CLÁUSULAS CONTRATUAIS PADRÃO
SEÇÃO I
Cláusula 1
Objetivo e escopo
- O objetivo destas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) (1) para a transferência de dados pessoais para um terceiro país.
- As partes:
(i) a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante denominados “entidade(s)”) que transfere(m) os dados pessoais, conforme listado no Anexo I.A (doravante denominado “exportador de dados”), e
a(s) entidade(s) de um terceiro país que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade que também seja Parte destas Cláusulas, conforme listado no Anexo I.A (doravante denominada “importador de dados”)
concordaram com estas cláusulas contratuais padrão (doravante denominadas “Cláusulas”).
Cláusula 2
Efeito e invariabilidade das Cláusulas
- Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice.
Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados. - Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.
Cláusula 2
Efeito e invariabilidade das Cláusulas
- Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice.
Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados. - Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.
Cláusula 3
Beneficiários terceiros
- Os titulares de dados podem invocar e aplicar essas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b);
(iii) Cláusula 9 – Módulo Dois: Cláusula 9(a),
(c),
(d) e
(e); Módulo Três: Cláusula 9(a),
(c),
(d) e
(e);
(iv) Cláusula 12 – Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) e (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18 – Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.
Cláusula 4
Interpretação
- Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
- Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
- Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.
Cláusula 5
Hierarquia
Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.
Cláusula 6
Descrição da(s) transferência(s)
Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos, estão especificados no Anexo I.B.
Cláusula 7 – Opcional
Cláusula de atracação
- Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.
- Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.
- A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas no período anterior à sua adesão.
SEÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destas Cláusulas.
8.1 Limitação do objetivo
O importador de dados processará os dados pessoais somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B. Ele só poderá processar os dados pessoais para outra finalidade:
(i) quando tiver obtido o consentimento prévio do titular dos dados;
(ii) quando necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou
(iii) quando necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa física.
8.2 Transparência
- Para permitir que os titulares de dados exerçam efetivamente seus direitos de acordo com a Cláusula 10, o importador de dados deverá informá-los, diretamente ou por meio do exportador de dados:
(i) de sua identidade e detalhes de contato;
(ii) das categorias de dados pessoais processados;
(iii) do direito de obter uma cópia destas Cláusulas;
(iv) quando pretender transferir os dados pessoais para terceiros, do destinatário ou categorias de destinatários (conforme apropriado, com o objetivo de fornecer informações significativas), a finalidade de tal transferência e o motivo, de acordo com a Cláusula 8.7.
Neste último caso, o importador de dados deve, na medida do possível, disponibilizar as informações ao público.
Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, as Partes poderão redigir parte do texto do Apêndice antes de compartilhar uma cópia, mas deverão fornecer um resumo significativo quando o titular dos dados não puder, de outra forma, compreender seu conteúdo ou exercer seus direitos.
Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível, sem revelar as informações redigidas.
8.3 Precisão e minimização de dados
- Cada Parte deverá garantir que os dados pessoais sejam precisos e, quando necessário, mantidos atualizados.
O importador de dados tomará todas as medidas razoáveis para garantir que os dados pessoais imprecisos, tendo em vista a(s) finalidade(s) do processamento, sejam apagados ou retificados sem demora. - Se uma das Partes tomar conhecimento de que os dados pessoais que transferiu ou recebeu são imprecisos ou estão desatualizados, ela deverá informar a outra Parte sem atrasos indevidos.
- O importador de dados deve garantir que os dados pessoais sejam adequados, relevantes e limitados ao que é necessário em relação à(s) finalidade(s) do processamento.
8.4 Limitação de armazenamento
O importador de dados reterá os dados pessoais por um período não superior ao necessário para a(s) finalidade(s) para a(s) qual(is) são processados.
Ele deverá implementar medidas técnicas ou organizacionais apropriadas para garantir o cumprimento dessa obrigação, incluindo o apagamento ou a anonimização (2) dos dados e de todas as cópias de segurança ao final do período de retenção.
8.5 Segurança do processamento
- O importador de dados e, durante a transmissão, também o exportador de dados devem implementar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados pessoais, incluindo a proteção contra uma violação de segurança que leve à destruição, perda, alteração, divulgação ou acesso acidental ou ilegal (doravante denominada “violação de dados pessoais”).
