Proton

Contrato de Processamento de Dados

Última modificação: 23 de setembro de 2024

Este Acordo de Processamento de Dados ("Acordo") faz parte do Contrato de Serviços sob os Termos e Condições da Proton AG (o “Acordo Principal") entre a Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Suíça, número de identificação da empresa CHE-354.686.492 (referido como "Processador") e a Empresa que utiliza os serviços da Proton (referida como "Empresa").

Este Contrato rege os requisitos específicos das Leis de Proteção de Dados na medida em que o uso dos serviços da Proton pela Empresa implica o tratamento de Dados Pessoais sujeitos às Leis de Proteção de Dados.

Este Contrato é complementar à nossa Política de Privacidade, que serve como a referência principal para nossas práticas e medidas de proteção de dados.

A duração deste Contrato seguirá a duração do Contrato Principal. Os termos não definidos neste documento deverão ter o significado conforme estabelecido no Contrato Principal.


ONDE

A) A Empresa atua como Controladora de Dados (a "Controladora").

B) A Empresa deseja subcontratar certos Serviços (como definidos abaixo), que implicam o processamento de Dados Pessoais, para a Proton AG, atuando como Processador de Dados (o "Processador").

C) As Partes buscam implementar um contrato de processamento de dados que atenda aos requisitos da estrutura jurídica atual em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao tratamento de Dados Pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados) e outras leis de proteção de dados aplicáveis.

D) As Partes desejam estabelecer seus direitos e obrigações.


É ACORDADO O SEGUINTE:

1. Definições e Interpretação

Salvo disposição em contrário, os termos e expressões em maiúsculas usados neste DPA terão o seguinte significado:

1.1) "Contrato" significa este Contrato de Processamento de Dados e todos os Anexos;

1.2) "Dados Pessoais da Empresa" significa quaisquer Dados Pessoais relacionados à Empresa ou aos clientes ou funcionários da Empresa Processados em conexão com o Contrato Principal;

1.3) "Processador Contratado" significa uma Subprocessadora;

1.4) "Leis de Proteção de Dados" significa as Leis de Proteção de Dados da UE e, na medida do aplicável, as leis de proteção de dados ou privacidade de qualquer outro país;

1.5) "EEE" significa a Área Econômica Europeia;

1.6) "Leis de Proteção de Dados da UE" significa a Diretiva da UE 95/46/CE, conforme transposta na legislação interna de cada Estado Membro e tal como alterada, substituída ou revogada ocasionalmente, incluindo pelo RGPD e leis que implementam ou complementam o RGPD;

1.7) "RGPD" significa o Regulamento Geral de Proteção de Dados da UE 2016/679;

1.8) "Transferência de Dados" significa:

  • 1.8.1) uma transferência de Dados Pessoais da Empresa do Controlador para o Processador ou um Processador Contratado; ou
  • 1.8.2) uma transferência subsequente de Dados Pessoais da Empresa do Processador para uma Subprocessadora, ou entre dois estabelecimentos de uma Subprocessadora;

1.9) "Serviços" significa serviços on-line seguros fornecidos pelo Processador, como e-mail, calendário, drive e outros serviços desenvolvidos pelo Processador. Os detalhes e preços dos Serviços podem ser encontrados no site do Processador.

1.10) "Subprocessadora" significa qualquer pessoa designada pelo Processador ou em nome do Processador para tratar de Dados Pessoais em nome do Controlador em conexão com o Contrato.

Os termos, "Comissão", "Controladora", "Titular de Dados", "Estado Membro", "Dados Pessoais", "Violação de Dados Pessoais", "Processamento" e "Autoridade de Supervisão" terão o mesmo significado que no RGPD ou em outra Lei de Proteção de Dados aplicável, e seus termos relacionados deverão ser interpretados de acordo.

2. Processamento de Dados Pessoais da Empresa

O Processador deve:

2.1) cumprir todas as Leis de Proteção de Dados aplicáveis no Processamento de Dados Pessoais da Empresa;

2.2) e não processar os Dados Pessoais da Empresa exceto conforme as instruções documentadas do Controlador na seção 2.

O Controlador instrui o Processador a processar os Dados Pessoais da Empresa para:

2.3) fornecer os Serviços e suporte técnico relacionado;

2.4) cumprir obrigações legais ou resolver disputas;

2.5) exercer qualquer tarefa interna destinada a otimizar a segurança, privacidade, confidencialidade e funcionalidades dos Serviços;

2.6) exercer relatórios internos, relatórios financeiros e outras tarefas internas semelhantes.

