Nazadnje posodobljeno 19. marec 2026

Sporazum o obdelavi podatkov

Ta sporazum o obdelavi podatkov („DPA”) tvori del in je predmet okvirnega sporazuma o storitvah („MSA”) med družbo ServiceChannel.com, Inc. (v nadaljevanju „ServiceChannel”) in stranko (kot je opredeljeno v MSA). Stranka in ServiceChannel sta v dokumentu navedena kot „pogodbena stranka” oz. skupaj kot „pogodbeni stranki”.

KJER

(i) sta stranka in ServiceChannel sklenila okvirni sporazum o storitvah, v sklopu katerega bo družba ServiceChannel stranki zagotovila storitve;

(ii) bo družba ServiceChannel obdelovala podatke stranke (ki lahko vključujejo osebne podatke) pri zagotavljanju storitev;

(iii) pogodbeni stranki želita skleniti ta DPA, ki ureja obdelavo takšnih osebnih podatkov s strani družbe ServiceChannel, ki so vsebovani v podatkih stranke.

ZATO se pogodbeni stranki strinjata, kot sledi:

1. Opredelitve pojmov:

V tem sporazumu o obdelavi imajo pojmi v MSA naslednje pomene, ko se uporabljajo v tem dokumentu. Poleg tega imajo naslednji pojmi naslednje pomene:

(a) „administrativni podatki” so: (i) kontaktni podatki v povezavi s korespondenco s strankinim glavnim imetnikom računa ali skrbnikom in njena vsebina, (ii) prošnje za podporo, ki so jih strankini pooblaščeni uporabniki posredovali v povezavi s storitvijo;

(b) „pridružena družba” pomeni subjekt, katerega nadzira, ki nadzira ali je pod skupnim nadzorom z družbo ServiceChannel;

(c) „brazilske standardne pogodbene klavzule” pomeni standardne pogodbene klavzule, priložene Uredbi št. 19/2024 Brazilske agencije za varstvo podatkov („ANPD”);

(c) „CCPA” pomeni kalifornijski zakon o varstvu zasebnosti potrošnikov iz leta 2018 (California Consumer Privacy Act of 2018, Kalifornijski civilni zakonik (Cal. Civ. Code § 1798.100 in naslednji), vključno z izvedbenimi uredbami, in kalifornijski zakon o pravicah do zasebnosti iz leta 2020 (California Privacy Rights Act of 2020);

(d) „nameni upravljavca” pomeni izvajanje notranjih raziskav in razvoja za razvoj, preizkušanje, izboljšanje in spreminjanje funkcionalnosti izdelkov in storitev družbe ServiceChannel, (b) ustvarjanje anonimiziranih podatkovnih nizov za namene usposabljanja ali ocenjevanja izdelkov in storitev družbe ServiceChannel, (c) upravljanje odnosa družbe ServiceChannel s stranko in njenimi pogodbeniki iz sporazuma MSA;

(e) „stranka” pomeni stranko, ki je sklenila okvirni sporazum o storitvah;

(f) „osebni podatki stranke” so, poleg ocen in mnenj, osebni podatki v podatkih stranke, kot je nadalje opisano v prilogi I k temu DPA;

(g) „zakoni o varstvu podatkov” so vsi veljavni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na zasebnost, zaupnost ali varnost osebnih podatkov (kot se lahko občasno spremenijo ali kako drugače posodobijo), kar brez omejitev vključuje uredbo GDPR, uredbo GDPR ZK, brazilski zakon št. 13.709/2018 („LGPD”)”) in zakone o varstvu podatkov v ZDA;

(h) „posamezniki, na katere se nanašajo osebni podatki” so: (i) fizične osebe, na katere se nanašajo osebni podatki, in (ii) posameznik, ki je „posameznik, na katerega se nanašajo osebni podatki”, „potrošnik” ali enakovreden izraz iz zakonov o varstvu podatkov;

(i) „standardne pogodbene klavzule za EU” pomenijo pogodbene klavzule, priložene Izvedbenemu sklepu Evropske komisije 2021/914 z dne 4. junija 2021 o standardnih pogodbenih določilih za prenos osebnih podatkov v tretje države v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta, z vsemi morebitnimi posodobitvami ali zamenjavami;

(i) „GDPR” pomeni Uredbo (EU) 2016/679 („EU GDPR”) oz. kjer je to ustrezno, „GDPR ZK”, kot je opredeljeno v razdelku 3(10) in razdelku 205 zakona o varstvu podatkov v ZK iz leta 2018;

(j) „osebni podatki” so vse informacije, ki: (i) se nanašajo na, so povezane z ali razumno povezane z določeno ali določljivo fizično osebo, ali (ii) so kako drugače „osebni podatki”, „osebne informacije”, „osebno določljive informacije” ali podobno opredeljeni podatki ali informacije iz zakonov o varstvu podatkov;

(k) „obdelava” pomeni vsakršno dejanje ali niz dejanj, ki se opravlja na osebnih podatkih, bodisi na avtomatiziran način ali ne, kot je zbiranje, evidentiranje, organiziranje, strukturiranje, hramba, prilagajanje ali spreminjanje, pridobivanje, svetovanje, uporabljanje, razkrivanje prek prenosa, razčlenjevanje ali kako drugače dajanje na voljo, usklajevanje ali združevanje, blokiranje, brisanje ali uničevanje („obdelava”, „obdeluje” in „obdelano” imajo enak pomen);

(l) „ocene in mnenja” imajo pomen, kot jim je dan v razdelku 2.1;

(m) „prodaja” ali „prodati” ima pomen, kot izhaja iz CCPA;