Ao avaliar o nível adequado de segurança, as Partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para o titular dos dados.
As Partes deverão considerar, em especial, o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma. - As Partes concordaram com as medidas técnicas e organizacionais estabelecidas no Anexo II.
O importador de dados deverá realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança. - O importador de dados deve garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade.
- No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados de acordo com estas Cláusulas, o importador de dados deverá tomar as medidas adequadas para solucionar a violação de dados pessoais, incluindo medidas para mitigar seus possíveis efeitos adversos.
- No caso de uma violação de dados pessoais que possa resultar em um risco aos direitos e liberdades de pessoas físicas, o importador de dados deverá notificar, sem demora injustificada, tanto o exportador de dados quanto a autoridade supervisora competente, de acordo com a Cláusula 13.
Essa notificação deverá conter
i) uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão),
ii) suas prováveis consequências,
iii) as medidas tomadas ou propostas para solucionar a violação, e
iv) os detalhes de um ponto de contato com o qual mais informações podem ser obtidas.
Na medida em que não for possível para o importador de dados fornecer todas as informações ao mesmo tempo, ele poderá fazê-lo em fases sem atrasos indevidos. - No caso de uma violação de dados pessoais que possa resultar em alto risco para os direitos e liberdades de pessoas físicas, o importador de dados também notificará, sem demora injustificada, os titulares dos dados em questão sobre a violação de dados pessoais e sua natureza, se necessário em cooperação com o exportador de dados, juntamente com as informações referidas no parágrafo (e), alíneas ii) a iv), a menos que o importador de dados tenha implementado medidas para reduzir significativamente o risco para os direitos ou liberdades de pessoas físicas, ou a notificação envolva esforços desproporcionais.
Nesse último caso, o importador de dados deverá, em vez disso, emitir uma comunicação pública ou tomar uma medida semelhante para informar o público sobre a violação de dados pessoais. - O importador de dados deverá documentar todos os fatos relevantes relacionados à violação de dados pessoais, inclusive seus efeitos e qualquer medida corretiva tomada, e manter um registro dos mesmos.
8.6 Dados confidenciais
Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais ou infrações (doravante denominados “dados sensíveis”), o importador de dados aplicará restrições específicas e/ou garantias adicionais adaptadas à natureza específica dos dados e aos riscos envolvidos.
Isso pode incluir a restrição do pessoal autorizado a acessar os dados pessoais, medidas de segurança adicionais (como pseudonimização) e/ou restrições adicionais com relação à divulgação posterior.
8.7 Transferências subsequentes
O importador de dados não divulgará os dados pessoais a um terceiro localizado fora da União Europeia (3) (no mesmo país que o importador de dados ou em outro país terceiro, doravante denominada “transferência subsequente”), a menos que o terceiro esteja ou concorde em se vincular a estas Cláusulas, sob o Módulo apropriado.
Caso contrário, uma transferência subsequente pelo importador de dados somente poderá ocorrer se:
(i) for para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
(ii) o terceiro garanta, de outra forma, as salvaguardas adequadas de acordo com os artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;
(iii) o terceiro celebre um instrumento vinculante com o importador de dados que garanta o mesmo nível de proteção de dados que o previsto nestas Cláusulas, e o importador de dados forneça uma cópia dessas salvaguardas ao exportador de dados;
(iv) for necessário para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos;
(v) for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa física; ou
(vi) quando nenhuma das outras condições se aplicar, o importador de dados tiver obtido o consentimento explícito do titular dos dados para uma transferência subsequente em uma situação específica, depois de tê-lo informado sobre sua(s) finalidade(s), a identidade do destinatário e os possíveis riscos de tal transferência para ele devido à falta de garantias adequadas de proteção de dados.
Nesse caso, o importador de dados informará o exportador de dados e, a pedido deste último, transmitirá a ele uma cópia das informações fornecidas ao titular dos dados.
Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções previstas nestas Cláusulas, em especial a limitação de finalidade.
