17 de fevereiro de 2022

Contrato de Compartilhamento de Dados

O Contrato de Compartilhamento de Dados da Snyk e seus Anexos (“CCD”) refletem o acordo das partes em relação ao processamento de dados pessoais pela Snyk Limited e suas afiliadas (coletivamente denominadas “nós”) e você (“Contraparte”) (juntos, “as partes”) em conexão com os serviços que são fornecidos por você para nós (“Serviços”) de acordo com um ou mais contratos de serviço (cada um denominado “Contrato de Serviços”) entre as partes. 

Este CCD serve como um adendo aos Serviços que você nos fornecerá de acordo com este Contrato e entra em vigor na data indicada no Contrato de Serviços. Se algum termo deste CCD gerar conflito ou for inconsistente com os termos do Contrato de Serviços, este CCD terá precedência sobre os termos do Contrato de Serviços.

Poderemos atualizar periodicamente os termos deste CCD e recomendamos que você acesse esta página periodicamente para conferir possíveis alterações. Indicaremos nesta página quando os termos foram modificados pela última vez. 

Este CCD terá o mesmo prazo que o Contrato de Serviços. Os termos não definidos neste CCD terão o mesmo significado que o indicado no Contrato de Serviços.

(A) Para os propósitos de fornecer os Serviços à Snyk, você pode acessar ou receber Dados Pessoais (conforme definidos abaixo), ou fornecê-los à Snyk, em relação aos quais cada parte está sujeita a determinadas obrigações.

(B) A Snyk atuará como Controladora dos Dados Pessoais, e este CCD estabelece os termos do fornecimento dos Dados Pessoais e como eles podem ser usados.

(C) A Contraparte atuará como Controladora ou Processadora, dependendo das atividades de processamento e do propósito do processamento. O Contrato de Serviços indica a posição da Contraparte em relação aos Serviços e às atividades de processamento sendo conduzidas. 

  1. Definições e interpretação

    1.1 Neste CCD:
    (a) “CCPA” refere-se à Lei de Privacidade de Consumidores da Califórnia de 2018, conforme alterada (Código Civil da Califórnia §§ 1798.100 a 1798.199), às Regulamentações da CCPA (Regulamentações do Código da Califórnia, título 11, §§ 999.300 a 999.337), e qualquer regulamentação ou orientação relacionada fornecida pelo Procurador-Geral da Califórnia. Os termos definidos na CCPA, incluindo informações pessoais, provedor de serviços e propósitos comerciais, têm o mesmo significado neste CCD.
    (b) “Propósitos Comerciais Contratados” referem-se aos serviços descritos no Contrato de Serviços para os quais a Contraparte recebe ou acessa informações pessoais.
    (c) “Snyk” refere-se à Snyk Limited, sediada em Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Reino Unido, e suas afiliadas;
    (d) “Contraparte” refere-se à outra parte no Contrato de Serviços;
    (e) "Controladora", "Titular dos Dados", "Dados Pessoais", "Processo/Processamento", "Processadora" e “decisão de adequação” têm os mesmos significados que no RGPD;
    (f) “Cláusulas de Transferência" referem-se: (i) às Cláusulas Contratuais Padrão aprovadas pela Decisão da Comissão da Comunidade Europeia de 27 de dezembro de 2004, que podem ser alteradas periodicamente, referentes à transferência de Dados Pessoais do Espaço Econômico Europeu (“EEE”) para outro país, conforme estabelecido no Anexo 1 deste CCD; e (ii) às Cláusulas Contratuais Padrão aprovadas pela Decisão da Comissão da Comunidade Europeia de 5 de fevereiro de 2010, que podem ser alteradas periodicamente, referentes à transferência de Dados Pessoais do EEE para outro país, conforme estabelecido no Anexo 2 deste CCD;
    (g) "Leis de Proteção de Dados" referem-se a qualquer lei ou regulamento aplicável relativos à proteção de dados pessoais ou à privacidade de indivíduos, cada um com suas alterações, incluindo, sem limitação, do RGPD, legislação que implementa os requisitos do RGPD em cada Estado-Membro da UE e a Lei de Privacidade de Consumidores da Califórnia de 2018; e
    (h) "RGPD" refere-se ao Regulamento da União Europeia (UE) 2016/679.

    1.2 Referências ao singular incluem o plural, e vice-versa.

    1.3 Qualquer palavra após as palavras “inclui”, “incluem”, “incluindo”, “em particular” ou palavras ou expressões similares serão consideradas sem limitação e, por isso, não limitam o significado das palavras que as precedem.

Quando a Contraparte for Controladora, ocorrerá o seguinte: 

  1. Conformidade com leis aplicáveis

    2.1 As duas partes cumprirão as Leis de Proteção de Dados na coleta e no processamento de Dados Pessoais que coletarem por conta própria ou receberem da outra parte de acordo com este CCD. 

    2.2 As partes reconhecem e concordam que nenhuma delas atuará como processadora de dados em nome da outra e que cada uma é responsável por cumprir as respectivas obrigações de conformidade com as Leis de Proteção de Dados.

  2. Garantias das Contrapartes

    3.1 A Contraparte garante que: 
    (a) fornecerá um aviso de privacidade a todos os Titulares de Dados em conformidade com todas as Leis de Proteção de Dados aplicáveis em até 14 dias após o recebimento dos Dados Pessoais da Snyk; e
    (b) responderá prontamente a todas as consultas da Snyk ou de Titulares de Dados relativas aos Dados Pessoais e, em particular, acionará todas as solicitações dos Titulares de Dados para exercitar seus direitos de acordo com as Leis de Proteção de Dados em caso de solicitação do Titular de Dados em questão ou da Snyk.

Quando a Contraparte for Processadora, ocorrerá o seguinte: 

4.1 Como nossa processadora, você aceita:
(a) processar apenas Dados Pessoais de acordo com este CCD e nossas instruções;
(b) informar-nos prontamente e sem atraso indevido se alguma instrução fornecida por nós infringir Leis de Proteção de Dados;
(c) implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado aos riscos apresentados pelo processamento, como proteção contra destruição, perda ou alteração acidental ou ilegal, ou divulgação ou acesso não autorizados a Dados Pessoais;
(d) permitir que somente seus funcionários, agentes ou subprestadores (“Pessoal”) acessem dados pessoais conforme o necessário pra realizar os Serviços e garantir que o Pessoal esteja em obrigação de confidencialidade;
(e) notificar-nos prontamente em caso de violação de segurança que leve à destruição, perda ou alteração acidental ou ilegal, ou à divulgação ou ao acesso não autorizados a Dados Pessoais em sua posse ou sob seu controle;
(f) fornecer-nos assistência viável com relação a uma violação de segurança e todas as informações em sua posse sobre a violação;
(g) ajudar-nos, quando justificadamente solicitado, em relação a avaliações de impacto da proteção de dados, respostas a solicitações de titulares de dados para exercitar seus direitos de acordo com o RGPD e interações com autoridades supervisoras; e 
(h) manter registros de suas atividades de processamento conforme exigido pelo Artigo 30.2 do RGPD e tornar esses registros disponíveis à autoridade supervisora aplicável mediante solicitação.