(n) „deliti” ima pomen, kot izhaja iz CCPA;

(o) „kršitev varnosti” pomeni kršitev varnosti, ki privede do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali nepooblaščenega dostopa do osebnih podatkov stranke;

(p) „standardne pogodbene klavzule” pomenijo (kot je ustrezno) standardne pogodbene klavzule za EU (EU-SCC), dodatek za Združeno kraljestvo ali brazilske standardne pogodbene klavzule (SCC);

(q) „podobdelovalec” pomeni zunanji subjekt, katerega je družba ServiceChannel (ki deluje kot obdelovalec) najela za obdelavo osebnih podatkov v imenu stranke oz. za zagotavljanje storitev, ki so opredeljene v sporazumu;

(r) „dodatek ZK” pomeni dodatek predloge, različica B.1.0, ki ga je izdal Informacijski pooblaščenec ZK na podlagi razdelka S119A(1) zakona o varstvu podatkov v ZK iz leta 2018 in katerega je obravnaval parlament ZK dne 2. februarja 2022, kot se lahko pregleda glede na razdelek 18 dodatka ZK;

(s) „zakoni o varstvu podatkov v ZDA” so vsi veljavni zvezni in državni zakoni, pravila, predpisi in vladne zahteve, ki se nanašajo na varstvo podatkov, obdelavo osebnih podatkov, zasebnost in/ali varstvo podatkov in ki občasno veljajo v Združenih državah Amerike, kar brez omejitev vključuje zakon CCPA;

(t) „podatki o uporabi” pomeni informacije o diagnostiki, uporabi in delovanju, katere je zbrala družba ServiceChannel v povezavi z uporabo storitev s strani stranke in njenih pooblaščenih uporabnikov; in

(u) Izrazi „upravljavec”, „obdelovalec”, „podjetje” in „ponudnik storitev” imajo pomene, ki izvirajo iz zakonov o varstvu podatkov.

2. Razmerja pogodbenih strank; skladnost z zakonodajo

2.1 Stranka:

(a) imenuje družbo ServiceChannel za obdelavo osebnih podatkov stranke kot njen obdelovalec ali ponudnik storitev,

(b) priznava in se strinja, da lahko družba ServiceChannel:

(i) uporablja administrativne podatke in podatke o uporabi za namene upravljanja in da lahko na podlagi uredbe GDPR in zakona LGPD to stori kot upravljavec podatkov;

(ii) zbira in prikazuje komentarje, povratne informacije in ocene, posredovane družbi ServiceChannel s strani pooblaščenih uporabnikov stranke v povezavi s pogodbeniki, ki jih angažira stranka („ocene in mnenja”), in da za namene zakonov o varstvu podatkov to stori kot upravljavec ali podjetje.

2.2 Vsaka pogodbena stranka bo delovala v skladu z obveznostmi, ki veljajo za njo iz zakonov o varstvu podatkov, prav tako pa bo nudila enako raven zaščite zasebnosti.

2.3 Stranka bo zagotovila, da bodo njena navodila za obdelavo osebnih podatkov stranke skladna z zakoni o varstvu podatkov. Stranka ima izključno odgovornost za točnost, kakovost in zakonitost osebnih podatkov stranke in za način, prek katerega je pridobila osebne podatke stranke.

2.4 Družba ServiceChannel bo stranko pravočasno obvestila v primeru, da ugotovi, da ne more več izpolnjevati svojih obveznosti iz zakonov o varstvu podatkov.

2.5 Stranka lahko sprejme razumne in ustrezne korake za:

(a) zagotovitev, da ServiceChannel uporablja osebne podatke stranke na način, ki je dosleden z obveznostmi stranke iz zakonov o varstvu podatkov, in

(b) z razumnim obvestilom ustavi in odpravi nepooblaščeno uporabo osebnih podatkov stranke.

3. Obdelava osebnih podatkov stranke

3.1 Družba ServiceChannel bo obdelovala osebne podatke stranke samo v imenu in v skladu z MSA, tem DPA in (razen obdelave za namene upravljanja) zavedenimi navodili stranke. Stranka naroča družbi ServiceChannel, da obdeluje osebne podatke stranke za naslednje namene: (i) obdelava v skladu s sporazumom in morebitnimi veljavnimi naročili, in (ii) obdelava, ki je skladna z drugimi razumnimi navodili, ki jih posreduje stranka, kjer so takšna navodila skladna s pogoji sporazuma. Družba ServiceChannel bo nemudoma obvestila stranko, če ne bo zmožna več upoštevati teh navodil oz. če po njenem mnenju navodilo stranke krši zakone o varstvu podatkov.

3.2 Družba ServiceChannel ne bo:

(a) prodajala ali delila osebnih podatkov stranke,

(b) ohranila, uporabila ali razkrila osebnih podatkov stranke za katere koli namene, ki niso posebni poslovni nameni izvajanja storitev iz MSA oz. v skladu z veljavnimi zakoni o varstvu podatkov,

(c) ohranila, uporabila ali razkrila osebnih podatkov stranke izven neposrednega poslovnega odnosa med pogodbenima strankama, in

(d) združevala osebnih podatkov stranke z osebnimi podatki, ki jih prejme od oz. v imenu druge osebe ali oseb oz. ki jih zbere za svojo lastno interakcijo s posameznikom, na katerega se nanašajo osebni podatki, razen če je to izrecno dovoljeno in se izvaja v skladu z zakoni o varstvu podatkov.