8.8 Processamento sob a autoridade do importador de dados
O importador de dados deve garantir que qualquer pessoa que atue sob sua autoridade, inclusive um processador, processe os dados somente sob suas instruções.
8.9 Documentação e conformidade
- Cada Parte deverá ser capaz de demonstrar o cumprimento de suas obrigações nos termos destas Cláusulas.
Em especial, o importador de dados deverá manter a documentação adequada das atividades de processamento realizadas sob sua responsabilidade. - O importador de dados deverá disponibilizar essa documentação para a autoridade supervisora competente, mediante solicitação.
Cláusula 9 [not applicable]
Cláusula 10
Direitos do titular dos dados
- O importador de dados, se for o caso, com a assistência do exportador de dados, tratará de quaisquer consultas e solicitações que receber de um titular de dados relacionadas ao processamento de seus dados pessoais e ao exercício de seus direitos de acordo com estas Cláusulas, sem atrasos indevidos e, no máximo, dentro de um mês do recebimento da consulta ou solicitação.
(10)
O importador de dados tomará as medidas adequadas para facilitar tais consultas, solicitações e o exercício dos direitos do titular dos dados.
Qualquer informação fornecida ao titular dos dados deverá estar em um formato inteligível e de fácil acesso, usando uma linguagem clara e simples. - Em particular, mediante solicitação do titular dos dados, o importador de dados deverá, gratuitamente:
(i) confirmar ao titular dos dados se os dados pessoais que lhe dizem respeito estão sendo processados e, se for o caso, fornecer uma cópia dos dados que lhe dizem respeito e as informações do Anexo I; se os dados pessoais foram ou serão transferidos posteriormente, fornecer informações sobre os destinatários ou categorias de destinatários (conforme apropriado para fornecer informações significativas) para os quais os dados pessoais foram ou serão transferidos posteriormente, a finalidade dessas transferências posteriores e seu fundamento de acordo com a Cláusula 8.7; e fornecer informações sobre o direito de apresentar uma reclamação a uma autoridade supervisora, de acordo com a Cláusula 12(c)(i);
(ii) retificar dados imprecisos ou incompletos referentes ao titular dos dados;
(iii) apagar os dados pessoais relativos ao titular dos dados se esses dados estiverem sendo ou tiverem sido processados em violação de qualquer uma dessas Cláusulas, garantindo os direitos de terceiros beneficiários, ou se o titular dos dados retirar o consentimento no qual o processamento se baseia.
Nesse caso, o importador de dados deverá, quando necessário, em cooperação com o exportador de dados:
(i) informar o titular dos dados sobre a decisão automatizada prevista, as consequências previstas e a lógica envolvida; e
(ii) implementar salvaguardas adequadas, pelo menos permitindo que o titular dos dados conteste a decisão, expresse seu ponto de vista e obtenha revisão por um ser humano.
Cláusula 11
Reparação
- O importador de dados deve informar aos titulares de dados, de forma transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a tratar de reclamações.
O importador de dados deverá tratar prontamente quaisquer reclamações que receber de um titular de dados.
[OPÇÃO: O importador de dados concorda que os titulares dos dados também podem apresentar uma reclamação a um órgão independente de resolução de disputas (11) sem custo para o titular dos dados. O importador de dados deverá informar aos titulares dos dados, na forma estabelecida no parágrafo (a), sobre esse mecanismo de reparação e que eles não são obrigados a usá-lo ou a seguir uma sequência específica na busca de reparação]. - Em caso de litígio entre um titular de dados e uma das Partes no que diz respeito à conformidade com estas Cláusulas, a Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil.
As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las. - Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:
(i) apresentar uma reclamação à autoridade supervisora no Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13;
(ii) encaminhar a disputa aos tribunais competentes de acordo com o significado da Cláusula 18.
- As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
- O importador de dados deve obedecer a uma decisão que seja vinculativa nos termos da legislação aplicável da UE ou do Estado Membro.
- O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar soluções de acordo com as leis aplicáveis.