5.1 Além disso, você atuará como Provedor de Serviços de acordo com a CCPA e, como tal: 
(a) coletará, usará, reterá ou divulgará informações pessoais apenas para os Propósitos Comerciais Contratados para os quais o Cliente fornecer ou permitir o acesso a informações pessoais de acordo com o Contrato de Serviços; 
(b) não coletará, usará, reterá, divulgará, venderá ou de outra forma tornará informações pessoais disponíveis para seus próprios propósitos comerciais ou de forma que não cumpra a CCPA. Se uma lei exigir que a Contraparte divulgue informações pessoais para um propósito sem relação com o Propósito Comercial Contratado, a Contraparte primeiro deverá informar à Snyk sobre o requisito legal e dar à Snyk a oportunidade de objetar ou desafiar o requisito, exceto quando uma lei proibir esse aviso;
(c) limitará a coleta, uso, retenção e divulgação de informações pessoais a atividades justificadamente necessárias e adequadas para cumprir com os Propósitos Comerciais Contratados ou outro propósito operacional compatível; 
(d) cumprir prontamente qualquer solicitação ou instrução da Snyk exigindo que a Contraparte forneça, corrija, transfira ou exclua as informações pessoais, ou que pare, mitigue ou corrija qualquer processamento não autorizado;
(e) Se os Propósitos Comerciais Contratados exigirem a coleta de informações pessoais de indivíduos em nome da Snyk, a Contraparte sempre fornecerá um aviso em conformidade com a CCPA durante a coleta que a Snyk aprovará antecipadamente por escrito. A Contraparte não modificará nem alterará o aviso de qualquer forma sem o consentimento prévio por escrito da Snyk;

5.2 Concordamos com seu uso de subprocessadoras aprovadas ao processar Dados Pessoais. Você deverá exigir que suas subprocessadoras e futuras subprocessadoras cumpram os termos substancialmente similares aos impostos a você neste CCD, e você será responsável por qualquer ato, erro ou omissão de uma subprocessadora. 

5.3 Você poderá autorizar novas subprocessadoras, desde que tenha dado um aviso por escrito dessas alterações com pelo menos 14 dias de antecedência. Poderemos recusar qualquer subprocessadora futura baseado em fundamentos justificados de proteção de dados antes que essas alterações sejam efetivadas e, se as duas partes não chegarem a uma solução quanto à recusa dentro de um período razoável, poderemos rescindir o Contrato de Serviços sem penalidade.

6.1 Poderemos exercitar nosso direito de auditoria de acordo com as Leis de Proteção de Dados das seguintes maneiras:
(a) Você aceita autorizar a realização de auditorias e concorda em nos fornecer assistência razoável para execução delas por nossa própria conta ou por um terceiro que instruirmos, em relação à sua conformidade com as Leis de Proteção de Dados durante o processamento de Dados Pessoais. Notificaremos você por escrito 30 dias antes de uma auditoria, exceto se tivermos motivos para acreditar que uma violação de segurança tenha ocorrido ou possa ocorrer, ou se você estiver em violação das suas obrigações de acordo com este CCD. Você aceita nos fornecer ou fornecer a nossos representantes assistência razoável para conduzir essas auditorias.
(b) Poderemos exercitar nosso direito de auditoria de acordo com as Leis de Proteção de Dados ao solicitar que você forneça um relatório de auditoria ou certificação, obtido há menos de 12 meses e realizado por um auditor externo e independente, demonstrando que suas medidas técnicas e organizacionais estão de acordo com os padrões regulatórios. 

Para todas as Partes: 

7. Transferências internacionais de Dados Pessoais

7.1 Quando Dados Pessoais oriundos do Espaço Econômico Europeu ("EEE") ou que estiverem de outra forma sujeitos ao Regulamento Geral de Proteção de Dados da UE pela Snyk forem processados pela Contraparte fora do EEE sem uma decisão de adequação atual (um “País Adequado”), a Contraparte aceita cumprir com as Cláusulas de Transferência, pelas quais a Snyk será considerada Exportadora dos Dados, e a Contraparte será considerada a Importadora dos Dados.

7.2 Em caso de inconsistências entre as disposições das Cláusulas de Transferência e este CCD ou outros acordos entre as partes, as Cláusulas de Transferência terão precedência. Os termos deste CCD não alterarão de forma alguma as Cláusulas de Transferência, que podem ser alteradas ou rescindidas somente nas formas especificamente estabelecidas pelas mesmas.

8. Além de celebrar as Cláusulas de Transferência, a Contraparte:
(a) implementará todas as medidas técnicas necessárias para proteger a transferência de Dados Pessoais, incluindo, quando necessário, criptografia de ponta a ponta e pseudoanonimização;
(b) divulgará à Snyk todas as leis de vigilância às quais a Contraparte está sujeita e, na medida possível de acordo com a legislação, regulamento ou obrigação contratual aplicável, todas as solicitações por Dados Pessoais de autoridades públicas que a Contraparte tiver recebido até então, mesmo que não se refiram aos Dados Pessoais da Snyk;
(c) notificará a Snyk por escrito caso a Contraparte não seja mais capaz de cumprir seus compromissos contratuais de acordo com este CCD e antes que qualquer divulgação de Dados Pessoais seja feita;
(d) caso a Contraparte se torne sujeita a uma solicitação de autoridade pública para divulgar Dados Pessoais da Snyk, a Contraparte aceita analisar a legitimidade jurídica dessa solicitação e, se concluir que há fundamentação em leis nacionais para isso, a Contraparte contestará a ordem. Na medida legal possível, a Contraparte notificará a Snyk em caso de solicitação de autoridade pública, sem atraso indevido e pelo menos em até 72 horas após recebê-la, por escrito;
(e) após analisar a legitimidade jurídica da solicitação, se a Contraparte determinar que permanece compelida juridicamente a divulgar os Dados Pessoais, a Contraparte:
i. divulgará somente a quantidade mínima de Dados Pessoais requisitados; e
ii. reterá comprovações (como registros de auditoria) de que qualquer divulgação de Dados Pessoais a autoridades públicas tenha sido feita de acordo com as restrições deste CCD, e tal documentação será disponibilizada à Snyk mediante solicitação sem atraso indevido; e
(f) não divulgará voluntariamente Dados Pessoais a qualquer autoridade pública sem antes obter o consentimento prévio por escrito da Snyk na medida possível prevista por lei.

9. As duas partes reconhecem que uma versão revisada das Cláusulas de Transferência (“SCCs Revisadas”) foi publicada pela Comissão Europeia e se encontram em forma de rascunho no momento da assinatura do Contrato de Serviços. No momento em que as SCCs Revisadas forem finalizadas e aprovadas para uso pela Comissão Europeia, as duas partes aceitam celebrá-las.

