Anexo 1

Compartilhamento de Dados, Transferências de Dados e Dados Compartilhados

1 Compartilhamento de Dados

1.1 Ambas as partes reconhecem que cada parte determinará exclusivamente a base legal e as condições para as quais processa os dados pessoais compartilhados sob este Contrato (os "Dados Compartilhados"), conforme estabelecido em sua respectiva Declaração de Privacidade ou outro aviso exigido pelas Leis de Proteção de Dados Aplicáveis, conforme alteradas de tempos em tempos

1.2 A Declaração de Privacidade da ComponentSource pode ser encontrada aqui.

1.3 Cada parte e suas equipes, trabalhadores, agentes ou consultores ("Pessoal") cumprirão suas respectivas obrigações sob as Leis de Proteção de Dados Aplicáveis em relação ao seu processamento dos Dados Compartilhados e processarão os Dados Compartilhados de acordo com a sua respectiva Declaração de Privacidade.

1.4 Você garantirá que tem uma base legal para o processamento de Dados Compartilhados que esteja em conformidade com as Leis de Proteção de Dados Aplicáveis e que não fornece nenhum Dado Compartilhado à ComponentSource relacionado a um titular de dados a quem uma cópia da Declaração de Privacidade não tenha sido fornecida no momento em que os Dados Compartilhados foram coletados;

1.5 Cada parte irá:

1.5.1 fornecer prontamente as informações, assistência e/ou acesso que a outra parte possa razoavelmente exigir para responder a qualquer solicitação do titular dos dados e para garantir o cumprimento de suas obrigações sob as Leis de Proteção de Dados Aplicáveis com relação à segurança, notificações de violação, auditoria, avaliações de impacto e consultas com autoridades supervisoras e/ou órgãos reguladores;

1.5.2 garantir que os Dados Compartilhados sejam precisos e completos;

1.5.3 no prazo de dois (2) dias úteis, notificar a outra parte por escrito: (i) se não tiver cumprido qualquer uma de suas obrigações nos termos da cláusula 1 do presente Anexo; (ii) se descobrir-se que qualquer um dos Dados Compartilhados está impreciso ou incompleto; (iii) com os detalhes de qualquer solicitação do titular dos dados como resultado do exercício de qualquer um de seus direitos sob as Leis de Proteção de Dados Aplicáveis. Em nenhum caso você responderá diretamente a qualquer solicitação ou correspondência sem o consentimento prévio por escrito da ComponentSource, a menos que exigido pelas Leis de Proteção de Dados Aplicáveis ou quando não for relacionado às atividades de processamento da ComponentSource; e (iv) de qualquer violação de dados pessoais suspeita, potencial, real ou ameaçada envolvendo quaisquer Dados Compartilhados que a empresa, ou um terceiro em seu nome, processe; e

1.5.4 indenizar a outra parte contra todas as responsabilidades decorrentes de ou em conexão com qualquer violação deste Apenso, incluindo todos os valores pagos ou pagáveis pela parte indenizada a um terceiro (incluindo seu Pessoal) que não teriam sido pagos ou pagáveis se a violação deste Apenso não tivesse ocorrido. Para evitar dúvidas, as partes concordam que qualquer limitação ou exclusão de responsabilidade estabelecida neste Contrato não se aplicará às suas obrigações de indenização ou reembolso sob este Apenso.

1.6 Você irá:

1.6.1 celebrar prontamente com a ComponentSource, mediante solicitação por escrito, qualquer acordo adicional e/ou salvaguarda apropriada exigida pelas Leis de Proteção de Dados Aplicáveis para a transferência internacional dos Dados Compartilhados, como as cláusulas contratuais padrão na forma emitida pela Comissão Europeia ou outro órgão competente sob as Leis de Proteção de Dados Aplicáveis;

1.6.2 garantir que, para quaisquer Dados Compartilhados que você receba dos titulares dos dados em jurisdições diferentes das suas, as salvaguardas de transferência internacional apropriadas sejam implementadas de acordo com as Leis de Proteção de Dados Aplicáveis;

2 TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Transferências do EEE para fora do EEE

2.1 Quando os Dados Compartilhados que se originaram no EEE forem transferidos para um território não pertencente ao EEE (incluindo o Reino Unido) que não tenha sido designado como um Território Adequado, considerar-se-á que o módulo relevante das Cláusulas Contratuais Padrão da União Europeia (EU SCC) se aplique a essa transferência de acordo com os requisitos estabelecidos nesta cláusula 2 em aditamento aos termos do presente Contrato, da seguinte forma:

2.1.1 considerar-se-á que cada parte celebrou o Módulo 1 das Cláusulas Contratuais Padrão da UE em seu próprio nome e em seu próprio favor em relação aos Dados Compartilhados divulgados;

2.1.2 as disposições do Apenso 1 (Finalidades Permitidas) serão consideradas estabelecidas no Anexo I do Módulo 1 das EU SCCs;

2.1.3 as disposições do Apenso 2 (Medidas de Segurança) serão consideradas estabelecidas no Anexo II do Módulo 1 das Cláusulas Modelo;

2.1.4 a Cláusula 7 (cláusula de adesão) não será selecionada;

2.1.5 o elemento opcional da Cláusula 11(a) (reparação) não será selecionado.

2.1.6 a Cláusula 13(a) opcional a seguir (supervisão) será selecionada:

2.1.6.1 a Irlanda, enquanto autoridade supervisora responsável por assegurar o cumprimento por parte do exportador de dados do Regulamento da UE (EU) 2016/679 no tocante à transferência de dados, tal como indicado no Anexo I.C, atuará como autoridade supervisora competente.

2.1.7 a opção [1] da Cláusula 17 (Lei regente) será selecionada e a seguinte lei regente será aplicada:

2.1.7.1 Estas Cláusulas serão regidas pela legislação de um dos Estados-Membros da UE, desde que essa legislação permita direitos de terceiros beneficiários. As Partes acordam que esta será a legislação da Irlanda.

2.1.8 O seguinte foro e jurisdição serão selecionados na Cláusula 18(b) (Escolha de foro e jurisdição):

2.1.8.1 As Partes acordam que esses serão os tribunais da Irlanda (especificar Estado-Membro).

2.1.9 O Importador de Dados não divulgará Dados Pessoais a terceiros localizados fora do EEE, no mesmo país que o Importador de Dados ou em outro país terceiro (uma "Transferência Subsequente"), a menos que o terceiro esteja ou concorde em ficar vinculado às Cláusulas Contratuais Padrão da UE, sob o módulo apropriado. Caso contrário, uma Transferência Subsequente pelo Importador de Dados só pode ocorrer se o terceiro garantir salvaguardas apropriadas de acordo com os Artigos 46 ou 47 do GDPR da UE com relação ao Processamento;

2.1.10 Sempre que exista qualquer omissão ou conflito entre o presente Contrato e o módulo aplicável das Cláusulas Contratuais Padrão da UE, prevalecerão as disposições do módulo aplicável.

Transferências do Reino Unido para fora do EEE

2.2 Quando os Dados Compartilhados que se originaram no Reino Unido são transferidos para um território fora do Reino Unido que não foi designado como um Território Adequado, as Cláusulas Contratuais Padrão da UE conforme clarificado na cláusula 2 acima e a adenda de transferência internacional de dados do Reino Unido para as Cláusulas Contratuais Padrão da UE (Adenda às Cláusulas Contratuais Padrão do Reino Unido) serão consideradas aplicáveis à transferência em aditamento aos termos do presente Contrato e em aditamento ao que se segue:

2.2.1 considerar-se-á que cada parte celebrou as Cláusulas Contratuais Padrão da UE e a Adenda da Cláusula Contratual Padrão do Reino Unido em seu próprio nome e em seu próprio favor em relação aos Dados Compartilhados divulgados;

2.2.2 A descrição da transferência e as medidas técnicas e organizativas constam do Apenso 1 e do Apenso 2 deste presente Anexo;

2.2.3 as disposições do Apenso 2 (Medidas de Segurança) serão consideradas estabelecidas no Apêndice 2 das Cláusulas Modelo Antigas; e

2.2.4 se houver qualquer conflito entre este Contrato e as Cláusulas Contratuais Padrão da UE e a Adenda da Cláusula Contratual Padrão do Reino Unido, esta última prevalecerá

Transferências de fora do EEE para fora do EEE

2.3 Quando um Importador de Dados Processar Dados Compartilhados que se originaram em um território fora do EEE (o "Território Exportador") e o Processamento ocorrer em um território diferente do Território Exportador (o "Território Importador"), o Importador de Dados Processará os Dados Compartilhados de acordo com um padrão consistente com as Leis de Privacidade Aplicáveis do Território Exportador. Em particular, o Exportador de Dados informará o Importador de Dados sobre quaisquer padrões que possam ser exigidos dele pelas Leis de Privacidade Aplicáveis e cooperará plenamente com o Importador de Dados para garantir que seu Processamento dos Dados Compartilhados seja consistente com esses padrões.

2.4 Em qualquer caso, se qualquer Lei de Privacidade Aplicável entrar em conflito com as disposições deste Contrato, e na medida de um conflito:

2.4.1 quando o padrão de proteção de dados exigido pelas Leis de Privacidade Aplicáveis exceder o padrão exigido por este Contrato, o Importador de Dados Processará os Dados Compartilhados de acordo com um padrão consistente com as Leis de Privacidade Aplicáveis; e

2.4.2 quando o padrão de proteção de dados exigido por este Contrato exceder o padrão exigido pelas Leis de Privacidade Aplicáveis, o Importador de Dados Processará os Dados Compartilhados de acordo com um padrão consistente com este Contrato.

Apenso 1

A Finalidade Permitida é como definida acima.

Processamento – Dados Compartilhados

Titulares dos dados

Os Dados Pessoais transferidos dizem respeito às seguintes categorias de Titulares de Dados passados, presentes e potenciais:

  • Funcionários
  • Usuários finais
  • Editores
  • Revendedores

Categorias de dados

Os Dados Pessoais transferidos dizem respeito às seguintes categorias de dados:

  • Dados pessoais: nome e detalhes de contato.
  • Detalhes de pagamento: forma de pagamento e detalhes, e histórico de pagamento e correspondência.
  • Informações do perfil: informações da conta coletadas do ou sobre o Titular dos Dados em conexão com os serviços
  • Dados do dispositivo: endereços IP, dados de cookies, identificadores de dispositivos e informações semelhantes relacionadas ao dispositivo.
  • Informações de utilização e análise: dados estatísticos e analíticos coletados da utilização do serviço pelo cliente.
  • Dados da pesquisa: informações demográficas e feedback enviados voluntariamente pelo Titular dos Dados em pesquisas (incluindo dados de raça/origem étnica).
  • Dados de correspondência: correspondências e outras comunicações (incluindo dados de comunicações telefônicas legalmente gravados) com o Titular dos Dados com a finalidade de fornecer suporte ao cliente.
  • Preferências de marketing: assinaturas de boletins informativos e outras preferências em conexão com marketing ou publicidade.
  • Outras categorias de Dados Pessoais que os Exportadores de Dados estão autorizados a transferir para os Importadores de Dados.

Destinatários dos Dados Pessoais transferidos podem ser divulgados apenas aos destinatários ou categorias de destinatários a seguir:

  • Empresas do mesmo grupo que o Importador de Dados: conforme necessário para os fins descritos nestas cláusulas e sujeitos às proteções estabelecidas nestas cláusulas.
  • Equipe do Importador de Dados: devidamente autorizada de vendas, marketing, suporte ao cliente, TI e outros funcionários, gerentes e diretores do Importador de Dados terão acesso aos Dados Pessoais com base na necessidade de conhecimento para o cumprimento de suas funções e estritamente para os fins descritos acima.
  • Prestadores de serviços terceirizados: contadores, auditores, advogados e outros consultores profissionais externos; prestadores de serviços de central de atendimento; provedores de sistemas de TI, suporte e serviços de hospedagem; processadores de transações de cartão de crédito; prestadores de serviços de publicidade, marketing e pesquisa e análise de mercado; bancos e instituições financeiras; provedores de gestão de documentos e registros; e fornecedores terceiros similares e prestadores de serviços terceirizados que auxiliam o Importador de Dados na realização de atividades comerciais.
  • Órgãos públicos e autoridades legais: pessoal devidamente autorizado em órgãos públicos e autoridades legais que executam investigações ou exijam a comunicação de informações do Importador de Dados em conformidade com a legislação aplicável.

Apenso 2

Medidas de Segurança

Medidas de Segurança Técnica e Organizacional

A ComponentSource emprega uma variedade de medidas e procedimentos de segurança para proteger dados pessoais, incluindo, sem se limitar a:

  1. Funcionários designados responsáveis pela implementação dos procedimentos de segurança da ComponentSource.
  2. Manutenção de políticas de proteção, retenção e segurança de dados que são revistas regularmente e pelo menos uma vez por ano.
  3. Controles de segurança de dados e de rede que incluem acesso restrito e implantação de tecnologias de criptografia padrão do setor comercial.
  4. Controles de senha para garantir que senhas fortes e exclusivas sejam usadas e atualizadas regularmente.
  5. Controles de acesso que restringem o acesso eletrônico a dados pessoais e funcionalidades do sistema com base nas responsabilidades do trabalho e no nível de gerenciamento, e que incluem a revogação de acesso aos funcionários que deixam a empresa.
  6. Autenticação multifator e uso de uma rede privada virtual para qualquer acesso remoto a sistemas ou Dados Pessoais.
  7. Uso de firewalls e softwares de segurança para detectar, filtrar e frustrar ataques, e implantação de softwares de criptografia relacionados à transmissão de dados pessoais.
  8. Registro de logs de eventos e procedimentos de monitoramento relacionados para registrar proativamente a atividade do sistema e o acesso do usuário para fins de investigação e revisão de rotina.
  9. Segurança física e ambiental da sala de servidores e outras áreas que contenham dados pessoais para impedir o acesso não autorizado e para proteger os dados pessoais de perigos como incêndio ou danos causados pela água.
  10. Práticas operacionais e controles para configuração, monitoramento e manutenção de tecnologia e sistemas de informação de acordo com os padrões da indústria, incluindo o descarte seguro de sistemas e mídias que tornam todos os dados pessoais indecifráveis ou irrecuperáveis antes da liberação final da posse pela ComponentSource.
  11. Controles de segurança de rede, incluindo firewalls corporativos e sistemas de detecção de intrusão, a fim de proteger os sistemas contra invasões e limitar o escopo de qualquer ataque bem-sucedido.
  12. Avaliação regular de vulnerabilidades, gerenciamento de patches e outros procedimentos de monitoramento para auxiliar na detecção e defesa ou mitigação de ameaças de segurança identificadas, vírus e outros códigos mal-intencionados.
  13. Procedimentos de continuidade de negócios projetados para manter as entregas de serviços e a segurança dos dados pessoais na eventualidade de situações de emergência ou desastre.

Informações úteis adicionais (limites de armazenamento e outras informações relevantes)

Os Dados Pessoais não serão mantidos por mais tempo do que o necessário para os fins descritos acima ou na medida em que isso seja exigido pelos requisitos legais aplicáveis. Em qualquer caso, os Dados Pessoais nunca serão retidos por mais tempo do que o permitido pela lei aplicável.

Pontos de contato para todos os pedidos de investigação ou solicitações relacionados aos dados:
dpm@componentsource.com OU, se urgente,
ComponentSource em: (770) 250 6105 ou +44 1189 822108

CSWWLIC 11/2023