Cláusula 12
Responsabilidade civil
- Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar(em) à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
- Cada Parte será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indenização, por quaisquer danos materiais ou não materiais que a Parte cause ao titular dos dados ao violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
Isso não prejudica a responsabilidade do exportador de dados nos termos do Regulamento (UE) 2016/679. - Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
- As Partes concordam que, se uma das Partes for considerada responsável nos termos do parágrafo (c), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
- O importador de dados não pode invocar a conduta de um processador ou subprocessador para evitar sua própria responsabilidade.
Cláusula 13
Supervisão
- [Where the data exporter is established in an EU Member State:] A autoridade supervisora responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.
[Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver dentro do escopo territorial de aplicação do Regulamento (UE) 2016/679, de acordo com seu Artigo 3(2), e tiver nomeado um representante de acordo com o Artigo 27(1) do Regulamento (UE) 2016/679:] A autoridade supervisora do Estado Membro no qual o representante, na acepção do artigo 27(1) do Regulamento (UE) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente.
[Quando o exportador de dados não estiver estabelecido em um Estado Membro da UE, mas estiver abrangido pelo escopo territorial de aplicação do Regulamento (UE) 2016/679 de acordo com seu artigo 3(2) sem, no entanto, ter que nomear um representante nos termos do artigo 27(2) do Regulamento (UE) 2016/679:] A autoridade supervisora de um dos Estados-Membros nos quais os titulares de dados cujos dados pessoais são transferidos de acordo com estas Cláusulas em relação à oferta de bens ou serviços a eles, ou cujo comportamento é monitorado, estão localizados, conforme indicado no Anexo I.C, atuará como autoridade supervisora competente. - O importador de dados concorda em se submeter à jurisdição da autoridade supervisora competente e cooperar com ela em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas.
Em particular, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, incluindo medidas corretivas e compensatórias.
Ele deverá fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.
SEÇÃO III – LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afetam a conformidade com as Cláusulas
- As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer requisitos de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas.
Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas Cláusulas. - As Partes declaram que, ao fornecer a garantia mencionada no parágrafo (a), levaram em devida conta, em particular, os seguintes elementos:
(i) as circunstâncias específicas da transferência, inclusive a extensão da cadeia de processamento, o número de agentes envolvidos e os canais de transmissão utilizados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos;
(ii) as leis e práticas do país terceiro de destino – inclusive as que exigem a divulgação de dados a autoridades públicas ou autorizam o acesso por essas autoridades – relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis (12);
(iii) quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes implementadas para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.
[Para o Módulo Três: O exportador de dados deverá encaminhar a notificação ao controlador].
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
- O importador de dados concorda em notificar prontamente o exportador de dados e, quando possível, o titular dos dados (se necessário, com a ajuda do exportador de dados), caso o senhor
receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou
tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, de acordo com as leis do país de destino; tal notificação deverá incluir todas as informações disponíveis ao importador.
[Para o Módulo Três: O exportador de dados deve encaminhar a notificação ao controlador].
O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los mediante solicitação do exportador de dados.
15.2 Revisão da legalidade e minimização de dados
- O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis de acordo com o direito internacional e os princípios de cortesia internacional.
O importador de dados deverá, sob as mesmas condições, buscar possibilidades de recurso.
Ao contestar uma solicitação, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre seus méritos.
O importador não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis.
Essas exigências não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e). - O importador de dados concorda em documentar sua avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados.
Ele também a disponibilizará à autoridade supervisora competente, mediante solicitação. - O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.
SEÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não cumprimento das Cláusulas e rescisão
- O importador de dados deverá informar imediatamente o exportador de dados caso não possa cumprir essas Cláusulas, por qualquer motivo.
- No caso de o importador de dados violar estas Cláusulas ou não conseguir cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente assegurada ou o contrato seja rescindido.
Isso não prejudica a Cláusula 14(f). - O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais de acordo com estas Cláusulas, quando:
(i) o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não for restabelecida dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão
o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou
(iii) o importador de dados deixar de cumprir uma decisão vinculante de um tribunal competente ou de uma autoridade supervisora com relação às suas obrigações nos termos destas Cláusulas.
Nesses casos, ele deverá informar a autoridade supervisora competente sobre tal não conformidade.
Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. - Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade.
O mesmo se aplicará a quaisquer cópias dos dados.
O importador de dados deverá certificar a exclusão dos dados ao exportador de dados.
Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas.
No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente processará os dados na medida e pelo tempo exigidos pela lei local. - Qualquer uma das Partes poderá revogar seu acordo de vinculação a estas Cláusulas quando
(i) a Comissão Europeia adotar uma decisão nos termos do artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou
(ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos.
Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.
Cláusula 17
Legislação aplicável
OPÇÃO 1: Estas Cláusulas serão regidas pela lei de um dos Estados-Membros da UE, desde que essa lei permita direitos de terceiros beneficiários.
As Partes concordam que essa será a lei da Alemanha.
Cláusula 18
Escolha de foro e jurisdição
- Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais de um Estado Membro da UE.
- As Partes concordam que esses serão os tribunais da Alemanha.
- O titular dos dados também pode mover uma ação judicial contra o exportador e/ou importador de dados perante os tribunais do Estado Membro em que tem sua residência habitual.
- As Partes concordam em se submeter à jurisdição de tais tribunais.
(1) Quando o exportador de dados for um processador sujeito ao Regulamento (UE) 2016/679 agindo em nome de uma instituição ou órgão da União como controlador, a dependência destas Cláusulas ao contratar outro processador (subprocessamento) não sujeito ao Regulamento (UE) 2016/679 também garante a conformidade com o Artigo 29(4) do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais pelas instituições da União, órgãos, organismos e agências da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE (JO L 295 de 21.11.2018, p. 39), na medida em que estas Cláusulas e as obrigações de proteção de dados estabelecidas no contrato ou outro ato jurídico entre o controlador e o processador nos termos do artigo 29(3) do Regulamento (UE) 2018/1725 estejam alinhadas.
Esse será o caso, em particular, quando o controlador e o processador se basearem nas cláusulas contratuais padrão incluídas na Decisão 2021/915.
(2) Para isso, é necessário tornar os dados anônimos de tal forma que o indivíduo não seja mais identificável por ninguém, de acordo com o considerando 26 do Regulamento (UE) 2016/679, e que esse processo seja irreversível.
(3) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(4) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo do EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(5) Veja o Artigo 28(4) do Regulamento (UE) 2016/679 e, quando o controlador for uma instituição ou órgão da UE, o Artigo 29(4) do Regulamento (UE) 2018/1725.
(6) O Acordo sobre o Espaço Econômico Europeu (Acordo EEE) prevê a extensão do mercado interno da União Europeia aos três Estados do EEE: Islândia, Liechtenstein e Noruega.
A legislação de proteção de dados da União, incluindo o Regulamento (UE) 2016/679, é abrangida pelo Acordo do EEE e foi incorporada ao Anexo XI do mesmo.
Portanto, qualquer divulgação pelo importador de dados a um terceiro localizado no EEE não se qualifica como uma transferência subsequente para os fins destas Cláusulas.
(7) Isso inclui se a transferência e o processamento posterior envolverem dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais ou infrações.
(8) Essa exigência pode ser atendida pelo subprocessador que aderir a estas Cláusulas no Módulo apropriado, de acordo com a Cláusula 7. (9) Essa exigência pode ser atendida pelo subprocessador que aderir a essas Cláusulas no Módulo apropriado, de acordo com a Cláusula 7.
(10)
Esse período poderá ser prorrogado por, no máximo, mais dois meses, na medida do necessário, levando-se em conta a complexidade e o número de solicitações.
O importador de dados deverá informar devida e prontamente o titular dos dados sobre tal prorrogação.
(11)
O importador de dados poderá oferecer resolução independente de disputas por meio de um órgão de arbitragem somente se este estiver estabelecido em um país que tenha ratificado a Convenção de Nova York sobre a Execução de Sentenças Arbitrais.
(12)
Com relação ao impacto de tais leis e práticas sobre a conformidade com estas Cláusulas, diferentes elementos podem ser considerados como parte de uma avaliação geral.
Tais elementos podem incluir experiência prática relevante e documentada com instâncias anteriores de solicitações de divulgação por parte de autoridades públicas, ou a ausência de tais solicitações, abrangendo um período de tempo suficientemente representativo.