10. Caso as Cláusulas de Transferência sejam alteradas, substituídas ou recusadas pela Comissão Europeia, ou de acordo com a legislação aplicável, além do que está descrito em 8.2, a Snyk fornecerá uma versão atualizada das Cláusulas de Transferências nesta página ou outra solução para permitir a transferência de Dados Pessoais em conformidade com as Leis de Proteção de Dados.

11. Diversos

11.1 Se alguma disposição deste CCD for julgado por qualquer tribunal de uma jurisdição competente como inválida ou inaplicável, a disposição em questão será limitada ou eliminada na medida mínima necessária para que este CCD permaneça de outra forma em pleno vigor.

11.2 A Snyk poderá alterar este CCD (exceto nas disposições substantivas das Cláusulas de Transferência), e qualquer alteração feita neste CCD será publicada na página https://snyk.io/procurement/data-sharing-amendments/.

ANEXO 1: Cláusulas contratuais padrão para a transferência de dados pessoais da Comunidade para outros países (transferências de controladora para controladora)

Contrato de transferência de dados

Entre
Snyk Limited, sediada em Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Reino Unido (doravante denominada “exportadora de dados”)
e
Contraparte, conforme definição no Contrato de Serviços (doravante denominada “importadora de dados”),
cada uma destas é uma “parte” e, juntas, “as partes”.

Definições

Para os propósitos das cláusulas:
a) “dados pessoais”, “categorias especiais de dados/dados sensíveis”, “processo/processamento”, “controladora”, “processadora”, “titular dos dados” e “autoridade supervisora/autoridade” terão o mesmo significado que na Diretiva 95/46/EC de 24 de outubro de 1995 (em que “a autoridade” refere-se à autoridade de proteção de dados competente no território onde a exportadora de dados está estabelecida);
b) “a exportadora de dados” refere-se à controladora que transfere os dados pessoais;
c) “a importadora de dados” refere-se à controladora que aceita receber da exportadora de dados os dados pessoais para processamento de acordo com os termos destas cláusulas e que não está sujeita ao sistema de outro país para garantir a proteção adequada;
d) “cláusulas” refere-se a estas cláusulas contratuais, que compõem um documento independente que não incorpora termos comerciais estabelecidos pelas partes em outros acordos comerciais.

Os detalhes da transferência (bem como os dados pessoais cobertos) são especificados no Apêndice B, que forma uma parte integral das cláusulas.

I. Obrigações da exportadora de dados

A exportadora de dados garante e declara que: os dados pessoais foram coletados, processados e transferidos de acordo com as leis aplicáveis à exportadora de dados.

Ela empregou esforços razoáveis para determinar que a importadora de dados é capaz de atender às suas obrigações legais de acordo com estas cláusulas.

Ela fornecerá à importadora de dados, quando solicitada, cópias das leis de proteção de dados relevantes ou referências às mesmas (quando relevante, e não incluindo aconselhamento legal) do país no qual a exportadora de dados está estabelecida.

Ela responderá a consultas de titulares de dados e da autoridade referente ao processamento dos dados pessoais pela importadora de dados, exceto se as partes concordarem que a importadora de dados responderá e, nesse caso, a exportadora de dados ainda responderá na medida razoavelmente possível e com as informações razoavelmente disponíveis a ela se a importadora de dados não quiser ou não puder responder. As respostas serão dadas em tempo viável.

Ela disponibilizará, mediante solicitação, uma cópia das cláusulas a titulares de dados que sejam beneficiários terceiros de acordo com a cláusula III, exceto se as cláusulas incluírem informações confidenciais. Nesse caso, ela poderá remover essas informações. Quando informações forem removidas, a exportadora de dados informará aos titulares de dados por escrito sobre o motivo da remoção e sobre seu direito de levar a remoção para a atenção da autoridade. No entanto, a exportadora de dados obedecerá a decisão da autoridade sobre o acesso ao texto integral das cláusulas por titulares de dados, desde que os titulares de dados tenham aceitado respeitar a confidencialidade das informações confidenciais removidas. A exportadora de dados também fornecerá uma cópia das cláusulas à autoridade mediante solicitação.

II. Obrigações da importadora de dados

A importadora de dados garante e declara que:
a) instituirá medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda, alteração, divulgação ou acesso acidental, e fornecerá um nível de segurança apropriado ao risco apresentado pelo processamento e pela natureza dos dados protegidos.
b) instituirá procedimentos para que qualquer terceiro que ela autorize a acessar os dados pessoais, incluindo processadoras, respeite e mantenha a confidencialidade e segurança dos dados pessoais. Qualquer pessoa que atuar sob a autoridade da importadora de dados, incluindo uma processadora de dados, terá a obrigação de processar os dados pessoais somente de acordo com as instruções da importadora de dados. Esta disposição não se aplica a pessoas autorizadas ou obrigadas por lei ou regulamentos a ter acesso aos dados pessoais.
c) Ela não tem razão para acreditar, no momento em que estas cláusulas são celebradas, na existência de qualquer lei local que tenha um efeito adverso substancial sobre as garantias fornecidas por estas cláusulas, e informará à exportadora de dados (que transmitirá tal notificação à autoridade, quando exigida) caso ela se torne ciente de tais leis.
d) Ela processará os dados pessoais para os propósitos descritos no Apêndice B e tem a autoridade legal para oferecer as garantias e cumprir as obrigações estabelecidas nestas cláusulas.
e) Ela identificará à exportadora de dados um ponto de contato na sua organização autorizado a responder a consultas referentes ao processamento dos dados pessoais e cooperará de boa-fé com a exportadora de dados, o titular dos dados e a autoridade em todas as consultas dentro de um prazo razoável. Em caso de dissolução legal da exportadora de dados, ou se as partes concordarem, a importadora de dados assumirá a responsabilidade sobre o cumprimento das disposições da cláusula I(e).
f) Mediante solicitação da exportadora de dados, ela fornecerá à exportadora de dados comprovações de recursos financeiros suficientes para cumprir suas responsabilidades de acordo com a cláusula III (que pode incluir cobertura por seguro).
g) Mediante solicitação razoável da exportadora de dados, ela autorizará o acesso a suas instalações de processamento de dados, arquivos de dados e documentação necessárias para processamento para a execução de análise, auditoria e/ou certificação pela exportadora de dados (ou agentes de inspeção ou auditores independentes ou imparciais, selecionados pela exportadora de dados e não recusados sem motivo pela importadora de dados) para garantir a conformidade com as garantias e obrigações destas cláusulas, com aviso razoável e durante horário comercial. A solicitação estará sujeita a qualquer consentimento ou aprovação necessária de uma autoridade regulatória ou supervisora no país da importadora de dados, e a importadora de dados tentará obter tal consentimento ou aprovação em tempo hábil.
h) Ela processará os dados pessoais, por opção própria, de acordo com:
i. as leis de proteção de dados do país no qual a exportadora de dados está estabelecida, ou
ii. as disposições relevantes1 de qualquer decisão da Comissão de acordo com o Artigo 25(6) da Diretiva 95/46/EC, em que a importadora de dados cumpre as disposições relevantes de tal autorização ou decisão e está baseada em um país ao qual uma autorização ou decisão pertença, mas não está coberta por tal autorização ou decisão para os propósitos da(s) transferência(s) dos dados pessoais2, ou
iii. os princípios de processamento de dados estabelecidos no Apêndice A.