3.3 Stranka jamči in se zavezuje, da osebni podatki stranke ne bodo vsebovali ničesar od naslednjega:

(a) osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja, članstva v sindikatih, kazenske sodbe in morebitne druge posebne kategorije osebnih podatkov, opredeljenih v 9. ali 10. členu uredbe GDPR, ali osebnih podatkov, ki so kako drugače občutljivi osebni podatki v skladu z veljavnimi zakoni o varstvu podatkov,

(b) biometričnih identifikatorjev ali predlog,

(c) finančnih podatkov (kar brez omejitev vključuje podatke o obračunu in imetniku kartic ali občutljive avtentikacijske podatke, kot so ti pojmi opredeljeni v standardu o varnosti podatkov v panogi plačilnih kartic),

(d) osebno določljivih finančnih podatkov, kot je opredeljeno v in je predmet zakona Gramm-Leach-Bliley o finančni modernizaciji iz leta 1999,

(e) nacionalnih identifikacijskih številk (kar brez omejitev vključuje številke socialnega varstva, številke socialnega zavarovanja, številke vozniškega dovoljenja ali potnega lista ali druge številke na uradno izdanih identifikacijskih dokumentih),

(f) podatkov, ki se nanašajo na posameznike, mlajše od 13 let,

(g) evidenc o izobrazbi, kot je opredeljeno v zakonu o pravicah in zasebnosti družine iz leta 1974,

(h) zaščitenih zdravstvenih podatkov, kot je opredeljeno v in je predmet zakona o prenosljivosti in odgovornosti zdravstvenega zavarovanja.

4. Zaupnost obdelave/osebje družbe ServiceChannel

4.1 Družba ServiceChannel bo zagotovila, da bo vsaka oseba, ki jo pooblasti za obdelavo osebnih podatkov stranke („pooblaščena oseba”), varovala osebne podatke stranke v skladu z obveznostmi o zaupnosti družbe ServiceChannel iz tega sporazuma.

4.2 Družba ServiceChannel bo zagotovila, da bo njeno osebje, ki je vpleteno v obdelavo osebnih podatkov stranke, obveščeno o zaupni naravi osebnih podatkov stranke in zavezano k obveznosti zaupnosti.

4.3 Družba ServiceChannel bo zagotovila, da bo dostop do osebnih podatkov stranke omejen na tisto osebje, ki potrebujejo takšen dostop za izvajanje storitev.

5. Upravljanje varnosti/kršitev in obveščanje

5.1 Družba ServiceChannel bo sprejela ustrezne tehnične in organizacijske ukrepe za zaščito zaupnosti, celovitosti in razpoložljivosti osebnih podatkov stranke, kot je opredeljeno v prilogi II.

5.2 Če družba ServiceChannel ugotovi kakršno koli kršitev varnosti, bo pravočasno: (i) obvestila stranko o kršitvi varnosti v skladu s časovnicami, ki jih zahtevajo veljavni zakoni o varstvu podatkov, (ii) preiskala kršitev varnosti in stranki posredovala informacije o kršitvi varnosti ter (iii) sprejela razumne ukrepe za ublažitev posledic in zmanjšanja škode zaradi kršitve varnosti.

5.3 Družba ServiceChannel bo na zahtevo stranke le-tej ponudila razumno pomoč pri izpolnjevanju strankinih obveznosti iz zakonov o varstvu podatkov v povezavi s kršitvijo varnosti, sporočeni stranki s strani družbe ServiceChannel.

5.4 Družba ServiceChannel ne bo imela nobene obveznosti obveščanja stranke o morebitnih neuspešnih poskusih pridobitve nepooblaščenega dostopa do osebnih podatkov stranke ali do opreme ali prostorov družbe ServiceChannel, v katerih se hranijo osebni podatki stranke, kar brez omejitev vključuje pinge in druge napade na požarne zidove ali vstopne strežnike, skene vrat, neuspešne poskuse prijave, napade, ki povzročajo zavrnitev storitve (napade DDoS), ali podobne incidente.

5.5 Obvestila o kršitvah varnosti se posredujejo enemu ali več strankinim poslovnim, tehničnim ali administrativnim kontaktom na način, ki ga izbere družba ServiceChannel, tudi po e-pošti. Stranka je sama odgovorna za ažurnost svojih kontaktnih podatkov v podpornih sistemih družbe ServiceChannel.

5.6 Obvestila družbe ServiceChannel oz. njen odziv na kršitev varnosti iz tega razdelka 5 se ne smatra kot priznanje s strani družbe ServiceChannel katere koli napake ali odgovornosti v povezavi s kršitvijo varnosti.

6. Podobdelava

6.1 Stranka sprejema in se strinja, da (i) lahko ServiceChannel določi pridružene družbe kot podobdelovalce in (ii) lahko ServiceChannel uporabi storitve tretjih podobdelovalcev v povezavi z zagotavljanjem storitev. Vsak takšen podobdelovalec bo imel dovoljenje za pridobitev osebnih podatkov stranke samo za izvajanje storitev, ki jim jih je naročila družba ServiceChannel, in nimajo dovoljenja uporabljati osebnih podatkov stranke za nobene druge namene. Družba ServiceChannel bo sklenila pisni sporazum, ki podobdelovalca zavezuje k dolžnosti varovanja podatkov, ki je v vsebini podobna dolžnosti, katero mora izpolnjevati družba ServiceChannel na podlagi tega sporazuma. Družba ServiceChannel je v celoti odgovorna stranki za izvajanje dolžnosti podobdelovalca iz pogodbe z družbo ServiceChannel.

6.2 ServiceChannel lahko nadaljuje z uporabo teh podobdelovalcev, ki jih je družba ServiceChannel oz. katera koli pridružena družba ServiceChannel že najela na datum tega sporazuma, kot je opredeljeno na https://bit.ly/SC_Subprocessors.

