Ir para o conteúdo
Legal: Banner with Media - Background

Privacy 

NOTA: Esta tradução foi gerada automaticamente e é fornecida apenas para conveniência. Esta tradução gerada automaticamente não é comparável à qualidade de uma tradução humana e pode conter erros. Esta tradução é fornecida "COMO ESTÁ" e sem qualquer garantia quanto à precisão, integridade ou confiabilidade da tradução. Em caso de discrepâncias entre a versão em inglês deste contrato e a versão traduzida para um idioma estrangeiro, apenas a versão em inglês será considerada válida.

ADENDO DE PROCESSAMENTO DE DADOS

Este Adendo de Processamento de Dados (“ DPA ”) faz parte e está expressamente incorporado ao acordo celebrado entre a Sophos e o Cliente para a prestação pela Sophos ao Cliente de certos produtos e/ou serviços (“ Acordo Principal ”). Salvo definição em contrário, todos os termos em maiúsculas terão os significados dados na Seção 1 abaixo.

1. DEFINIÇÕES

1.1 Neste Dcom relação a cada parte, uma entidade que controla, é controlada por ou está sob controle comum com tal parte. Para os fins desta definição, “ controle ” significa a propriedade benéfica de mais de cinquenta por cento (50%) do poder de voto ou do capital em uma entidade ou o direito contratual ou legal de dirigir a gestão de tal entidade;

Leis de Proteção de Dados Aplicáveis ” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais do Controlador sob o Acordo Principal, incluindo, quando relevante, o GDPR, a Lei de Proteção de Dados do Reino Unido e o CCPA;

Beneficiário ” tem o significado atribuído a ele no Acordo MSP;

CCPA ” significa a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020, codificada em Cal. Civ. Código §§ 1798.100 - 1798.199.100 e as Regulamentações da Lei de Privacidade do Consumidor da Califórnia emitidas a esse respeito, Cal. Código Regs. tit. 11, div. 6, ch. 1, cada um conforme emendado;

Controlador ” significa: (a) o Cliente, se o Cliente for um Usuário Final; (b) o Beneficiário, se o Cliente for um MSP; ou (c) o Cliente Final, se o Cliente for um OEM;

Dados Pessoais do Controlador ” significa os Dados Pessoais que a Sophos processa em nome do Controlador como parte da prestação dos Serviços;

Cliente ” significa: (1) o provedor de serviços gerenciados ou o provedor de serviços de segurança gerenciados (cada um referido como “ MSP ”) se o Acordo Principal for celebrado entre a Sophos e um MSP (“ Acordo MSP ”), (2) o fabricante de equipamentos originais (“ OEM ”) se o Acordo Principal for com um OEM autorizado a distribuir, sublicenciar ou disponibilizar produtos da Sophos em combinação com seus produtos como parte de uma unidade agrupada (“ Acordo OEM ”); (3) o usuário final (“ Usuário Final ”), se o Acordo Principal for diretamente com o cliente;

Titular de Dados ” significa o indivíduo a quem os Dados Pessoais do Controlador se referem;

Solicitações de Titulares de Dados ” significa quaisquer solicitações de Titulares de Dados exercendo direitos de acordo com as Leis de Proteção de Dados Aplicáveis;

EEE” significa a Área Econômica Europeia, incluindo os estados membros da União Europeia;

Cliente Final ” tem o significado atribuído a ele no Acordo OEM;

Cláusulas Contratuais Padrão ” significa as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho aprovado pela decisão de implementação da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021;

GDPR ” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679, conforme emendado de tempos em tempos;

Dados Pessoais ” significa “dados pessoais” ou “informações pessoais”, conforme esses termos são definidos nas Leis de Proteção de Dados Aplicáveis, e inclui qualquer informação relacionada a um indivíduo identificado ou indivíduo identificável ou domicílio;

Violação de Dados Pessoais ” significa uma violação de segurança (exceto causada pelo Cliente ou seus usuários) que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados Pessoais do Controlador;

Processador ” significa uma pessoa ou entidade que Processa Dados Pessoais em nome e sob as instruções de um controlador, incluindo qualquer entidade atuando como um “prestador de serviços” de acordo com a CCPA;

Transferência Restrita ” significa uma transferência de Dados Pessoais para um País Terceiro onde tal transferência seria proibida sob a Lei de Proteção de Dados Europeia na ausência de mecanismos de transferência apropriados, como regras corporativas vinculativas ou Cláusulas Contratuais Padrão;

Serviços ” significa quaisquer produtos fornecidos e/ou serviços realizados pela Sophos de acordo com o Acordo Principal;

Sophos ” significa a entidade Sophos identificada como a parte contratante da Sophos no Acordo Principal;

Cláusulas Contratuais Padrão” ou “SCCs” significa: (i) onde o GDPR se aplica a uma Transferência Restrita, as Cláusulas Contratuais Padrão da UE; (ii) onde a Lei de Proteção de Dados do Reino Unido se aplica a uma Transferência Restrita, o Adendo do Reino Unido; e (iii) onde a DPA Suíça se aplica a uma Transferência Restrita, as SCCs Suíças;