A importadora de dados deve indicar qual opção ela seleciona:

Rubrica da importadora de dados: Contraparte;
i) Ela não divulgará nem transferirá os dados pessoais para uma controladora de dados terceirizada localizada fora do Espaço Econômico Europeu (EEE), exceto se notificar a exportadora de dados sobre a transferência e
i. a controladora de dados terceirizada processar os dados de acordo com uma decisão da Comissão que determine que o outro país fornece proteção adequada; ou
ii. a controladora de dados terceirizada se tornar signatária destas cláusulas ou de outro acordo de transferência de dados aprovado por uma autoridade competente na UE, ou
iii. os titulares de dados tiverem a oportunidade de recusar, após terem sido informados dos propósitos da transferência, das categorias dos destinatários e do fato de que os países para os quais os dados serão exportados possam ter diferentes padrões de proteção de dados, ou
iv. com relação às transferências subsequentes de dados sensíveis, os titulares de dados tiverem dado consentimento inequívoco para a transferência subsequente

III. Responsabilidade e direitos de terceiros

a) Cada parte será responsável perante as outras partes por danos que causar em caso de violação destas cláusulas. A responsabilização entre as partes está limitada ao dano de fato incorrido. Indenizações punitivas (ou seja, indenizações impostas para punir uma parte por sua conduta inaceitável) estão especificamente excluídas. Cada parte será responsável perante os titulares de dados pelos danos que causar em caso de violação de direitos de terceiros de acordo com estas cláusulas. Isso não afeta a responsabilidade da exportadora de dados de acordo com as leis de proteção de dados.

b) As partes concordam que um titular de dados terá o direito de implementar, como beneficiário terceiro, esta cláusula e as cláusulas I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) e VII contra a importadora de dados ou exportadora de dados, pelas suas respectivas violações das obrigações contratuais, com relação a seus dados pessoais, e aceitam a jurisdição para este propósito no país de estabelecimento da exportadora de dados. Em casos envolvendo alegações de violação pela importadora de dados, o titular dos dados primeiro deve solicitar à exportadora de dados que tome medidas apropriadas para exercer seus direitos contra a importadora de dados. Se a exportadora de dados não tomar essa ação em um período razoável (que, em circunstâncias normais, é de um mês), o titular dos dados poderá então implementar seus direitos diretamente contra a importadora de dados. Um titular de dados tem o direito de proceder diretamente contra uma exportadora de dados que não tenha empregado esforços razoáveis para determinar se a importadora de dadas é capaz de cumprir suas obrigações legais de acordo com estas cláusulas (a exportadora de dados terá o ônus de provar que empregou esforços razoáveis).

IV. Lei aplicável às cláusulas

Estas cláusulas são regidas pela lei do país no qual a exportadora de dados está estabelecida, com a exceção das leis e regulamentos relacionados ao processamento dos dados pessoais pela importadora de dados de acordo com a cláusula II(h), que se aplica somente se for selecionada pela importadora de dados de acordo com essa cláusula.

V. Resolução de disputas com titulares de dados ou a autoridade

a) Em caso de disputa ou reivindicação levantada por um titular de dados ou autoridade sobre o processamento dos dados pessoais contra uma ou ambas as partes, as partes trocarão informações sobre tais disputas ou reivindicações e cooperarão com uma visão para resolvê-las de forma amigável e oportuna.

b) As partes aceitam responder a qualquer procedimento de mediação não vinculante e geralmente disponível iniciado por um titular de dados ou pela autoridade. Se participarem dos procedimentos, as partes poderão optar por fazê-lo remotamente (como por telefone ou outros meios eletrônicos). As partes também aceitam considerar a participação em outras arbitragens, mediações ou outros procedimentos de resolução de disputas referentes à proteção de dados.

c) Cada parte obedecerá à decisão de um tribunal competente do país de estabelecimento da exportadora de dados ou da autoridade que for final e contra a qual nenhum recurso for possível.

VI. Rescisão

a) Caso a importadora de dados esteja em violação das suas obrigações de acordo com estas cláusulas, a exportadora de dados poderá suspender temporariamente a transferência de dados pessoais para a importadora de dados até que a violação seja reparada ou o contrato seja rescindido.

b) Nos casos em que:
i. a transferência de dados pessoas para a importadora de dados tenha sido suspensa pela exportadora de dados por mais de um mês de acordo com o parágrafo (a);
ii. a conformidade da importadora de dados com estas cláusulas a colocaria em violação das suas obrigações legais ou regulatórias no país de importação;
iii. a importadora de dados esteja em violação substancial ou persistente de quaisquer garantias ou obrigações conferidas por ela de acordo com estas cláusulas;
iv. uma decisão final, contra a qual nenhum recurso adicional seja possível, de um tribunal competente no país de estabelecimento da exportadora de dados ou da autoridade determine que ocorreu uma violação das cláusulas pela importadora de dados ou exportadora de dados; ou
v. uma petição seja apresentada para a administração ou dissolução da importadora de dados, em sua capacidade pessoal ou comercial, e não seja considerada improcedente no período aplicável para tal de acordo com a lei aplicável; uma ordem de dissolução seja emitida; um depositário seja nomeado para seus ativos; um administrador de falência seja nomeado, se a importadora de dados for pessoa física; um acordo voluntário da empresa seja iniciado por ela ou qualquer evento equivalente em qualquer jurisdição ocorra

a exportadora de dados, sem prejuízo a todos os outros direitos que possa ter contra a importadora de dados, terá o direito de rescindir estas cláusulas, e, nesse caso, a autoridade deverá ser informada quando necessário. Nos casos cobertos por (i), (ii) ou (iv) acima, a importadora de dados também poderá rescindir estas cláusulas.

c) Cada parte poderá rescindir estas cláusulas se (i) qualquer decisão de adequação positiva da Comissão de acordo com o Artigo 25(6) da Diretiva 95/46/EC (ou texto revogante) for emitida em relação ao país (ou um setor desse) para o qual os dados são transferidos e processados pela importadora de dados, ou (ii) a Diretiva 95/46/EC (ou texto revogante) tornar-se aplicável diretamente no mesmo país.

d) As partes aceitam que a rescisão destas cláusulas a qualquer momento, em quaisquer circunstâncias e por qualquer motivo (exceto pela rescisão de acordo com a cláusula VI(c)) não as isenta das obrigações e/ou condições de acordo com as cláusulas referentes ao processamento dos dados pessoais transferidos.

VII. Variação destas cláusulas

As partes não poderão modificar estas cláusulas, exceto para atualizar informações no Apêndice B e, nesse caso, eles informarão a autoridade quando necessário. Isso não preclui as partes de adicionar outras cláusulas comerciais quando necessário.

