelni meg az adatok újbóli azonosítását; és

(c) szerződés alapján kötelezni az Anonimizált Adatok bármely címzettjét az Adatvédelmi Jogszabályok fenti követelményeinek betartására.

10. Megszűnés; az adatok törlése vagy visszajuttatása

10.1 A jelen Megállapodás automatikusan megszűnik, ha a ServiceChannel törli vagy anonimizálja az összes Vállalkozói Személyes Adatot.

10.2 A Megállapodás megszűnésekor vagy lejártakor a ServiceChannel köteles a következőkre:

(a) ha a Vállalkozó ezt kéri a Megállapodás lejártát követő harminc (30) napon belül (a „Megőrzési Időszak”) a ServiceChannel döntése szerint a Vállalkozó által kért általánosan használt formátumban másolatot ad a Vállalkozói Személyes Adatokról, vagy önkiszolgáló funkciót biztosít, amely lehetővé teszi a Vállalkozó számára, hogy letöltse az ilyen Vállalkozói Személyes Adatokat;

(b) a Megőrzési Időszak lejártakor a ServiceChannel vagy annak bármely Másodlagos Adatfeldolgozója által kezelt Vállalkozói Személyes Adatok minden másolatát törli, kivéve a következőket:

(i) bármely olyan Adminisztrációs Adat vagy Használati Adat, amelyeket Adatkezelői Célokból kezelnek, illetve bármely olyan Vállalkozói Személyes Adat, amelyet a Szolgáltatónak az alkalmazandó jogszabályok alapján meg kell őriznie; vagy

(ii) azok a Vállalkozói Személyes Adatok, amelyek biztonsági mentési rendszerekben vannak archiválva, és amelyeket a ServiceChannel köteles biztonságosan elkülöníteni és védeni minden további Adatkezeléstől, kivéve, ha az ilyen jogszabályok ezt előírják, amíg a törlés lehetségessé nem válik.

11. Audit

11.1 A Vállalkozó, amennyiben a ServiceChannel Adatfeldolgozóként jár el, ellenőrizheti, hogy a ServiceChannel betartja-e a jelen DPA-t. A felek megállapodnak, hogy minden ilyen audit elvégzése:

(a) legfeljebb évente történhet, kivéve, ha ennél gyakoribb auditok szükségesek az Adatvédelmi Jogszabályok betartásához, vagy ha a Vállalkozói Személyes Adatok kezelése tekintetében joghatósággal rendelkező felügyeleti hatóság ennél gyakoribb auditokat ír elő;

(b) a ServiceChannelnek küldött kéthetes írásbeli értesítéssel;

(d) oly módon, amely nem zavarja lényegesen a ServiceChannel üzletmenetét vagy működését.

11.2 A 10.1. szakasz alapján végzett bármely audit tekintetében:

(a) A Vállalkozó megbízhat egy harmadik fél auditort az auditnak az ő nevében történő lefolytatásával, azzal, hogy a ServiceChannel észszerűen tiltakozhat a harmadik fél auditor alkalmazása ellen, ha az ilyen harmadik fél auditor a ServiceChannel versenytársa;

(b) A ServiceChannel nem köteles elősegíteni vagy segíteni az auditokat, kivéve és mindaddig, amíg a felek írásban meg nem állapodtak az audit terjedelmében és időzítésében, valamint a 0 szakasz szerinti megtérítési díjakban.

11.3 A Vállalkozó köteles megtéríteni a ServiceChannelnek az ilyen auditokra fordított időt a felek által megállapított díjszabás szerint. Bármely ilyen audit megkezdése előtt a Vállalkozónak és a Szolgáltatónak kölcsönösen meg kell állapodniuk az audit terjedelméről, időzítéséről és időtartamáról a megtérítési díjon felül, amiért a Vállalkozó lesz felelős. Minden megtérítési díjnak észszerűnek kell lennie, figyelembe véve a ServiceChannel által felhasznált erőforrásokat. A Vállalkozó köteles haladéktalanul értesíteni a ServiceChannelt az audit során felfedezett bármely nem-megfelelőségről.