3. Pessoal do Processador

O Processador tomará medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado de qualquer Subprocessador que possa ter acesso aos Dados Pessoais da Empresa, garantindo, em cada caso, que o acesso seja estritamente limitado aos indivíduos que precisam conhecer/acessar os Dados Pessoais relevantes da Empresa, conforme estritamente necessário para os fins do Contrato Principal e/ou para cumprir as Leis de Proteção de Dados e outras legislações relevantes no contexto dos deveres desse indivíduo para com o Subprocessador, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou legais de confidencialidade.

4. Segurança

De acordo com o Artigo 32 (1) do RGPD, o Processador deverá implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco, levando em consideração o estado da técnica, os custos de implementação e a natureza, escopo, contexto e objetivos do tratamento. Essas medidas devem ser projetadas para proteger os direitos e as liberdades das pessoas físicas, considerando os riscos de probabilidade e gravidade variados, incluindo o risco de uma Violação de Dados Pessoais.

O Processador também deverá avaliar os riscos associados às atividades de processamento e aplicar medidas que sejam consistentes com os requisitos estabelecidos no Artigo 32 (1) do RGPD, garantindo a segurança dos Dados Pessoais da Empresa em todos os momentos.

5. Subprocessamento

Sujeito a este Contrato, a Empresa concede autorização geral ao Processador para contratar Subprocessadores e divulgar ou transferir Dados Pessoais da Empresa para eles. A Empresa reconhece e aprova a lista de Subprocessadores descrita na Política de Privacidade do Processador, entendendo que essa lista pode ser atualizada regularmente pelo Processador, caso em que a empresa será informada pelo Processador de acordo com o processo de notificação da Política de Privacidade. Além disso, a Empresa autoriza o Processador a divulgar e transferir Dados Pessoais para qualquer empresa dentro de seu grupo corporativo.

O Processador garante que os Subprocessadores estejam sujeitos a um acordo com o Processador não menos restritivo e protetivo do que o presente Acordo em relação à proteção dos Dados Pessoais da Empresa, na medida aplicável à natureza dos serviços fornecidos pela Subprocessadora.

6. Direitos do Titular de Dados

Levando em consideração a natureza do processamento, o Processador deverá auxiliar a Empresa de maneira razoável para o cumprimento de suas obrigações de responder a solicitações para exercer os direitos do Titular de Dados de acordo com as Leis de Proteção de Dados.

O Processador deve:

6.1) notificar imediatamente a Empresa se receber um pedido de um Titular de Dados sob qualquer Lei de Proteção de Dados em relação aos Dados Pessoais da Empresa; e

6.2) garantir que não responda a esse pedido, exceto conforme as instruções documentadas do Controlador ou conforme exigido pelas Leis Aplicáveis às quais o Processador está sujeito, caso em que o Processador deverá, na medida permitida pelas Leis Aplicáveis, informar o Controlador sobre essa exigência legal antes que o Processador Contratado responda ao pedido.

7. Violação de Dados Pessoais

O Processador deverá gerenciar qualquer Violação de Dados Pessoais em conformidade com as Leis de Proteção de Dados aplicáveis e seus procedimentos internos de Violação de Dados Pessoais. No caso de uma Violação de Dados Pessoais que afete os Dados Pessoais da empresa, o Processador deverá notificar a Empresa sem demora, fornecendo informações suficientes para permitir que a Empresa cumpra suas obrigações sob as Leis de Proteção de Dados, incluindo informar os Titulares de Dados conforme necessário. Nesses casos, o Processador deverá fornecer à Empresa informações suficientes para permitir que a Empresa atenda a quaisquer obrigações de relatar ou informar os Titulares de Dados sobre a Violação de Dados Pessoais sob as Leis de Proteção de Dados.

O Processador deverá cooperar com a Empresa e tomar medidas comerciais razoáveis conforme indicado pela Empresa para ajudar na investigação, mitigação e remediação de cada uma dessas Violações de Dados Pessoais.

Cada parte deverá arcar com os custos da investigação, remediação, mitigação e outros custos relacionados, na medida em que uma Violação de Dados seja causada por essa parte.

Cada parte deverá arcar com os custos de quaisquer multas, penalidades, indenizações ou outros valores relacionados impostos por um órgão regulador autorizado, agência governamental ou tribunal de jurisdição competente na medida em que decorra da violação por essa parte de suas obrigações sob este Acordo.

8. Avaliação de Impacto sobre a Proteção de Dados e Consulta Prévia

O Processador deverá fornecer assistência razoável à Empresa com quaisquer avaliações de impacto sobre a proteção de dados e consultas prévias com Autoridades Supervisoras ou outras autoridades competentes em privacidade de dados, que o Controlador considerar razoavelmente necessárias de acordo com os artigos 35 ou 36 do RGPD ou disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso exclusivamente em relação ao Tratamento dos Dados Pessoais da Empresa, considerando a natureza do Tratamento e as informações disponíveis para, os Processadores Contratados.