VIII. Descrição da transferência

Os detalhes da transferência e dos dados pessoais são especificados no Apêndice B. As partes concordam que o Apêndice B pode conter informações comerciais confidenciais que elas não divulgarão a terceiros, exceto se exigido por lei ou em resposta a uma agência regulatória ou governamental competente, ou se exigido pela cláusula I(e). As partes poderão executar apêndices adicionais para cobrir transferências adicionais, que serão submetidas à autoridade quando necessário. O Apêndice B poderá, como opção, ser editado para cobrir múltiplas transferências.

1 “Disposições relevantes” referem-se às disposições de qualquer autorização ou decisão, exceto para as disposições de execução de qualquer autorização ou decisão (que serão regidas por estas clausulas).

2 No entanto, as disposições do Apêndice A.5 referentes aos direitos de acesso, retificação, exclusão e recusa devem ser aplicadas quando a opção é escolhida e têm precedência sobre disposições comparáveis da Decisão da Comissão selecionada.

ANEXO 1: APÊNDICE A – PRINCÍPIOS DO PROCESSAMENTO DE DADOS

  1. Limitação de propósitos: os dados pessoais podem ser processados e subsequentemente usados ou comunicados somente para os propósitos descritos no Apêndice B ou subsequentemente autorizados pelo titular dos dados.

  2. Qualidade e proporcionalidade dos dados: os dados pessoais devem ser precisos e, quando necessários, estar atualizados. Os dados pessoais devem ser adequados, relevantes e não excessivos em relação aos propósitos para os quais foram transferidos e processados.

  3. Transparência: os titulares de dados devem receber as informações necessárias para garantir o processamento justo (como informações sobre os propósitos do processamento e sobre a transferência), exceto se essas informações já tiverem sido dadas pela exportadora de dados.

  4. Segurança e confidencialidade: a controladora de dados deve tomar medidas de segurança técnicas e organizacionais proporcionais aos riscos apresentados pelo processamento, como contra destruição acidental ou ilegal ou perda, alteração, divulgação ou acesso acidental ou não autorizado. Qualquer pessoa que agir em nome da autoridade da controladora de dados, incluindo uma processadora, não deve processar os dados, exceto sob instruções da controladora de dados.

  5. Direitos de acesso, retificação, exclusão e recusa: conforme indicado no Artigo 12 da Diretiva 95/46/EC, os titulares de dados devem, diretamente ou por terceiros, receber as informações pessoais sobre eles que uma organização detém, exceto em caso de solicitações que sejam manifestamente abusivas, baseadas em intervalos irrazoáveis ou no seu número, ou de natureza repetitiva ou sistemática, ou para as quais o acesso não precisa ser concedido de acordo com a lei do país da exportadora de dados. Considerando que a autoridade tenha dado aprovação anterior, o acesso também não precisa ser concedido quando isso possa prejudicar os interesses da importadora de dados ou outras organizações que fazem negócios com a importadora de dados e cujos interesses não sejam sobrepostos pelos interesses de direitos e liberdades fundamentais do titular de dados. As fontes dos dados pessoais não precisam ser identificadas quando isso não for possível por esforços viáveis, ou quando os direitos das pessoas além do indivíduo puderem ser violados. Os titulares de dados devem ser capazes de ter as informações pessoais sobre eles retificadas, alteradas ou excluídas quando forem imprecisas ou processadas contra esses princípios. Se houver bases convincentes para duvidar da legitimidade da solicitação, a organização poderá solicitar outras justificativas antes de proceder com a retificação, alteração ou exclusão. Não é preciso enviar uma notificação sobre qualquer retificação, alteração ou exclusão a terceiros para quem os dados foram divulgados quando isso envolver um esforço desproporcional. Um titular de dados também deve ser capaz de recusar o processamento dos dados pessoais relativos a ele caso haja bases legítimas e convincentes relacionadas à sua situação específica. O ônus da prova de qualquer reusa cabe à importadora dos dados, e o titular dos dados sempre pode desafiar uma recusa diante da autoridade.

  6. Dados sensíveis: a importadora de dados tomará medidas adicionais (ou seja, relativas à segurança) que forem necessárias para proteger os dados sensíveis de acordo com suas obrigações estipuladas na cláusula II.

  7. Dados usados para propósitos de marketing: quando os dados forem processados para propósitos de marketing direto, deverão existir procedimentos efetivos para permitir que o titular dos dados, a qualquer momento, “cancele a autorização” do uso de seus dados para tais propósitos.

  8. Decisões automatizadas: Para os propósitos deste documento, “decisão automatizada” refere-se a uma decisão pela exportadora ou importadora de dados que produza efeitos legais referentes a um titular dos dados ou afete de maneira significativa um titular dos dados e que seja baseada unicamente em processamento automatizado dos dados pessoais com a intenção de avaliar determinados aspectos pessoais relativos ao mesmo, como seu desempenho no trabalho, crédito, confiabilidade, conduta etc. A importadora de dados não tomará decisões automatizadas sobre titulares de dados, exceto quando:
    a) i. essas decisões forem tomadas pela importadora de dados ao celebrar ou executar um contrato com o titular dados, e
    ii. o titular de dados tiver a oportunidade de discutir os resultados de uma decisão automatizada relevante com um representante das partes que tomaram a decisão ou de fazer declarações a essas partes.

    ou
    b) quando for permitido pela lei aplicável à exportadora de dados.

ANEXO 1: APÊNDICE B – DESCRIÇÃO DA TRANSFERÊNCIA

Titulares de dados
Os dados pessoais transferidos pertencem às seguintes categorias de titulares de dados: conforme definição no Contrato de Serviços relevante 

Propósito da(s) transferência(s)
A transferência é realizada para os seguintes propósitos: conforme definição no Contrato de Serviços relevante 

Categorias de dados
Os dados pessoais transferidos pertencem às seguintes categorias de dados: conforme definição no Contrato de Serviços relevante 

Destinatários
Os dados pessoais transferidos podem ser divulgados somente para os destinatários ou categorias de destinatários a seguir: conforme definição no Contrato de Serviços relevante 

Dados sensíveis (se apropriado)
Os dados pessoais transferidos pertencem às seguintes categorias de dados sensíveis: conforme definição no Contrato de Serviços relevante 

Informações sobre registro de proteção de dados da exportadora de dados (quando aplicável):  conforme definição no Contrato de Serviços relevante 

Informações úteis adicionais (limites de armazenamento e outras informações relevantes): conforme definição no Contrato de Serviços relevante 

Pontos de contato para consultas sobre proteção de dados: Privacy@snyk.io

ANEXO 2: Cláusulas contratuais padrão para a transferência de dados pessoais da Comunidade para outros países (transferências de controladora para controladora)

Contrato de transferência de dados

Entre

Snyk Limited, sediada em Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Reino Unido (doravante denominada “exportadora de dados”)

e

Contraparte, conforme definição no Contrato de Serviços (doravante denominada “importadora de dados”),

cada uma destas é uma “parte” e, juntas, “as partes”.