11.4 A Vállalkozó tudomásul veszi, hogy a ServiceChannelt független harmadik fél auditorok rendszeresen auditálják az SSAE 18 SOC 1 szabvány szerint. A ServiceChannel kérésre a Vállalkozónak átadja, vagy bármely auditkérésre válaszul a Vállalkozónak átadhatja az auditjelentése(i) összefoglaló példányát, amelyre a Megállapodás titoktartási rendelkezései vonatkoznak. Ha a Vállalkozó által kért auditot a ServiceChannel által biztosított auditjelentés tárgyalja, a Vállalkozó hozzájárul, hogy az ilyen jelentést az adott jelentésben tárgyalt ellenőrzési eszközök fizikai auditja helyett elfogadja.

12. Felelősség korlátozása

A jelen DPA-ra a Megállapodásban foglalt felelősségkorlátozások és felelősségkizárások vonatkoznak.

13. A jelen Megállapodásban részes felek

Az Általános Szerződési Feltételekben meghatározottak kivételével a jelen DPA egyetlen rendelkezése sem biztosít semmiféle előnyt vagy jogot a jelen DPA-ban részt vevő feleken kívül más természetes személy vagy szervezet számára.

14. Jogi hatás

A jelen DPA a Megállapodást kiegészíti, és annak részét képezi.

15. Általános rendelkezések

15.1 A jelen DPA-ba beépített Általános Szerződési Feltételeket kivételével, a jelen DPA-ra és annak értelmezésére minden tekintetben a Megállapodásnak az irányadó jogra és a joghatóságra vonatkozó rendelkezései az irányadók, azzal, hogy ha a Megállapodás és a jelen DPA között a Személyes Adatok kezelésével kapcsolatban ellentmondás merülne fel, akkor a jelen DPA lesz az irányadó.

15.2 A jelen Megállapodás tetszőleges számú példányban aláírható, amelyek mindegyike eredeti példánynak minősül, és amelyek mindegyike a felek között létrejött ugyanazt a megállapodást tanúsítja.

15.3 A jelen DPA-ban meghatározottakon kívül a Megállapodás teljes mértékben érvényben és hatályban marad.

I. MELLÉKLET

A. FELEK LISTÁJA

	Név	Cím	Kapcsolattartó neve, beosztása és elérhetősége	A továbbított adatokra vonatkozó tevékenységek	Szerepkör
Adatátadó	Vállalkozó (a Szolgáltatásokra való regisztráció során megadottak szerint)	A Szolgáltatásokra való regisztráció során megadottak szerint	A Szolgáltatásokra való regisztráció során megadottak szerint	A Szolgáltatások igénybe vétele	Adatkezelő
Adatátvevő	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615	Brian Chase, vezető jogtanácsos, [email protected]	A Szolgáltatások nyújtása	Adatfeldolgozó