Subprocessador ” significa qualquer entidade nomeada pela Sophos para realizar o processamento de dados atividades relacionadas aos Dados Pessoais do Controlador;

Autoridade Supervisora ” significa a autoridade regulatória competente em relação às Leis de Proteção de Dados Aplicáveis, incluindo, quando aplicável, uma autoridade supervisora conforme definido sob o GDPR;

Lei de Proteção de Dados da Suíça” significa a Lei Federal de Proteção de Dados da Suíça de 25 de setembro de 2020, conforme alterada de tempos em tempos;

Cláusulas Contratuais Padrão Suíças” significa as cláusulas padrão de proteção de dados aplicáveis para a transferência de Dados Pessoais para Países Terceiros emitidas, aprovadas ou reconhecidas de outra forma pelo Comissário Federal de Proteção de Dados e Informação da Suíça (“FDPIC”);

País Terceiro” significa um país fora do EEE, do Reino Unido (“Reino Unido”) ou da Suíça que não foi designado pela Comissão Europeia ou por órgão ou pessoa equivalente na Suíça ou no Reino Unido como garantindo um nível adequado de proteção de acordo com as leis de proteção de dados do EEE, do Reino Unido ou da Suíça (“Lei Europeia de Proteção de Dados”);

Adendo do Reino Unido” significa o Adendo Internacional de Transferência de Dados para as Cláusulas Contratuais Padrão da UE, emitido pelo Escritório do Comissário de Informação do Reino Unido e apresentado ao Parlamento de acordo com o s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022;

Lei de Proteção de Dados do Reino Unido” significa a Lei de Proteção de Dados de 2018 do Reino Unido e o GDPR conforme mantido na legislação do Reino Unido em virtude da Seção 3 da Lei de Retirada da União Europeia do Reino Unido de 2018, ambas conforme alteradas de tempos em tempos.

1.2. Neste DPA, os termos em letras minúsculas "controlador", "processador", "titular de dados", "dados pessoais" e "processamento" (e seus derivados) terão os significados atribuídos na Lei de Proteção de Dados Aplicável.

1.3. Os termos em maiúsculas não definidos de outra forma neste DPA terão o significado atribuído a eles no Acordo Principal.

2. ESCOPO

2.1 Este DPA se aplica onde a Sophos processa Dados Pessoais do Controlador em nome do Cliente como parte da prestação dos Serviços. O objeto e a duração do processamento de Dados Pessoais do Controlador pela Sophos, a natureza e o propósito do processamento, os tipos de Dados Pessoais do Controlador a serem processados e as categorias de titulares de dados serão conforme descrito em: (a) este DPA; (b) o Acordo Principal; (c) Anexo 1 (Detalhes do Processamento de Dados); e (d) as instruções do Cliente emitidas de acordo com a Seção 4 abaixo.

2.2 O Cliente é responsável por garantir que o Controlador (a) tenha uma base legal para o processamento de Dados Pessoais do Controlador pela Sophos em nome do Cliente, (b) tenha fornecido todos os avisos necessários e obtido todos os consentimentos necessários para o processamento de Dados Pessoais do Controlador pela Sophos; e (c) esteja em conformidade com, e garantirá que suas instruções à Sophos para o processamento de Dados Pessoais do Controlador estejam em conformidade em todos os aspectos com as Leis de Proteção de Dados Aplicáveis.

2.3 As partes concordam que, em relação aos Dados Pessoais do Controlador, a Sophos é um Processador ou sub-processador, e o Cliente é (a) o Controlador quando o Cliente é um Usuário Final, ou (b) um Processador, para o Beneficiário ou o Cliente Final, quando o Cliente é um MSP ou OEM, respectivamente.

3. INSTRUÇÕES DO CLIENTE

3.1. O Cliente instrui a Sophos a processar os Dados Pessoais do Controlador conforme razoavelmente necessário para fornecer e executar os Serviços e conforme estabelecido neste DPA e no Contrato Principal (“Instruções do Cliente”). A Sophos processará os Dados Pessoais do Controlador de acordo com as Instruções do Cliente, exceto (a) onde acordado de outra forma por escrito entre a Sophos e o Cliente; ou (b) conforme exigido por qualquer lei à qual a Sophos esteja sujeita (caso em que a Sophos informará o Cliente sobre essa exigência legal antes de qualquer processamento, a menos que essa lei proíba a divulgação de tais informações por motivos importantes de interesse público). Quando o Cliente atua como um Processador em relação aos Dados Pessoais do Controlador, o Cliente deverá garantir que as Instruções do Cliente tenham sido autorizadas pelo Controlador relevante e não conflitem com quaisquer instruções emitidas por esse Controlador.