Definições

Para os propósitos das cláusulas:
a) “dados pessoais”, “categorias especiais de dados/dados sensíveis”, “processo/processamento”, “controladora”, “processadora”, “titular dos dados” e “autoridade supervisora/autoridade” terão o mesmo significado que na Diretiva 95/46/EC de 24 de outubro de 1995 (em que “a autoridade” refere-se à autoridade de proteção de dados competente no território onde a exportadora de dados está estabelecida);
b) “a exportadora de dados” refere-se à controladora que transfere os dados pessoais;
c) “a importadora de dados” refere-se à controladora que aceita receber da exportadora de dados os dados pessoais para processamento de acordo com os termos destas cláusulas e que não está sujeita ao sistema de outro país para garantir a proteção adequada;
d) “cláusulas” refere-se a estas cláusulas contratuais, que compõem um documento independente que não incorpora termos comerciais estabelecidos pelas partes em outros acordos comerciais.

Os detalhes da transferência (bem como os dados pessoais cobertos) são especificados no Apêndice B, que forma uma parte integral das cláusulas.

I. Obrigações da exportadora de dados

A exportadora de dados garante e declara que:
a) os dados pessoais foram coletados, processados e transferidos de acordo com as leis aplicáveis à exportadora de dados.
b) ela empregou esforços razoáveis para determinar que a importadora de dados é capaz de atender às suas obrigações legais de acordo com estas cláusulas.
c) ela fornecerá à importadora de dados, quando solicitada, cópias das leis de proteção de dados relevantes ou referências às mesmas (quando relevante, e não incluindo aconselhamento legal) do país no qual a exportadora de dados está estabelecida.
d) ela responderá a consultas de titulares de dados e da autoridade referente ao processamento dos dados pessoais pela importadora de dados, exceto se as partes concordarem que a importadora de dados responderá e, nesse caso, a exportadora de dados ainda responderá na medida razoavelmente possível e com as informações razoavelmente disponíveis a ela se a importadora de dados não quiser ou não puder responder. As respostas serão dadas em tempo viável.
e) ela disponibilizará, mediante solicitação, uma cópia das cláusulas a titulares de dados que sejam beneficiários terceiros de acordo com a cláusula III, exceto se as cláusulas incluírem informações confidenciais. Nesse caso, ela poderá remover essas informações. Quando informações forem removidas, a exportadora de dados informará aos titulares de dados por escrito sobre o motivo da remoção e sobre seu direito de levar a remoção para a atenção da autoridade. No entanto, a exportadora de dados obedecerá a decisão da autoridade sobre o acesso ao texto integral das cláusulas por titulares de dados, desde que os titulares de dados tenham aceitado respeitar a confidencialidade das informações confidenciais removidas. A exportadora de dados também fornecerá uma cópia das cláusulas à autoridade mediante solicitação.

II. Obrigações da importadora de dados

A importadora de dados garante e declara que:
a) instituirá medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda, alteração, divulgação ou acesso acidental, e fornecerá um nível de segurança apropriado ao risco apresentado pelo processamento e pela natureza dos dados protegidos.
b) instituirá procedimentos para que qualquer terceiro que ela autorize a acessar os dados pessoais, incluindo processadoras, respeite e mantenha a confidencialidade e segurança dos dados pessoais. Qualquer pessoa que atuar sob a autoridade da importadora de dados, incluindo uma processadora de dados, terá a obrigação de processar os dados pessoais somente de acordo com as instruções da importadora de dados. Esta disposição não se aplica a pessoas autorizadas ou obrigadas por lei ou regulamentos a ter acesso aos dados pessoais.
c) Ela não tem razão para acreditar, no momento em que estas cláusulas são celebradas, na existência de qualquer lei local que tenha um efeito adverso substancial sobre as garantias fornecidas por estas cláusulas, e informará à exportadora de dados (que transmitirá tal notificação à autoridade, quando exigida) caso ela se torne ciente de tais leis.
d) Ela processará os dados pessoais para os propósitos descritos no Apêndice B e tem a autoridade legal para oferecer as garantias e cumprir as obrigações estabelecidas nestas cláusulas.
e) Ela identificará à exportadora de dados um ponto de contato na sua organização autorizado a responder a consultas referentes ao processamento dos dados pessoais e cooperará de boa-fé com a exportadora de dados, o titular dos dados e a autoridade em todas as consultas dentro de um prazo razoável. Em caso de dissolução legal da exportadora de dados, ou se as partes concordarem, a importadora de dados assumirá a responsabilidade sobre o cumprimento das disposições da cláusula I(e).
f) Mediante solicitação da exportadora de dados, ela fornecerá à exportadora de dados comprovações de recursos financeiros suficientes para cumprir suas responsabilidades de acordo com a cláusula III (que pode incluir cobertura por seguro).
g) Mediante solicitação razoável da exportadora de dados, ela autorizará o acesso a suas instalações de processamento de dados, arquivos de dados e documentação necessárias para processamento para a execução de análise, auditoria e/ou certificação pela exportadora de dados (ou agentes de inspeção ou auditores independentes ou imparciais, selecionados pela exportadora de dados e não recusados sem motivo pela importadora de dados) para garantir a conformidade com as garantias e obrigações destas cláusulas, com aviso razoável e durante horário comercial. A solicitação estará sujeita a qualquer consentimento ou aprovação necessária de uma autoridade regulatória ou supervisora no país da importadora de dados, e a importadora de dados tentará obter tal consentimento ou aprovação em tempo hábil.
h) Ela processará os dados pessoais, por opção própria, de acordo com:
i. as leis de proteção de dados do país no qual a exportadora de dados está estabelecida, ou
ii. as disposições relevantes3 de qualquer decisão da Comissão de acordo com o Artigo 25(6) da Diretiva 95/46/EC, em que a importadora de dados cumpre as disposições relevantes de tal autorização ou decisão e está baseada em um país ao qual uma autorização ou decisão pertença, mas não está coberta por tal autorização ou decisão para os propósitos da(s) transferência(s) dos dados pessoais4, ou
iii. os princípios de processamento de dados estabelecidos no Apêndice A.
A importadora de dados deve indicar qual opção ela seleciona:
Rubrica da importadora de dados: Contraparte
i) Ela não divulgará nem transferirá os dados pessoais para uma controladora de dados terceirizada localizada fora do Espaço Econômico Europeu (EEE), exceto se notificar a exportadora de dados sobre a transferência e
i. a controladora de dados terceirizada processar os dados de acordo com uma decisão da Comissão que determine que o outro país fornece proteção adequada; ou
ii. a controladora de dados terceirizada se tornar signatária destas cláusulas ou de outro acordo de transferência de dados aprovado por uma autoridade competente na UE, ou
iii. os titulares de dados tiverem a oportunidade de recusar, após terem sido informados dos propósitos da transferência, das categorias dos destinatários e do fato de que os países para os quais os dados serão exportados possam ter diferentes padrões de proteção de dados, ou
iv. com relação às transferências subsequentes de dados sensíveis, os titulares de dados tiverem dado consentimento inequívoco para a transferência subsequente

