OBSERVAÇÃO: Esta tradução foi gerada automaticamente e é fornecida apenas por conveniência. Esta tradução gerada automaticamente não é comparável à qualidade de uma tradução humana e pode conter erros. Esta tradução é fornecida "COMO ESTÁ" e sem qualquer garantia quanto à precisão, integridade ou confiabilidade da tradução. Em caso de discrepâncias entre a versão em inglês deste contrato e a versão traduzida para uma língua estrangeira, apenas a versão em inglês será considerada válida.

ADENDO DE PROCESSAMENTO DE DADOS

Este Adendo de Processamento de Dados (“DPA”) faz parte e é expressamente incorporado ao acordo celebrado entre a Sophos e o Cliente para a prestação pela Sophos ao Cliente de certos produtos e/ou serviços (“Contrato Principal”). Salvo definição em contrário, todos os termos em maiúsculas terão os significados fornecidos na Seção 1 abaixo.

1. DEFINIÇÕES

1.1 Neste DPA, os seguintes termos terão os seguintes significados:

“Afiliado” significa, em relação a cada parte, uma entidade que controla, é controlada por ou está sob controle comum com tal parte. Para os fins desta definição, “controle” significa a propriedade efetiva de mais de cinqüenta por cento (50%) do poder de voto ou do capital em uma entidade ou o direito contratual ou legal de dirigir a gestão de tal entidade;

“Leis de Proteção de Dados Aplicáveis” significa todas as leis e regulamentos aplicáveis ao Processamento de Dados Pessoais do Controlador sob o Contrato Principal, incluindo, quando relevante, o GDPR, a Lei de Proteção de Dados do Reino Unido e a CCPA

“Beneficiário” tem o significado atribuído a ele no Contrato MSP.

“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020), codificada em Cal. Civ. Código §§ 1798.100 - 1798.199.100 e os Regulamentos da Lei de Privacidade do Consumidor da Califórnia emitidos para isso, Cal. Código Regs. tit. 11, div. 6, ch. 1, cada um conforme alterado;

“Controlador” significa: (a) o Cliente, se o Cliente for um Utilizador Final; (b) o Beneficiário, se o Cliente for um MSP; ou (c) o Cliente Final, se o Cliente for um OEM;

“Dados Pessoais do Controlador” significa os Dados Pessoais que a Sophos processa em nome do Controlador como parte da prestação dos Serviços;

“Cliente” significa: (1) o prestador de serviços geridos ou o prestador de serviços de segurança geridos (cada um denominado “MSP”) se o Contrato Principal for entre a Sophos e um MSP (“Contrato MSP”), (2) o fabricante de equipamentos originais (“OEM”) se o Contrato Principal for com um OEM autorizado a distribuir, sublicenciar ou disponibilizar a terceiros os produtos da Sophos em combinação com os seus produtos como parte de uma unidade agrupada (“Contrato OEM”); (3) o utilizador final (“Utilizador Final”), se o Contrato Principal for diretamente com o cliente;

“Titular dos dados” significa o indivíduo para quem o Controlador Dados pessoais relacionados;

“Solicitações do titular dos dados” significa quaisquer solicitações de titulares de dados que exerçam direitos de acordo com as Leis de Proteção de Dados Aplicáveis;

“EEE” significa o Espaço Económico Europeu, incluindo os Estados-Membros da União Europeia;

“Cliente Final” tem o significado atribuído a ele no Contrato OEM;

“CCPs da UE” significa as cláusulas contratuais padrão para a transferência de dados pessoais para países terceiros nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, aprovadas pela Comissão Europeia, decisão de execução (UE) 2021/914 de 4 de junho de 2021;

“GDPR” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679, conforme alterado periodicamente;

“Dados Pessoais” significa “dados pessoais” ou “informações pessoais”, conforme esses termos são definidos sob as Leis de Proteção de Dados Aplicáveis, e inclui qualquer informação relacionada a um identificados ou indivíduo identificável ou agregado familiar;

“Violação de Dados Pessoais” significa uma violação de segurança (que não seja causada pelo Cliente ou seus usuários) que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais do Controlador;

“Processador“significa uma pessoa ou entidade que Processa Dados Pessoais em nome e sob as instruções de um controlador, incluindo qualquer entidade que atue como um “prestador de serviços” nos termos do CCPA;

“Transferência Restrita” significa uma transferência de Dados Pessoais para um Terceiro País onde tal transferência seria proibida sob a Lei Europeia de Proteção de Dados na ausência de mecanismos de transferência apropriados, como regras corporativas vinculantes ou Cláusulas Contratuais Padrão;

“Serviços” significa quaisquer produtos fornecidos e/ou serviços executados pela Sophos de acordo com o Contrato Principal;

“Sophos” significa Sophos Limited, uma empresa registrada em Inglaterra e no País de Gales, número 2096520, com sede registrada em The Pentagon, Abingdon, OX14 3YP, Reino Unido;

“Cláusulas Contratuais Padrão” ou “SCCs” significa: (i) quando o RGPD se aplica a uma Transferência Restrita, as Cláusulas Contratuais Padrão da UE; (ii) quando a Lei de Proteção de Dados do Reino Unido se aplica a uma Transferência Restrita, o Adendo do Reino Unido; e (iii) quando a DPA Suíça se aplica a uma Transferência Restrita, as Cláusulas Contratuais Padrão Suíças;

“Subprocessador” significa qualquer entidade nomeada pela Sophos para realizar o processamento de dados atividades relacionados com os Dados Pessoais do Controlador;

“Autoridade Supervisora” significa a autoridade reguladora competente em relação às Leis de Proteção de Dados Aplicáveis, incluindo, quando aplicável, uma autoridade supervisora conforme definido no RGPD;

“Swiss DPA” significa a Lei Federal Suíça de Proteção de Dados de 25 de setembro de 2020, conforme alterada periodicamente;

“CCPs suíços” significa as cláusulas padrão de proteção de dados aplicáveis para a transferência de Dados Pessoais para Países Terceiros emitidas, aprovadas ou de outra forma reconhecidas pelo Comissário Federal Suíço de Proteção de Dados e Informações (“FDPIC”);

“Terceiro País” significa um país fora do EEE, do Reino Unido (“RU”) ou da Suíça que não tenha sido designado pela Comissão Europeia ou por um órgão ou pessoa equivalente na Suíça ou no RU como garantindo um nível adequado de proteção de acordo com as leis de proteção de dados do EEE, do RU ou da Suíça (“Lei Europeia de Proteção de Dados”);

“Adendo do Reino Unido” significa o Adendo de Transferência Internacional de Dados para os EU SCCs, emitido pelo Gabinete do Comissário de Informações do Reino Unido e apresentado ao Parlamento em conformidade com o artigo 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022;

“Lei de Proteção de Dados do Reino Unido” significa a Lei de Proteção de Dados do Reino Unido de 2018 e o RGPD, conforme mantidos na legislação do Reino Unido em virtude da Seção 3 da Lei da União Europeia (Saída) do Reino Unido de 2018, ambos conforme alterados de tempos em tempos.

1.2. Neste DPA, os termos em minúsculas “controlador”, “processador”, “titular dos dados”, “dados pessoais” e “processamento” (e derivados) terão os significados fornecidos na Lei de Proteção de Dados Aplicável.

1.3. Os termos em maiúsculas que não sejam de outra forma definidos neste DPA terão o significado atribuído a eles no Contrato Principal. 

2. ESCOPO

2.1. Este DPA aplica-se quando a Sophos processa os Dados Pessoais do Controlador em nome do Cliente como parte da prestação dos Serviços. O objeto e a duração do processamento de Dados Pessoais do Controlador pela Sophos, a natureza e o propósito do processamento, os tipos de Dados Pessoais do Controlador a serem processados e as categorias de titulares dos dados serão conforme descrito em: (a) este DPA; (b) o Contrato Principal; (c) Apêndice 1 (Detalhes do Processamento de Dados); e (d) as instruções do Cliente emitidas de acordo com a Seção 4 abaixo.

2.2. O Cliente é responsável por garantir que o Controlador (a) tenha uma base legal para o processamento de Dados Pessoais do Controlador que será realizado pela Sophos em nome do Cliente, e (b) tenha obtido todos os consentimentos necessários dos titulares dos dados que possam ser necessários para o processamento de Dados Pessoais do Controlador pelo Cliente e pela Sophos; e (c) esteja de outra forma em conformidade e garantirá que suas instruções à Sophos para o processamento de Dados Pessoais do Controlador estejam em conformidade em todos os aspectos com as Leis de Proteção de Dados Aplicáveis.

2.3. As partes concordam que, em relação aos Dados Pessoais do Controlador, a Sophos é um Processador ou subprocessador, e o Cliente é (a) o Controlador, quando o Cliente é um Usuário Final, ou (b) um Processador, para o Beneficiário ou o Cliente Final, quando o Cliente é um MSP ou OEM, respectivamente.

3. INSTRUÇÕES DO CLIENTE

3.1. O Cliente instrui a Sophos a processar os Dados Pessoais do Controlador conforme necessário para fornecer e executar os Serviços e conforme estabelecido neste DPA e no Contrato Principal (“Instruções do Cliente”). A Sophos processará os Dados Pessoais do Controlador de acordo com as Instruções do Cliente, exceto (a) quando acordado por escrito entre a Sophos e o Cliente; ou (b) conforme exigido por qualquer lei à qual a Sophos esteja sujeita (neste caso, a Sophos informará o Cliente sobre esse requisito legal antes de qualquer processamento, a menos que essa lei proíba a divulgação dessas informações por motivos importantes de interesse público). Quando o Cliente atua como um Encarregado em relação aos Dados Pessoais do Controlador, o Cliente deve garantir que as Instruções do Cliente tenham sido autorizadas pelo Controlador relevante e não entrem em conflito com quaisquer instruções emitidas por esse Controlador.

3.2. Se a Sophos tomar conhecimento de que as Instruções do Cliente violam as Leis de Proteção de Dados Aplicáveis, informará prontamente o Cliente sobre isso e suspenderá o processamento dos

3.3. Sem limitar o que foi dito anteriormente, na medida em que a CCPA se aplica aos Dados Pessoais do Controlador, a Sophos concorda ainda que: 

1. A Sophos não usará, divulgará ou processará de qualquer outra forma os Dados Pessoais do Controlador, exceto para o propósito comercial específico de executar os Serviços, de acordo com os termos deste DPA e do Contrato Principal, e conforme autorizado pelas leis aplicáveis; 
2. A Sophos pode contratar Subencarregados para processar os Dados Pessoais do Controlador, sujeito aos termos da Seção 7, e tal contratação não será considerada uma venda dos Dados Pessoais do Controlador;
3. A Sophos não processará os Dados Pessoais do Controlador fora da relação comercial direta entre o Cliente e a Sophos ou para fins comerciais próprios da Sophos; 
4. A Sophos não "compartilhará" ou "venderá" (conforme esses termos são definidos sob a CCPA) quaisquer Dados Pessoais do Controlador; 
5. A Sophos cumprirá com suas obrigações de acordo com o CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pelo CCPA;
6. Se a Sophos acreditar que não poderá cumprir os termos da CCPA, a Sophos notificará prontamente o Cliente e concederá ao Cliente o direito de tomar medidas razoáveis e apropriadas para garantir que os Dados Pessoais do Controlador sejam processados de maneira consistente com as obrigações do Controlador abaixo a CCPA;
7. A Sophos não retém os Dados Pessoais do Controlador após a expiração ou rescisão do Contrato Principal, exceto conforme estabelecido na Seção 4.6. 

3.4. A Sophos certifica que entende e cumprirá as obrigações estabelecidas na Seção 3.3.

4. OBRIGAÇÕES DA SOPHOS

4.1 Cooperação. Levando em consideração a natureza do processamento dos Dados Pessoais do Controlador, a Sophos fornecerá ao Cliente (ou, se o Cliente for um MSP ou OEM, ao Controlador) a assistência razoável conforme necessário para: (i) responder a solicitações de titulares de dados que exerçam seus direitos sob as Leis de Proteção de Dados Aplicáveis (incluindo notificar o Cliente quando receber qualquer dessas solicitações, desde que não responda ele mesmo, a menos que tenha sido autorizado a fazê-lo pelo Cliente), (ii) realizar avaliações de impacto sobre a proteção de dados ou outras avaliações exigidas pelas Leis de Proteção de Dados Aplicáveis; e (iii) consultar e cooperar com as Autoridades de Supervisão conforme exigido pelas Leis de Proteção de Dados aplicáveis. A Sophos se reserva o direito de Cobraremos por tal assistência se o custo de assistência exceder um valor nominal.

4.2 Solicitações de Terceiros. A menos que seja proibido por lei, a Sophos notificará o Cliente de qualquer solicitação de privacidade, correspondência, consulta ou reclamação que receber de uma Autoridade de Supervisão, autoridade judicial ou agência de aplicação da lei em conexão com o processamento dos Dados Pessoais do Controlador (“Solicitação de Terceiros”), fornecendo todos os detalhes da mesma. A Sophos não responderá diretamente à Solicitação de Terceiro, exceto (1) sob instruções escritas do Cliente ou, (2) conforme exigido pelas leis aplicáveis.

4.3 Confidencialidade. Todo o pessoal da Sophos que processar os Dados Pessoais do Controlador será adequadamente treinado em relação às suas obrigações de proteção de dados, segurança e confidencialidade, e estará sujeito a obrigações de confidencialidade escritas ou estatutárias.

4.4. Segurança. A Sophos implementará medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado ao risco e para proteger os Dados Pessoais do Controlador contra uma Violação de Dados Pessoais. Tais medidas levarão em conta o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas naturais, de modo a garantir um nível de segurança adequado ao risco. Em particular, as medidas adotadas pela Sophos incluirão aquelas descritas no Apêndice 2 do presente DPA.

 4. 5. Violação de Dados Pessoais. Ao confirmar a ocorrência de qualquer Violação de Dados Pessoais, a Sophos informará o Cliente sem demora injustificada e fornecerá todas as informações e cooperação oportunas que o Cliente possa razoavelmente requerer para que o Cliente (e, se o Cliente for um MSP ou OEM, seu Controlador) cumprir suas obrigações de relato de violação de dados sob (e de acordo com os prazos exigidos por) a Lei de Proteção de Dados Aplicável. A Sophos adotará ainda as medidas e ações que forem razoavelmente necessárias para remediar ou mitigar os efeitos da Violação de Dados Pessoais e manterá o Cliente informado sobre os desenvolvimentos relacionados à Violação de Dados Pessoais.

 4.6 Fim dos Serviços. Ao final da prestação dos Serviços ou mediante solicitação por escrito do Cliente, a Sophos deverá excluir os Dados Pessoais do Controlador dentro de um prazo razoável após o término dos Serviços ou da solicitação, a menos que seja exigido de outra forma pela legislação aplicável ou seja necessário para cumprir com requisitos judiciais ou de conformidade. Se a Sophos for obrigada a reter quaisquer Dados Pessoais do Controlador, a Sophos tomará medidas para garantir a confidencialidade e segurança contínuas dos Dados Pessoais do Controlador enquanto forem retidos. 

5. DIREITOS DE AUDITORIA DO CLIENTE

5.1 O Cliente reconhece que a Sophos é regularmente auditada de acordo com os padrões SSAE 18 SOC 2 por auditores independentes de terceiros. A pedido razoável, a Sophos fornecerá uma cópia de seu relatório de auditoria SOC 2 ao Cliente, que será sujeito às disposições de confidencialidade do Contrato Principal como informação confidencial da Sophos. A Sophos também responderá a perguntas de auditoria escritas e razoáveis enviadas pelo Cliente, desde que o Cliente não exerça esse direito mais de uma vez por ano.

5.2 Se, na opinião razoável do Cliente, os materiais fornecidos na Seção 5.1 forem insuficientes para demonstrar a conformidade da Sophos com este DPA, então o Cliente pode solicitar por escrito que a Sophos disponibilize ao Cliente todas as informações razoavelmente necessárias para demonstrar a conformidade com as obrigações estabelecidas neste DPA e permitir e contribuir para auditorias, incluindo inspeções, pelo Cliente ou pelo auditor independente do Cliente, sujeito sempre às seguintes disposições:

1. Antes de solicitar uma revisão ou auditoria nos termos desta Seção 5.2, o Cliente levará em consideração as certificações e auditorias de terceiros da Sophos descritas na Seção 5.1;
2. O Cliente dará à Sophos um aviso razoável, com pelo menos 30 dias de antecedência, de um pedido para realizar uma auditoria ou inspeção sob esta Seção 5.2, por Fornecendo o escopo proposto, a duração e a data de início da auditoria; 
3. se uma auditoria for realizada por um terceiro, tal auditor deve ser um profissional ou empresa renomada e bem estabelecida, estar sujeito a obrigações de confidencialidade adequadas e não ser um concorrente da Sophos;
4. O Cliente (e garantirá que seus auditores) realizará tal auditoria ou inspeção durante o horário comercial normal da Sophos, com mínima interrupção das atividades comerciais;
5. uma auditoria ou inspeção será realizada no máximo uma vez por ano, exceto quando exigido por uma Autoridade Supervisora ou pelas Leis de Proteção de Dados Aplicáveis; 
6. O Cliente (ou seus auditores, conforme o caso) não terá acesso a outros clientes da Sophos (e suas informações);
7. exceto quando a auditoria ou inspeção revelar uma falha por parte da Sophos em cumprir suas obrigações materiais sob este DPA, O Cliente deverá reembolsar a Sophos pelos custos e despesas razoáveis incorridos pela Sophos, incluindo quaisquer encargos pelo tempo gasto pela Sophos, seu pessoal e seus consultores profissionais;
8. O Cliente fornecerá à Sophos uma cópia de qualquer relatório de auditoria gerado em conexão com uma auditoria realizada nos termos desta Seção 5.2, a menos que seja proibido por lei aplicável;
9. As informações obtidas da auditoria ou inspeção devem ser consideradas informações confidenciais da Sophos.

6. SUBPROCESSADORES

6.1. A Sophos está geralmente autorizada a utilizar os  Subprocessadores que estão listados em https://www.sophos.com/en-us/legal/sub-processor (“Lista de subprocessadores”), bem como as Afiliadas da Sophos. A Sophos pode contratar Processadores Adicionais (cada um um “Novo Subprocessador”) sujeito aos termos estabelecidos nesta Seção 6.

6.2. A Sophos notificará o Cliente sobre qualquer adição pretendida de Novos Subprocessadores, publicando os detalhes dessa adição na Lista de Subprocessadores e enviando um e-mail ao Cliente.

6.3. Se o Cliente não se opuser por escrito à nomeação de um Novo Subprocessador pela Sophos (por motivos razoáveis relacionados à proteção dos Dados Pessoais do Controlador) dentro de 30 dias após tal notificação, o Cliente será considerado como tendo consentido com esse Novo Subprocessador. Se o Cliente se opuser, as partes devem envidar esforços razoáveis para acordar disposições alternativas nos trinta (30) dias seguintes. Se as partes não conseguirem chegar a um acordo dentro do prazo mencionado, o Cliente pode optar por rescindir a parte dos Serviços afetada pelo Novo Subprocessador, mediante notificação por escrito de trinta (30) dias à Sophos, e a Sophos autorizará um reembolso proporcional ou crédito de quaisquer taxas pré-pagas pelo período restante após a rescisão.

6.4. A Sophos impõe requisitos de proteção de dados aos Subprocessadores que sejam substancialmente equivalentes aos requisitos previstos neste DPA. A Sophos permanecerá totalmente responsável pelo cumprimento das obrigações de cada Subprocessador.

6.5. Onde o envolvimento de Subprocessadores requer uma Transferência Restrita de Dados Pessoais do Controlador, a Sophos implementará e manterá mecanismos de transferência adequados para garantir a conformidade com as Leis de Proteção de Dados Aplicáveis.

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

7.1 Certos produtos permitem que o Cliente selecione onde hospedar os Dados Pessoais do Controlador para esses produtos, incluindo em centros de dados que podem estar localizados fora da jurisdição em que os dados se originam. Esses locais podem incluir (a) o Espaço Econômico Europeu, (b) o Reino Unido, (c) os Estados Unidos da América; ou outro local conforme especificado no Contrato Principal (“Local de Armazenamento Central”). Para esses produtos, a seleção é feita pelo Cliente no momento da instalação do produto, criação da conta ou primeiro uso do produto relevante. Uma vez selecionada pelo Cliente, a Localização Central de Armazenamento não pode ser alterada posteriormente.

7.2 O Cliente concorda que, independentemente do Local de Armazenamento Central selecionado (se aplicável), a Sophos pode transferir Dados Pessoais do Controlador internacionalmente, sujeito à conformidade com lei de proteção de dados aplicável e as disposições deste DPA. Onde a transferência for uma Transferência Restrita, a Sophos irá implementar e manter mecanismos de transferência adequados, como Cláusulas Contratuais Padrão, para garantir a conformidade com as Leis Europeias de Proteção de Dados. 

7.3 Para a extensão de qualquer Transferência Restrita ocorrer de the Cliente para Sophos:

1. As Cláusulas Contratuais Padrão estão expressamente incorporadas ao presente documento por referência e fazem parte deste DPA; e
2. Para os fins das Cláusulas Contratuais Padrão:
   1. Com relação aos Dados Pessoais do Controlador, o Cliente é o exportador de dados e a Sophos é o importador de dados e um Processador. 
   2. Quando o Cliente é o Controlador, o Módulo 2 das Cláusulas Contratuais Padrão será aplicável, sujeito aos termos do Anexo 3. Quando o Cliente é um Processador atuando em nome do Controlador, o Módulo 3 das Cláusulas Contratuais Padrão será aplicável, sujeito aos termos do Anexo 3. 
   3. A assinatura e a datação das partes no Contrato Principal são consideradas como assinatura e datação das Cláusulas Contratuais Padrão.

8. DURAÇÃO

8.1 Este DPA entra em vigor (a) mediante a execução por ambas as partes do Contrato Principal ou (b) na data em que o Contrato Principal entrar em vigor, se posterior, e continuará até a ocorrência do fato que ocorrer primeiro: (i) o término do direito do Cliente de usar e receber os Serviços, conforme indicado no Contrato Principal ou em qualquer direito de licença associado; e (ii) a rescisão do Contrato Principal.

9. OUTRAS REGULAMENTAÇÕES

9.1. Qualquer alteração deste DPA só será válida se for por escrito e assinada por ou em nome de cada parte.

9.2. Em nenhuma hipótese a responsabilidade da Sophos perante o Cliente em relação a qualquer questão decorrente de, ou em conexão com, este DPA excederá as limitações de responsabilidade da Sophos estabelecidas no Contrato Principal. As limitações de responsabilidade da Sophos, conforme estabelecidas no Contrato Principal, serão aplicáveis de forma agregada tanto ao Contrato Principal quanto a este DPA, de modo que um único regime de limitação de responsabilidade será aplicável tanto ao Contrato Principal quanto a este DPA.

9.3. Este DPA (excluindo os SCCs) será regido e interpretado de acordo com as leis de Inglaterra e País de Gales, sem considerar os princípios de conflito de leis. Na medida do permitido pela lei aplicável, os tribunais de Inglaterra terão jurisdição exclusiva para resolver qualquer disputa ou reclamação que possa surgir de, sob ou em conexão com este DPA.

9.4. O Contrato Principal, este DPA e os documentos expressamente referenciados no Contrato Principal e neste DPA constituirão o acordo integral entre as partes em relação aos Dados Pessoais coletados, processados e usados pela Sophos em conexão com o Contrato Principal, e substituirão todos os acordos, arranjos e entendimentos anteriores entre as partes em relação a esse assunto.

9.5. Na medida de qualquer conflito com os termos deste DPA e os termos de quaisquer SCCs celebrados pelas partes, os termos dos SCCs aplicáveis (incluindo quaisquer anexos aos mesmos) prevalecerão.

10. ALTERAÇÕES NA LEI

10.1. Se qualquer alteração a este DPA for necessária como resultado de uma mudança nas Leis de Proteção de Dados Aplicáveis, qualquer das partes poderá fornecer um aviso por escrito à outra parte sobre tal mudança. As partes discutirão e negociarão de boa fé quaisquer variações necessárias a este DPA para abordar tais mudanças. As partes não retê-lo-ão de forma injustificada o consentimento ou a aprovação para alterar este DPA nos termos desta Seção 10 ou de outra forma.

LISTA DE EXIBICÕES 

Exposição 1: DETALHES DO PROCESSAMENTO 

Exibição 2: MEDIDAS TÉCNICAS E ORGANIZACIONAIS 

Exibição 3: TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRINGIDAS

Anexo (ao Anexo 3): Apêndice aos SCCs (Módulo 2/Módulo 3): Controlador para Processador/Processador para Processador 

Anexo 1

DESCRIÇÃO DO PROCESSAMENTO

Este Anexo 1 descreve o processamento que a Sophos realizará como processador em nome do Cliente.

(a) Assunto do processamento

A Sophos fornece Serviços projetados para detectar, prevenir e gerenciar, ou auxiliar a Sophos a detectar, prevenir e gerenciar ameaças de segurança dentro ou contra sistemas, redes, dispositivos, arquivos e outros dados disponibilizados pelo Cliente. O conteúdo de qualquer informação mantida nesses sistemas, redes, dispositivos, arquivos e outros dados é determinado exclusivamente pelo Cliente.

(b) Natureza e finalidade das operações de processamento

•  Fornecimento dos Serviços sob e de acordo com o Contrato.
• Os Dados Pessoais do Controlador estarão sujeitos às seguintes atividades básicas de processamento:
  Qualquer operação ou conjunto de operações que seja realizado em Dados Pessoais ou em conjuntos de Dados Pessoais no curso da prestação dos Serviços, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, exclusão ou destruição.

(c) Duração das operações de processamento:

O Controlador de Dados Pessoais será processado para o duração do Contrato Principal e de acordo com as disposições deste DPA.

(d) Titulares dos dados

Os dados pessoais do Controlador dizem respeito às seguintes categorias de titulares de dados:

• Pessoal e utilizadores finais do Controlador  
• Outros titulares de dados cujos dados pessoais são tratados em nome do Controlador relacionados com os Serviços

(e) Tipos de dados pessoais

Os dados pessoais do Controlador dizem respeito às seguintes categorias de dados:

• Nomes de utilizador e outros identificadores
• Informações de rede e atividade de rede
• Outras informações que podem ser transmitidas ou processadas em conexão com os Serviços

(f) Categorias especiais de dados (se aplicável)

Os dados pessoais do Controlador dizem respeito às seguintes categorias especiais de dados:

O conteúdo de qualquer informação mantida nos sistemas, redes, dispositivos, arquivos e outros dados da Sophos é determinado exclusivamente pelo Cliente. A menos que especificado de outra forma, os Serviços da Sophos não são projetados para processar categorias especiais de dados.

Apêndice 2

MEDIDAS TÉCNICAS E ORGANIZACIONAIS

Esta visão geral da segurança da informação aplica-se aos controles corporativos da Sophos para proteger os Dados Pessoais do Controlador.

Práticas e Políticas de Segurança

A Sophos concorda em implementar salvaguardas físicas, técnicas, administrativas ou organizacionais que se relacionem com a proteção desses Dados Pessoais do Controlador contra destruição acidental ou ilegal, perda, acesso ou alteração dos Dados do Controlador em poder ou sob controle da Sophos.  A Sophos manterá políticas e padrões para a proteção dos Dados Pessoais do Controlador que se originam de frameworks de padrões da indústria e estabelecem padrões uniformes de segurança e privacidade para as operações da Sophos.  

Segurança Organizacional

É responsabilidade dos indivíduos em toda a organização cumprir essas práticas e padrões. Para facilitar a adesão corporativa a essas práticas e padrões, a função de segurança da informação fornece:

1. Estratégia e conformidade com políticas/normas e regulamentações, conscientização e educação, avaliações e gestão de riscos, gestão de requisitos de segurança contratual, consultoria em aplicações e infraestrutura, testes de garantia e impulsiona a direção de segurança da empresa;
2. Testes de segurança, projeto e implementação de soluções de segurança para permitir a adoção de controles de segurança em todo o ambiente;
3. Operações de segurança de soluções de segurança implementadas, do ambiente e dos ativos, e gestão de atividades de resposta a incidentes;

Segurança do Pessoal

Como parte do processo de contratação e sujeito à legislação local, os funcionários passam por um processo de triagem na contratação. A formação anual de conformidade da Sophos inclui a exigência de que os funcionários concluam um curso online que aborda segurança da informação e proteção de dados. O programa de conscientização sobre segurança também pode fornecer materiais específicos para certas funções de trabalho.

Segurança Física e Ambiental

A Sophos toma precauções para garantir que todos os sistemas que hospedam Dados Pessoais do Controlador sejam mantidos em um ambiente fisicamente seguro para prevenir o acesso físico não autorizado e que as restrições de acesso em locais físicos que contêm Dados Pessoais do Controlador, como edifícios, instalações de computadores e instalações de armazenamento de registros, sejam projetadas e implementadas para permitir o acesso apenas a indivíduos autorizados e para detectar qualquer acesso não autorizado que possa ocorrer, incluindo, mas não se limitando a, controles de acesso por crachá, restrições de acesso a áreas sensíveis, alarmes de instalações, bem como registro e logs de visitantes.

Gestão de Comunicações e Operações

A Sophos gerencia mudanças em sua infraestrutura, sistemas e aplicações por meio de um programa formal de gerenciamento de mudanças projetado para garantir a integridade e segurança dos Dados Pessoais do Controlador. Os controles incluem testes, análise de impacto comercial e aprovação de gestão quando apropriado. Existem procedimentos de resposta a incidentes para incidentes de segurança e proteção de dados que podem incluir análise de incidentes, contenção, resposta, remediação, relatórios e retorno às operações normais.

Para se proteger contra ataques de cibersegurança, controles adicionais podem ser implementados com base no risco. Esses controles podem incluir, mas não se limitam a, políticas e padrões de segurança da informação, acesso restrito, autenticação multifatorial, ambientes de desenvolvimento e teste designados, detecção de malware; varredura de tráfego de e-mail e web; detecção e resposta gerenciadas, registro e alerta em eventos-chave, procedimentos de manuseio de informações com base no tipo de dado, bem como varredura de vulnerabilidade de sistemas e aplicações.

Controles de Acesso

A Sophos mantém medidas e procedimentos de segurança adequados para garantir que o acesso a todos os sistemas que hospedam Dados Pessoais do Controlador seja protegido por meio do uso de sistemas de controle de acesso que identificam de forma única cada indivíduo que requer acesso, concedem acesso apenas a indivíduos autorizados e, com base no princípio do mínimo privilégio, impedem que pessoas não autorizadas obtenham acesso aos Dados Pessoais do Controlador, limitam e controlam adequadamente o escopo do acesso concedido a qualquer pessoa autorizada e registram todos os eventos de acesso relevantes.

Controles de Subcontratados

A Sophos será responsável por garantir que seus subcontratados que processam Dados Pessoais do Controlador mantenham programas de segurança de dados que sejam, no mínimo, tão rigorosos quanto os próprios programas da Sophos em relação ao serviço aplicável ao qual tal subcontratado foi contratado e, em conformidade com os padrões e práticas geralmente aceitos pela indústria. A Sophos manterá um programa de gestão de riscos focado na identificação, avaliação e validação dos controles de segurança de um fornecedor.

Desenvolvimento e Manutenção de Sistemas

As vulnerabilidades de terceiros publicamente divulgadas são revisadas quanto à aplicabilidade no ambiente da Sophos. Com base no risco para os negócios e clientes da Sophos, existem prazos pré-determinados para a remediação. Além disso, a verificação e avaliação de vulnerabilidades são realizadas em aplicações novas e-chave, bem como na infraestrutura, com base no risco. Revisões de código e scanners são usados no ambiente de desenvolvimento antes da produção para detectar proativamente vulnerabilidades de codificação com base no risco. Esses processos permitem a identificação proativa de vulnerabilidades, bem como a conformidade.

Conformidade

Os departamentos de segurança da informação, jurídico, privacidade e conformidade trabalham para identificar leis e regulamentos regionais aplicáveis à Sophos. Esses requisitos abrangem áreas como propriedade intelectual da empresa e de nossos clientes, licenças de software, proteção de dados pessoais de funcionários e clientes, procedimentos de proteção e manuseio de dados, transmissão de dados transfronteiriça, procedimentos financeiros e operacionais, controles regulatórios de exportação de tecnologia e requisitos forenses. Mecanismos como o programa de segurança da informação, auditorias/avaliações internas e externas, consulta a assessoria jurídica interna e externa, avaliação de controles internos, testes de penetração interna e avaliações de vulnerabilidade, gestão de contratos, conscientização sobre segurança, consultoria de segurança, revisões de exceções de políticas e gestão de riscos combinam-se para garantir a conformidade com esses requisitos.

Apêndice 3

TERMOS ADICIONAIS PARA TRANSFERÊNCIAS RESTRINGIDAS 

Este Apêndice 3 inclui termos adicionais aplicáveis a Transferências Restritas, bem como as informações necessárias para completar os Apêndices (Anexo I – III) das Cláusulas Contratuais Padrão aplicáveis.

1. Quando o Cliente é um Controlador em relação aos Dados Pessoais do Controlador, o Módulo 2 das Cláusulas Contratuais Padrão será aplicável, sujeito aos termos deste Apêndice 3.
2. Quando o Cliente é um Processador atuando em nome de um Controlador em relação aos Dados Pessoais do Controlador, o Módulo 3 das Cláusulas Contratuais Padrão será aplicável, sujeito aos termos deste Apêndice 3.
3. Para os fins dos EU SCCs:
   3.1 Cláusula 7: a cláusula de acoplamento opcional não se aplica;
   3.2 Cláusula 9(a): a opção 2 (Autorização Geral) será aplicada e o importador de dados notificará o exportador de dados por escrito com pelo menos 30 dias de antecedência de quaisquer alterações pretendidas.
   3.3 Cláusula 11: a linguagem opcional não se aplica.
   3.4 Cláusula 17: as CCTs da UE serão regidas pelas leis da República da Irlanda;
   3.5 Cláusula 18: as disputas serão resolvidas perante os tribunais da República da Irlanda;
   3.6 O Apêndice das CCTs da UE será preenchido com as informações do Anexo desta Exposição 3.
4. Para os fins do Adendo do Reino Unido, o seguinte se aplica:
   4.1 Os detalhes das Partes relevantes para a Tabela 1 estão estabelecidos no Anexo I do Anexo desta Exposição 3;
   4.2 Para os fins da Tabela 2, o Adendo do Reino Unido será anexado às CCTs da UE com as mesmas opções e prazos mencionados acima;
   4.3 As informações do apêndice listadas na Tabela 3 serão preenchidas com as informações dos Anexos I e II do Anexo desta Exposição 3.
5. Para os fins dos SCCs suíços, os SCCs da UE serão aplicados da seguinte forma:
   5.1 Todas as referências nos EU SCCs ao RGPD devem ser interpretadas como referências à DPA suíça;
   5.2 As referências a “UE”, “União”, “Estado-Membro” e “direito do Estado-Membro” devem ser interpretadas como referências à Suíça e ao direito suíço, conforme o caso;
   5.3 As referências à “autoridade de supervisão competente” e aos “tribunais competentes” devem ser interpretadas como referências ao FDPIC e aos tribunais competentes na Suíça;
   5.4 Os anexos relevantes dos EU SCCs devem ser preenchidos com as informações no anexo desta Exposição 3.

Anexo à Exposição 3 

APÊNDICE AOS SCCS 

MÓDULO 2 ou MÓDULO 3 (conforme aplicável) 

ANEXO I 

A. LISTA DE PARTES 

1. Exportador(es) de dados:  

Assinatura e data do exportador de dados: Data e assinatura conforme estabelecido no Contrato Principal 

2. Importador(es) de dados: 

Assinatura e data do importador de dados: Data e assinatura conforme estabelecido no Contrato Principal 

B. DESCRIÇÃO DA TRANSFERÊNCIA 

Conforme estabelecido no Apêndice 1.

1.2 Categorias de dados pessoais transferidos. 

Conforme estabelecido no Apêndice 1.

Dados sensíveis transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem plenamente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, a estrita limitação da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências subsequentes ou medidas de segurança adicionais.

Conforme estabelecido no Apêndice 1. Se algum dado sensível for transferido, consulte o Apêndice 2 para quaisquer restrições aplicadas.

A frequência da transferência (por exemplo, se os dados são transferidos de forma única ou contínua).

Contínua.

Natureza do processamento

Conforme estabelecido no Apêndice 1.

Finalidade(s) da transferência de dados e processamento adicional

Conforme estabelecido no Apêndice 1.

O período pelo qual os dados pessoais serão retidos, ou, se isso não for possível, os critérios usados para determinar esse período

Conforme estabelecido no Apêndice 1.

Para transferências para (sub-)processadores, especifique também o assunto, a natureza e a duração do processamento

Conforme estabelecido no Apêndice 1.

C. AUTORIDADE SUPERVISORA COMPETENTE 

A autoridade de supervisão competente é a autoridade de supervisão do Estado-Membro onde o exportador de dados está estabelecido ou conforme determinado de outra forma de acordo com o RGPD.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Conforme estabelecido no Anexo 2 do DPA. 

ANEXO III – LISTA DE SUBPROCESSADORES 

Não aplicável, pois as partes concordaram com a autorização geral para o uso de Subprocessadores

Data de revisão: 10 de dezembro de 2025