9. Exclusão ou devolução dos Dados Pessoais da Empresa

Em caso de cessação de qualquer Serviço envolvendo o Tratamento dos Dados Pessoais da Empresa, o Processador deverá excluir todos os Dados Pessoais da Empresa na medida permitida pelas leis aplicáveis e de acordo com os Termos e Condições e a Política de Privacidade do Processador. Caso a Empresa exija uma cópia de seus dados, deverá solicitá-la antes da exclusão de sua conta; solicitações feitas após a conta ter sido excluída não poderão mais ser consideradas.

10. Direitos de Auditoria

Sujeito a esta seção 10, o Processador deverá disponibilizar à Empresa, mediante solicitação, todas as informações necessárias para demonstrar conformidade com este Acordo, e deverá permitir e contribuir para auditorias, incluindo inspeções, pela Empresa ou um auditor autorizado pela Empresa em relação ao Tratamento dos Dados Pessoais da Empresa pelos Processadores Contratados. A Empresa não deverá exercer seus direitos de auditoria mais de uma vez por ano civil, exceto após uma Violação de Dados Pessoais ou uma instrução de uma autoridade regulatória. A Empresa deverá dar ao Processador pelo menos sessenta (60) dias de aviso por escrito de sua intenção de auditar o Processador de acordo com este Acordo. A auditoria deverá ser realizada durante o horário comercial do Processador, não deverá interromper as operações do Processador e deverá garantir a proteção dos Dados Pessoais da Empresa, do Processador e de outros Titulares de Dados. O Processador e a Empresa deverão concordar mutuamente com antecedência sobre a data, escopo, duração e controles de segurança e confidencialidade aplicáveis à auditoria. A Empresa reconhece que a assinatura de um acordo de não divulgação pode ser exigida pelo Controlador antes da realização da auditoria.

Os direitos de informação e auditoria da Empresa só surgem sob a seção 10, na medida em que o Acordo não conceda, de outra forma, direitos de informação e auditoria que atendam aos requisitos relevantes da Lei de Proteção de Dados.

11. Transferência de Dados

Na medida do possível, o Processador deverá transferir ou autorizar a transferência de Dados apenas para países dentro da Suíça, da UE e/ou países sujeitos a uma decisão de adequação, conforme disposto no art. 45 do RGPD e art. 16 da FADP suíça. Se os Dados Pessoais processados sob este Acordo forem transferidos da Suíça, de qualquer país da UE ou de qualquer país sujeito a uma decisão de adequação para um país fora desse escopo, as Partes deverão garantir que os Dados Pessoais estejam adequadamente protegidos. Para alcançar isso, as Partes deverão, a menos que acordem de outra forma, confiar nas cláusulas contratuais padrão aprovadas pela Suíça e/ou UE e/ou Reino Unido e, em seguida, atuais para a transferência de Dados Pessoais ou outros mecanismos de transferência conforme previsto pelas Leis de Proteção de Dados. O Processador deverá estar autorizado a realizar tais transferências para Subprocessadores, desde que salvaguardas adequadas sejam implementadas em relação à natureza da transferência.

12. Termos Gerais

Conformidade com as Leis Aplicáveis. O Processador processará os Dados Pessoais da Empresa de acordo com este Acordo e as Leis de Proteção de Dados aplicáveis ao seu papel neste Acordo. O Processador não é responsável nem obrigado a cumprir as Leis de Proteção de Dados que são aplicáveis somente à Empresa em virtude de seu negócio ou setor.

Confidencialidade. Cada parte deve manter qualquer informação que receba sobre a outra parte e seus negócios em conexão com este Acordo (“Informações Confidenciais”) confidenciais e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra parte, exceto na medida em que:

(a) a divulgação é exigida por lei;

(b) as informações relevantes já estão no domínio público por não culpa das Partes.

Avisos. Todas as notificações e comunicações feitas sob este Acordo devem ser por escrito e serão enviadas por e-mail. O Controlador será notificado por e-mail enviado para o endereço relacionado ao seu uso dos Serviços sob o Acordo Principal. O Processador será notificado por e-mail enviado para o endereço: legal@proton.me.

Lei Aplicável e Jurisdição. Este Acordo será regido pela legislação suíça, sem considerar as disposições de escolha ou conflitos de leis de qualquer jurisdição em contrário, e disputas, ações, reclamações ou causas de ação que surgirem ou estiverem relacionadas a este Acordo, um formulário de pedido, qualquer documento incorporado por referência, tecnologia Proton, ou os Serviços estarão sujeitos à jurisdição exclusiva de Genebra, Suíça.


Em caso de discrepância entre a versão em inglês destes Termos e qualquer versão traduzida, a versão em inglês prevalecerá.