6.3 Družba ServiceChannel bo stranki posredovala predhodno pisno obvestilo o imenovanju katerega koli novega podobdelovalca, vključno z vsemi informacijami o obdelavi, katero bo izvajal podobdelovalec. Če v roku 10 dni od prejema obvestila stranka družbo ServiceChannel pisno obvesti o kakršnem koli ugovoru (ali razumnih razlogih) glede predlaganega imenovanja, družba ServiceChannel ne bo imenovala predlaganega podobdelovalca, dokler ne sprejme razumnih ukrepov za obravnavo ugovorov, ki jih je posredovala stranka, ter stranki posreduje razumno pisno pojasnilo o izvedenih korakih. Stranka priznava, da v nekaterih primerih morda ne bo mogla zagotoviti vseh storitev brez uporabe novega podobdelovalca.

7. Omejeni prenosi

7.1 Stranki se strinjata, da bodo za omejene prenose osebnih podatkov stranke od stranke družbi ServiceChannel veljale ustrezne standardne pogodbene klavzule, kot sledi:

(a) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo EU GDPR, veljajo standardne pogodbene klavzule za EU (EU SCC) na naslednji način:

(i) velja drugi modul,

(ii) v klavzuli 7 velja izbirna klavzula o umeščanju,

(iii) v klavzuli 9 velja možnost 2, čas za predhodno obvestilo o spremembah podobdelovalca pa bo takšen, kot je opredeljeno v klavzuli 6.3 tega sporazuma,

(iv) v klavzuli 11 ne velja opcijski jezik,

(v) v klavzuli 17 velja možnost 1, standardne pogodbene klavzule za EU pa ureja irska zakonodaja,

(vi) v klavzuli 18(b) se spori rešujejo na sodiščih na Irskem,

(vii) priloga I standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge I k temu sporazumu,

(viii) priloga II standardnih pogodbenih klavzul za EU se smatra za sklenjeno z informacijami iz priloge II k temu sporazumu in

(b) v zvezi z osebnimi podatki stranke, ki so zaščiteni z uredbo GDPR ZK, velja dodatek ZK na naslednji način:

(i) standardne pogodbene klavzule za EU, ki so izpolnjene, kot je določeno zgornji v točki 7.1(a) tega sporazuma, veljajo tudi za prenose takšnih osebnih podatkov stranke, ob upoštevanju podklavzule (ii) spodaj,

(ii) tabele 1 do 3 v dodatku ZK se smatrajo kot sklenjene z ustreznimi informacijami iz standardnih pogodbenih klavzul za EU, izpolnjenih, kot je določeno zgoraj, možnosti „nobena pogodbena stranka” pa se smatrajo kot označene v tabeli 4. Datum začetka veljave dodatka ZK (kot je določeno v preglednici 1) je datum tega sporazuma in

(c) v zvezi z osebnimi podatki stranke, ki so zaščiteni z brazilskim zakonom LGPD, bodo veljale brazilske standardne pogodbene klavzule (SCC), kot je podrobno opisano v Prilogi I, kot mednarodni mehanizem za prenos podatkov, ki se uporablja za vse primere, ko namembna država nima ravni zaščite, ki je ustrezna ali podobna tisti, kot je določena v LGPD;

(d) če katera koli določba tega sporazuma neposredno ali posredno nasprotuje standardnim pogodbenim klavzulam, prevladajo standardne pogodbene klavzule.

7.2 Če se trenutni dodatek ZK ali standardne pogodbene klavzule za EU nadomestijo ali zamenjajo z novimi standardnimi pogodbenimi klavzulami, se stranki strinjata, da bodo takšne nove standardne pogodbene klavzule samodejno veljale za prenos osebnih podatkov stranke od stranke družbi ServiceChannel in da se bodo smatrale kot smiselno dopolnjene, kot je opisano v zgornji klavzuli 7.1.

8. Sodelovanje in pravice posameznikov, na katere se nanašajo osebni podatki

8.1 Družba ServiceChannel bo v obsegu, ki je zakonsko dovoljen in zahtevan, pravočasno obvestila stranko, če od posameznika, na katerega se nanašajo osebni podatki, prejme zahtevo glede uveljavljanja njegovih pravic v skladu z zakoni o varstvu podatkov. Družba ServiceChannel se ne bo odzvala na takšne zahteve posameznikov, na katere se nanašajo osebni podatki, brez predhodnega pisnega soglasja stranke, razen da potrdi, da se zahteva nanaša na stranko.

8.2 V kolikor stranka pri uporabi ali prejemu storitev nima možnosti dostopa do, popravka, omejitve, blokiranja ali izbrisa osebnih podatkov stranke, kot to zahtevajo zakoni o varstvu podatkov, bo družba ServiceChannel uporabila komercialno razumne napore za ravnanje v skladu z razumnimi zahtevami s strani stranke za izvrševanje takšnih dejanj, v kolikor lahko družba ServiceChannel to stori zakonito.

8.3 Družba ServiceChannel bo razumno sodelovala s stranko (na stroške stranke) v povezavi s kakršno koli oceno učinka o varstvu podatkov, ki se lahko zahteva po zakonu o varstvu podatkov.

9. Prenehanje; izbris ali vračilo podatkov

9.1 Ta sporazum bo prekinjen samodejno ob izbrisu ali anonimizaciji osebnih podatkov stranke s strani družbe ServiceChannel.

