Adendo de proteção de dados do Nexusguard

Última atualização: 11 de dezembro de 2020

A Nexusguard e suas afiliadas (“Nexusguard”) e a contraparte que concorda com estes termos (“Cliente”) celebraram o Contrato Principal de Serviços (MSA), o Contrato de Parceiro Registrado da Nexusguard (Contrato NRP) ou outro contrato escrito ou eletrônico para os Serviços fornecidos pela Nexusguard (o “Contrato Principal”). Este Adendo de Processamento de Dados, incluindo os apêndices (o “DPA”), faz parte do Contrato Principal.

Este DPA entrará em vigor e substituirá e substituirá quaisquer termos anteriormente aplicáveis relacionados ao assunto (incluindo qualquer emenda, contrato ou adendo de processamento de dados relacionado aos Serviços), a partir da data em que o Cliente clicou para aceitar ou as partes concordaram de outra forma com este DPA (“Data de Vigência do DPA”).

Se você estiver aceitando este DPA em nome do Cliente, você garante que: (a) você tem total autoridade legal para vincular o Cliente a este DPA; (b) você leu e compreendeu este DPA; e (c) você concorda, em nome do Cliente, com este DPA. Se você não tiver autoridade legal para vincular o Cliente, não aceite este DPA.

‍

TERMOS DE PROCESSAMENTO DE DADOS
Este DPA se aplica onde e somente na medida em que a Nexusguard processa Dados Pessoais enviados por ou para o Cliente à Nexusguard ou coletados e processados por ou para o Cliente usando o Serviço, quando esses Dados Pessoais estão sujeitos às Leis de Proteção de Dados Aplicáveis (conforme definido abaixo).

As partes concordaram em firmar este DPA para garantir que as salvaguardas adequadas sejam implementadas com relação à proteção de tais Dados Pessoais, conforme exigido pelas Leis de Proteção de Dados Aplicáveis. Consequentemente, a Nexusguard concorda em cumprir as seguintes disposições com relação a quaisquer Dados Pessoais enviados por ou para o Cliente à Nexusguard ou coletados e processados por ou para o Cliente usando o Serviço.

‍

1. Definições

1.1 As seguintes definições são usadas neste DPA:

a. ”País adequado” significa um país ou território reconhecido pelas Leis de Proteção de Dados da UE e do Reino Unido como fornecendo proteção adequada para Dados Pessoais.

b. ”Afiliado” significa, com relação a uma parte, qualquer entidade corporativa que, direta ou indiretamente, controla, é controlada ou está sob controle comum com essa parte (mas somente enquanto esse controle existir).

c. ”Leis de proteção de dados aplicáveis” significa todas as leis e regulamentos das jurisdições nas quais uma empresa do Grupo Nexusguard tem presença física que são aplicáveis ao processamento de dados pessoais de acordo com o Contrato Principal, incluindo as Leis de Proteção de Dados da UE e do Reino Unido e a CCPA.

d. ”CCPA” significa a Lei de Privacidade do Consumidor da Califórnia de 2018 (Cal. Civ. Código § 1798.100 - 1798.199, 2018).

e. ”Protetor Nexus” significa Nexusguard e qualquer uma de suas afiliadas.

f. ”Grupo de clientes” significa o Cliente e qualquer uma de suas Afiliadas estabelecidas e/ou fazendo negócios no Espaço Econômico Europeu, na Suíça ou no Reino Unido.
Adendo de processamento de dados do Nexusguard, versão 1 de dezembro de 2020

g. ”Processador de dados ” significa uma entidade que processa dados pessoais em nome do controlador e para a qual outra entidade divulga as informações pessoais de um indivíduo natural para fins comerciais, de acordo com um contrato por escrito que exige que a entidade que recebe as informações apenas retenha, use ou divulgue informações de dados pessoais com a finalidade de fornecer os Serviços.

h. ”Leis de proteção de dados da UE e do Reino Unido” significa todas as leis e regulamentos da União Europeia, do Espaço Econômico Europeu, de seus estados membros, da Suíça e do Reino Unido, aplicáveis ao processamento de Dados Pessoais de acordo com o Contrato Principal, incluindo (quando aplicável) o GDPR, a Lei Federal Suíça de Proteção de Dados e a Lei de Proteção de Dados do Reino Unido.

i. ”GDPR” significa o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados).

j. ”Dados pessoais” significa todos os dados definidos como “dados pessoais” pelas Leis de Proteção de Dados da UE e do Reino Unido e todos os dados definidos como “informações pessoais” pela CCPA e que a Nexusguard, em sua função de processadora de dados, recebe do Cliente ou acessa, armazena ou processa em nome do Cliente como parte da prestação do Serviço ao Cliente pela Nexusguard.

