NOTA: Para garantir que nenhum termo inconsistente ou adicional nos é imposto além do que se reflete no nosso DPA padrão e nas cláusulas modelo, não podemos concordar em assinar os DPAs dos clientes. Como uma equipe pequena, também não podemos fazer alterações individuais no nosso DPA, uma vez que não temos uma equipe jurídica na empresa. Quaisquer alterações ao DPA padrão exigiriam consultoria jurídica e muitas discussões, o que seria proibitivo em termos de custo para a nossa equipe.

Este Acordo de Processamento de Dados da UE e do Reino Unido ("Acordo") complementa os Termos de Serviço (o "Acordo") celebrado entre o cliente que assina este Acordo ("Cliente") e a Logike ("Empresa"). Ao executar o Acordo de acordo com a Seção 11 presente, o Cliente entra neste Acordo em seu próprio nome e, na medida em que seja exigido pelas leis de proteção de dados aplicáveis (definidas abaixo), em nome e em representação das suas Afiliadas (definidas abaixo), se houver. Este Acordo incorpora os termos do Acordo, e quaisquer termos não definidos neste Acordo terão o significado estipulado no Acordo.

1\. Definições

1.1 "Afiliada" significa (i) uma entidade da qual uma parte possui direta ou indiretamente cinquenta por cento (50%) ou mais do capital social ou de outro interesse patrimonial, (ii) uma entidade que possua pelo menos cinquenta por cento (50%) ou mais do capital social ou de outro interesse patrimonial de uma parte, ou (iii) uma entidade que esteja sob controle comum com uma parte, possuindo pelo menos cinquenta por cento (50%) ou mais do capital social ou de outro interesse patrimonial de tal entidade e uma parte pertencente à mesma pessoa, mas tal entidade só será considerada uma Afiliada enquanto tal propriedade existir.

1.2 "Subprocessador Autorizado" significa um terceiro que tenha necessidade de saber ou acesso de outra forma aos Dados Pessoais do Cliente para permitir que a Empresa cumpra suas obrigações sob este Acordo ou o Acordo, e que seja (1) listado no Anexo B ou (2) subsequently autorizado de acordo com a Seção 4.2 deste Acordo.

1.3 "Dados da Conta do Cliente" significa dados pessoais que se relacionam com a relação do Cliente com a Empresa, incluindo os nomes ou informações de contato de indivíduos autorizados pelo Cliente a acessar a conta e as informações de faturamento de indivíduos que o Cliente tenha associado à sua conta. Os Dados da Conta do Cliente também incluem quaisquer dados que a Empresa possa precisar coletar para administrar sua relação com o Cliente, verificação de identidade, ou conforme necessário por leis e regulamentos aplicáveis.

1.4 "Dados de Uso do Cliente" significa dados de uso do Serviço coletados e processados pela Empresa em conexão com a prestação dos Serviços, incluindo, sem limitação, dados usados para identificar a origem e o destino de uma comunicação, registros de atividades e dados usados para otimizar e manter a performance dos Serviços, bem como para investigar e prevenir abusos do sistema.

1.5 "Exportador de Dados" significa o Cliente.

1.6 "Importador de Dados" significa a Empresa.

1.7 "Leis de Proteção de Dados" significa quaisquer leis e regulamentos aplicáveis em qualquer jurisdição relevante relativamente ao uso ou processamento de Dados Pessoais, incluindo: (i) a Lei de Privacidade do Consumidor da Califórnia ("CCPA"), (ii) o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) ("UE GDPR" ou "GDPR"), (iii) a Lei Federal Suíça sobre Proteção de Dados, (iv) o UE GDPR na medida em que faz parte da lei da Inglaterra e do País de Gales por virtude da seção 3 da Lei de Retirada da União Europeia de 2018 (o "UK GDPR"); (v) a Lei de Proteção de Dados do Reino Unido de 2018; e (vi) as Regulamentações de Privacidade e Comunicações Eletrônicas (Diretiva da CE) de 2003; em cada caso, conforme atualizado, emendado ou substituído de tempos em tempos. Os termos "Titular de Dados", "Dados Pessoais", "Violação de Dados Pessoais", "processamento", "processador", "controlador" e "autoridade supervisora" terão os significados estipulados no GDPR.

1.8 "SCCs da UE" significa as cláusulas contratuais padrão aprovadas pela Comissão Europeia na Decisão da Comissão 2021/914 datada de 4 de junho de 2021, para transferências de dados pessoais para países que não são reconhecidos como oferecendo um nível adequado de proteção para dados pessoais pela Comissão Europeia (conforme emendado e atualizado de tempos em tempos).

1.9 "Transferência ex-EEA" significa a transferência de Dados Pessoais, que são processados de acordo com o GDPR, do Exportador de Dados para o Importador de Dados (ou suas instalações) fora da Área Econômica Europeia ("EEA"), e tal transferência não é regida por uma decisão de adequação feita pela Comissão Europeia de acordo com as disposições relevantes do GDPR.

1.10 "Transferência ex-UK" significa a transferência de Dados Pessoais, que são processados de acordo com o UK GDPR e a Lei de Proteção de Dados de 2018, do Exportador de Dados para o Importador de Dados (ou suas instalações) fora do Reino Unido ("UK"), e tal transferência não é regida por uma decisão de adequação feita pelo Secretário de Estado de acordo com as disposições relevantes do UK GDPR e da Lei de Proteção de Dados de 2018.

1.11 "Serviços" terá o significado estipulado no Acordo.

1.12 "Cláusulas Contratuais Padrão" significam as SCCs da UE e as SCCs do Reino Unido.

1.13 "SCCs do Reino Unido" significam as cláusulas contratuais padrão aprovadas pela Comissão Europeia para transferências de dados pessoais para países que não são reconhecidos como oferecendo um nível adequado de proteção para dados pessoais pela Comissão Europeia, sendo (i) cláusulas de controlador para processador aprovadas pela Comissão Europeia na Decisão da Comissão 2010/87/UE, datada de 5 de fevereiro de 2010 (conforme emendado e atualizado de tempos em tempos) ("SCCs UK Controlador-Processador"); ou (ii) cláusulas de controlador para controlador aprovadas pela Comissão Europeia na Decisão da Comissão 2004/915/EC, datada de 27 de dezembro de 2004 (conforme emendado e atualizado de tempos em tempos) ("SCCs UK Controlador-Controlador").

2.Relacionamento das Partes; Processamento de Dados

2.1 As partes reconhecem e concordam que, relativamente ao processamento de Dados Pessoais, o Cliente pode atuar como controlador ou processador e, exceto conforme expressamente estipulado neste Acordo ou no Acordo, a Empresa é um processador. O Cliente deve, ao usar os Serviços, processar Dados Pessoais a todo momento e fornecer instruções para o processamento de Dados Pessoais, em conformidade com as Leis de Proteção de Dados. O Cliente deve garantir que o processamento de Dados Pessoais em conformidade com as instruções do Cliente não causará à Empresa uma violação das Leis de Proteção de Dados. O Cliente é o único responsável pela precisão, qualidade e legalidade de (i) os Dados Pessoais fornecidos à Empresa por ou em nome do Cliente, (ii) os meios pelos quais o Cliente adquiriu quaisquer Dados Pessoais, e (iii) as instruções que fornece à Empresa sobre o processamento de tais Dados Pessoais. O Cliente não deve fornecer ou disponibilizar à Empresa quaisquer Dados Pessoais em violação do Acordo ou que sejam de outra forma inadequados à natureza dos Serviços, e deve indenizar a Empresa de todas as reclamações e perdas a esse respeito.

2.2 A Empresa não deve processar Dados Pessoais (i) para fins diferentes dos estipulados no Acordo ou no Anexo A, (ii) de uma maneira inconsistente com os termos e condições estipulados neste Acordo ou quaisquer outras instruções documentadas fornecidas pelo Cliente, incluindo em relação às transferências de dados pessoais para um terceiro país ou uma organização internacional, a menos que seja exigido que o faça pela Autoridade Supervisora a que a Empresa está sujeita; nesse caso, a Empresa deve informar ao Cliente dessa exigência legal antes do processamento, a menos que essa lei proíba tal informação por razões importantes de interesse público, ou (iii) em violação das Leis de Proteção de Dados. O Cliente, por meio deste, instrui a Empresa a processar Dados Pessoais em conformidade com o exposto e como parte de qualquer processamento iniciado pelo Cliente em seu uso dos Serviços. Essas instruções devem sempre ser documentadas.

2.3 O assunto, a natureza, a finalidade e a duração deste processamento, bem como os tipos de Dados Pessoais coletados e categorias de Titulares de Dados, são descritos no Anexo A deste Acordo.

2.3 Após a conclusão dos Serviços, à escolha do Cliente, a Empresa deve devolver ou excluir os Dados Pessoais do Cliente, a menos que um armazenamento adicional desses Dados Pessoais seja exigido ou autorizado pela lei aplicável. Se a devolução ou destruição for impraticável ou proibida por lei, regra ou regulamento, a Empresa deve tomar medidas para bloquear tais Dados Pessoais de qualquer processamento adicional (exceto na medida necessária para seu contínuo hospedagem ou processamento exigido por lei, regra ou regulamento) e deve continuar a proteger adequadamente os Dados Pessoais que restam em sua posse, custódia ou controle. Se o Cliente e a Empresa firmaram Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), as partes concordam que a certificação de exclusão de Dados Pessoais que é descrita na Cláusula 12(1) das SCCs do Reino Unido e na Cláusula 8.1(d) e na Cláusula 8.5 das SCCs da UE (conforme aplicável) deve ser fornecida pela Empresa ao Cliente somente mediante solicitação do Cliente.

2.4 CCPA. Exceto no que diz respeito aos Dados da Conta do Cliente e Dados de Uso do Cliente, as partes reconhecem e concordam que a Empresa é um provedor de serviços para os fins do CCPA (na medida em que se aplique) e está recebendo informações pessoais do Cliente para fornecer os Serviços de acordo com o Acordo, o que constitui um propósito comercial. A Empresa não deve vender tais informações pessoais. A Empresa não deve reter, usar ou divulgar quaisquer informações pessoais fornecidas pelo Cliente de acordo com o Acordo, exceto conforme necessário para o propósito específico de desempenho dos Serviços para o Cliente de acordo com o Acordo, ou conforme de outra forma estipulado no Acordo ou conforme permitido pelo CCPA. Os termos "informação pessoal", "fornecedor de serviços", "venda" e "vender" são definidos na Seção 1798.140 do CCPA. A Empresa certifica que entende as restrições desta Seção 2.4.

Confidencialidade

A Empresa deve garantir que qualquer pessoa que autorize a processar Dados Pessoais tenha concordado em proteger os Dados Pessoais de acordo com as obrigações de confidencialidade da Empresa no Acordo. O Cliente concorda que a Empresa pode divulgar Dados Pessoais aos seus assessores, auditores ou outros terceiros conforme razoavelmente necessário em conexão com o desempenho de suas obrigações sob este Acordo, o Acordo, ou a prestação de Serviços ao Cliente.

Subprocessadores Autorizados

4.1 O Cliente reconhece e concorda que a Empresa pode (1) envolver suas afiliadas e os Subprocessadores Autorizados na Lista (definida abaixo) para acessar e processar Dados Pessoais em conexão com os Serviços e (2) de tempos em tempos envolver terceiros adicionais para a finalidade de fornecer os Serviços, incluindo, sem limitação, o processamento de Dados Pessoais. Por meio deste Acordo, o Cliente fornece autorização escrita geral à Empresa para envolver subprocessadores conforme necessário para realizar os Serviços.

4.2. Uma lista dos atuais Subprocessadores Autorizados da Empresa (a "Lista") será disponibilizada ao Cliente (Anexo D). Tal Lista pode ser atualizada pela Empresa de tempos em tempos. O Cliente reconhece que certos subprocessadores são essenciais para a prestação dos Serviços e que se opor ao uso de um subprocessador pode impedir que a Empresa ofereça os Serviços ao Cliente.

4.3. Se o Cliente se opuser razoavelmente a um envolvimento de acordo com a Seção 4.2, e a Empresa não puder fornecer uma alternativa comercial razoável dentro de um período de tempo razoável, o Cliente poderá interromper o uso do Serviço afetado, fornecendo notificação por escrito à Empresa. A interrupção não isentará o Cliente de quaisquer taxas devidas à Empresa sob o Acordo.

4.4. Se o Cliente não se opuser ao envolvimento de um terceiro de acordo com a Seção 4.2 dentro de dez (10) dias de alteração pela Empresa, esse terceiro será considerado um Subprocessador Autorizado para os fins deste Acordo.

4.5 A Empresa firmará um acordo escrito com o Subprocessador Autorizado impondo ao Subprocessador Autorizado obrigações de proteção de dados comparáveis às impostas à Empresa sob este Acordo em relação à proteção de Dados Pessoais. Caso um Subprocessador Autorizado falhe em cumprir suas obrigações de proteção de dados sob tal acordo escrito com a Empresa, a Empresa permanecerá responsável perante o Cliente pelo desempenho das obrigações do Subprocessador Autorizado sob tal acordo.

4.6 Se o Cliente e a Empresa firmaram Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), (i) as autorizações acima constituirão o consentimento prévio por escrito do Cliente para a subcontratação pela Empresa do processamento de Dados Pessoais, se tal consentimento for exigido sob as Cláusulas Contratuais Padrão e (ii) as partes concordam que as cópias dos acordos com Subprocessadores Autorizados que devem ser fornecidas pela Empresa ao Cliente nos termos da Cláusula 5(j) das SCCs do Reino Unido ou Cláusula 9(c) das SCCs da UE podem conter informações comerciais ou informações não relacionadas às Cláusulas Contratuais Padrão ou seu equivalente, removidas pela Empresa previamente, e que tais cópias serão fornecidas pela Empresa somente mediante solicitação do Cliente.

4.7 A Empresa deverá concordar em uma cláusula de terceiro beneficiário com o Subprocessador Autorizado em que – no evento de a Empresa ter desaparecido, cessado de existir em lei ou ter se tornado insolvente – o Cliente terá o direito de rescindir o contrato do Subprocessador Autorizado e instruir o Subprocessador Autorizado a apagar ou devolver os dados pessoais.

5.Segurança dos Dados Pessoais.

Levando em conta o estado da técnica, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento, bem como o risco de variabilidade e gravidade para os direitos e liberdades das pessoas naturais, a Empresa deve manter medidas técnicas e organizacionais apropriadas para garantir um nível de segurança apropriado ao risco de processamento de Dados Pessoais. Isso inclui proteger os dados contra uma violação de segurança que leve à destruição, perda, alteração, divulgação ou acesso não autorizado aos dados (violação de dados pessoais). Ao avaliar o nível apropriado de segurança, as Partes devem considerar devidamente o estado da técnica, os custos de implementação, a natureza, escopo, contexto e finalidades do processamento e os riscos envolvidos para os titulares de dados. O Anexo B estabelece informações adicionais sobre as medidas de segurança técnicas e organizacionais da Empresa.

Transferências de Dados Pessoais

 6.1 As partes concordam que a Empresa pode transferir Dados Pessoais processados sob este Acordo para fora da EEA, do Reino Unido ou da Suíça, conforme necessário para fornecer os Serviços. O Cliente reconhece que as principais operações de processamento da Empresa ocorrem nos Estados Unidos, e que a transferência dos Dados Pessoais do Cliente para os Estados Unidos é necessária para a prestação dos Serviços ao Cliente. Se a Empresa transferir Dados Pessoais protegidos sob este Acordo para uma jurisdição para a qual a Comissão Europeia não emitiu uma decisão de adequação, a Empresa deve garantir que salvaguardas apropriadas tenham sido implementadas para a transferência de Dados Pessoais de acordo com as Leis de Proteção de Dados.

6.2 Transferências Ex-EEA. As partes concordam que as Transferências ex-EEA são feitas de acordo com as SCCs da UE, que são consideradas firmadas (e incorporadas a este Acordo por este meio) e concluídas da seguinte maneira:

6.2.1 O Módulo Um (Controlador para Controlador) das SCCs da UE se aplica quando a Empresa está processando Dados Pessoais como um controlador de acordo com a Seção 9 deste Acordo.

6.2.2 O Módulo Dois (Controlador para Processador) das SCCs da UE se aplica quando o Cliente é um controlador e a Empresa está processando Dados Pessoais para o Cliente como um processador de acordo com a Seção 2 deste Acordo.

6.2.3 O Módulo Três (Processador para Subprocessador) das SCCs da UE se aplica quando o Cliente é um processador e a Empresa está processando Dados Pessoais em nome do Cliente como um subprocessador.

6.3 Para cada módulo, quando aplicável o seguinte se aplica:

6.3.1 A cláusula de anexo opcional na Cláusula 7 não se aplica.

6.3.2 Na Cláusula 9, a Opção 2 (autorização escrita geral) se aplica, e o período mínimo para notificação prévia de alterações de subprocessador será conforme estipulado na Seção 4.2 deste Acordo;

6.3.3 Na Cláusula 11, a linguagem opcional não se aplica;

6.3.4 Todos os colchetes na Cláusula 13 são removidos. As disposições aplicáveis serão as correspondentes à situação do exportador de dados descrita nos colchetes;

6.3.5 Na Cláusula 17 (Opção 1), as SCCs da UE serão regidas pela lei francesa;

6.3.6 Na Cláusula 18(b), disputas serão resolvidas perante os tribunais da França;

6.3.7 O Anexo B deste Acordo contém as informações requeridas no Anexo I das SCCs da UE;

6.3.8 O Anexo C deste Acordo contém as informações requeridas no Anexo II das SCCs da UE; e

6.3.9 Ao entrar neste Acordo, as partes são consideradas como tendo assinado as SCCs da UE incorporadas neste documento, incluindo seus Anexos.

6.4 Transferências ex-UK. As partes concordam que as Transferências ex-UK são feitas de acordo com as SCCs do Reino Unido, que são consideradas firmadas e incorporadas a este Acordo por referência, e concluídas da seguinte maneira:

6.4.1 As referências ao GDPR serão consideradas referências ao UK GDPR e à Lei de Proteção de Dados do Reino Unido de 2018; referências a "autoridades supervisoras" serão consideradas referências ao Comissário de Informação do Reino Unido, e referências a "Estado(s) Membro(s)" ou à UE serão consideradas referências ao Reino Unido.

6.4.2 As SCCs UK Controlador-Processador se aplicam quando a Empresa processa Dados Pessoais do Cliente como um processador. A cláusula de indenização ilustrativa não se aplica. Na Cláusula 4(f), a linguagem "proteção adequada ao sentido da Diretiva 95/46/CE" é excluída e substituída por "um nível de proteção de dados que é considerado adequado sob, ou equivalente à, a lei de proteção de dados aplicável." A Cláusula 9, Lei Aplicável, deverá estipular "As Cláusulas serão regidas pela lei do Estado Membro em que o exportador de dados esteja estabelecido, mas sem prejuízo aos direitos e liberdades que os titulares de dados possam gozar sob suas leis nacionais de proteção de dados." Na Cláusula 11(3), a linguagem ", nomeadamente..." no final da frase é excluída. O Anexo B deste Acordo serve como Apêndice I das SCCs UK Controlador-Processador. O Anexo C deste Acordo serve como Apêndice II das SCCs UK Controlador-Processador.

6.4.3 As SCCs UK Controlador-Controlador se aplicam quando a Empresa processa Dados Pessoais do Cliente como um controlador de acordo com a Seção 9 deste Acordo. A Cláusula II(h) das SCCs UK Controlador-Controlador deverá ser considerada como estabelecendo que a Empresa processará Dados Pessoais em conformidade com os princípios de processamento de dados estabelecidos no Anexo A das SCCs UK Controlador-Controlador. A cláusula comercial ilustrativa não se aplica. A Cláusula IV (Lei Aplicável) deverá estipular "As Cláusulas serão regidas pela lei do Estado Membro em que o exportador de dados esteja estabelecido, mas sem prejuízo aos direitos e liberdades que os titulares de dados possam gozar sob suas leis nacionais de proteção de dados." O Anexo B deste Acordo serve como Anexo B das SCCs UK Controlador-Controlador.

6.4.4 As partes reconhecem e concordam que se quaisquer das SCCs do Reino Unido forem substituídas ou superadas por novas cláusulas contratuais padrão emitidas e aprovadas em virtude do Artigo 46 do UK GDPR e disposições relacionadas da Lei de Proteção de Dados do Reino Unido de 2018 ("Novas SCCs do Reino Unido"), o Importador de Dados pode notificar o Exportador de Dados e, com efeito a partir da data estipulada em tal notificação, a aplicação das SCCs do Reino Unido estabelecidas neste Acordo será alterada de modo que as SCCs do Reino Unido deixem de se aplicar às Transferências ex-UK, e as Novas SCCs do Reino Unido especificadas na referida notificação passarão a se aplicar de forma progressiva. Na medida em que o uso das Novas SCCs do Reino Unido exigir que as partes completem informações adicionais, as partes trabalharão juntas de forma razoável e rápida para completar tais informações adicionais.

6.5 Transferências da Suíça. As partes concordam que as transferências da Suíça são feitas de acordo com as SCCs da UE com as seguintes modificações:

6.5.1 Os termos "Regulamento Geral sobre a Proteção de Dados" ou "Regulamento (UE) 2016/679" conforme utilizado nas SCCs da UE serão interpretados para incluir a Lei Federal sobre Proteção de Dados de 19 de junho de 1992 (a "FADP" e conforme revista em 25 de setembro de 2020, a "FADP Revista") em relação a transferências de dados sujeitas à FADP.

6.5.2 Os termos das SCCs da UE serão interpretados para proteger os dados de entidades legais até a data efetiva da FADP Revista.

6.5.3 A Cláusula 13 das SCCs da UE é modificada para prever que o Comissário Federal de Proteção de Dados e Informação ("FDPIC") da Suíça terá autoridade sobre transferências de dados regidas pela FADP e a autoridade supervisora apropriada terá autoridade sobre transferências de dados regidas pelo GDPR. Sujeito ao exposto, todos os outros requisitos da Seção 13 serão observados.

6.5.4 O termo "Estado Membro da UE" conforme utilizado nas SCCs da UE não será interpretado de tal forma a excluir Titulares de Dados na Suíça do exercício de seus direitos em seu local de residência habitual, de acordo com a Cláusula 18(c) das SCCs da UE.

6.6 Medidas Suplementares. Em relação a qualquer Transferência ex-EEA ou Transferência ex-UK, as seguintes medidas suplementares devem se aplicar:

6.6.1 A partir da data deste Acordo, o Importador de Dados não recebeu quaisquer pedidos legais formais de quaisquer serviços ou agências de inteligência ou segurança governamentais no país para o qual os Dados Pessoais estão sendo exportados, para acesso (ou cópias) dos Dados Pessoais do Cliente ("Pedidos de Agências Governamentais");

6.6.2 Se, após a data deste Acordo, o Importador de Dados receber quaisquer Pedidos de Agências Governamentais, a Empresa tentará redirecionar a força policial ou agência governamental para solicitar que os dados diretamente do Cliente. Como parte desse esforço, a Empresa pode fornecer as informações de contato básicas do Cliente à agência governamental. Se for compelido a divulgar os Dados Pessoais do Cliente a uma força policial ou agência governamental, a Empresa deve dar ao Cliente uma notificação razoável da exigência e cooperar para permitir que o Cliente busque uma ordem de proteção ou outro remédio adequado, a menos que a Empresa seja legalmente proibida de fazê-lo. A Empresa não deve divulgar voluntariamente Dados Pessoais a qualquer força policial ou agência governamental. O Exportador de Dados e o Importador de Dados devem (assim que razoavelmente viável) discutir e determinar se todas ou quaisquer transferências de Dados Pessoais de acordo com este Acordo devem ser suspensas à luz de tais Pedidos de Agências Governamentais; e

6.6.3 O Exportador de Dados e o Importador de Dados se reunirão conforme necessário para considerar se:

(i) a proteção oferecida pelas leis do país do Importador de Dados aos titulares de dados cujos Dados Pessoais estão sendo transferidos é suficiente para fornecer proteção amplamente equivalente àquela oferecida na EEA ou no Reino Unido, conforme o caso;

(ii) medidas adicionais são razoavelmente necessárias para permitir que a transferência seja compatível com as Leis de Proteção de Dados; e

(iii) é ainda apropriado transferir Dados Pessoais ao respectivo Importador de Dados, levando em conta todas as informações relevantes disponíveis para as partes, juntamente com as orientações fornecidas pelas autoridades supervisores.

6.6.4 Se as Leis de Proteção de Dados exigirem que o Exportador de Dados execute as Cláusulas Contratuais Padrão aplicáveis a uma transferência particular de Dados Pessoais a um Importador de Dados como um contrato separado, o Importador de Dados deverá, a pedido do Exportador de Dados, prontamente executar tais Cláusulas Contratuais Padrão incorporando as emendas que possam ser razoavelmente exigidas pelo Exportador de Dados para refletir os apêndices e anexos aplicáveis, os detalhes da transferência e os requisitos das Leis de Proteção de Dados relevantes.

6.6.5 Se (i) quaisquer dos meios de legitimação de transferências de Dados Pessoais para fora da EEA ou do Reino Unido estabelecidos neste Acordo deixarem de ser válidos ou (ii) qualquer autoridade supervisora exigir que transferências de Dados Pessoais de acordo com esses meios sejam suspensas, então o Importador de Dados poderá, por notificação ao Exportador de Dados, com efeito a partir da data estipulada nesta notificação, modificar ou implementar arranjos alternativos a respeito de tais transferências, conforme exigido pelas Leis de Proteção de Dados. 

7.Direitos dos Titulares de Dados

7.1 A Empresa deve, na medida permitida por lei, notificar o Cliente ao receber um pedido de um Titular de Dados para exercer o direito do Titular de Dados de: acesso, retificação, eliminação, portabilidade de dados, restrição ou cessação de processamento, retirada do consentimento para o processamento e/ou objeção a estar sujeito ao processamento que constitua uma decisão automatizada (esses pedidos, individual e coletivamente, "Pedido(s) do Titular de Dados"). Se a Empresa receber um Pedido do Titular de Dados em relação aos dados do Cliente, a Empresa aconselhará o Titular de Dados a submeter seu pedido ao Cliente e o Cliente será responsável por responder a tal pedido, incluindo, quando necessário, utilizando a funcionalidade dos Serviços. O Cliente é o único responsável por garantir que os Pedidos do Titular de Dados de eliminação, restrição ou cessação do processamento, ou retirada do consentimento para processar quaisquer Dados Pessoais sejam comunicados à Empresa e, se aplicável, por garantir que um registro de consentimento para processamento seja mantido em relação a cada Titular de Dados.

7.2 A Empresa deve, mediante solicitação do Cliente, e levando em conta a natureza do processamento aplicável a qualquer Pedido do Titular de Dados, aplicar medidas técnicas e organizacionais apropriadas para auxiliar o Cliente no cumprimento da obrigação do Cliente de responder a tal Pedido do Titular de Dados e/ou na demonstração de tal conformidade, onde possível, desde que (i) o Cliente não possa responder sem a assistência da Empresa e (ii) a Empresa possa fazê-lo em conformidade com todas as leis, regras e regulamentos aplicáveis. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de qualquer assistência prestada pela Empresa.

8.Ações e Solicitações de Acesso; Auditorias

8.1 A Empresa deve, levando em conta a natureza do processamento e as informações disponíveis para a Empresa, fornecer ao Cliente cooperação e assistência razoáveis, quando necessário, para que o Cliente cumpra suas obrigações sob o GDPR de realizar uma avaliação de impacto sobre proteção de dados e/ou demonstrar tal conformidade. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de qualquer assistência prestada pela Empresa.

8.2 A Empresa deve, levando em conta a natureza do processamento e as informações disponíveis para a Empresa, fornecer ao Cliente cooperação e assistência razoáveis em relação à cooperação do Cliente e/ou consulta prévia com qualquer Autoridade Supervisora, quando necessário e quando requerido pelo GDPR. O Cliente será responsável, na medida legalmente permitida, por quaisquer custos e despesas decorrentes de qualquer assistência prestada pela Empresa.

8.3 A Empresa deve manter registros suficientes para demonstrar sua conformidade com suas obrigações sob este Acordo e reter tais registros por um período de cinco (5) anos após a rescisão do Acordo. O Cliente deve, com aviso razoável à Empresa, ter o direito de revisar, auditar e copiar tais registros nas instalações da Empresa durante o expediente normal.

8.4 Mediante solicitação escrita do Cliente em intervalos razoáveis e sujeito a controles razoáveis de confidencialidade, a Empresa deve, ou (i) disponibilizar para revisão do Cliente cópias de certificações ou relatórios que demonstrem a conformidade da Empresa com os padrões de segurança de dados prevalecentes aplicáveis ao processamento dos Dados Pessoais do Cliente, ou (ii) se a provisão de relatórios ou certificações nos termos de (i) não for razoavelmente suficiente de acordo com as Leis de Proteção de Dados, permitir que o representante independente de terceiros do Cliente conduza uma auditoria ou inspeção da infraestrutura e procedimentos de segurança de dados da Empresa que seja suficiente para demonstrar a conformidade da Empresa com suas obrigações sob as Leis de Proteção de Dados, desde que (a) o Cliente forneça aviso prévio razoável de qualquer solicitação de auditoria e tal inspeção não seja irrazonavelmente disruptiva para os negócios da Empresa; (b) tal auditoria deve ser realizada apenas durante o horário comercial e ocorrer no máximo uma vez por ano; e (c) tal auditoria deve estar restrita a dados relevantes para o Cliente. O Cliente será responsável pelos custos de quaisquer auditorias ou inspeções, incluindo, sem limitação, um reembolso à Empresa por qualquer tempo despendido em auditorias no local. Se o Cliente e a Empresa tiverem firmado Cláusulas Contratuais Padrão conforme descrito na Seção 6 (Transferências de Dados Pessoais), as partes concordam que as auditorias descritas na Cláusula 5(f) e na Cláusula 12(2) das SCCs do Reino Unido e na Cláusula 8.9 das SCCs da UE serão realizadas de acordo com esta Seção 8.4.

8.5 A Empresa deve notificar imediatamente o Cliente se uma instrução, na opinião da Empresa, infringir as Leis de Proteção de Dados ou Autoridade Supervisora. As partes devem disponibilizar as informações referidas no Artigo 8, incluindo os resultados de qualquer auditoria, à Autoridade Supervisora mediante solicitação.

8.6 No caso de uma Violação de Dados Pessoais, a Empresa deve, sem demora indevida e no máximo em 72 horas após ter tomado ciência, informar ao Cliente sobre a Violação de Dados Pessoais e tomar as medidas que a Empresa considera necessárias e razoáveis para remediar tal violação (na medida em que a remediação esteja sob o controle razoável da Empresa). Em particular, a notificação deve pelo menos:

(i) descrever a natureza da violação de dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de titulares de dados afetados e as categorias e o número aproximado de registros de dados pessoais afetados;

(ii) comunicar o nome e os detalhes de contato do encarregado de proteção de dados ou outro ponto de contato onde mais informações possam ser obtidas;

(iii) descrever as consequências prováveis da violação de dados pessoais; descrever as medidas tomadas ou propostas a serem tomadas pelo controlador para resolver a violação de dados pessoais, incluindo, quando adequado, medidas para mitigar seus possíveis efeitos adversos.

Onde, e na medida em que, não seja possível fornecer as informações ao mesmo tempo, as informações podem ser fornecidas em fases, sem demora adicional.

8.7 No caso de uma Violação de Dados Pessoais, a Empresa deve, levando em conta a natureza do processamento e as informações disponíveis para a Empresa, fornecer cooperação e assistência razoáveis ao Cliente conforme necessário para que o Cliente cumpra suas obrigações sob o GDPR quanto à notificação (i) da Autoridade Supervisora relevante e (ii) dos Titulares de Dados afetados por tal Violação de Dados Pessoais, sem demora indevida.

8.8 As obrigações descritas nas Seções 8.5 e 8.6 não se aplicam no caso de uma Violação de Dados Pessoais resultar das ações ou omissões do Cliente. A obrigação da Empresa de relatar ou responder a uma Violação de Dados Pessoais sob as Seções 8.5 e 8.6 não será interpretada como um reconhecimento pela Empresa de qualquer culpa ou responsabilidade com relação à Violações de Dados Pessoais.

9\. O Papel da Empresa como Controlador

As partes reconhecem e concordam que em relação aos Dados da Conta do Cliente e Dados de Uso do Cliente, a Empresa é um controlador independente, não um controlador conjunto com o Cliente. A Empresa processará os Dados da Conta do Cliente e os Dados de Uso do Cliente como um controlador (i) para gerenciar a relação com o Cliente; (ii) para realizar as operações comerciais centrais da Empresa, como contabilidade, auditorias, preparação e apresentação de impostos e cumprir obrigações; (iii) para monitorar, investigar, prevenir e detectar fraudes, incidentes de segurança e outros abusos dos Serviços, e para prevenir danos ao Cliente; (iv) para fins de verificação de identidade; (v) para cumprir obrigações legais ou regulatórias aplicáveis ao processamento e retenção de Dados Pessoais aos quais a Empresa está sujeita; e (vi) conforme permitido sob as Leis de Proteção de Dados e de acordo com este Acordo e o Acordo. A Empresa também pode processar os Dados de Uso do Cliente como um controlador para fornecer, otimizar e manter os Serviços, na medida permitida pelas Leis de Proteção de Dados. Qualquer processamento pela Empresa como controlador deve ser de acordo com a política de privacidade da Empresa estabelecida em[ https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10. Conflito

Na eventualidade de qualquer conflito ou inconsistência entre os seguintes documentos, a ordem de precedência será: (1) os termos aplicáveis nas Cláusulas Contratuais Padrão; (2) os termos deste Acordo; (3) o Acordo; e (4) a política de privacidade da Empresa. Quaisquer reivindicações apresentadas em conexão com este Acordo estarão sujeitas aos termos e condições, incluindo, mas não se limitando, a exclusões e limitações estabelecidas no Acordo.

11. Não conformidade com o Acordo e rescisão.

(a) Sem prejuízo de quaisquer disposições do Regulamento (UE) 2016/679 e/ou Regulamento (UE) 2018/1725, na eventualidade de a Empresa estar em violação de suas obrigações sob o presente Acordo, o Cliente poderá instruir a Empresa a suspender o processamento de dados pessoais até que esta cumpra com este Acordo ou o contrato seja rescindido. A Empresa deverá informar prontamente o Cliente caso não consiga cumprir com este Acordo, por qualquer motivo.

(b) O Cliente terá o direito de rescindir o contrato na medida em que diz respeito ao processamento de dados pessoais de acordo com este Acordo se: (1) o processamento de dados pessoais pela Empresa tiver sido suspenso pelo Cliente conforme o ponto (a) e se a conformidade com este Acordo não for restaurada dentro de um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão; (2) a Empresa estiver em violação substancial ou persistente deste Acordo ou suas obrigações sob o Regulamento (UE) 2016/679 e/ou Regulamento (UE) 2018/1725; (3) a Empresa não cumprir uma decisão vinculativa de um tribunal competente ou das Autoridades Supervisores competentes a respeito de suas obrigações conforme este Acordo ou ao Regulamento (UE) 2016/679 e/ou Regulamento (UE) 2018/1725.

(c) A Empresa terá o direito de rescindir o contrato na medida em que diz respeito ao processamento de dados pessoais sob este Acordo onde, após ter informado o Cliente de que suas instruções infringem requisitos legais aplicáveis, o Cliente insistir na conformidade com as instruções.

(d) Após a rescisão do contrato, a Empresa deve, à escolha do Cliente, excluir todos os dados pessoais processados em nome do Cliente e certificar ao Cliente que o fez, ou devolver todos os dados pessoais ao Cliente e excluir cópias existentes, a menos que a legislação da União ou do Estado Membro exija a retenção dos dados pessoais. Até que os dados sejam excluídos ou devolvidos, a Empresa continuará a garantir conformidade com este Acordo.

Anexo A

---------

Detalhes do Processamento

Natureza e Finalidade do Processamento

A Empresa processará os Dados Pessoais do Cliente conforme necessário para fornecer os Serviços sob o Acordo, para os fins especificados no Acordo e neste Acordo, e de acordo com as instruções do Cliente conforme estabelecido neste Acordo.

Duração do Processamento

A Empresa processará os Dados Pessoais do Cliente enquanto for necessário (i) para fornecer os Serviços ao Cliente sob o Acordo; (ii) para as necessidades comerciais legítimas da Empresa; ou (iii) por força da legislação aplicável. Os Dados da Conta do Cliente e os Dados de Uso do Cliente serão processados e armazenados conforme estabelecido na política de privacidade da Empresa.

Categorias de Titulares de Dados

Funcionários, consultores, contratantes e/ou agentes do Cliente.

Categorias de Dados Pessoais

A Empresa processa Dados Pessoais contidos nos Dados da Conta do Cliente, Dados de Uso do Cliente e quaisquer Dados Pessoais fornecidos pelo Cliente ou coletados pela Empresa a fim de fornecer os Serviços ou conforme de outra forma estabelecido no Acordo ou neste Acordo. As categorias de Dados Pessoais incluem nome, e-mail, cargo, nome de usuário, identificadores de dispositivos da Empresa (por exemplo, número de série), endereço IP do dispositivo da empresa.

Dados Sensíveis ou Categorias Especiais de Dados

Os Clientes estão proibidos de fornecer dados pessoais sensíveis ou categorias especiais de dados à Empresa, incluindo quaisquer dados que revelem o histórico criminal de qualquer pessoa.

Anexo B

As seguintes informações incluem as informações exigidas pelo Anexo I e Anexo III das SCCs da UE e Apêndice 1 das SCCs do Reino Unido.

1.As Partes

Exportador(es) de Dados

Nome: A parte dos Termos de Serviço com a Logike ou sua Afiliada (conforme aplicável).

Endereço: O endereço do Exportador de Dados.

Nome da pessoa de contato, cargo e detalhes de contato: O nome, cargo e detalhes de contato fornecidos pelo Exportador de Dados.

Atividades relevantes para os dados transferidos sob estas Cláusulas: Conforme descrito na Seção 2 do Acordo.

Assinatura e data: Ao usar os Serviços para transferir Dados Pessoais ao Importador de Dados, o Exportador de Dados será considerado como tendo assinado este Anexo B.

Papel (controlador/processador): Controlador

Importador(es) de Dados:

Nome: Logike

Endereço: 128 rue de la Boétie, 75008 Paris, FRANÇA

Email: contact@breakcold.com

Atividades relevantes para os dados transferidos sob estas Cláusulas: Conforme descrito na Seção 2 do Acordo.

Assinatura e data: O importador de dados será considerado como tendo assinado este Anexo B na transferência de Dados Pessoais pelo Exportador de Dados em conexão com os Serviços.

Papel (controlador/processador): Processador

2.Descrição da Transferência

Titulares de Dados

O exportador de dados pode enviar dados pessoais ao importador de dados por meio de seu software, serviços, sistemas, produtos e/ou tecnologias, cujo alcance é determinado e controlado pelo exportador de dados em conformidade com as leis e regulamentos de proteção de dados aplicáveis, e que podem incluir, mas não se limitam a dados pessoais relacionados às seguintes categorias de titulares de dados: funcionários, consultores, contratantes e/ou agentes do Exportador de Dados.

Categorias de Dados Pessoais

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados: Quaisquer dados pessoais contidos em todos os dados e informações submetidos pelo Exportador de Dados ao software, serviços, sistemas, produtos e/ou tecnologias do Importador de Dados, que podem incluir nome, informações de contato e informações sobre práticas de segurança e conformidade.

Dados Pessoais de Categoria Especial (se aplicável)

Os Exportadores de Dados estão proibidos de fornecer dados sensíveis ou categorias especiais ao Importador de Dados.

Natureza do Processamento

Os dados são processados para que o Cliente gerencie seus programas de segurança da informação e privacidade de dados e comprove tais programas para auditoria de terceiros.

Finalidades do Processamento

Para cumprir as obrigações de cada parte sob o Acordo.

Duração do Processamento e Retenção (ou os critérios para determinar tal período)

Durante a vigência do Acordo

Frequência da transferência | Durante a vigência do Acordo de forma periódica ao longo do dia e/ou a critério do cliente.

Destinatários de Dados Pessoais Transferidos ao Importador de Dados

A Empresa manterá uma lista de Subprocessadores (Anexo D)

3\. Autoridade Supervisora Competente

A autoridade supervisora será a autoridade supervisora do Exportador de Dados, conforme determinado de acordo com a Cláusula 13.

Anexo C

---------

Descrição das Medidas de Segurança Técnicas e Organizacionais implementadas pelo Importador de Dados

As seguintes informações incluem as informações exigidas pelo Anexo II das SCCs da UE e Apêndice 2 das SCCs do Reino Unido.

Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento

Os contratos de clientes da Empresa contêm obrigações rigorosas de confidencialidade. Além disso, a Empresa exige que cada Subprocessador subsequente assine disposições de confidencialidade que sejam substancialmente semelhantes àquelas contidas nos contratos de clientes da Segment.

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais de forma oportuna no caso de um incidente físico ou técnico

Os bancos de dados de backup são armazenados em uma infraestrutura separada.. |

Medidas para a identificação e autorização de usuários

A empresa estabeleceu requisitos rigorosos de senha e verifica se nenhuma das senhas utilizadas foi vazada. Os usuários se registram com o Google que oferece recursos de segurança como autenticação multifator.

Medidas para a proteção de dados durante a transmissão

A Empresa implementou métodos e protocolos seguros para a transmissão de informações confidenciais ou sensíveis por meio de redes públicas. A Empresa usa apenas suítes e protocolos de cifra recomendados para criptografar todo o tráfego em trânsito (ou seja, TLS 1.2)

Medidas para garantir a segurança física dos locais nos quais os dados pessoais são processados

As medidas de segurança física incluem cercas, patrulhas de segurança, câmeras de vídeo, câmeras termográficas, autenticação biométrica, cartões de acesso, detectores de metal e mais.

Medidas para garantir o registro de eventos

Todos os pedidos HTTP são registrados. O monitoramento de registros de segurança é gerenciado pela equipe de engenharia. As atividades de registro são investigadas quando necessário e escaladas de forma apropriada.

Medidas para garantir a configuração do sistema, incluindo configuração padrão

Todas as mudanças na produção são automatizadas por meio de ferramentas de integração e implantação contínuas para garantir configurações consistentes.

Medidas para garantir a minimização de dados

Os Clientes da Empresa determinam unilateralmente quais Dados Pessoais Identificáveis (PII) do Cliente eles direcionam através dos Serviços. Assim, a Empresa opera em um modelo de responsabilidade compartilhada. A Empresa dá aos Clientes controle sobre exatamente quais dados de PII entram na plataforma. Além disso, a Empresa possui funcionalidade de autoatendimento integrada aos Serviços que permite que os Clientes excluam e ocultem PII a seu critério.

Medidas para garantir a qualidade dos dados

Todo software que é usado para processar os Dados Pessoais do Cliente passa por testes automatizados e uma revisão manual em pares antes de entrar em produção. Os dados devem se encaixar na estrutura do esquema do banco de dados e em validações de formato definidas pela aplicação. Há um pipeline de QA para os dados mais críticos, com alertas apropriados caso os dados sejam alterados.

Medidas para garantir a retenção limitada de dados

Os Clientes da Empresa determinam unilateralmente quais Dados do Cliente eles direcionam através dos Serviços. Assim, a Empresa opera em um modelo de responsabilidade compartilhada. Se um Cliente não puder excluir os Dados PII do Cliente por meio da funcionalidade de autoatendimento dos Serviços, então a Empresa excluirá os Dados do Cliente mediante solicitação escrita do Cliente, dentro do prazo estipulado no Acordo de Proteção de Dados e em conformidade com a Lei de Proteção de Dados Aplicável.

Medidas para garantir a responsabilidade

A Empresa adotou medidas para garantir a responsabilidade, como a implementação de políticas de proteção de dados e segurança da informação em toda a empresa, registro e relato de Incidentes de Segurança envolvendo Dados Pessoais, e formalmente atribuindo papéis e responsabilidades para funções de segurança da informação e privacidade de dados. Além disso, a Empresa realiza auditorias regulares de terceiros para garantir conformidade com nossos padrões de privacidade e segurança.

Medidas para permitir a portabilidade de dados e garantir a exclusão

Todos os PII nos Serviços podem ser excluídos pelo Cliente ou a pedido do Cliente.

Medidas técnicas e organizacionais dos subprocessadores

A Empresa estabelece Acordos de Processamento de Dados com seus Subprocessadores Autorizados com obrigações de proteção de dados substancialmente semelhantes às contidas neste Acordo.

Anexo D

---------

Subprocessadores

A Logike contrata entidades de terceiros para realizar atividades limitadas em conexão com os Serviços da Logike.

Quando a Logike contrata provedores de serviços de terceiros em nossa capacidade de processador de dados para Dados pessoais dos usuários da Logike, o Regulamento Geral sobre a Proteção de Dados ("GDPR") chama esses provedores de subprocessadores.

Nome / Dados / Finalidade do processamento / País

1°) Stripe Inc. / E-mails dos usuários da Brekacold, endereço de faturamento, informações de pagamento, transações, endereços IP "Fornecedor de serviços em nuvem " / EUA

2°) AWS / Dados dos usuários do Breakcold "/ Fornecedor de serviços em nuvem/ Frankfurt

3°) Azure / Dados dos usuários do Breakcold / "Fornecedor de serviços em nuvem " / Frankfurt

4°) Fly.io, Inc. / Dados dos usuários do Breakcold / "Fornecedor de serviços em nuvem / Frankfurt

5°) Functional Software, Inc. (Sentry)/ Dados dos usuários do Breakcold/ "Monitoramento de performance de aplicação "/ EUA

6°) PostHog, Inc./ Dados dos usuários do Breakcold / Monitoramento de performance de aplicação / Frankfurt

7°) Elasticsearch B.V. / Dados dos usuários do Breakcold / Fornecedor de serviços em nuvem / Frankfurt

8°) Cloudflare, Inc. / Dados dos usuários do Breakcold / Rede de entrega de conteúdo / EUA

9°) SplitBee (Vercel Inc. ) / Dados dos usuários do Breakcold / Análise de aplicação / EUA

10°) Vercel Inc / Dados dos usuários do Breakcold / Fornecedor de serviços em nuvem / EUA

11°) Upstash Inc / Dados dos usuários do Breakcold / Fornecedor de serviços em nuvem / EUA

12°) Firebase (Google Cloud Platform, Google LLC) / Dados dos usuários do Breakcold / Fornecedor de serviços em nuvem / EUA