9.2 Po prenehanju ali poteku veljavnosti sporazuma MSA bo družba ServiceChannel:

(a) na zahtevo stranke v tridesetih (30) dneh od poteka veljavnosti MSA („obdobje hrambe”) po izbiri družbe ServiceChannel posredovala kopijo vseh osebnih podatkov stranke v splošno uporabljenem formatu, kot to zahteva stranka, oz. omogočila samopostrežno funkcionalnost, s katero bo stranki omogočila prenos takšnih osebnih podatkov stranke;

(b) po poteku obdobja hrambe izbrisala vse kopije osebnih podatkov stranke, ki jih je obdelovala sama oz. katere so obdelovali njeni podobdelovalci, razen:

(i) morebitnih administrativnih podatkov ali podatkov o uporabi, ki se obdelujejo za namene upravljavca, oz. morebitnih osebnih podatkov stranke, ki jih družba ServiceChannel mora hraniti zaradi veljavne zakonodaje, ali

(ii) osebnih podatkov stranke, ki se arhivirajo v varnostno kopiranih sistemih, katere bo družba ServiceChannel varno izolirala in zaščitila pred nadaljnjo obdelavo, razen do obsega, ki ga zahteva zakonodaja, do izbrisa.

10. Revizija

10.1 Stranka lahko, v kolikor družba ServiceChannel deluje kot obdelovalec, preveri skladnost družbe ServiceChannel s tem sporazumom DPA. Pogodbeni stranki se strinjata, da se bodo takšne revizije izvajale:

(a) največ enkrat letno, razen če so potrebne pogostejše revizije zaradi skladnosti z zakoni o varstvu podatkov oz. če to zahteva nadzorni organ s pristojnostjo nad obdelavo osebnih podatkov stranke,

(b) na podlagi dvotedenskega pisnega obvestila družbi ServiceChannel,

(c) samo v času običajnega poslovanja družbe ServiceChannel, in

(d) na način, ki bistveno ne ovira poslovanja ali delovanja družbe ServiceChannel.

10.2 V povezavi s kakršnimi koli revizijami iz razdelka 10.1:

(a) Stranka lahko najame tretjega revizorja za izvedbo revizije v njenem imenu, razen če družba ServiceChannel vloži razumen ugovor k imenovanju tretjega revizorja, če je takšen revizor konkurent družbe ServiceChannel,

(b) Družbi ServiceChannel ni potrebno olajševati ali pomagati pri revizijah, razen in v primeru, ko se pogodbeni stranki pisno dogovorita o obsegu in času takšne revizije ter o stopnji povračila stroškov iz razdelka 10.3.

10.3 Stranka bo družbi ServiceChannel povrnila stroške za porabljen čas pri takšni reviziji ob upoštevanju stopnje, za katero se dogovorita pogodbeni stranki. Pred začetkom kakršne koli takšne revizije se bosta stranka in družba ServiceChannel dogovorila o obsegu, času in trajanju revizije ter o stopnji povračila stroškov, za katero bo odgovorna stranka. Vse stopnje povračila stroškov bodo razumne ob upoštevanju virov, ki jih je porabila družba ServiceChannel. Stranka bo pravočasno obvestila družbo ServiceChannel z informacijami o kakršni koli neskladnosti, odkriti med opravljanjem revizije.

10.4 Stranka se strinja, da bo družba ServiceChannel redno revidirana ob upoštevanju standarda SSAE 18 SOC 1 s strani neodvisnih tretjih revizorjev. Družba ServiceChannel bo stranki na njeno zahtevo oz. kot odziv na zahtevo iz revizije stranki posredovala kopijo povzetka svojega poročila o reviziji, kar bo predmet določb o zaupnosti v MSA. Če se revizija, ki jo zahteva stranka, obravnava v poročilu o reviziji, ki ga zagotovi družba ServiceChannel, se stranka strinja, da bo sprejela takšno poročilo namesto izvedbe fizične revizije kontrol, ki jih pokriva zadevno poročilo.

11. Omejitev odgovornosti

Za ta DPA veljajo omejitve odgovornosti in zavrnitve odgovornosti v sporazumu MSA.

12. Pogodbene stranke v tem sporazumu

Razen kot je navedeno v standardnih pogodbenih klavzulah, nič v tem DPA ne bo podeljevalo nobenih ugodnosti ali pravic nobeni osebi ali subjektu, razen pogodbenih strank v tem DPA.

13. Pravni učinek

Ta DPA dopolnjuje in tvori del sporazuma MSA.

14. Splošno

14.1 Razen standardnih pogodbenih klavzul, ki so vključene v ta sporazum DPA, se ta DPA ureja in v vseh pogledih tolmači v skladu z veljavno zakonodajo in določbami o pristojnosti v sporazumu MSA, ob upoštevanju, da v primeru neskladja glede obdelave osebnih podatkov med sporazumom MSA in tem DPA prevlada ta DPA.

14.2 Ta sporazum se lahko izvede v katerem koli številu kopij, kjer se vsaka kopija šteje kot original in izkazuje enak sporazum med pogodbenimi strankami.