B. ADATTOVÁBBÍTÁS LEÍRÁSA

Érintettek	Személyes adat kategóriák	Érzékeny személyes adatok	Adattovábbítás gyakorisága	Adatkezelés jellege és célja
Vállalkozó Végfelhasználói	Név, e-mailcím, a Vállalkozónál betöltött munkakör, hitelesítő adatok.	Nincs	Folyamatos	Hozzáférés biztosítása a Végfelhasználók számára a Szolgáltatásokhoz.
Vállalkozó Végfelhasználói	Név, telefonszám, nyújtandó létesítménykezelési szolgáltatások.	Nincs	Folyamatos	A Végfelhasználók és az Ügyfelek közötti kapcsolattartás elősegítése a Beszerzési Szerződések teljesítése érdekében.
Vállalkozó Végfelhasználói	Név, pontos földrajzi helymeghatározási adatok, bejelentkezés időpontja, kijelentkezés időpontja.	Nincs	Folyamatos	Információk biztosítása az Ügyfélnek a Beszerzési Szerződés keretében nyújtott létesítménykezelési szolgáltatásokról.
Vállalkozó Végfelhasználói	Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye.	Nincs	Folyamatos	A Beszerzési Szerződés alapján esedékes összegek kiszámításának elősegítése.
Vállalkozó Végfelhasználói Az Ügyfelek létesítménykezelési szolgáltatásokat kérő jogosult felhasználói	Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye.	Nincs	Folyamatos	A Beszerzési Szerződések keretében kiállított számlák benyújtása az Ügyfélnek.
Vállalkozó Végfelhasználói Az Ügyfelek létesítménykezelési szolgáltatásokat kérő jogosult felhasználói	Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye.	Nincs	Folyamatos	Tranzakciós nyilvántartás vezetése a Vállalkozó által Beszerzési Szerződések keretében nyújtott szolgáltatásokról.
Vállalkozó Végfelhasználói	Név, Végfelhasználó által nyújtott létesítménykezelési szolgáltatások, nyújtott szolgáltatások dátuma és helye, pontos földrajzi helymeghatározási adatok.	Nincs	Folyamatos	A Vállalkozó Végfelhasználói kezelésének elősegítése, beleértve az ütemezést és a személyzeti ügyeket.
Főbb kapcsolattartók a Vállalkozónál	Név, e-mailcím, telefonszám.	Nincs	Folyamatos	Vállalkozó szolgáltatásainak népszerűsítése a Katalóguson keresztül.
Vállalkozó Végfelhasználói	Végfelhasználó által benyújtott támogatási kérdések.	Nincs	Folyamatos	Technikai támogatás nyújtása.
Vállalkozó Végfelhasználói	A Szolgáltatások Végfelhasználó általi használatával kapcsolatos naplóadatok.	Nincs	Folyamatos	A Szolgáltatásokhoz való hozzáférés biztosítása.

Megőrzés

Az adatkezelés időtartama megegyezik az MSA keretében nyújtott szolgáltatások időtartamával.

Másodlagos Adatfeldolgozók

A https://bit.ly/SC_Subprocessors oldalon leírtak szerint

C. ILLETÉKES FELÜGYELETI HATÓSÁG

Ír Adatvédelmi Biztos

II. MELLÉKLET

Biztonsági intézkedések

Mindenkor a ServiceChannel marad felelős a következő kereskedelmileg észszerű adattovábbítási biztonsági intézkedésekért:

ADATTOVÁBBÍTÁSI BIZTONSÁGI INTÉZKEDÉSEK	BEVEZETETT INTÉZKEDÉSEK
A Személyes Adatok álnevesítésére és titkosítására irányuló intézkedések	Álnevesítés · karaktermaszkolás · felcserélés · k-névtelenség Titkosítás · A továbbítás alatt álló adatok esetében HTTPS-titkosítás (a TLS 1.2-es vagy újabb verziójának használatával) minden bejelentkezési felületen, iparági szabvány algoritmusok és tanúsítványok használatával. · A nyugalomban lévő adatok esetében titkosítás az iparági szabvány szerinti AES-256 algoritmus használatával
Az adatkezelési rendszerek és szolgáltatások folyamatos bizalmas jellegének, integritásának, rendelkezésre állásának és ellenálló képességének biztosítására irányuló intézkedések	Titoktartás · Virtuális magánhálózat (VPN) · Többtényezős hitelesítés (MFA) · Differenciált jogokat biztosító rendszer biztonsági csoportok és hozzáférés-ellenőrzési listák alapján. · Hitelesítő adatok biztonságos átvitele TLS 1.2 (vagy újabb) használatával · A jelszavakra meghatározott minimális bonyolultság van előírva. A kezdeti jelszavakat az első bejelentkezés után meg kell változtatni. · Automatikus fiókzárolás · Útmutató a jelszavak kezeléséhez · Hozzáférés-vezérlés a felhőszolgáltató által üzemeltetett infrastruktúrához · Hozzáférési jogok kezelése, beleértve az engedélyezési koncepciót, a hozzáférési korlátozások bevezetését, a „feltétlenül szüksége van annak ismeretére” elv megvalósítását, az egyéni hozzáférési jogok kezelését. · Képzési és titoktartási megállapodások a belső és külső személyzet számára · Hálózat szétválasztása · Felelősségek és feladatok elkülönítése · A Személyes Adatokhoz való hozzáférésnek az Adatkezelésben részt vevő felekre való korlátozása a „feltétlenül szüksége van annak ismeretére” elv szerint és a differenciált hozzáférési profilok létrehozása mögötti funkciónak megfelelően. Integritás · Biztonságos hálózati csatlakozások tűzfalakkal stb. biztosítva · A Személyes Adatokat tároló vagy kezelő informatikai rendszerből történő adattovábbítások naplózása · Hitelesítés naplózása és monitorozott logikai rendszerhozzáférés · A Személyes Adatokhoz való hozzáférés naplózása, beleértve többek között a Személyes Adatokhoz való hozzáférést, azok módosítását, bevitelét és törlését · Személye Adatbeviteli jogok dokumentálása és a biztonsággal kapcsolatos bejegyzések naplózása · Webalkalmazás tűzfal (WAF) Elérhetőség és rugalmas ellenállóképesség · A Vállalkozók Személyes Adatairól több tartós adattárolóra is biztonsági másolat készül, és azok több rendelkezésre állási zónában is replikálva vannak. · A tárolt biztonsági mentési adathordozók védelme
A Személyes Adatok rendelkezésre állásának és elérésének megfelelő időben történő helyreállítását biztosító intézkedések fizikai vagy technikai incidens esetére	· Folyamatos tervezés és katasztrófa utáni helyreállítási terv · Katasztrófa utáni helyreállítási folyamatok az adatok és folyamatok visszaállításához · Célul kitűzött helyreállítási idő (RTO) · Célul kitűzött helyreállítási pont (RPO) · Maximális eltűrhető állásidő (MTD) · Kapacitáskezelési intézkedések a rendszerek erőforrás-felhasználásának figyelemmel kísérésére, valamint a jövőbeni erőforrás-követelmények tervezésére. · Az incidensek kezelésére és jelentésére vonatkozó eljárások (incidenskezelés), beleértve a lehetséges biztonsági incidensek észlelését és az azokra adott reakciót. · A produktív adatokról óránként növekményes formájú biztonsági másolat, naponta pedig teljes biztonsági másolat készül. Minden biztonsági mentés redundáns és titkosított formában (AES-256) kerül tárolásra.
A technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló folyamatok az Adatkezelés biztonságának biztosítása érdekében	· Vészhelyzeti berendezések tesztelése · Interfészek és Személyes Adatmezők dokumentálása · Belső és külső auditok · Külső felek által végzett biztonsági ellenőrzések (pl. penetrációs tesztek) · SOC 1 és 2 auditok · Rendszeres benchmarking és tesztelés az iparági szabványokkal, mint pl. a SANS Top 20 internetbiztonsági ellenőrzési eszközök, NIST irányelvek stb.
A felhasználó azonosítására és engedélyezésére vonatkozó intézkedések	· Biztonságos hálózati csatlakozások VPN, MFA, tűzfalak stb. használatával · A személyes adatokat tároló vagy feldolgozó informatikai rendszerből történő adattovábbítások naplózása · Hitelesítés naplózása és monitorozott rendszerhozzáférés · Az adott feladat elvégzéséhez szükséges adatokhoz való hozzáférést a rendszereken és alkalmazásokon belül megfelelő szerepkör- és engedélyezési koncepció biztosítja a „feltétlenül szüksége van annak ismeretére” elvnek megfelelően. · Webalkalmazás tűzfal (WAF)