3.2. Se a Sophos tomar conhecimento de que as Instruções do Cliente infringem as Leis de Proteção de Dados Aplicáveis, informará prontamente o Cliente sobre isso e suspenderá o processamento dos

3.3. Sem limitar o que foi dito, na medida em que a CCPA se aplique aos Dados Pessoais do Controlador, a Sophos concorda ainda que:

  1. A Sophos não usará, divulgará ou processará de outra forma os Dados Pessoais do Controlador, exceto para o propósito comercial específico de realizar os Serviços, de acordo com os termos deste DPA e do Contrato Principal, e conforme autorizado por leis aplicáveis;

  2. A Sophos pode contratar Sub-Processadores para processar Dados Pessoais do Controlador, sujeito aos termos da Seção 7 e tal contratação não será considerada uma venda de Dados Pessoais do Controlador;

  3. A Sophos não processará Dados Pessoais do Controlador fora da relação comercial direta entre o Cliente e a Sophos ou para fins comerciais próprios da Sophos;

  4. A Sophos não "compartilhará" ou "venderá" (conforme esses termos são definidos sob a CCPA) quaisquer Dados Pessoais do Controlador;

  5. A Sophos cumprirá suas obrigações de acordo com a CCPA e fornecerá o mesmo nível de proteção à privacidade exigido pela CCPA;

  6. Se a Sophos acreditar que não poderá cumprir os termos da CCPA, a Sophos notificará prontamente o Cliente e concederá ao Cliente o direito de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais do Controlador sejam processados de maneira consistente com as obrigações do Controlador sob a CCPA;

  7. A Sophos não reterá Dados Pessoais do Controlador após a expiração ou rescisão do Contrato Principal, exceto conforme estabelecido na Seção 4.6.

3.4. A Sophos certifica que entende e cumprirá as obrigações estabelecidas na Seção 3.3. 

4. OBRIGAÇÕES DA SOPHOS

4.1. Cooperação. Levando em conta a natureza do processamento de Dados Pessoais do Controlador, a Sophos fornecerá ao Cliente (ou, se o Cliente for um MSP ou OEM, ao Controlador) assistência razoável conforme necessário para: (i) responder a solicitações de titulares de dados que exercem seus direitos sob as Leis de Proteção de Dados Aplicáveis (incluindo notificar o Cliente ao receber tais solicitações, desde que não responda por conta própria, a menos que tenha sido autorizado a fazê-lo pelo Cliente), (ii) conduzir avaliações de impacto sobre a proteção de dados ou outras avaliações exigidas pelas Leis de Proteção de Dados Aplicáveis; e (iii) consultar e cooperar com Autoridades de Supervisão conforme exigido pelas Leis de Proteção de Dados aplicáveis. Sophos reserva-se o direito de cobrar por tal assistência se o custo da assistência exceder um valor nominal.

4.2. Solicitações de Terceiros. Salvo proibição legal, a Sophos notificará o Cliente sobre qualquer solicitação de privacidade, correspondência, consulta ou reclamação que receber de uma Autoridade de Supervisão, autoridade judicial ou agência de aplicação da lei em conexão com o processamento dos Dados Pessoais do Controlador (“Solicitação de Terceiro”), fornecendo todos os detalhes da mesma. A Sophos não responderá diretamente à Solicitação de Terceiro, exceto (1) por instruções por escrito do Cliente ou, (2) conforme exigido por leis aplicáveis.

4.3. Confidencialidade. Todo o pessoal da Sophos que processa os Dados Pessoais do Controlador deverá ser adequadamente treinado em relação às suas obrigações de proteção de dados, segurança e confidencialidade, e estará sujeito a obrigações de confidencialidade escritas ou estatutárias.

4.4. Segurança. A Sophos implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco e proteger os Dados Pessoais do Controlador contra uma Violação de Dados Pessoais. Essas medidas levarão em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e propósitos do processamento, bem como o risco de variação na probabilidade e gravidade para os direitos e liberdades das pessoas naturais, de modo a garantir um nível de segurança que seja apropriado ao risco. Em particular, as medidas tomadas pela Sophos incluirão aquelas descritas no Anexo 2 deste DPA.

 4. 5. Violação de Dados Pessoais. Após confirmar a ocorrência de qualquer Violação de Dados Pessoais, a Sophos informará o Cliente sem demora indevida e fornecerá todas as informações e cooperação oportunas que o Cliente possa razoavelmente exigir para que o Cliente (e, se o Cliente for um MSP ou OEM, seu Controlador) cumpra suas obrigações de notificação de violação de dados de acordo com (e em conformidade com os prazos exigidos pela) Lei de Proteção de Dados Aplicável. A Sophos tomará ainda medidas e ações que sejam razoavelmente necessárias para remediar ou mitigar os efeitos da Violação de Dados Pessoais e manterá o Cliente informado sobre os desenvolvimentos relacionados à Violação de Dados Pessoais.

4.6 Fim dos Serviços. Ao final da prestação dos Serviços ou mediante solicitação por escrito do Cliente, Sophos deverá excluir os Dados Pessoais do Controlador dentro de um prazo razoável após o término dos Serviços ou a solicitação, salvo se exigido de outra forma pela legislação aplicável, ou necessário para cumprir requisitos judiciais ou de conformidade. Se Sophos for obrigada a reter quaisquer Dados Pessoais do Controlador, Sophos tomará medidas para garantir a continuidade da confidencialidade e segurança dos Dados Pessoais do Controlador enquanto forem retidos. 

5. DIREITOS DE AUDITORIA DO CLIENTE

5.1 O Cliente reconhece que a Sophos mantém a certificação ISO 27001 e é regularmente auditada de acordo com os padrões SSAE 18 SOC 2 por auditores independentes de terceiros. Mediante solicitação razoável, a Sophos fornecerá uma cópia de seu relatório de auditoria SOC 2 ao Cliente, o qual estará sujeito às disposições de confidencialidade do Acordo Principal como informação confidencial da Sophos. A certificação ISO 27001 da Sophos está disponível publicamente através do Centro de Confiança da Sophos em https://www.sophos.com/pt-br/trust/business-certifications. A Sophos também responderá a perguntas de auditoria razoáveis por escrito enviadas a ela pelo Cliente, desde que o Cliente não exerça esse direito mais de uma vez por ano.

5.2 Se, na opinião razoável do Cliente, os materiais fornecidos sob a Seção 5.1 forem insuficientes para demonstrar a conformidade da Sophos com este DPA, o Cliente poderá solicitar por escrito que a Sophos disponibilize ao Cliente todas as informações razoavelmente necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e permitir e contribuir para auditorias, incluindo inspeções, pelo Cliente ou auditor independente de terceiros do Cliente, sempre sujeito às seguintes disposições:

  1. antes de solicitar uma revisão ou auditoria de acordo com esta Seção 5.2, o Cliente levará em conta as certificações e auditorias de terceiros relevantes da Sophos descritas na Seção 5.1;
  2. O Cliente dará à Sophos aviso prévio razoável por escrito, com pelo menos 30 dias de antecedência, de um pedido para realizar uma auditoria ou inspeção sob esta Seção 5.2, fornecendo o escopo proposto, duração e data de início da auditoria;
  3. quando um auditor de terceiros conduzir a auditoria, tal auditor de terceiros deve ser um profissional ou empresa respeitável e bem estabelecida, estar sujeito a obrigações de confidencialidade apropriadas e não ser um concorrente da Sophos;
  4. O Cliente realizará (e garantirá que seus auditores realizarão) tal auditoria ou inspeção durante o horário comercial normal da Sophos, com mínima interrupção nas atividades comerciais;
  5. uma auditoria ou inspeção será realizada no máximo uma vez por ano, exceto quando exigido por uma Autoridade Supervisora ou pelas Leis de Proteção de Dados Aplicáveis;
  6. O Cliente (ou seus auditores, conforme o caso) não terá acesso a outros clientes da Sophos (e suas informações);
  7. exceto quando a auditoria ou inspeção revelar uma falha por parte da Sophos em cumprir suas obrigações materiais sob este DPA, o Cliente deverá reembolsar a Sophos pelos custos e despesas razoáveis incorridos pela Sophos, incluindo quaisquer encargos pelo tempo despendido pela Sophos, seu pessoal e seus consultores profissionais;
  8. O Cliente deverá fornecer à Sophos uma cópia de qualquer relatório de auditoria gerado em conexão com uma auditoria realizada sob esta Seção 5.2, a menos que proibido por lei aplicável;
  9. As informações obtidas na auditoria ou inspeção devem ser consideradas informações confidenciais da Sophos.

6. SUBPROCESSADORES

6.1. A Sophos está geralmente autorizada a usar os Subprocessadores que estão listados em https://www.sophos.com/pt-br/legal/sub-processor (“Lista de Subprocessadores”), bem como as Afiliadas da Sophos. A Sophos pode contratar subprocessadores adicionais (cada um um “Novo Subprocessador”) sujeito aos termos estabelecidos nesta Seção 6.

6.2. A Sophos notificará o Cliente sobre qualquer adição pretendida de Novos Subprocessadores, publicando detalhes dessa adição na Lista de Subprocessadores, enviando um e-mail ao Cliente ou fornecendo um aviso dentro do produto. O Cliente reconhece que qualquer um desses métodos de notificação constitui aviso para fins desta seção.

6.3. Se o Cliente não se opuser por escrito à nomeação de um Novo Subprocessador pela Sophos (com base em motivos razoáveis relacionados à proteção de Dados Pessoais do Controlador) dentro de 30 dias após tal notificação, o Cliente será considerado como tendo consentido com esse Novo Subprocessador. Se o Cliente se opuser, as partes deverão envidar esforços razoáveis para concordar com arranjos alternativos dentro dos trinta (30) dias seguintes. Se as partes não conseguirem chegar a um acordo dentro do prazo mencionado, o Cliente poderá optar por rescindir a parte dos Serviços afetada pelo Novo Subprocessador, mediante notificação por escrito de trinta (30) dias à Sophos, e a Sophos deverá autorizar um reembolso ou crédito proporcional de quaisquer taxas pré-pagas para o período restante após a rescisão.

6.4. A Sophos imporá requisitos de proteção de dados aos Subprocessadores que sejam substancialmente equivalentes aos requisitos previstos por este DPA. A Sophos permanecerá totalmente responsável pelo cumprimento das obrigações de cada Subprocessador.

6.5. Quando a contratação de Subprocessadores exigir uma Transferência Restrita de Dados Pessoais do Controlador, a Sophos implementará e manterá mecanismos de transferência apropriados para garantir a conformidade com as Leis de Proteção de Dados Aplicáveis.

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

7.1. Certos produtos permitem que o Cliente selecione onde hospedar os Dados Pessoais do Controlador para tais produtos, incluindo em centros de dados que podem estar localizados fora da jurisdição de onde os dados se originam. Esses locais podem incluir (a) o Espaço Econômico Europeu, (b) o Reino Unido, (c) os Estados Unidos da América; ou outro local que possa ser especificado no Acordo Principal (“Local de Armazenamento Central”). Para esses produtos, a seleção é feita pelo Cliente no momento da instalação do produto, criação da conta ou primeiro uso do produto relevante. Uma vez selecionado pelo Cliente, o Local de Armazenamento Central não pode ser alterado em uma data posterior.

7.2. O Cliente concorda que, independentemente do Local de Armazenamento Central selecionado (se relevante), a Sophos pode transferir Dados Pessoais do Controlador internacionalmente, sujeito ao cumprimento da legislação de Proteção de Dados aplicável e às disposições deste DPA. Quando a transferência for uma Transferência Restrita, a Sophos implementará e manterá mecanismos de transferência apropriados, como Cláusulas Contratuais Padrão, para garantir a conformidade com as Leis Europeias de Proteção de Dados.

7.3. Na medida em que quaisquer Transferências Restritas ocorram do Cliente para a Sophos:

  1. As Cláusulas Contratuais Padrão estão expressamente incorporadas por referência e fazem parte deste DPA; e
  2. Para os fins das Cláusulas Contratuais Padrão:
    1. Com relação aos Dados Pessoais do Controlador, o Cliente é o exportador de dados e a Sophos é o importador de dados e um Processador.
    2. Quando o Cliente é o Controlador, o Módulo 2 das Cláusulas Contratuais Padrão se aplicará, sujeito aos termos do Anexo 3. Quando o Cliente é um Processador agindo em nome do Controlador, o Módulo 3 das Cláusulas Contratuais Padrão se aplicará, sujeito aos termos do Anexo 3.
    3. A assinatura e a data das partes no Acordo Principal são consideradas como assinatura e data das Cláusulas Contratuais Padrão.

8. DURAÇÃO

8.1. Este DPA começa a vigorar (a) com a execução por ambas as partes do Acordo Principal ou (b) na data em que o Acordo Principal se torna efetivo, se posterior, e continua até o que ocorrer primeiro: (i) a expiração do direito do Cliente de usar e receber os Serviços, conforme indicado no Acordo Principal ou em qualquer direito de licença associado; e (ii) a rescisão do Acordo Principal.

9. OUTRAS REGULAMENTAÇÕES

9.1. Qualquer alteração deste DPA é válida somente se feita por escrito e assinada por ou em nome de cada parte.

9.2. Em nenhuma hipótese a responsabilidade da Sophos para com o Cliente decorrente de, ou em conexão com, este DPA excederá os limites de responsabilidade da Sophos estabelecidos no Acordo Principal. Os limites de responsabilidade da Sophos, conforme estabelecido no Acordo Principal, se aplicarão de forma agregada tanto ao Acordo Principal quanto a este DPA, de modo que um único regime de limitação de responsabilidade se aplicará a ambos, o Acordo Principal e este DPA.

9.3. Este DPA (excluindo as Cláusulas Contratuais Padrão (SCCs)) será regido e interpretado de acordo com as leis da Inglaterra e do País de Gales, sem prejuízo dos princípios de conflito de leis. Na medida permitida pela legislação aplicável, os tribunais da Inglaterra terão jurisdição exclusiva para determinar qualquer disputa ou reclamação que possa surgir de, sob, ou em conexão com este DPA.

9.4. O Acordo Principal, este DPA e os documentos expressamente referenciados no Acordo Principal e neste DPA constituirão o acordo completo entre as partes em relação aos Dados Pessoais coletados, processados e utilizados pela Sophos em conexão com o Acordo Principal, e substituirão todos os acordos, arranjos e entendimentos anteriores entre as partes a respeito desse assunto.

9.5. Na medida de qualquer conflito entre os termos deste DPA e os termos de quaisquer SCCs celebrados pelas partes, os termos dos SCCs aplicáveis (incluindo quaisquer Anexos a eles) terão precedência.

10. MUDANÇAS NA LEI

10.1. Se qualquer emenda a este DPA for necessária em decorrência de uma mudança nas Leis de Proteção de Dados Aplicáveis, então qualquer uma das partes poderá notificar por escrito a outra parte sobre tal mudança. As partes discutirão e negociarão de boa-fé quaisquer variações necessárias a este DPA para abordar tais mudanças. As partes não reterão de forma irrazoável o consentimento ou a aprovação para emendar este DPA de acordo com esta Seção 10 ou de outra forma.

LISTA DE ANEXOS 

Anexo 1 : DETALHES DO PROCESSAMENTO 

Anexo 2 : MEDIDAS TÉCNICAS E ORGANIZACIONAIS 

Anexo 3 : TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRITAS

Anexo (ao Anexo 3) : Apêndice aos SCCs (Módulo 2/Módulo 3): Controlador-Para-Processador/ Processador-Para-Processador 

Anexo 1

DESCRIÇÃO DO PROCESSAMENTO

Este Anexo 1 descreve o processamento que a Sophos realizará como processadora em nome do Cliente.

(a) Assunto do processamento

A Sophos fornece Serviços que são projetados para detectar, prevenir e gerenciar, ou auxiliar a Sophos a detectar, prevenir e gerenciar ameaças de segurança dentro ou contra sistemas, redes, dispositivos, arquivos e outros dados disponibilizados pelo Cliente. O conteúdo de qualquer informação mantida nesses sistemas, redes, dispositivos, arquivos e outros dados é determinado exclusivamente pelo Cliente.

(b) Natureza e finalidade das operações de processamento

  • Fornecer os Serviços de acordo com o Acordo.
  • Os Dados Pessoais do Controlador estarão sujeitos às seguintes atividades básicas de processamento:
    Qualquer operação ou conjunto de operações que é realizada sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais no curso da prestação dos Serviços, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, exclusão ou destruição.
(c) Duração das operações de processamento:

Os Dados Pessoais do Controlador serão processados durante a vigência do Acordo Principal e de acordo com as disposições deste DPA.

(d)Titulares de dados

Os Dados Pessoais do Controlador dizem respeito às seguintes categorias de titulares de dados:

  • Pessoal e usuários finais do Controlador 
  • Outros Titulares de Dados cujos Dados Pessoais são processados em nome do Controlador relacionados aos Serviços
(e) Tipos de dados pessoais

Os Dados Pessoais do Controlador dizem respeito às seguintes categorias de dados:

  • Nomes de usuário e outros identificadores
  •  Informações sobre a rede e a atividade da rede
  • Outras informações que podem ser transmitidas ou processadas em conexão com os Serviços
(f) Categorias especiais de dados (se apropriado)

Os Dados Pessoais do Controlador dizem respeito às seguintes categorias especiais de dados:

O conteúdo de qualquer informação mantida nos sistemas, redes, dispositivos, arquivos e outros dados da Sophos é determinado exclusivamente pelo Cliente. Salvo especificação em contrário, os Serviços da Sophos não são projetados para processar categorias especiais de dados.

Anexo 2

MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Esta visão geral de segurança da informação se aplica aos controles corporativos da Sophos para proteger os Dados Pessoais do Controlador.

Práticas e Políticas de Segurança

A Sophos concorda em implementar salvaguardas físicas, técnicas, administrativas ou organizacionais que se relacionem à proteção desses Dados Pessoais do Controlador contra destruição ou perda acidental ou ilegal, acesso ou alteração dos Dados Pessoais do Controlador em posse ou controle da Sophos. A Sophos manterá políticas e padrões para a proteção dos Dados Pessoais do Controlador que se originam de estruturas padrão da indústria e estabelecem padrões uniformes de segurança e privacidade para as operações da Sophos.

Segurança Organizacional

É responsabilidade dos indivíduos em toda a organização cumprir essas práticas e padrões. Para facilitar a adesão corporativa a essas práticas e padrões, a função de segurança da informação fornece:

  1.  Estratégia e conformidade com políticas/padrões e regulamentos, conscientização e educação, avaliações e gestão de riscos, gestão de requisitos de segurança contratual, consultoria em aplicações e infraestrutura, testes de garantia, e direcionamento da segurança da empresa;
  2. Testes de segurança, design e implementação de soluções de segurança para possibilitar a adoção de controles de segurança em todo o ambiente;
  3. Operações de segurança das soluções de segurança implementadas, do ambiente e dos ativos, e gestão das atividades de resposta a incidentes;

Segurança de Pessoal

Como parte do processo de contratação e sujeito à legislação local, os funcionários passam por um processo de triagem ao serem contratados. O treinamento anual de conformidade da Sophos inclui a exigência de que os funcionários completem um curso online sobre segurança da informação e proteção de dados. O programa de conscientização sobre segurança também pode fornecer materiais específicos para certas funções de trabalho.

Segurança Física e Ambiental

A Sophos toma precauções para garantir que todos os sistemas que hospedam Dados Pessoais do Controlador sejam mantidos em um ambiente fisicamente seguro para prevenir o acesso físico não autorizado, e que as restrições de acesso em locais físicos que contêm Dados Pessoais do Controlador, como edifícios, instalações de computação e instalações de armazenamento de registros, sejam projetadas e implementadas para permitir o acesso apenas a indivíduos autorizados, e para detectar qualquer acesso não autorizado que possa ocorrer, incluindo, sem limitação, controles de acesso por crachá, restrições de acesso a áreas sensíveis, alarmes de instalação, bem como registro e registros de visitantes.

Comunicações e Gestão de Operações

A Sophos gerencia mudanças em sua infraestrutura, sistemas e aplicações por meio de um programa formal de gerenciamento de mudanças projetado para garantir a integridade e segurança dos Dados Pessoais do Controlador. Os controles incluem testes, análise de impacto nos negócios e aprovação da gestão quando apropriado. Procedimentos de resposta a incidentes existem para incidentes de segurança e proteção de dados, que podem incluir análise de incidentes, contenção, resposta, remediação, relatórios e retorno às operações normais.

Para proteger contra ataques cibernéticos, controles adicionais podem ser implementados com base no risco. Esses controles podem incluir, mas não se limitam a, políticas e padrões de segurança da informação, acesso restrito, autenticação multifatorial, ambientes designados para desenvolvimento e teste, detecção de malware; varredura de tráfego de e-mail e web; detecção e resposta gerenciadas, registro e alerta sobre eventos-chave, procedimentos de manuseio de informações com base no tipo de dado, bem como varredura de vulnerabilidades de sistemas e aplicações.

Controles de Acesso

A Sophos mantém medidas e procedimentos de segurança apropriados para garantir que o acesso a todos os sistemas que hospedam Dados Pessoais do Controlador seja protegido por meio do uso de sistemas de controle de acesso que identificam exclusivamente cada indivíduo que requer acesso, concedem acesso apenas a indivíduos autorizados e, com base no princípio do menor privilégio, previnem que pessoas não autorizadas ganhem acesso aos Dados Pessoais do Controlador, limitam e controlam adequadamente o escopo de acesso concedido a qualquer pessoa autorizada e registram todos os eventos de acesso relevantes.

Controles de Subcontratados

A Sophos será responsável por garantir que seus subcontratados que processam Dados Pessoais do Controlador mantenham programas de segurança de dados que sejam pelo menos tão rigorosos quanto os próprios programas da Sophos em relação ao serviço aplicável para o qual tal subcontratado foi contratado, e de acordo com padrões e práticas da indústria geralmente aceitos. A Sophos manterá um programa de gerenciamento de riscos focado na identificação, avaliação e validação dos controles de segurança de um fornecedor.

Desenvolvimento e Manutenção de Sistemas

Vulnerabilidades de terceiros divulgadas publicamente são revisadas quanto à aplicabilidade no ambiente da Sophos. Com base no risco para os negócios e clientes da Sophos, existem prazos pré-determinados para remediação. Além disso, varreduras de vulnerabilidades e avaliações são realizadas em novas e principais aplicações, bem como na infraestrutura, com base no risco. Revisões de código e scanners são utilizados no ambiente de desenvolvimento antes da produção para detectar proativamente vulnerabilidades de codificação com base no risco. Esses processos permitem a identificação proativa de vulnerabilidades, bem como a conformidade.

Conformidade

Os departamentos de segurança da informação, jurídico, privacidade e conformidade trabalham para identificar as leis e regulamentos regionais aplicáveis à Sophos. Esses requisitos abrangem áreas como propriedade intelectual da empresa e de nossos clientes, licenças de software, proteção de dados pessoais de funcionários e clientes, proteção de dados e procedimentos de manuseio de dados, transmissão de dados transfronteiriços, procedimentos financeiros e operacionais, controles de exportação regulatórios em torno da tecnologia e requisitos forenses. Mecanismos como o programa de segurança da informação, auditorias/avaliações internas e externas, consulta a assessores jurídicos internos e externos, avaliação de controles internos, testes de penetração internos e avaliações de vulnerabilidade, gestão de contratos, conscientização sobre segurança, consultoria em segurança, revisões de exceções de políticas e gestão de riscos se combinam para impulsionar a conformidade com esses requisitos.

Anexo 3

TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRITAS 

Este Anexo 3 inclui termos adicionais aplicáveis a Transferências Restritas, bem como as informações necessárias para completar os Apêndices (Anexos I – III) das Cláusulas Contratuais Padrão aplicáveis.

1. Quando o Cliente é um Controlador em relação aos Dados Pessoais do Controlador, o Módulo 2 das Cláusulas Contratuais Padrão se aplicará, sujeito aos termos deste Anexo 3.

2. Quando o Cliente é um Processador atuando em nome de um Controlador em relação aos Dados Pessoais do Controlador, o Módulo 3 das Cláusulas Contratuais Padrão se aplicará, sujeito aos termos deste Anexo 3.

3. Para os fins das Cláusulas Contratuais Padrão da UE:

3.1 Cláusula 7: a cláusula de anexo opcional não se aplicará;

3.2 Cláusula 9(a): a opção 2 (Autorização Geral) se aplicará e o importador de dados deverá notificar o exportador de dados por escrito com pelo menos 30 dias de antecedência sobre quaisquer mudanças pretendidas.

3.3 Cláusula 11: a linguagem opcional não se aplicará.

3.4 Cláusula 17: as Cláusulas Contratuais Padrão da UE serão regidas pelas leis da República da Irlanda;

3.5 Cláusula 18: disputas serão resolvidas perante os tribunais da República da Irlanda;

3.6 O Apêndice das Cláusulas Contratuais Padrão da UE será preenchido com as informações do Anexo ao Anexo 3.

4. Para os fins do Adendo do Reino Unido, o seguinte se aplicará

4.1 Os detalhes das Partes relevantes para a Tabela 1 estão conforme estabelecidos no Anexo I do Anexo ao Anexo 3;

4.1 Para os fins da Tabela 2, o Adendo do Reino Unido será anexado às Cláusulas Contratuais Padrão da UE com as mesmas opções e prazos mencionados acima; 

4.3 As informações do apêndice listadas na Tabela 3 devem ser preenchidas com as informações do Anexo I e do Anexo II do Anexo ao Anexo 3.

5. Para os fins dos SCCs suíços, os SCCs da UE se aplicarão da seguinte forma: 

5.1 Quaisquer referências nos SCCs da UE ao GDPR devem ser interpretadas como referências à DPA suíça;

5.2 Referências a “UE”, “União”, “Estado Membro” e “lei do Estado Membro” devem ser interpretadas como referências à Suíça e à lei suíça, conforme o caso; 

5.3 Referências à “autoridade supervisora competente” e “tribunais competentes” devem ser interpretadas como referências ao FDPIC e aos tribunais competentes na Suíça;

5.4 Os Anexos relevantes dos SCCs suíços devem ser preenchidos com as informações do Anexo ao Anexo 3.

 

Anexo ao Anexo 3 

APÊNDICE DOS SCCS 

MÓDULO 2 ou MÓDULO 3 (conforme aplicável) 

ANEXO I 

A. LISTA DE PARTES 

1. Exportador(es) de dados:

Nome:Conforme fornecido à Sophos sob o Acordo Principal
Endereço:Conforme fornecido à Sophos sob o Acordo Principal
Nome, cargo e detalhes de contato da pessoa de contato:Conforme fornecido à Sophos sob o Acordo Principal
Atividades relevantes para os dados transferidos sob estes SCCs:A compra de Produtos conforme estabelecido no Acordo Principal
Função:Controlador (quando o Cliente é o Usuário Final) ou Processador (quando
o Cliente é um MSP ou OEM)

Assinatura e Data do Exportador de Dados : Data e assinatura conforme estabelecido no Acordo Principal 

 

2. Importador(es) de Dados: 

Nome:Sophos 
Endereço:The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Nome, cargo e detalhes de contato:Consultor de Privacidade em [email protected] 
Atividades relevantes para os dados transferidos sob estes SCCs:O fornecimento de Produtos conforme estabelecido no Acordo Principal
Função: Processador

Assinatura e Data do Importador de Dados : Data e assinatura conforme estabelecido no Acordo Principal 

B. DESCRIÇÃO DA TRANSFERÊNCIA 

Categorias de titulares de dados cujos dados pessoais são transferidos:
  • Conforme estabelecido no Anexo 1.

Categorias de dados pessoais transferidos:

  • Conforme estabelecido no Anexo 1.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que considerem plenamente a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita de finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais:

  • Conforme estabelecido no Anexo 1. Se algum dado sensível for transferido, consulte o Anexo 2 para quaisquer restrições aplicadas.

A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua):

  • Contínuo.

Natureza do processamento:

  • Conforme estabelecido no Anexo 1.

Finalidade(s) da transferência de dados e do processamento adicional:

  • Conforme estabelecido no Anexo 1.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios utilizados para determinar esse período:

  • Conforme estabelecido no Anexo 1.

Para transferências a (sub-)processadores, também especifique o assunto, a natureza e a duração do processamento:

  • Conforme estabelecido no Anexo 1.

C. AUTORIDADE SUPERVISORA COMPETENTE 

A autoridade supervisora competente é a autoridade supervisora do Estado Membro onde o exportador de dados está estabelecido ou conforme determinado de outra forma de acordo com o GDPR.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Conforme estabelecido no Anexo 2 do DPA. 

ANEXO III – LISTA DE SUB-PROCESSADORES 

Não se aplica, pois as partes concordaram com a autorização geral para o uso de Sub-Processadores.


Data da Revisão: 1 de julho de 2026