14.3 Razen kot je opredeljeno v tem DPA, sporazum MSA v celoti ohrani veljavnost in učinek.

 

PRILOGA I

A. SEZNAM POGODBENIH STRANK

	Ime	Naslov	Ime kontaktne osebe, položaj in kontaktni podatki	Dejavnosti v povezavi s prenesenimi podatki	Vloga
Izvoznik podatkov	Stranka (kot je opredeljeno v MSA)	Kot je opredeljeno v MSA	Kot je opredeljeno v MSA	Prejem storitev	Upravljavec
Uvoznik podatkov	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615	Brian Chase, generalni svetovalec, [email protected]	Zagotavljanje storitev	Obdelovalec

B. OPIS PRENOSA

Posamezniki, na katere se nanašajo osebni podatki	Kategorije osebnih podatkov	Občutljivi osebni podatki	Pogostost prenosa	Narava in namen obdelave
Pooblaščeni uporabniki stranke	Ime, e-poštni naslov, poslovni naslov, poverilnice za dostop.	Brez	Neprekinjeno	Dodeljevanje dostopa do storitev pooblaščenim uporabnikom stranke.
Pooblaščeni uporabniki stranke	Ime, e-poštni naslov, telefonska številka, poslovni naslov.	Brez	Neprekinjeno	Poenostavljanje stika med pooblaščenim uporabnikom stranke in osebami, ki jih najame stranka prek storitev („pogodbeniki”)
Pooblaščeni uporabniki stranke Osebje pogodbenika	Poenostavljanje storitev upravljanja, ki se zahtevajo prek storitev, datum in čas zahteve.	Brez	Neprekinjeno	Posredovanje zahtev za storitve upravljanja objektov pogodbenikom.
Pooblaščeni uporabniki stranke Osebje pogodbenika	Ime, zagotovljene storitve upravljanja prostorov, datum in lokacija zagotovljenih storitev.	Brez	Neprekinjeno	Vzdrževanje evidenc storitev upravljanja objektov, ki jih naroči stranka in so dokončane.
Osebje pogodbenika	Ime in kontaktni podatki (telefonska številka in e-poštni naslov), posredovani s strani pooblaščenih uporabnikov stranke.	Brez	Neprekinjeno	Poenostavljanje stika med pooblaščenim uporabnikom stranke in njihovimi ključnimi kontakti pri pogodbenikih.
Pooblaščeni uporabniki stranke	Podpora za poizvedbe	Brez	Neprekinjeno	Zagotavljanje tehnične podpore.
Pooblaščeni uporabniki stranke	Dnevniški podatki	Brez	Neprekinjeno	Zagotavljanje dostopa do storitev.

Hramba

Trajanje obdelave bo enako trajanju zagotavljanja storitev v okviru sporazuma MSA.

Podobdelovalci

Kot je opisano na https://bit.ly/SC_Subprocessors

C. PRISTOJNI NADZORNI ORGAN

Irski komisar za varstvo podatkov

PRILOGA II

Varnostni ukrepi

Družba ServiceChannel vedno ostane odgovorna za naslednje komercialno razumne varnostne ukrepe pri prenosih:

VARNOSTNI UKREPI PRI PRENOSIH	UVEDENI UKREPI
Ukrepi psevdonimizacije in šifriranja osebnih podatkov	Psevdonimizacija ·    maskiranje osebnosti ·    menjavanje ·    k-anonimnost Šifriranje ·    Šifriranje HTTPS za podatke v tranzitu (z uporabo TLS 1.2 ali novejše različice) pri vsakem vmesniku za prijavo z uporabo standardnih algoritmov in certifikatov za panogo. ·    Šifriranje shranjenih podatkov z uporabo standardnega algoritma AES-256
Ukrepi za zagotovitev neprekinjene zaupnosti, celovitosti, razpoložljivosti in odpornosti obdelovalnih sistemov in storitev	Zaupnost ·    Virtualno zasebno omrežje (VPN) ·    Večfaktorska avtentikacija (MFA) ·    Sistem prilagojenih pravic na podlagi varnostnih skupin in seznamov nadzora dostopov. ·    Varen prenos poverilnic z uporabo TSL 1.2 (ali novejše) ·    Gesla zahtevajo opredeljeno minimalno zapletenost. Prvotna gesla je potrebno spremeniti po prvi prijavi. ·    Samodejno zaklepanje računov ·    Smernice za upravljanje z gesli ·    Nadzori dostopa do infrastrukture, ki jih gosti ponudnik storitev v oblaku ·    Upravljanje pravic dostopa, vključno s konceptom avtorizacije, implementiranjem omejitev dostopa, implementiranjem načela „potreba po vedenju”, upravljanjem pravic dostopa posameznikov. ·    Usposabljanje in sporazumi o zaupnosti za interno in zunanje osebje ·    Ločevanje omrežja ·    Ločevanje odgovornosti in dolžnosti ·    Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju” in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa Celovitost ·    Varne povezave med omrežji, zaščitene s požarnimi zidovi itd. ·    Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke ·    Beleženje avtentikacije in spremljanje dostopov do logičnih sistemov ·    Beleženje dostopov do osebnih podatkov, kar med drugim vključuje dostope, spreminjanja, vnose in izbrise osebnih podatkov ·    Evidentiranje pravic vnosa osebnih podatkov in beleženje varnostnih vnosov ·    Požarni zid spletne aplikacije (WAF) Razpoložljivost in odpornost ·    Osebni podatki stranke se varnostno kopirajo na več trpežnih hranilnikov podatkov ter na več območij razpoložljivosti. ·    Zaščita shranjenih varnostno kopiranih medijev
Ukrepi za zagotavljanje možnosti povrnitve razpoložljivosti in dostopa do osebnih podatkov na pravočasen način v primeru fizičnega ali tehničnega incidenta	·    Načrtovanje neprekinjenosti in obnovitveni načrt za primer katastrofe ·    Procesi obnove po katastrofi za obnovo podatkov in procesov ·    Cilj časa obnove (RTO) ·    Cilj obnovitvene točke (RPO) ·    Maksimalni dopustni čas izpada (MTD) ·    Ukrepi za upravljanje kapacitete za spremljanje porabe virov v sistemih, kot tudi načrtovanje bodočih zahtev po virih. ·    Postopki za obravnavo in poročanje o incidentih (upravljanje incidentov), vključno z zaznavanjem in reagiranjem na morebitne varnostne incidente. ·    Produktivni podatki se varnostno kopirajo vsako uro na inkrementalen način ter dnevno kot polno varnostno kopiranje. Vse varnostne kopije se hranijo v šifrirani obliki (AES-256).
Procesi za redno testiranje, preverjanje in ocenjevanje učinkovitosti tehničnih in organizacijskih ukrepov za zagotovitev varnosti obdelave	·    Testiranje opreme za nujne primere ·    Evidentiranje vmesnikov in polj osebnih podatkov ·    Notranje in zunanje revizije ·    Varnostna preverjanja (npr. penetracijski testi), ki jih izvedejo zunanji subjekti ·    Revizije SOC 1 in 2 ·    Redne primerjalne analize in testiranje z industrijskimi standardi, npr. SANS top 20 kontrole za spletno varnost, smernice NIST itd.
Ukrepi za identifikacijo in pooblaščanje uporabnikov	·    Varne povezave med omrežji, zaščitene z VPN, MFA, požarnimi zidovi itd. ·    Beleženje prenosa podatkov iz IT-sistema, ki hrani ali obdeluje osebne podatke ·    Beleženje avtentikacije in spremljanje dostopov do sistemov ·    Dostop do podatkov, ki je nujen za opravljanje določenih nalog, se zagotavlja v samih sistemih in aplikacijah na podlagi koncepta ustrezne vloge in pooblastila in v skladu z načelom „potrebe po vedenju”. ·    Požarni zid spletne aplikacije (WAF)
Ukrepi za zaščito osebnih podatkov med prenosom	·    Oddaljeni dostop do omrežja prek tunela VPN in celovito šifriranje (end-to-end) ·    HTTPS šifriranje podatkov v prenosu (z uporabo TLS 1.2 ali novejšega)
Ukrepi za zaščito osebnih podatkov med hrambo	·    Vnosi sistemov zabeleženi v dnevniških datotekah ·    Seznami nadzora dostopov (ACL) ·    Večfaktorska avtentikacija (MFA)
Ukrepi za zagotavljanje fizične varnosti na lokacijah, kjer se obdelujejo osebni podatki	·    Podrazdelitev objektov v posamezne cone z različnimi pooblastili dostopa ·    Fizična zaščita dostopa (npr. jeklena vrata, sobe brez oken ali z zaščitenimi okni) ·    Elektronski sistemi nadzora dostopa za zaščito varovanih območij ·    Spremljanje objekta s strani varnostnih služb in beleženje dostopa do objekta ·    Videonadzor vseh varovanih območij, kot so vhodi, izhodi v sili in sobe s strežniki ·    Centralno dodeljevanje in razveljavljanje pooblastil dostopa ·    Identifikacija vseh obiskovalcev s preverjanjem njihove osebne izkaznice in registracije (vodi se dnevnik obiskovalcev) ·    Obvezna identifikacija na varovanih območjih za vse zaposlene in obiskovalce ·    Obiskovalce morajo ves čas spremljati zaposleni
Ukrepi za zagotavljanje beleženja dogodkov	·    Beleženje na daljavo ·    Veriženje razpršitev (hash chaining) ·    Reprodukcija ·    Sistem centralnega vodenja varnostnih dogodkov in informacij (SIEM)
Ukrepi za zagotavljanje konfiguracije sistema, vključno s privzeto konfiguracijo	·    Pravilnik in postopki nadzora dostopov ·    Identifikacija osnovne konfiguracije ·    Načrtovanje in upravljanje konfiguracije ·    Upravljanje spremembe konfiguracije ·    Obračunavanje stanja konfiguracije ·    Verifikacija in revizija konfiguracije ·    Upravljanje mobilnih naprav
Ukrepi za upravljanje in vodenje notranjega IT in IT-varnosti	·    Namenska in identificirana oseba, ki nadzira program informacijske varnosti in skladnosti v podjetju ·    Revizija SOC 1 in 2
Ukrepi za certificiranje/zagotavljanje procesov in izdelkov	·    Certifikati za informacijsko varnost ali vodenje kakovosti, kot sta SSAE 18 tipa 2 SOC 1 in SSAE18 tipa 2 SOC2
Ukrepi za zagotavljanje minimizacije osebnih podatkov	·    Tehnološke ovire za nepooblaščeno povezovanje neodvisnih virov osebnih podatkov. ·    Omejitev ravni podrobnosti, uporabljenih pri obdelavi osebnih podatkov: npr. prek tehnik, kot sta k-anonimnost in zamegljevanje. ·    Izbris metapodatkov, ustvarjenih pri določenih procesih, ki niso potrebni za doseganje cilja.
Ukrepi za zagotavljanje kakovosti osebnih podatkov	·    Proces za uveljavljanje pravice do zaščite podatkov (pravica do spremembe in pravica do posodobitve podatkov) ·    Jasna dokumentacija zahtev za vse pogoje in scenarije osebnih podatkov ·    Omejitev dostopa do osebnih podatkov na osebe, ki so vključene v obdelavo v skladu z načelom „potreba po vedenju” in glede na funkcijo za oblikovanjem profilov prilagojenega dostopa. Strogo profiliranje podatkov in nadzor vhodnih osebnih podatkov ·    Zasnova priprave podatkov v izogib podvojevanja osebnih podatkov ·    Ekipa za zagotavljanje kakovosti ·    Izvrševanje celovitosti podatkov
Ukrepi za zagotavljanje omejene hrambe osebnih podatkov	·    Obstoj jasnih urnikov in pravilnikov hrambe ·    Preizkušanje učinkovitosti
Ukrepi za zagotavljanje odgovornosti	·    Določitev odgovornosti za zagotovitev zasebnosti končnega uporabnika v življenjskem ciklu izdelka in pri ustreznih poslovnih procesih. ·    Ocene učinka o varstvu podatkov kot sestavni del vseh novih iniciativ obdelave. ·    Evidentiranje vseh odločitev, ki se sprejemajo v organizaciji z vidika „zasnove zasebnosti”.
Ukrepi za dopuščanje prenosljivosti osebnih podatkov in zagotavljanje izbrisa	·    Evidentirani procesi v zvezi z uveljavljanjem pravice do zasebnosti uporabnikov (npr. pravica do izbrisa ali pravica do prenosljivosti podatkov) ·    Uporaba odprtih formatov, kot so CSV, XML ali JSON
Uporabljene omejitve ali varovala za občutljive podatke (če obstajajo)	·    Šifriranje ali razprševanje posebnih kategorij podatkov, čeprav to ni eksplicitna zakonska obveznost, mora biti norma

