NOTA: Esta tradução foi gerada automaticamente e é fornecida apenas para sua conveniência. Essa tradução gerada automaticamente não é comparável à qualidade de uma tradução humana e pode conter erros. Esta tradução é fornecida “NO ESTADO EM QUE SE ENCONTRA” e sem qualquer garantia quanto à precisão, integridade ou confiabilidade da tradução. Em caso de discrepâncias entre a versão em inglês deste contrato e a versão traduzida para um idioma estrangeiro, somente a versão em inglês será considerada válida.
ADENDO DE PROCESSAMENTO DE DADOS
Este Adendo de Processamento de Dados (“DPA”) faz parte e está expressamente incorporado ao contrato celebrado entre a Sophos e o Cliente para o fornecimento pela Sophos ao Cliente de determinados produtos e/ou serviços (“Contrato Principal”). A menos que definido de outra forma, todos os termos em maiúsculas terão os significados dados na Seção 1 abaixo.
1.DEFINIÇÕES
1.1 Neste DPA, os seguintes termos terão os seguintes significados:
“Afiliado” significa, com relação a cada parte, uma entidade que controla, é controlada ou está sob controle comum com essa parte. Para os fins desta definição, “controle” significa a propriedade efetiva de mais de cinquenta por cento (50%) do poder de voto ou patrimônio de uma entidade ou o direito contratual ou legal de dirigir a gestão dessa entidade;
“Leis de proteção de dados aplicáveis” significam todas as leis e regulamentos aplicáveis ao processamento de dados pessoais do controlador de acordo com o Contrato Principal, incluindo, quando relevante, o GDPR, a Lei de Proteção de Dados do Reino Unido e a CCPA
“Beneficiário” tem o significado que lhe é atribuído no Contrato MSP.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia (conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020), codificada em Cal. Civ. Código § 1798.100 - 1798.199.100 e os Regulamentos da Lei de Privacidade do Consumidor da Califórnia emitidos nele, Cal. Code Regs. tit. 11, div. 6, ch. 1, cada uma conforme emendada;
“Controlador” significa: (a) o Cliente, se o Cliente for um Usuário Final; (b) o Beneficiário, se o Cliente for um MSP; ou (c) o Cliente Final, se o Cliente for um OEM;
“Dados Pessoais do Controlador” significa os Dados Pessoais que a Sophos processa em nome do Controlador como parte do fornecimento dos Serviços;
“Cliente” significa: (1) o provedor de serviços gerenciados ou o provedor de serviços de segurança gerenciados (cada um denominado “MSP”) se o Contrato Principal for entre a Sophos e um MSP (“Contrato MSP”), (2) o fabricante original do equipamento (“OEM”) se o Contrato Principal for com um OEM autorizado a distribuir, sublicenciar ou disponibilizar a terceiros produtos Sophos em combinação com seus produtos como parte de uma unidade integrada (“Contrato OEM”); (3) o usuário final (“Usuário final”), se o Contrato Principal for diretamente com o cliente;
“Titular dos dados” significa o indivíduo a quem os Dados Pessoais do Controlador se referem;
“Solicitações de titulares de dados” significam quaisquer solicitações de titulares de dados que exerçam direitos de acordo com as leis de proteção de dados aplicáveis;
“EEA” significa o Espaço Econômico Europeu, incluindo os estados membros da União Europeia;
“Cliente final” tem o significado que lhe é atribuído no Contrato OEM;
“SCCs da UE” significa as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros, de acordo com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, aprovado pela decisão de execução (UE) 2021/914 da Comissão Europeia, de 4 de junho de 2021;
“GDPR” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679, conforme alterado de tempos em tempos;
“Dados pessoais” significa “dados pessoais” ou “informações pessoais”, conforme esses termos são definidos nas Leis de Proteção de Dados Aplicáveis, e incluem qualquer informação relacionada a um indivíduo ou família identificado ou identificável;
“Violação de dados pessoais” significa uma violação de segurança (exceto causada pelo Cliente ou seus usuários) que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Controlador;
“Processador” significa uma pessoa ou entidade que processa dados pessoais em nome e sob as instruções de um controlador, incluindo qualquer entidade atuando como “prestadora de serviços” de acordo com a CCPA;
“Transferência restrita” significa uma transferência de dados pessoais para um terceiro país onde tal transferência seria proibida pela Lei Europeia de Proteção de Dados na ausência de mecanismos de transferência apropriados, como regras corporativas vinculativas ou cláusulas contratuais padrão;
“Serviços” significa quaisquer produtos fornecidos e/ou serviços executados pela Sophos de acordo com o Contrato Principal;
“Sophos” significa Sophos Limited, uma empresa registrada na Inglaterra e no País de Gales, número 2096520 com sede no Pentágono, Abingdon, OX14 3YP, Reino Unido;
“Cláusulas contratuais padrão” ou “SCCs” significam: (i) quando o GDPR se aplica a uma transferência restrita, os SCCs da UE; (ii) quando a Lei de Proteção de Dados do Reino Unido se aplica a uma transferência restrita, o Adendo do Reino Unido; e (iii) quando o DPA suíço se aplica a uma transferência restrita, os SCCs suíços;
“Subprocessador” significa qualquer entidade designada pela Sophos para realizar atividades de processamento de dados relacionadas aos Dados Pessoais do Controlador;
“Autoridade Supervisora” significa a autoridade reguladora competente em relação às Leis de Proteção de Dados Aplicáveis, incluindo, quando aplicável, uma autoridade supervisora conforme definido no GDPR;
“DPA suíço” significa a Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2020, conforme alterada de tempos em tempos;
“SCCs suíças” significam as cláusulas padrão de proteção de dados aplicáveis para a transferência de dados pessoais para países terceiros emitidas, aprovadas ou reconhecidas de outra forma pelo Comissário Federal Suíço de Proteção e Informação de Dados (“FDPIC”);
“País terceiro” significa um país fora do EEE, do Reino Unido (“Reino Unido”) ou da Suíça que não foi designado pela Comissão Europeia ou por órgão ou pessoa equivalente na Suíça ou no Reino Unido como garantindo um nível adequado de proteção de acordo com as leis de proteção de dados do EEE, do Reino Unido ou da Suíça (“Lei Europeia de Proteção de Dados”);
“Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados às SCCs da UE, emitido pelo Gabinete do Comissário da Informação do Reino Unido e apresentado ao Parlamento de acordo com o S119a da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022;
“Lei de Proteção de Dados do Reino Unido” significa a Lei de Proteção de Dados do Reino Unido de 2018 e o GDPR, conforme retidos na legislação do Reino Unido em virtude da Seção 3 da Lei da União Europeia (Retirada) do Reino Unido de 2018, ambas alteradas de tempos em tempos.
1.2. Neste DPA, os termos minúsculos “controlador”, “processador”, “titular dos dados”, “dados pessoais” e “processamento” (e seus derivados) terão os significados dados na Lei de Proteção de Dados Aplicável.
1.3. Os termos em maiúsculas não definidos de outra forma neste DPA terão o significado atribuído a eles no Contrato Principal.
2. ESCOPO
- 2.1. Este DPA se aplica quando a Sophos processa os Dados Pessoais do Controlador em nome do Cliente como parte do fornecimento dos Serviços. O assunto e a duração do processamento dos Dados Pessoais do Controlador pela Sophos, a natureza e a finalidade do processamento, os tipos de Dados Pessoais do Controlador a serem processados e as categorias de titulares dos dados serão os descritos em: (a) este DPA; (b) o Contrato Principal; (c) Anexo 1 (Detalhes do processamento de dados); e (d) as instruções do Cliente emitidas de acordo com a Seção 4 abaixo.
- 2.2. O Cliente é responsável por garantir que o Controlador (a) tenha uma base legal para o processamento dos Dados Pessoais do Controlador que serão realizados pela Sophos em nome do Cliente e (b) tenha obtido todos os consentimentos necessários dos titulares dos dados que possam ser necessários para o processamento dos Dados Pessoais do Controlador pelo Cliente e pela Sophos; e (c) esteja em conformidade e garantirá que suas instruções à Sophos para o processamento dos Dados Pessoais do Controlador estejam em conformidade em todos os aspectos, com as Leis de Proteção de Dados Aplicáveis.
- 2.3. As partes concordam que, com relação aos Dados Pessoais do Controlador, a Sophos é uma Processadora ou subprocessadora, e o Cliente é (a) o Controlador, onde o Cliente é um Usuário Final, ou (b) um Processador, para o Beneficiário ou o Cliente Final, onde o Cliente é um MSP ou OEM, respectivamente.
3. INSTRUÇÕES DO CLIENTE
- 3.1. O Cliente instrui a Sophos a processar os Dados Pessoais do Controlador conforme razoavelmente necessário para fornecer e executar os Serviços e conforme estabelecido de outra forma neste DPA e no Contrato Principal (“Instruções ao Cliente”). A Sophos processará os Dados Pessoais do Controlador de acordo com as Instruções do Cliente, exceto (a) quando acordado por escrito entre a Sophos e o Cliente; ou (b) conforme exigido por qualquer lei à qual a Sophos esteja sujeita (nesse caso, a Sophos informará o Cliente sobre essa exigência legal antes de qualquer processamento, a menos que essa lei proíba o fornecimento de tais informações por motivos importantes de interesse público). Quando o Cliente atua como Processador em relação aos Dados Pessoais do Controlador, o Cliente deve garantir que as Instruções do Cliente tenham sido autorizadas pelo Controlador relevante e não entrem em conflito com nenhuma instrução emitida por esse Controlador.
- 3.2. Se a Sophos tomar conhecimento de que as Instruções do Cliente violam as Leis de Proteção de Dados Aplicáveis, ela informará imediatamente o Cliente sobre as mesmas e suspenderá o processamento dos Dados Pessoais do Controlador.
- 3.3. Sem limitar o exposto acima, na medida em que a CCPA se aplica aos Dados Pessoais do Controlador, a Sophos concorda ainda que:
A Sophos não usará, divulgará ou processará os Dados Pessoais do Controlador, exceto para o propósito comercial específico de realizar os Serviços, de acordo com os termos deste DPA e do Contrato Principal, e conforme autorizado pelas leis aplicáveis;
- a. A Sophos pode contratar Subprocessadores para processar Dados Pessoais do Controlador, de acordo com os termos da Seção 7, e tal contratação não será considerada uma venda de Dados Pessoais do Controlador;
- b. A Sophos não processará os Dados Pessoais do Controlador fora da relação comercial direta entre o Cliente e a Sophos ou para fins comerciais da Sophos;
- c. A Sophos não “compartilhará” ou “venderá” (conforme esses termos são definidos na CCPA) quaisquer Dados Pessoais do Controlador;
- d. A Sophos cumprirá suas obrigações de acordo com a CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pela CCPA;
- e. Se a Sophos acreditar que não conseguirá cumprir os termos da CCPA, a Sophos notificará imediatamente o Cliente e concederá ao Cliente o direito de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais do Controlador sejam processados de forma consistente com as obrigações do Controlador nos termos da CCPA;
- f. A Sophos não reterá os Dados Pessoais do Controlador após a expiração ou rescisão do Contrato Principal, exceto conforme estabelecido na Seção 4.6.
- g. A Sophos certifica que compreende e cumprirá as obrigações estabelecidas na Seção 3.3.
4. OBRIGAÇÕES DA SOPHOS
- 4.1. Cooperação. Levando em conta a natureza do processamento dos Dados Pessoais do Controlador, a Sophos fornecerá ao Cliente (ou, se o Cliente for um MSP ou OEM, ao Controlador) a assistência razoável necessária para: (i) responder às solicitações dos titulares dos dados que exercem seus direitos de acordo com as Leis de Proteção de Dados Aplicáveis (incluindo notificar o Cliente quando receber tais solicitações, desde que não responda sozinha, a menos que tenha sido autorizado pelo Cliente), (ii) realizar avaliações de impacto sobre a proteção de dados ou outras avaliações que devam ser conduzido pelas Leis de Proteção de Dados Aplicáveis; e (iii) consultar e cooperar com as Autoridades Supervisoras conforme exigido pelas Leis de Proteção de Dados aplicáveis. A Sophos se reserva o direito de cobrar por tal assistência se o custo da assistência exceder um valor nominal.
- 4.2. Solicitações de terceiros. A menos que seja proibido por lei, a Sophos notificará o Cliente sobre qualquer solicitação de privacidade, correspondência, consulta ou reclamação que receber de uma Autoridade Supervisora, autoridade judicial ou agência de aplicação da lei em conexão com o processamento dos Dados Pessoais do Controlador (“Solicitação de Terceiros”), fornecendo detalhes completos dos mesmos. A Sophos não responderá diretamente à Solicitação de Terceiros, exceto (1) nas instruções escritas do Cliente ou (2) conforme exigido pelas leis aplicáveis.
- 4.3. Confidencialidade. Todo o pessoal da Sophos que processa os Dados Pessoais do Controlador deve ser adequadamente treinado com relação às suas obrigações de proteção de dados, segurança e confidencialidade, e estará sujeito a obrigações de confidencialidade por escrito ou estatutárias.
- 4.4. Segurança A Sophos implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco e proteger os Dados Pessoais do Controlador contra uma violação de dados pessoais. Essas medidas levarão em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas físicas, a fim de garantir um nível de segurança adequado ao risco. Em particular, as medidas tomadas pela Sophos devem incluir aquelas descritas no Anexo 2 deste DPA.
- 4.5. Violação de dados pessoais. Ao confirmar a ocorrência de qualquer violação de dados pessoais, a Sophos informará o Cliente sem demora injustificada e fornecerá todas as informações e a cooperação oportunas que o Cliente possa razoavelmente exigir para que o Cliente (e, se o Cliente for um MSP ou OEM, seu Controlador) cumpra suas obrigações de comunicação de violação de dados de acordo com (e de acordo com os prazos exigidos pela) Lei de Proteção de Dados Aplicável. Além disso, a Sophos tomará as medidas e ações razoavelmente necessárias para remediar ou mitigar os efeitos da violação de dados pessoais e manterá o cliente informado sobre os desenvolvimentos relacionados à violação de dados pessoais.
- 4.6. Fim dos serviços. Ao final da prestação dos Serviços ou mediante solicitação por escrito do Cliente, a Sophos excluirá os Dados Pessoais do Controlador dentro de um prazo razoável após o término dos Serviços ou da solicitação, a menos que seja exigido pela lei aplicável, ou exigido para cumprir com a exigência judicial ou de conformidade. Se a Sophos for obrigada a reter quaisquer Dados Pessoais do Controlador, a Sophos tomará medidas para garantir a confidencialidade e a segurança contínuas dos Dados Pessoais do Controlador pelo tempo em que forem retidos.
5. DIREITOS DE AUDITORIA DO CLIENTE
- 5.1 O Cliente reconhece que a Sophos é regularmente auditada de acordo com os padrões SSAE 18 SOC 2 por auditores terceirizados independentes. Mediante solicitação razoável, a Sophos fornecerá uma cópia de seu relatório de auditoria SOC 2 ao Cliente, cujos relatórios estarão sujeitos às disposições de confidencialidade do Contrato Principal como informações confidenciais da Sophos. A Sophos também responderá às perguntas razoáveis de auditoria por escrito enviadas pelo Cliente, desde que o Cliente não exerça esse direito mais de uma vez por ano.
- 5.2 Se, na opinião razoável do Cliente, os materiais fornecidos na Seção 5.1 forem insuficientes para demonstrar a conformidade da Sophos com este DPA, o Cliente poderá solicitar por escrito que a Sophos disponibilize ao Cliente todas as informações razoavelmente necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e permitir e contribuir com auditorias, incluindo inspeções, pelo Cliente ou pelo auditor terceirizado independente do Cliente, sempre sujeito às seguintes disposições:
- a. antes de solicitar uma revisão ou auditoria de acordo com esta Seção 5.2, o Cliente levará em consideração as certificações e auditorias relevantes de terceiros da Sophos descritas na Seção 5.1;
- b. O Cliente notificará a Sophos com antecedência razoável, com pelo menos 30 dias de antecedência, de uma solicitação para realizar uma auditoria ou inspeção nos termos desta Seção 5.2, fornecendo o escopo proposto, a duração e a data de início da auditoria;
- c. quando um auditor terceirizado conduz a auditoria, esse auditor terceirizado deve ser um profissional ou empresa confiável e bem estabelecido, estar sujeito às obrigações de confidencialidade apropriadas e não ser um concorrente do Fornecedor;
- d. O Cliente conduzirá (e garantirá que seus auditores) conduzirão tal auditoria ou inspeção durante o horário comercial normal da Sophos, com o mínimo de interrupção nas atividades comerciais;
- e. uma auditoria ou inspeção será realizada no máximo uma vez por ano, exceto quando exigido por uma autoridade supervisora ou pelas leis de proteção de dados aplicáveis;
- f. O cliente (ou seus auditores, conforme o caso) não terá acesso aos outros clientes da Sophos (e suas informações);
- g. exceto quando a auditoria ou inspeção revelar uma falha por parte da Sophos em cumprir suas obrigações materiais nos termos deste DPA, o Cliente reembolsará a Sophos pelos custos e despesas razoáveis incorridos pela Sophos, incluindo quaisquer encargos pelo tempo gasto pela Sophos, seu pessoal e seus consultores profissionais;
- h. O Cliente deverá fornecer à Sophos uma cópia de qualquer relatório de auditoria gerado em conexão com uma auditoria realizada de acordo com esta Seção 5.2, a menos que seja proibido pela lei aplicável;
- i. As informações obtidas na auditoria ou inspeção devem ser consideradas informações confidenciais da Sophos.
6. SUBPROCESSADORES
- 6.1. A Sophos geralmente está autorizada a usar os subprocessadores listados em https://www.sophos.com/en-us/legal/sub-processor (“Lista de subprocessadores”), bem como os afiliados da Sophos. A Sophos pode contratar subprocessadores adicionais (cada um deles um “Novo Subprocessador”), sujeitos aos termos estabelecidos nesta Seção 6.
- 6.2. A Sophos notificará o Cliente sobre qualquer adição pretendida de novos subprocessadores publicando detalhes dessa adição na Lista de Subprocessadores e enviando um e-mail para o Cliente.
- 6.3. Se o Cliente não se opuser por escrito à nomeação de um Novo Subprocessador pela Sophos (por motivos razoáveis relacionados à proteção dos Dados Pessoais do Controlador) dentro de 30 dias de tal notificação, considerar-se-á que o Cliente consentiu com esse Novo Subprocessador. Se o Cliente se opuser, as partes envidarão esforços razoáveis para acordar acordos alternativos dentro dos próximos trinta (30) dias. Se as partes não chegarem a um acordo dentro desse prazo, o Cliente poderá optar por rescindir a parte dos Serviços afetada pelo Novo Subprocessador mediante notificação por escrito de trinta (30) dias à Sophos e a Sophos autorizará um reembolso proporcional ou crédito de quaisquer taxas pré-pagas pelo período restante após a rescisão.
- 6.4. A Sophos imporá requisitos de proteção de dados aos subprocessadores que sejam substancialmente equivalentes aos requisitos previstos por este DPA. A Sophos permanecerá totalmente responsável pelo desempenho das obrigações de cada subprocessador.
- 6.5. Quando a contratação de subprocessadores exigir uma transferência restrita de dados pessoais do controlador, a Sophos implementará e manterá mecanismos de transferência apropriados para garantir a conformidade com as leis de proteção de dados aplicáveis.
7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
- 7.1. Certos produtos permitem que o Cliente selecione onde hospedar os Dados Pessoais do Controlador para tais produtos, inclusive em data centers que podem estar localizados fora da jurisdição na qual os dados se originam. Esses locais podem incluir (a) o Espaço Econômico Europeu, (b) o Reino Unido, (c) os Estados Unidos da América; ou outro local conforme especificado no Contrato Principal (“Local de Armazenamento Central”). Para esses produtos, a seleção é feita pelo Cliente no momento da instalação do produto, criação da conta ou primeiro uso do produto relevante. Uma vez selecionado pelo Cliente, o Local de Armazenamento Central não pode ser alterado em uma data posterior.
- 7.2. O Cliente concorda que, independentemente do Local de Armazenamento Central selecionado (se relevante), a Sophos pode transferir Dados Pessoais do Controlador internacionalmente, sujeito à conformidade com a Lei de Proteção de Dados aplicável e as disposições deste DPA. Quando a transferência for restrita, a Sophos implementará e manterá mecanismos de transferência apropriados, como cláusulas contratuais padrão, para garantir a conformidade com as leis europeias de proteção de dados.
- 7.3 Na medida em que quaisquer transferências restritas ocorram do Cliente para a Sophos:
- 7.3.1. As cláusulas contratuais padrão são expressamente incorporadas aqui por referência e fazem parte deste DPA; e
- 7.3.2. Para os fins das Cláusulas Contratuais Padrão:
- 7.3.4. Com relação aos Dados Pessoais do Controlador, o Cliente é o exportador de dados e a Sophos é a importadora de dados e a Processadora.
- 7.3.5. Quando o Cliente for o Controlador, o Módulo 2 das Cláusulas Contratuais Padrão será aplicado, sujeito aos termos do Anexo 4. Quando o Cliente for um Processador agindo em nome do Controlador, o Módulo 3 das Cláusulas Contratuais Padrão será aplicado, sujeito aos termos do Anexo 4.
- 7.3.6. A assinatura e a data do Contrato Principal pelas partes são consideradas assinatura e datação das Cláusulas Contratuais Padrão.
8. DURAÇÃO
- 8.1. Este DPA começa com (a) a execução por ambas as partes do Contrato Principal ou (b) a data em que o Contrato Principal entra em vigor, se for posterior, e continua até a data anterior: (i) a expiração do direito do Cliente de usar e receber os Serviços, conforme indicado no Contrato Principal ou em qualquer direito de licença associado; e (ii) a rescisão do Contrato Principal.
9. OUTROS REGULAMENTOS
- 9.1. Qualquer alteração deste DPA é válida somente se for feita por escrito e assinada por ou em nome de cada parte.
- 9.2. Em nenhum caso, a responsabilidade da Sophos perante o Cliente em relação a qualquer problema decorrente ou relacionado a este DPA excederá as limitações de responsabilidade da Sophos estabelecidas no Contrato Principal. As limitações de responsabilidade da Sophos, conforme estabelecidas no Contrato Principal, devem ser aplicadas de forma agregada ao Contrato Principal e a este DPA, de modo que uma única limitação ao regime de responsabilidade seja aplicada tanto no Contrato Principal quanto neste DPA.
- 9.3. Este DPA (excluindo os SCCs) deve ser regido e interpretado de acordo com as leis da Inglaterra e do País de Gales, sem levar em conta os princípios de conflito de leis. Na medida permitida pela lei aplicável, os tribunais da Inglaterra terão jurisdição exclusiva para determinar qualquer disputa ou reclamação que possa surgir de, sob ou em conexão com este DPA.
- 9.4. O Contrato Principal, este DPA e os documentos expressamente mencionados no Contrato Principal e neste DPA constituirão o acordo integral entre as partes em relação aos Dados Pessoais coletados, processados e usados pela Sophos em conexão com o Contrato Principal e substituirão todos os acordos, arranjos e entendimentos anteriores entre as partes em relação a esse assunto.
- 9.5. Na medida de qualquer conflito com os termos deste DPA e os termos de quaisquer SCCs celebrados pelas partes, os termos dos SCCs aplicáveis (incluindo quaisquer anexos aos mesmos) prevalecerão.
10. MUDANÇAS NA LEI
- 10.1. Se qualquer emenda a este DPA for necessária como resultado de uma alteração nas leis de proteção de dados aplicáveis, qualquer uma das partes poderá notificar por escrito a outra parte sobre tal alteração. As partes discutirão e negociarão de boa fé quaisquer variações necessárias deste DPA para lidar com tais mudanças. As partes não negarão injustificadamente o consentimento ou a aprovação para alterar este DPA de acordo com esta Seção 10 ou de outra forma.
LISTA DE EXPOSIÇÕES
Anexo 1: DETALHES DO PROCESSAMENTO
Anexo 2: MEDIDAS TÉCNICAS E ORGANIZACIONAIS
Anexo 3: TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRITAS
Anexo (ao Anexo 3): Apêndice aos SCCs (Módulo 2/Módulo 3): Controlador para processador/processador para processador
Exposição 1
DESCRIÇÃO DO PROCESSAMENTO
Este Anexo 1 descreve o processamento que a Sophos realizará como processadora em nome do Cliente.
(a) Objeto do processamento
A Sophos fornece Serviços que são projetados para detectar, prevenir e gerenciar ou ajudar a Sophos a detectar, prevenir e gerenciar ameaças de segurança dentro ou contra sistemas, redes, dispositivos, arquivos e outros dados disponibilizados pelo Cliente. O conteúdo de qualquer informação contida nesses sistemas, redes, dispositivos, arquivos e outros dados é determinado exclusivamente pelo Cliente.
(b) Natureza e finalidade das operações de processamento
- Fornecendo os Serviços nos termos e de acordo com o Contrato. Os Dados Pessoais do Controlador estarão sujeitos às seguintes atividades básicas de processamento:
- Qualquer operação ou conjunto de operações que seja realizado em Dados Pessoais ou em conjuntos de Dados Pessoais durante o fornecimento dos Serviços, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.
(c) Duração das operações de processamento:
Os Dados Pessoais do Controlador serão processados durante a vigência do Contrato Principal e de acordo com as disposições deste DPA.
(d) Titulares dos dados
Os Dados Pessoais do Controlador dizem respeito às seguintes categorias de titulares de dados:
- Pessoal e usuários finais do Controller
- Outros titulares de dados cujos dados pessoais são processados em nome do Controlador relacionados aos Serviços
(e) Tipos de dados pessoais
Os Dados Pessoais do Controlador dizem respeito às seguintes categorias de dados:
- Nomes de usuário e outros identificadores
- Informações sobre a rede e a atividade da rede
- Outras informações que podem ser transmitidas ou processadas em conexão com os Serviços
(f) Categorias especiais de dados (se apropriado)
Os Dados Pessoais do Controlador dizem respeito às seguintes categorias especiais de dados:
O conteúdo de qualquer informação contida nos sistemas, redes, dispositivos, arquivos e outros dados da Sophos é determinado exclusivamente pelo Cliente. Salvo indicação em contrário, os Serviços da Sophos não são projetados para processar categorias especiais de dados.
Exposição 2
MEDIDAS TÉCNICAS E ORGANIZACIONAIS
Esta visão geral da segurança da informação se aplica aos controles corporativos da Sophos para proteger os Dados Pessoais do Controlador.
Práticas e políticas de segurança
A Sophos concorda em implementar salvaguardas físicas, técnicas, administrativas ou organizacionais relacionadas à proteção desses Dados Pessoais do Controlador contra destruição acidental ou ilegal, perda, acesso ou alteração dos Dados do Controlador em posse ou controle da Sophos. A Sophos manterá políticas e padrões para a proteção dos Dados Pessoais do Controlador que se originem de estruturas padrão do setor e estabelecerá padrões uniformes de segurança e privacidade para as operações da Sophos.
Segurança organizacional
É responsabilidade dos indivíduos em toda a organização cumprir essas práticas e padrões. Para facilitar a adesão corporativa a essas práticas e padrões, a função de segurança da informação fornece:
1. Estratégia e conformidade com políticas/padrões e regulamentações, conscientização e educação, avaliações e gerenciamento de riscos, gerenciamento de requisitos de segurança de contratos, consultoria de aplicativos e infraestrutura, testes de garantia e orienta a direção de segurança da empresa;
2. Teste de segurança, projeto e implementação de soluções de segurança para permitir a adoção de controles de segurança em todo o ambiente;
3. Operações de segurança de soluções de segurança implementadas, meio ambiente e ativos e gerenciamento de atividades de resposta a incidentes;
Segurança de pessoal
Como parte do processo de contratação e sujeito à legislação local, os funcionários passam por um processo de seleção na contratação. O treinamento anual de conformidade da Sophos inclui a exigência de que os funcionários concluam um curso on-line sobre segurança da informação e proteção de dados. O programa de conscientização sobre segurança também pode fornecer materiais específicos para determinadas funções de trabalho.
Segurança física e ambiental
A Sophos toma precauções para garantir que todos os sistemas que hospedam os Dados Pessoais do Controlador sejam mantidos em um ambiente fisicamente seguro para evitar o acesso físico não autorizado e que as restrições de acesso em locais físicos contendo Dados Pessoais do Controlador, como edifícios, instalações de informática e instalações de armazenamento de registros, sejam projetadas e implementadas para permitir o acesso somente a indivíduos autorizados e para detectar qualquer acesso não autorizado que possa ocorrer, incluindo, sem limitação, controles de acesso a crachás, restrições de acesso a áreas sensíveis, instalações alarmes, bem como registros e registros de visitantes.
Gerenciamento de comunicações e operações
A Sophos gerencia mudanças em sua infraestrutura, sistemas e aplicativos por meio de um programa formal de gerenciamento de mudanças projetado para garantir a integridade e a segurança dos Dados Pessoais do Controlador. Os controles incluem testes, análise de impacto nos negócios e aprovação da gerência, quando apropriado. Existem procedimentos de resposta a incidentes para incidentes de segurança e proteção de dados, que podem incluir análise de incidentes, contenção, resposta, remediação, relatórios e o retorno às operações normais.
Para se proteger contra ataques de segurança cibernética, controles adicionais podem ser implementados com base no risco. Esses controles podem incluir, mas não estão limitados a, políticas e padrões de segurança da informação, acesso restrito, autenticação multifatorial, ambientes designados de desenvolvimento e teste, detecção de malware; verificação de tráfego de e-mail e web; detecção e resposta gerenciadas, registro e alertas sobre eventos importantes, procedimentos de tratamento de informações com base no tipo de dados, bem como verificação de vulnerabilidades de sistemas e aplicativos.
Controles de acesso
A Sophos mantém medidas e procedimentos de segurança apropriados para garantir que o acesso a todos os sistemas que hospedam os Dados Pessoais do Controlador seja protegido por meio do uso de sistemas de controle de acesso que identifiquem de forma exclusiva cada indivíduo que requer acesso, concedam acesso somente a indivíduos autorizados e com base no princípio de privilégios mínimos, impeçam que pessoas não autorizadas tenham acesso aos Dados Pessoais do Controlador, limitam e controlam adequadamente o escopo de acesso concedido a qualquer pessoa autorizada e registram todos os eventos de acesso relevantes.
Controles de subcontratados
A Sophos será responsável por garantir que seus subcontratados que processam os Dados Pessoais do Controlador mantenham programas de segurança de dados que sejam pelo menos tão rigorosos quanto os próprios programas da Sophos com relação ao serviço aplicável ao qual esse subcontratado foi contratado e de acordo com os padrões e práticas geralmente aceitos do setor. A Sophos deve manter um programa de gerenciamento de risco focado na identificação, avaliação e validação dos controles de segurança de um fornecedor.
Desenvolvimento e manutenção do sistema
Vulnerabilidades de terceiros divulgadas publicamente são analisadas quanto à aplicabilidade no ambiente Sophos. Com base no risco para os negócios e clientes da Sophos, existem prazos predeterminados para remediação. Além disso, a verificação e as avaliações de vulnerabilidades são realizadas em aplicativos novos e importantes, bem como na infraestrutura com base no risco. As análises de código e os scanners são usados no ambiente de desenvolvimento antes da produção para detectar proativamente as vulnerabilidades de codificação com base no risco. Esses processos permitem a identificação proativa de vulnerabilidades, bem como a conformidade.
Conformidade
Os departamentos de segurança da informação, jurídico, privacidade e conformidade trabalham para identificar as leis e regulamentações regionais aplicáveis à Sophos. Esses requisitos abrangem áreas como propriedade intelectual da empresa e de nossos clientes, licenças de software, proteção de dados pessoais de funcionários e clientes, procedimentos de proteção e tratamento de dados, transmissão transfronteiriça de dados, procedimentos financeiros e operacionais, controles regulatórios de exportação sobre tecnologia e requisitos forenses. Mecanismos como o programa de segurança da informação, auditorias/avaliações internas e externas, consultoria jurídica interna e externa, avaliação de controles internos, testes internos de penetração e avaliações de vulnerabilidades, gerenciamento de contratos, conscientização sobre segurança, consultoria de segurança, análises de exceções de políticas e gerenciamento de riscos se combinam para impulsionar a conformidade com esses requisitos.
Exposição 3
TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRITAS
Este Anexo 3 inclui termos adicionais aplicáveis às Transferências Restritas, bem como as informações necessárias para preencher os Apêndices (Anexos I a III) das Cláusulas Contratuais Padrão aplicáveis.
- Quando o Cliente for um Controlador com relação aos Dados Pessoais do Controlador, o Módulo 2 das Cláusulas Contratuais Padrão será aplicado, sujeito aos termos deste Anexo 3.
- Quando o Cliente for um Processador agindo em nome de um Controlador com relação aos Dados Pessoais do Controlador, o Módulo 3 dos SCCs será aplicado, sujeito aos termos deste Anexo 3.
- Para os fins das SCCs da UE:
- 3.1. Cláusula 7: a cláusula de encaixe opcional não se aplica;
- 3.2. Cláusula 9 (a): a opção 2 (Autorização Geral) deve ser aplicada e o importador de dados deve notificar o exportador de dados por escrito com pelo menos 30 dias de antecedência sobre quaisquer alterações pretendidas.
- 3.3. Cláusula 11: o idioma opcional não se aplica.
- 3.4. Cláusula 17: as SCCs da UE serão regidas pelas leis da República da Irlanda;
- 3.5. Cláusula 18: as disputas serão resolvidas perante os tribunais da República da Irlanda;
- 3.6. O Apêndice às SCCs da UE deve ser preenchido com as informações no Anexo ao presente Anexo 3.
4. Para os fins do Adendo do Reino Unido, o seguinte se aplica:
- 4.1. Os detalhes das Partes relevantes para a Tabela 1 estão estabelecidos no Anexo I do Anexo a este Anexo 3;
- 4.2. Para os fins do Quadro 2, a Adenda do Reino Unido deve ser anexada às SCCs da UE com as mesmas opções e prazos indicados acima;
- 4.3. As informações do apêndice listadas na Tabela 3 devem ser preenchidas com as informações do Anexo I e do Anexo II do Anexo a este Anexo 3.
5. Para efeitos das SCCs suíças, as SCCs da UE devem ser aplicadas da seguinte forma:
- 5.1. Quaisquer referências nas SCCs da UE ao GDPR devem ser interpretadas como referências ao DPA suíço;
- 5.2. As referências à “legislação da UE”, “União”, “Estado-Membro” e “legislação dos Estados-Membros” devem ser interpretadas como referências à legislação suíça e suíça, conforme o caso;
- 5.3. As referências à “autoridade supervisora competente” e aos “tribunais competentes” devem ser interpretadas como referências ao FDPIC e aos tribunais competentes na Suíça;
- 5.4. Os anexos relevantes dos SCCs suíços devem ser preenchidos com as informações no Anexo a este Anexo 3.
Anexo ao Anexo 3
APÊNDICE AO SCCS
MÓDULO 2 ou MÓDULO 3 (conforme aplicável)
ANEXO I
A. LISTA DE FESTAS
1. Exportador (es) de dados: | |
|---|---|
Nome | Conforme fornecido à Sophos sob o Contrato Principal |
Endereço | Conforme fornecido à Sophos sob o Contrato Principal |
| Outras informações necessárias para identificar a organização | Conforme fornecido à Sophos sob o Contrato Principal |
Nome da pessoa de contato: Posição: Detalhes de contato: | Conforme fornecido à Sophos sob o Contrato Principal |
Atividades relevantes para os dados transferidos sob essas SCCs | A compra de produtos conforme estabelecido no Contrato Principal |
Função | Controlador (quando o cliente é o usuário final) ou processador (quando o cliente é um MSP ou OEM) |
Assinatura e data do exportador de dados:
Data e assinatura conforme estabelecido no Contrato Principal
2. Importador (es) de dados: | |
|---|---|
Nome | Sophos Limited |
Endereço | O Pentágono, Parque Científico de Abingdon, Abingdon, OX14 3YP, Reino Unido |
| Outras informações necessárias para identificar a organização | Conforme definido no Contrato Principal. |
Nome da pessoa de contato: Posição: Detalhes de contato: | Conselheiro de privacidade |
| Atividades relevantes para os dados transferidos sob essas SCCs | O fornecimento de produtos conforme estabelecido no Contrato Principal |
Função | Processador |
Assinatura e data do importador de dados: Data e assinatura conforme estabelecido no Contrato Principal
B. DESCRIÇÃO DA TRANSFERÊNCIA
- 1.1 Categorias de titulares de dados cujos dados pessoais são transferidos . Conforme estabelecido no Anexo 1.
- 1.2 Categorias de dados pessoais transferidos . Conforme estabelecido no Anexo 1.
Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levam totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso somente para funcionários que tenham seguido treinamento especializado), manutenção de um registro do acesso aos dados, restrições para transferências futuras ou medidas de segurnça adicionais.
- Conforme estabelecido no Anexo 1. Se algum dado confidencial for transferido, consulte o Anexo 2 para ver as restrições aplicadas.
- A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).
- Contínuo.
- Natureza do processamento
- Conforme estabelecido no Anexo 1.
- Finalidade (s) da transferência de dados e processamento adicional
- Conforme estabelecido no Anexo 1.
- O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período
- Conforme estabelecido no Anexo 1.
- Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento
- Conforme estabelecido no Anexo 1.
Para transferências para (sub-) processadores, especifique também o assunto, a natureza e a duração do processamento
Conforme estabelecido no Anexo 1.
C. AUTORIDADE SUPERVISORA COMPETENTE
A autoridade supervisora competente é a autoridade supervisora do Estado-Membro em que o exportador de dados está estabelecido ou conforme determinado de acordo com o GDPR.
ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
Conforme estabelecido no Anexo 2 do DPA.
ANEXO III — LISTA DE SUBPROCESSADORES
Não aplicável, pois as partes concordaram com a autorização geral para o uso de subprocessadores