III. Responsabilidade e direitos de terceiros

a) Cada parte será responsável perante as outras partes por danos que causar em caso de violação destas cláusulas. A responsabilização entre as partes está limitada ao dano de fato incorrido. Indenizações punitivas (ou seja, indenizações impostas para punir uma parte por sua conduta inaceitável) estão especificamente excluídas. Cada parte será responsável perante os titulares de dados pelos danos que causar em caso de violação de direitos de terceiros de acordo com estas cláusulas. Isso não afeta a responsabilidade da exportadora de dados de acordo com as leis de proteção de dados.

b) As partes concordam que um titular de dados terá o direito de implementar, como beneficiário terceiro, esta cláusula e as cláusulas I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) e VII contra a importadora de dados ou exportadora de dados, pelas suas respectivas violações das obrigações contratuais, com relação a seus dados pessoais, e aceitam a jurisdição para este propósito no país de estabelecimento da exportadora de dados. Em casos envolvendo alegações de violação pela importadora de dados, o titular dos dados primeiro deve solicitar à exportadora de dados que tome medidas apropriadas para exercer seus direitos contra a importadora de dados. Se a exportadora de dados não tomar essa ação em um período razoável (que, em circunstâncias normais, é de um mês), o titular dos dados poderá então implementar seus direitos diretamente contra a importadora de dados. Um titular de dados tem o direito de proceder diretamente contra uma exportadora de dados que não tenha empregado esforços razoáveis para determinar se a importadora de dadas é capaz de cumprir suas obrigações legais de acordo com estas cláusulas (a exportadora de dados terá o ônus de provar que empregou esforços razoáveis).

IV. Lei aplicável às cláusulas

Estas cláusulas são regidas pela lei do país no qual a exportadora de dados está estabelecida, com a exceção das leis e regulamentos relacionados ao processamento dos dados pessoais pela importadora de dados de acordo com a cláusula II(h), que se aplica somente se for selecionada pela importadora de dados de acordo com essa cláusula.

V. Resolução de disputas com titulares de dados ou a autoridade

a) Em caso de disputa ou reivindicação levantada por um titular de dados ou autoridade sobre o processamento dos dados pessoais contra uma ou ambas as partes, as partes trocarão informações sobre tais disputas ou reivindicações e cooperarão com uma visão para resolvê-las de forma amigável e oportuna.

b) As partes aceitam responder a qualquer procedimento de mediação não vinculante e geralmente disponível iniciado por um titular de dados ou pela autoridade. Se participarem dos procedimentos, as partes poderão optar por fazê-lo remotamente (como por telefone ou outros meios eletrônicos). As partes também aceitam considerar a participação em outras arbitragens, mediações ou outros procedimentos de resolução de disputas referentes à proteção de dados.

c) Cada parte obedecerá à decisão de um tribunal competente do país de estabelecimento da exportadora de dados ou da autoridade que for final e contra a qual nenhum recurso for possível.

VI. Rescisão

a) Caso a importadora de dados esteja em violação das suas obrigações de acordo com estas cláusulas, a exportadora de dados poderá suspender temporariamente a transferência de dados pessoais para a importadora de dados até que a violação seja reparada ou o contrato seja rescindido.

b) Nos casos em que:
i. a transferência de dados pessoas para a importadora de dados tenha sido suspensa pela exportadora de dados por mais de um mês de acordo com o parágrafo (a);
ii. a conformidade da importadora de dados com estas cláusulas a colocaria em violação das suas obrigações legais ou regulatórias no país de importação;
iii. a importadora de dados esteja em violação substancial ou persistente de quaisquer garantias ou obrigações conferidas por ela de acordo com estas cláusulas;
iv. uma decisão final, contra a qual nenhum recurso adicional seja possível, de um tribunal competente no país de estabelecimento da exportadora de dados ou da autoridade determine que ocorreu uma violação das cláusulas pela importadora de dados ou exportadora de dados; ou
v. uma petição seja apresentada para a administração ou dissolução da importadora de dados, em sua capacidade pessoal ou comercial, e não seja considerada improcedente no período aplicável para tal de acordo com a lei aplicável; uma ordem de dissolução seja emitida; um depositário seja nomeado para seus ativos; um administrador de falência seja nomeado, se a importadora de dados for pessoa física; um acordo voluntário da empresa seja iniciado por ela ou qualquer evento equivalente em qualquer jurisdição ocorra

a exportadora de dados, sem prejuízo a todos os outros direitos que possa ter contra a importadora de dados, terá o direito de rescindir estas cláusulas, e, nesse caso, a autoridade deverá ser informada quando necessário. Nos casos cobertos por (i), (ii) ou (iv) acima, a importadora de dados também poderá rescindir estas cláusulas.

c) Cada parte poderá rescindir estas cláusulas se (i) qualquer decisão de adequação positiva da Comissão de acordo com o Artigo 25(6) da Diretiva 95/46/EC (ou texto revogante) for emitida em relação ao país (ou um setor desse) para o qual os dados são transferidos e processados pela importadora de dados, ou (ii) a Diretiva 95/46/EC (ou texto revogante) tornar-se aplicável diretamente no mesmo país.

d) As partes aceitam que a rescisão destas cláusulas a qualquer momento, em quaisquer circunstâncias e por qualquer motivo (exceto pela rescisão de acordo com a cláusula VI(c)) não as isenta das obrigações e/ou condições de acordo com as cláusulas referentes ao processamento dos dados pessoais transferidos.

VII. Variação destas cláusulas

As partes não poderão modificar estas cláusulas, exceto para atualizar informações no Apêndice B e, nesse caso, eles informarão a autoridade quando necessário. Isso não preclui as partes de adicionar outras cláusulas comerciais quando necessário.

VIII. Descrição da transferência

Os detalhes da transferência e dos dados pessoais são especificados no Apêndice B. As partes concordam que o Apêndice B pode conter informações comerciais confidenciais que elas não divulgarão a terceiros, exceto se exigido por lei ou em resposta a uma agência regulatória ou governamental competente, ou se exigido pela cláusula I(e). As partes poderão executar apêndices adicionais para cobrir transferências adicionais, que serão submetidas à autoridade quando necessário. O Apêndice B poderá, como opção, ser editado para cobrir múltiplas transferências.

3 “Disposições relevantes” referem-se às disposições de qualquer autorização ou decisão, exceto para as disposições de execução de qualquer autorização ou decisão (que serão regidas por estas clausulas).
4 No entanto, as disposições do Apêndice A.5 referentes aos direitos de acesso, retificação, exclusão e recusa devem ser aplicadas quando a opção é escolhida e têm precedência sobre disposições comparáveis da Decisão da Comissão selecionada.

ANEXO 2: APÊNDICE A

PRINCÍPIOS DO PROCESSAMENTO DE DADOS

  1. Limitação de propósitos: os dados pessoais podem ser processados e subsequentemente usados ou comunicados somente para os propósitos descritos no Apêndice B ou subsequentemente autorizados pelo titular dos dados.

  2. Qualidade e proporcionalidade dos dados: os dados pessoais devem ser precisos e, quando necessários, estar atualizados. Os dados pessoais devem ser adequados, relevantes e não excessivos em relação aos propósitos para os quais foram transferidos e processados.