A Személyes Adatok továbbítás közbeni védelmét szolgáló intézkedések	· Távoli hozzáférés a hálózathoz VPN-alagúton és teljes körű titkosításon keresztül · HTTPS titkosítás a továbbítás alatt álló adatok esetében (TLS 1.2 vagy újabb verzió használatával)
A Személyes Adatok tárolás közbeni védelmére vonatkozó intézkedések	· Rendszerbemenetek rögzítése naplófájlok útján · Hozzáférés-ellenőrzési listák (ACL) · Többtényezős hitelesítés (MFA)
Személyes Adatok Kezelésével érintett helyek fizikai biztonságát biztosító intézkedések	· A létesítmény egyedi zónákra való felosztása különböző hozzáférési engedélyekkel; · Fizikai hozzáférés elleni védelem (pl. acélajtók, ablak nélküli szobák vagy biztonságos ablakok); · Elektronikus beléptető rendszer a biztonsági területek védelmére; · A létesítmény biztonsági szolgálatokkal történő felügyelete és a létesítménybe való belépés naplózása; · Az összes biztonság szempontjából lényeges biztonsági terület – mint például a bejáratok, vészkijáratok és szerverszobák – videófelügyelete; · A hozzáférési engedélyek központi hozzárendelése és visszavonása; · Az összes látogató azonosítása személyazonosító igazolványuk ellenőrzésével és regisztrációval (a látogatókról naplót vezetnek); · Kötelező azonosítás a biztonsági területeken belül minden alkalmazott és látogató számára; · A látogatókat mindig alkalmazottnak kell kísérnie.
Események naplózását biztosító intézkedések	· Távoli naplózás · Hash láncolás · Replikáció · Központi biztonsági esemény és információ kezelési (SIEM) rendszer
A rendszerkonfigurációt biztosító intézkedések, beleértve az alapértelmezett konfigurációt	· Hozzáférés-ellenőrzési szabályzat és eljárások · Alapkonfiguráció azonosítása · Konfigurációtervezés és -kezelés · Konfigurációmódosítás-kezelés · Konfigurációs állapot könyvelése · Konfiguráció ellenőrzése és auditok · Mobileszköz-kezelés
Belső IT és IT-biztonsági irányításra és kezelésre vonatkozó intézkedések	· Kijelölt és azonosított személy a vállalat információbiztonsági és megfelelőségi programjának felügyeletére · SOC 1 és 2 audit
Folyamatok és termékek tanúsítására/bizonyosságszerzésre vonatkozó intézkedések	· Információbiztonsági vagy minőségirányítási tanúsítványok, mint például SSAE 18 2. típusú SOC 1 és SSAE18 2. típusú SOC2
Személyes Adatmennyiség minimalizálását biztosító intézkedések	· Technológiai akadályok a független Személyes Adatforrások jogosulatlan összekapcsolásának megakadályozására. · A Személyes Adatok kezelése során használt részletességi szint korlátozása: például olyan technikákkal, mint a k-névtelenség és az elfedés. · Bizonyos folyamatok során keletkezett olyan metaadatok törlése, amelyek nem szükségesek a kitűzött célhoz.
Személyes Adatminőség biztosítására irányuló intézkedések	· Adatvédelmi jogok gyakorlásának folyamata (az adatok módosítására és frissítésére vonatkozó jog) · Az összes Személyes Adatfeltételre és forgatókönyvre vonatkozó követelmények egyértelmű dokumentálása · A Személyes Adatokhoz való hozzáférésnek az Adatkezelésben részt vevő felekre való korlátozása a „feltétlenül szüksége van annak ismeretére” elv szerint és a differenciált hozzáférési profilok létrehozása mögötti funkciónak megfelelően. Szigorú adatprofilozás és a beérkező Személyes Adatok ellenőrzése · Adat feldolgozásisor-tervezés az adatduplikáció elkerülése érdekében · Minőségbiztosítási csapat · Az adatok integritásának érvényesítése
A Személyes Adatok megőrzésének korlátozottságát biztosító intézkedések	· Egyértelmű megőrzési ütemtervek és szabályzatok megléte · Hatékonyság tesztelése
Elszámoltathatóságot biztosító intézkedések	· Felelősséggel való felruházás a végfelhasználók adatainak védelme érdekében a termék teljes életciklusa alatt és az alkalmazandó üzleti folyamatokon keresztül. · Adatvédelmi hatásvizsgálatok minden új adatkezelési kezdeményezés szerves részeként. · Minden olyan döntés dokumentálása, amelyet a szervezeten belül „adatvédelmi tervezési gondolkodásmód” szemszögből fogadnak el.
A Személyes Adatok hordozhatóságát lehetővé tevő és a törlést biztosító intézkedések	· Dokumentált folyamatok az adatvédelmi jogok felhasználók általi gyakorlásával kapcsolatban (pl. törléshez vagy adathordozhatósághoz való jog) · Nyitott formátumok, mint például CSV, XML vagy JSON használata.
Érzékeny adatokra vonatkozó korlátozások vagy óvintézkedések (ha alkalmazandó)	· A speciális kategóriájú adatok titkosításának vagy hasításának – bár nem kifejezett jogi követelmény – kell mérvadónak lennie