Isso se refere, em especial, a registros internos ou outra documentação, elaborados continuamente de acordo com a devida diligência e certificados em nível de gerência sênior, desde que essas informações possam ser legalmente compartilhadas com terceiros.
Quando essa experiência prática for utilizada para concluir que o importador de dados não será impedido de cumprir essas Cláusulas, ela deverá ser apoiada por outros elementos relevantes e objetivos, e caberá às Partes considerar cuidadosamente se esses elementos juntos têm peso suficiente, em termos de confiabilidade e representatividade, para apoiar essa conclusão.
Em particular, as Partes devem levar em consideração se sua experiência prática é corroborada e não contradita por informações confiáveis disponíveis publicamente ou acessíveis de outra forma sobre a existência ou ausência de solicitações no mesmo setor e/ou a aplicação da lei na prática, como jurisprudência e relatórios de órgãos de supervisão independentes.
APÊNDICE
NOTA EXPLICATIVA: Deve ser possível distinguir claramente as informações aplicáveis a cada transferência ou categoria de transferências e, nesse sentido, determinar a(s) respectiva(s) função(ões) das Partes como exportador(es) de dados e/ou importador(es) de dados.
Isso não exige necessariamente o preenchimento e a assinatura de anexos separados para cada transferência/categoria de transferências e/ou relação contratual, quando essa transparência puder ser obtida por meio de um único anexo.
Entretanto, quando necessário para garantir clareza suficiente, devem ser usados apêndices separados.
ANEXO I
A. LISTA DE PARTES
Exportador(es) de dados: [Identidade e detalhes de contato do(s) exportador(es) de dados e, quando aplicável, de seu responsável pela proteção de dados e/ou representante na União Europeia].
- Nome: … Endereço: … Nome, cargo e detalhes de contato da pessoa de contato: … Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: … Assinatura e data: … Função (controlador/processador): …
- ……
Importador(es) de dados: [Identidade e detalhes de contato do(s) importador(es) de dados, incluindo qualquer pessoa de contato responsável pela proteção de dados].
- Nome: … Endereço: … Nome, cargo e detalhes de contato da pessoa de contato: … Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: … Assinatura e data: … Função (controlador/processador): …
- …..
B. DESCRIÇÃO DA TRANSFERÊNCIA
Categorias de titulares de dados cujos dados pessoais são transferidos … Categorias de dados pessoais transferidos … Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.
… A frequência da transferência (por exemplo, se os dados são transferidos de forma pontual ou contínua).
… Natureza do processamento … Finalidade(s) da transferência de dados e processamento posterior … O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período … Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento …
C. AUTORIDADE SUPERVISORA COMPETENTE
Identificar a(s) autoridade(s) supervisora(s) competente(s) de acordo com a Cláusula 13 …
ANEXO II
MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS
OBSERVAÇÃO EXPLICATIVA: As medidas técnicas e organizacionais devem ser descritas em termos específicos (e não genéricos).
Consulte também o comentário geral na primeira página do Apêndice, em particular sobre a necessidade de indicar claramente quais medidas se aplicam a cada transferência/conjunto de transferências. Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o escopo, o contexto e a finalidade do processamento, e os riscos para os direitos e liberdades das pessoas físicas.
[Exemplos de medidas possíveis: Medidas de pseudonimização e criptografia de dados pessoais Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico Processos para testar regularmente, Medidas para a identificação e autorização do usuário Medidas para a proteção dos dados durante a transmissão Medidas para a proteção dos dados durante o armazenamento Medidas para garantir a segurança física dos locais em que os dados pessoais são processados Medidas para garantir o registro de eventos Medidas para garantir a configuração do sistema, Medidas para garantir a configuração do sistema, incluindo a configuração padrão Medidas para governança e gerenciamento interno de TI e segurança de TI Medidas para certificação/garantia de processos e produtos Medidas para garantir a minimização de dados Medidas para garantir a qualidade dos dados Medidas para garantir a retenção limitada de dados Medidas para garantir a responsabilidade Medidas para permitir a portabilidade de dados e garantir o apagamento]. Para transferências para (sub) processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub) processador para poder prestar assistência ao controlador e, para transferências de um processador para um subprocessador, ao exportador de dados.