  3. Transparência: os titulares de dados devem receber as informações necessárias para garantir o processamento justo (como informações sobre os propósitos do processamento e sobre a transferência), exceto se essas informações já tiverem sido dadas pela exportadora de dados.

  4. Segurança e confidencialidade: a controladora de dados deve tomar medidas de segurança técnicas e organizacionais proporcionais aos riscos apresentados pelo processamento, como contra destruição acidental ou ilegal ou perda, alteração, divulgação ou acesso acidental ou não autorizado. Qualquer pessoa que agir em nome da autoridade da controladora de dados, incluindo uma processadora, não deve processar os dados, exceto sob instruções da controladora de dados.

  5. Direitos de acesso, retificação, exclusão e recusa: conforme indicado no Artigo 12 da Diretiva 95/46/EC, os titulares de dados devem, diretamente ou por terceiros, receber as informações pessoais sobre eles que uma organização detém, exceto em caso de solicitações que sejam manifestamente abusivas, baseadas em intervalos irrazoáveis ou no seu número, ou de natureza repetitiva ou sistemática, ou para as quais o acesso não precisa ser concedido de acordo com a lei do país da exportadora de dados. Considerando que a autoridade tenha dado aprovação anterior, o acesso também não precisa ser concedido quando isso possa prejudicar os interesses da importadora de dados ou outras organizações que fazem negócios com a importadora de dados e cujos interesses não sejam sobrepostos pelos interesses de direitos e liberdades fundamentais do titular de dados. As fontes dos dados pessoais não precisam ser identificadas quando isso não for possível por esforços viáveis, ou quando os direitos das pessoas além do indivíduo puderem ser violados. Os titulares de dados devem ser capazes de ter as informações pessoais sobre eles retificadas, alteradas ou excluídas quando forem imprecisas ou processadas contra esses princípios. Se houver bases convincentes para duvidar da legitimidade da solicitação, a organização poderá solicitar outras justificativas antes de proceder com a retificação, alteração ou exclusão. Não é preciso enviar uma notificação sobre qualquer retificação, alteração ou exclusão a terceiros para quem os dados foram divulgados quando isso envolver um esforço desproporcional. Um titular de dados também deve ser capaz de recusar o processamento dos dados pessoais relativos a ele caso haja bases legítimas e convincentes relacionadas à sua situação específica. O ônus da prova de qualquer reusa cabe à importadora dos dados, e o titular dos dados sempre pode desafiar uma recusa diante da autoridade.

  6. Dados sensíveis: a importadora de dados tomará medidas adicionais (ou seja, relativas à segurança) que forem necessárias para proteger os dados sensíveis de acordo com suas obrigações estipuladas na cláusula II.

  7. Dados usados para propósitos de marketing: quando os dados forem processados para propósitos de marketing direto, deverão existir procedimentos efetivos para permitir que o titular dos dados, a qualquer momento, “cancele a autorização” do uso de seus dados para tais propósitos.

  8. Decisões automatizadas: Para os propósitos deste documento, “decisão automatizada” refere-se a uma decisão pela exportadora ou importadora de dados que produza efeitos legais referentes a um titular dos dados ou afete de maneira significativa um titular dos dados e que seja baseada unicamente em processamento automatizado dos dados pessoais com a intenção de avaliar determinados aspectos pessoais relativos ao mesmo, como seu desempenho no trabalho, crédito, confiabilidade, conduta etc. A importadora de dados não tomará decisões automatizadas sobre titulares de dados, exceto quando:

    a) i. essas decisões forem tomadas pela importadora de dados ao celebrar ou executar um contrato com o titular dados, e
    ii. o titular de dados tiver a oportunidade de discutir os resultados de uma decisão automatizada relevante com um representante das partes que tomaram a decisão ou de fazer declarações a essas partes.

    ou

    b) quando for permitido pela lei aplicável à exportadora de dados.

ANEXO 2: APÊNDICE B – DESCRIÇÃO DA TRANSFERÊNCIA

Titulares de dados
Conforme definição no Contrato de Serviços relevante

Propósito da(s) transferência(s)
A transferência é realizada para os seguintes propósitos: conforme definição no Contrato de Serviços relevante

Categorias de dados
conforme definição no Contrato de Serviços relevante

Destinatários
Conforme definição no Contrato de Serviços relevante

Dados sensíveis (se apropriado)
Os dados pessoais transferidos pertencem às seguintes categorias de dados sensíveis: conforme definição no Contrato de Serviços relevante

Informações sobre registro de proteção de dados da exportadora de dados (quando aplicável): conforme definição no Contrato de Serviços relevante

Informações úteis adicionais (limites de armazenamento e outras informações relevantes): conforme definição no Contrato de Serviços relevantePontos de contato para consultas sobre proteção de dados: Privacy@snyk.io

Snyk é uma plataforma de segurança para desenvolvedores. Integrando-se diretamente a ferramentas de desenvolvimento, fluxos de trabalhos e pipelines de automação, a Snyk possibilita que as equipes encontrem, priorizem e corrijam mais facilmente vulnerabilidades em códigos, dependências, contêineres e infraestrutura como código. Com o suporte do melhor aplicativo do setor e inteligência em segurança, a Snyk coloca a experiência em segurança no kit de ferramentas de todo desenvolvedor.

Comece grátisAgende uma demonstração ao vivo

Produto

O que é a Snyk?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerInfraestrutura como Código da SnykSnyk AppRisk (ASPM)Plataforma de Segurança para o DesenvolvedorSegurança de aplicativosSegurança da cadeia de suprimentos de softwareProteja o código gerado por IA DeepCode AIPreçosOpções de implantaçãoIntegraçõesPlugins de IDESegurança GitSegurança de pipelines de CI/CDSnyk CLISnyk LearnSnyk para JavaScript

Recursos

DocumentaçãoDocumentação da API da SnykStatus APIVulnerabilidades reveladasPortal de suporte e perguntas frequentesBlogElementos básicos da segurançaRecursos para líderes de segurançaRecursos para hackers éticosBanco de dados de vulnerabilidadesSnyk OSS AdvisorSnyk Top 10VídeosRecursos do clienteSecurity LabsThe Secure Developer Podcast

Empresa

SobreClientesCarreirasEventosSnyk para governoSegurança e confiançaTermos jurídicosPrivacidadePara os residentes na Califórnia: Não vender minhas informações pessoaisTermos de uso do siteProcurement

Conecte-se

Agende uma demonstração ao vivoFale conoscoSuporteRelatar nova vulnerabilidade

Segurança

Segurança de aplicativosSegurança de contêineresSegurança da cadeia de suprimentosSegurança JavaScriptSegurança de código abertoSegurança AWSSDLC protegidoPostura de segurançaCódigo protegidoHacking éticoIA em cibersegurançaVerificador de códigoPythonCibersegurança para grandes empresasJavaScriptSnyk com GitHubSnyk vs VeracodeSnyk vs. CheckmarxSnyk vs Synopsys

© 2024 Snyk Limited
Registrada na Inglaterra e País de Gales

logo-devseccon