EXHIBIT I – STANDARD CONTRACTUAL CLAUSES

(Besedilo standardnih pogodbenih klavzul, vključenih v to prilogo, je določeno s strani ANPD v skladu z resolucijo št. 19/2024 in ga zato stranke ne morejo prilagajati, spreminjati ali se o njem pogajati. ServiceChannel ponuja standardne pogodbene klavzule samo v uradnih različicah, ki jih je objavil ANPD – in sicer v izvirnem portugalskem besedilu in angleškem prevodu, ki ga je izdal ANPD – in v skladu s prakso v panogi ponujamo povezavo do uradne portugalske različice, pri čemer se zanašamo izključno na angleški prevod ANPD. Standardnih pogodbenih klavzul ne prevajamo v nobene druge jezike, da bi ohranili njihov pravni pomen in zakonodajni namen, kot ga je sprejel ANPD.)

SECTION I – GENERAL INFORMATION

CLAUSE 1. PARTIES’ IDENTIFICATION

1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.

CLAUSE 2. SUBJECT

2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.

CLAUSE 3. SUBSEQUENT TRANSFERS

3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.

CLAUSE 4. PARTIES’ RESPONSIBILITIES

4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:

a) Party responsible for publishing the document referenced in CLAUSE 4;

(X) Exporter ( ) Importer

b) Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:

(X) Exporter ( ) Importer

c) Party responsible for communicating a security incident as described in CLAUSE 16:

(X) Exporter ( ) Importer

4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:

a) for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;

b) for the compliance with all ANPD requirements; and

c) for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.

4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.

4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.

4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.

4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.

4.7. If a request is received from a Data Subject, the applicable Party shall:

a) respond to the request, when it possesses the information needed to do so;

b) inform the Data Subject of the service channel provided by the Third-Party Controller; or

c) forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.

4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 5. Purpose

5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 6. Definitions

6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a) Processing agents: the controller and the processor;

b) ANPD: National Data Protection Authority;

c) Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;

d) Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e) Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f) Personal Data: information related to an identified or identifiable natural person;

g) Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h) Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

I) Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j) Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k) National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l) Arbitration Law: Law No. 9,307, of September 23, 1996;

m) Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n) Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o) Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p) Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q) Parties: Exporter and Importer;

r) Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s) Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t) Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);

u) Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v) Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w) International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x) Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 7. Applicable legislation and ANPD supervision

7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 8. Interpretation

8.1. Any application of these Clauses shall occur in accordance with the following terms:

a) these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b) in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c) no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d) provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.

CLAUSE 9. Docking Clause

9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 10. General obligations of the Parties

10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a) use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b) guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c) limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d) guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e) adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f) not to process Personal Data for abusive or unlawful discriminatory purposes;

g) ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h) keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 11. Sensitive personal data

11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.

CLAUSE 12. Personal data of children and adolescents

12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 13. Legal use of data

13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 14. Transparency

14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a) the form, duration and specific purpose of the international transfer;

b) the destination country of the transferred data;

c) the Designated Party’s identification and contact details;

d) the shared use of data by the Parties and its purpose;

e) the responsibilities of the agents who shall conduct the processing;

e) the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g) Onward Transfers, including those relating to recipients and to the purpose of such transfer.

14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 15. Rights of the data subject

15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a) confirmation of the existence of processing;

b) access to data;

c) correction of incomplete, inaccurate or outdated data;

d) anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e) portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f) erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;

g) information on public and private entities with which the Parties have shared data;

h) information on the possibility of denying consent and on the consequences of the denial;

i) withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j) review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k) information on the criteria and procedures adopted for the automated decision.

15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3. is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 16. Security Incident Reporting

16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

16.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 17. Liability and compensation for damages

17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 18. Safeguards for Onward Transfers

18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.

18.2. In any case, the Importer:

a) shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;

b) shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c) for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.

CLAUSE 19. Access Request Notification

19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 20. Termination of processing and erasure of data

20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a) compliance with a legal or regulatory obligation by the Controller;

b) study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c) transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d) exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

20.2. For the purposes of this Clause, processing of personal data shall cease when:

a) the purpose set forth in these Clauses has been achieved;

b) Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c) at the termination of the treatment period;

d) Data Subject’s request is met; and

e) at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 21. Data processing security

21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents. 

21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 22. Legislation of country of destination

22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 23. Non-compliance with the Clauses by the Importer

23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a) suspend the International Data Transfer;

b) request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c) terminate the contract.

CLAUSE 24. Choice of forum and jurisdiction

24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

SECTION III – Security Measures

The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.

 English    Deutsch    Español    Français (France)    中文(简体)    Slovenščina    Italiano    Magyar