EXHIBIT I – STANDARD CONTRACTUAL CLAUSES

(A jelen dokumentumban szereplő Általános Szerződési Feltételek szövegezését az ANPD a 19/2024. számú határozatában határozta meg, ezért a felek nem módosíthatják, nem módosíthatják és nem tárgyalhatják meg azokat. A ServiceChannel az Általános Szerződési Feltételeket (SCC) kizárólag az ANPD által közzétett hivatalos változatban – nevezetesen az eredeti portugál szövegben és az ANPD által kiadott angol fordításban – biztosítja, és az iparági gyakorlattal összhangban mi is linket biztosítunk a hivatalos portugál változathoz, kizárólag az ANPD saját angol fordítására támaszkodva. Az ANPD által elfogadott jogi jelentésük és jogalkotási szándékuk megőrzése érdekében az SCC-ket nem fordítjuk le további nyelvekre.)

SECTION I – GENERAL INFORMATION

CLAUSE 1. PARTIES’ IDENTIFICATION

1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.

CLAUSE 2. SUBJECT

2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.

CLAUSE 3. SUBSEQUENT TRANSFERS

3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.

CLAUSE 4. PARTIES’ RESPONSIBILITIES

4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:

a) Party responsible for publishing the document referenced in CLAUSE 14;

(X) Exporter ( ) Importer

b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:

(X) Exporter ( ) Importer

c) Party responsible for communicating a security incident as described in CLAUSE 16:

(X) Exporter ( ) Importer

4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:

a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;

b) for the compliance with all ANPD requirements; and

c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.

4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.

4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.

4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.

4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.

4.7. If a request is received from a Data Subject, the applicable Party shall:

a) respond to the request, when it possesses the information needed to do so;

b) inform the Data Subject of the service channel provided by the Third-Party Controller; or

c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.

4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 5. Purpose

5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 6. Definitions

6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a) Processing agents: the controller and the processor;

b) ANPD: National Data Protection Authority;

c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;

d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f) Personal Data: information related to an identified or identifiable natural person;

g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

i) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l) Arbitration Law: Law No. 9,307, of September 23, 1996;

m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q) Parties: Exporter and Importer;

r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);

u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 7. Applicable legislation and ANPD supervision

7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 8. Interpretation

8.1. Any application of these Clauses shall occur in accordance with the following terms:

a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.

CLAUSE 9. Docking Clause

9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 10. General obligations of the Parties

10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f) not to process Personal Data for abusive or unlawful discriminatory purposes;

g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 11. Sensitive personal data

11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.

CLAUSE 12. Personal data of children and adolescents

12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 13. Legal use of data

13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 14. Transparency

14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a) the form, duration and specific purpose of the international transfer;

b) the destination country of the transferred data;

c) the Designated Party’s identification and contact details;

d) the shared use of data by the Parties and its purpose;

e) the responsibilities of the agents who shall conduct the processing;

f) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.

14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 15. Rights of the data subject

15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a) confirmation of the existence of processing;

b) access to data;

c) correction of incomplete, inaccurate or outdated data;

d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;

g) information on public and private entities with which the Parties have shared data;

h) information on the possibility of denying consent and on the consequences of the denial;

i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k) information on the criteria and procedures adopted for the automated decision.

15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3 is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 16. Security Incident Reporting

16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

16.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 17. Liability and compensation for damages

17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 18. Safeguards for Onward Transfers

18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.

18.2. In any case, the Importer:

a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;

b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.

CLAUSE 19. Access Request Notification

19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 20. Termination of processing and erasure of data

20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a) compliance with a legal or regulatory obligation by the Controller;

b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

20.2. For the purposes of this Clause, processing of personal data shall cease when:

a) the purpose set forth in these Clauses has been achieved;

b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c) at the termination of the treatment period;

d) Data Subject’s request is met; and

e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 21. Data processing security

21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents.

21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 22. Legislation of country of destination

22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 23. Non-compliance with the Clauses by the Importer

23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a) suspend the International Data Transfer;

b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c) terminate the contract.

CLAUSE 24. Choice of forum and jurisdiction

24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

SECTION III – Security Measures

The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.

English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar