3. PROCESSAMENTO DE DADOS PESSOAIS
3.1. Escopo. O uso da Plataforma pelo Cliente e o relacionamento de gerenciamento do Cliente podem implicar o Processamento de Dados do Cliente pela Globalization Partners como Processador ou Prestador de Serviços em nome do Cliente.
3.2. Instruções. A Globalization Partners processará os Dados do Cliente de acordo com as instruções documentadas do Cliente. O Cliente concorda que este Adendo, o Contrato Principal e o Anexo I anexado a este instrumento compreendem as instruções completas do Cliente para a Globalization Partners sobre o Processamento de Dados do Cliente. Quaisquer instruções adicionais ou alternativas devem ser acordadas entre as partes por escrito, incluindo os custos (se houver) associados ao cumprimento de tais instruções. A Globalization Partners não é responsável por determinar se as instruções do Cliente estão em conformidade com a lei aplicável. No entanto, se a Globalization Partners acreditar que uma instrução do Cliente viola as Leis de Proteção de Dados aplicáveis, a Globalization Partners notificará o Cliente assim que razoavelmente praticável e não será obrigada a cumprir essa instrução de violação.
3.3. Detalhes do processamento. Os detalhes do objeto do Processamento, sua duração, natureza e finalidade, e o tipo de Dados do Cliente e titulares de dados são conforme especificado no Anexo I anexado a este instrumento.
3.4. Conformidade. O Cliente e a Globalization Partners concordam em cumprir suas respectivas obrigações nos termos das Leis de Proteção de Dados aplicáveis aos Dados do Cliente Processados conforme especificado no Anexo I. O Cliente tem a responsabilidade exclusiva de cumprir as Leis de Proteção de Dados em relação à legalidade do Processamento de Dados do Cliente antes de divulgar, transferir ou disponibilizar quaisquer Dados do Cliente para a Globalization Partners. Para evitar dúvidas, em todos os casos, o Cliente obterá, quando necessário, quaisquer consentimentos dos Titulares dos Dados para que a Globalization Partners processe os Dados do Cliente conforme orientado pelo Cliente.
3.5. Subprocessadores. O Cliente autoriza a Globalization Partners a nomear e usar Processadores (“Subprocessadores”) para Processar os Dados do Cliente em conexão com os Serviços. Os subprocessadores podem incluir terceiros ou qualquer membro do grupo de empresas Globalization Partners. A Globalization Partners pode continuar a usar os Subprocessadores já contratados pela Globalization Partners na data deste Adendo, e uma lista desses Subprocessadores está disponível no Anexo III anexado a este instrumento. Quando um Subprocessador não cumprir suas obrigações de proteção de dados, conforme especificado acima, a Globalization Partners será responsável perante o Cliente pelo cumprimento das obrigações do Subprocessador. A Globalization Partners notificará o Cliente sobre quaisquer alterações em sua lista de Subprocessadores. Se, no prazo de 10 dez (10) dias a contar do recebimento dessa notificação, o Cliente se opor legitimamente à adição ou remoção de um Subprocessador por motivos de proteção de dados e a Globalization Partners não puder acomodar razoavelmente a objeção do Cliente, as partes discutirão as preocupações do Cliente de boa-fé com o objetivo de resolver o assunto.
3.6. Medidas de segurança técnicas e organizacionais. Levando em conta os padrões do setor, os custos de implementação, a natureza, escopo, contexto e finalidades do Processamento, e quaisquer outras circunstâncias relevantes relacionadas ao Processamento dos Dados do Cliente na Plataforma, A Globalization Partners implementará medidas de segurança técnicas e organizacionais adequadas para garantir a segurança, confidencialidade, integridade, disponibilidade e resiliência dos sistemas de processamento e serviços envolvidos no Processamento dos Dados do Cliente são proporcionais ao risco em relação a esses Dados do Cliente. A Globalization Partners testará e monitorará periodicamente a eficácia de suas proteções, controles, sistemas e procedimentos e (ii) identificará riscos internos e externos razoavelmente previsíveis para a segurança, confidencialidade e integridade dos Dados do Cliente, e garantirá que esses riscos sejam abordados.
3.7. Confidencialidade. A Globalization Partners garantirá que as pessoas autorizadas a acessar os Dados do Cliente (i) tenham se comprometido com a confidencialidade ou estejam sob uma obrigação estatutária apropriada de confidencialidade e (ii) acessem os Dados do Cliente somente mediante instruções documentadas da Globalization Partners, a menos que exigido pela lei aplicável.
3.8. Violação de dados pessoais. A Globalization Partners notificará o Cliente sem atraso indevido após tomar conhecimento de uma Violação de Dados em relação ao Processamento de Dados do Cliente e envidará esforços razoáveis para ajudar o Cliente a mitigar, quando possível, os efeitos adversos de qualquer Violação de Dados.
3.9. Transferências internacionais . A Globalization Partners está autorizada, no curso normal dos negócios, a fazer transferências mundiais de Dados do Cliente para suas afiliadas e/ou Subprocessadores. Ao fazer essas transferências, a Globalization Partners garantirá que a proteção adequada esteja em vigor para proteger os Dados do Cliente transferidos nos termos ou em conexão com o Contrato Principal, como segue:
-
3.9.1. Quando a Globalization transferir Dados do Cliente para países fora do EEE (que não estão sujeitos a uma decisão de adequação nos termos das Leis de Privacidade), a Globalization Partners executará e cumprirá suas obrigações nos termos das SCCs da UE, que são incorporadas a este Adendo por esta referência e concluídas da seguinte forma:
-
O Módulo 2 (Controlador para Processador) será aplicado quando o Cliente for um Controlador de Dados Pessoais e a Globalization Partners for um Processador de Dados Pessoais;
-
na Cláusula 7, a cláusula de ancoragem opcional será aplicada;
-
na Cláusula 9, a opção 2 será aplicada com 10 dias;
-
na Cláusula 11, o texto opcional não se aplicará;
-
na Cláusula 12, quaisquer reivindicações apresentadas nos termos das SCCs da UE estarão sujeitas aos termos e condições estabelecidos no Contrato;
-
na Cláusula 17, a Opção 1 será aplicada, as SCCs da UE serão regidas pela Lei Irlandesa;
-
na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
-
O Anexo I das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo I deste Adendo;
-
O Anexo II das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo II deste Adendo; e
-
O Anexo III das SCCs da UE será considerado preenchido com as informações estabelecidas no Anexo III deste Adendo.
-
3.9.2. Em relação aos Dados do Cliente que são protegidos pelo GDPR do Reino Unido, as Partes estão legalmente autorizadas a confiar nas SCCs da UE para Transferências Restritas do Reino Unido sujeitas ao Adendo do Reino Unido, que é incorporado a este Adendo por esta referência e preenchido conforme definido no Anexo IV anexado a este instrumento. Se esta seção 3.9.2 não se aplicar, então a Globalization Partners Exporting Company e o Cliente cooperarão de boa-fé para implementar salvaguardas apropriadas para transferências de tais Dados Pessoais, conforme exigido ou permitido pela GDPR do Reino Unido, sem atraso indevido.
-
3.9.3. Nada nas interpretações desta Seção 3.9 tem a intenção de entrar em conflito com os direitos ou responsabilidades de qualquer uma das Partes nos termos das SCCs da UE e/ou do Adendo do Reino Unido e, em caso de qualquer conflito, as SCCs da UE e/ou o Adendo do Reino Unido, conforme aplicável, prevalecerão.
3.10. Exclusão de dados pessoais. Após a rescisão dos Serviços (por qualquer motivo) e se solicitado pelo Cliente por escrito, a Globalization Partners deverá, assim que razoavelmente praticável, devolver ou excluir os Dados do Cliente armazenados na Plataforma, a menos que a lei aplicável exija o armazenamento dos Dados do Cliente por um período mais longo. Para tal retenção, as disposições deste Adendo continuarão a se aplicar a esses Dados do Cliente.
3.11. Solicitações do Titular de Dados. A Globalization Partners informará imediatamente o Cliente sobre quaisquer solicitações dos Titulares dos Dados referentes aos Dados do Cliente. O Cliente é responsável por responder a tais solicitações. A Globalization Partners ajudará o Cliente a responder às solicitações do Titular dos Dados na medida em que o Cliente não conseguir acessar os Dados do Cliente relevantes no uso da Plataforma.
3.12. Solicitações de terceiros. Se a Globalization Partners receber quaisquer solicitações de terceiros ou uma ordem de qualquer tribunal, órgão regulador ou agência governamental com jurisdição competente à qual a Globalization Partners esteja sujeita em relação ao Processamento de Dados do Cliente nos termos do Contrato, a Globalization Partners redirecionará imediatamente a solicitação ao Cliente. A Globalization Partners não responderá a tais solicitações sem a autorização prévia do Cliente, a menos que legalmente obrigada a fazê-lo. A Globalization Partners, a menos que legalmente proibida de fazê-lo, informará o Cliente antes de fazer qualquer divulgação dos Dados do Cliente e cooperará razoavelmente com o Cliente para limitar o escopo de tal divulgação ao que é legalmente exigido.
3.13. Avaliação do impacto da proteção de dados e consulta prévia. Na medida exigida pelas Leis de Proteção de Dados, a Globalization Partners fornecerá assistência razoável ao Cliente para realizar uma avaliação de impacto de proteção de dados em relação ao Processamento de Dados do Cliente realizado pela Globalization Partners e/ou qualquer consulta(s) prévia exigida com as autoridades de supervisão. A Globalization Partners reserva-se o direito de cobrar do Cliente uma taxa razoável pelo fornecimento de tal assistência.
3.14. Demonstrar conformidade. A Globalization Partners realiza regularmente auditorias externas sobre segurança, disponibilidade, integridade de processamento, confidencialidade e controles de privacidade da organização e fornecerá ao Cliente uma cópia do relatório de auditoria resumido ou certificação mais recente mediante solicitação por escrito. Se o Cliente preferir realizar sua própria auditoria, além das certificações ou relatórios de terceiros fornecidos, tal auditoria deve ser conduzida: i) não mais do que uma vez por cada período de 12 (doze) meses; ii) durante o horário comercial normal e sem interromper os negócios diários da Globalization Partners; iii) com aviso prévio por escrito de trinta (30) dias; iv) às custas do Cliente (incluindo o tempo gasto pela Globalization Partner auxiliando o Cliente durante a auditoria com base na taxa diária de um gerente de segurança); v) com base em parâmetros e escopo mutuamente acordados, limitado ao escopo específico dos serviços, sistemas em uso e/ou atividades de processamento contempladas e específicas para o requisito real; vi) com base em uma data de antecedência mutuamente acordada, sujeito ao adiamento razoável pelo Cliente mediante solicitação razoável da Globalization Partners; e vii) de acordo com todas as obrigações e restrições de confidencialidade. Não obstante o disposto acima, nenhum direito de auditoria é concedido após a rescisão do Contrato Principal, exceto para obrigações legais que terão de ser demonstradas pelo Cliente. Qualquer representante terceirizado selecionado para realizar uma auditoria em nome do Cliente não deve ter participação acionária ou afiliação com uma agência de Serviços EOR, uma organização ou consultor relacionado.
3.15. Nenhuma venda de informações. A Globalization Partners não derivará nem exercerá nenhum direito ou benefício em relação aos Dados Pessoais, exceto conforme disposto neste Adendo. Para evitar dúvidas, a Globalization Partners não reterá, usará, compartilhará ou divulgará os Dados do Cliente para qualquer finalidade que não seja para a finalidade específica de fornecer a Plataforma ao Cliente de acordo com o Contrato Principal. A Globalization Partners não venderá quaisquer Dados Pessoais, conforme o termo “venda” é definido na CCPA. A Globalization Partners declara e garante que compreende as regras, requisitos e definições da CCPA e concorda em abster-se de tomar qualquer medida que possa fazer com que quaisquer transferências de Dados Pessoais de ou para a Globalization Partners se qualifiquem como “venda de informações pessoais” nos termos da CCPA.