k. ”Processando”,”Controlador de dados”,”Titular dos dados” e”Autoridade supervisora” terão os significados atribuídos a eles nas Leis de Proteção de Dados da UE e do Reino Unido.

l. ”Serviços” se refere a todas as soluções baseadas em nuvem oferecidas, comercializadas ou vendidas pela Nexusguard ou seus parceiros autorizados que são projetadas para aumentar o desempenho, a segurança e a disponibilidade de propriedades, aplicativos e redes da Internet, juntamente com qualquer software, kits de desenvolvimento de software e interfaces de programação de aplicativos (“APIs”) disponibilizados em conexão com o exposto acima.

m. ”SCCs” significa as cláusulas contratuais padrão, que são as cláusulas padrão de proteção de dados para a transferência de dados pessoais para processadores estabelecidos em países terceiros, conforme descrito no art. 46 do GDPR, conforme descrito no art. 46 do GDPR, conforme variado, alterado ou substituído de tempos em tempos pela Comissão Europeia.

‍

1.2 Uma entidade “controla” outra entidade se: (a) detém a maioria dos direitos de voto nela; (b) é membro ou acionista dela e tem o direito de remover a maioria de seu conselho de administração ou órgão administrativo equivalente; (c) é membro ou acionista dela e controla sozinha ou de acordo com um acordo com outros acionistas ou membros, a maioria dos direitos de voto nela; ou (d) tem o direito exercer uma influência dominante sobre ela de acordo com seus documentos constitucionais ou de acordo com um contrato; e duas entidades são tratadas como estando em “Comum Controle” se um controla o outro (direta ou indiretamente) ou se ambos são controlados (direta ou indiretamente) pela mesma entidade.

‍

2. Status das partes

2.1 O tipo de dados pessoais processados de acordo com este DPA e o assunto, duração, natureza e finalidade do processamento, e as categorias de titulares dos dados, estão descritos no Anexo 1.

2.2 Cada parte garante, em relação aos Dados Pessoais, que cumprirá (e fará com que qualquer um de seus funcionários cumpra e use esforços comercialmente razoáveis para garantir que seus subprocessadores cumpram) com as Leis de Proteção de Dados Aplicáveis. Entre as partes, o Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados Pessoais e pelos meios pelos quais o Cliente adquiriu os Dados Pessoais.

2.3 Com relação aos direitos e obrigações das partes sob este DPA em relação aos Dados Pessoais, as partes reconhecem e concordam que o Cliente é o controlador ou processador de dados, e a Nexusguard é um processador ou subprocessador de dados, conforme aplicável, e consequentemente:

a. A Nexusguard concorda em processar todos os Dados Pessoais de acordo com suas obrigações de acordo com este DPA;
b. As partes reconhecem que o Cliente divulga Dados Pessoais à Nexusguard apenas para o desempenho do Serviço, conforme definido pelo Contrato Principal, e que isso constitui uma finalidade comercial válida para o processamento de tais dados.

2.4 Se o Cliente for um processador de dados, o Cliente garante à Nexusguard que as instruções e ações do Cliente com relação aos Dados Pessoais, incluindo a nomeação da Nexusguard como outro processador e, quando aplicável, a conclusão dos SCCs, foram autorizadas pelo controlador relevante.

2,5 Onde e na medida em que a Nexusguard processa dados definidos como “dados pessoais” de acordo com as Leis de Proteção de Dados da UE e do Reino Unido como controladora de dados, conforme estabelecido na Política de Privacidade da Nexusguard, a Nexusguard cumprirá as leis de proteção de dados aplicáveis da UE e do Reino Unido em relação a esse processamento.

2.6 Cada parte deve nomear um indivíduo dentro de sua organização autorizado a responder de tempos em tempos às perguntas sobre os Dados Pessoais e cada parte deve lidar com essas perguntas imediatamente.

‍

3. Obrigações do Nexusguard

3.1 Com relação a todos os Dados Pessoais que processa em sua função de processador ou subprocessador de dados, a Nexusguard garante que deverá:

a. processa apenas Dados Pessoais para fornecer o Serviço e agir somente de acordo com: (i)
este DPA, (ii) as instruções escritas do Cliente, conforme representadas pelo Contrato Principal e por este DPA, e (iii) os requisitos das Leis de Proteção de Dados Aplicáveis;

b. não vender, reter, usar ou divulgar os Dados Pessoais para qualquer finalidade que não seja a finalidade específica de executar o Serviço, inclusive para uma finalidade comercial que não seja a prestação do Serviço. O desempenho do Serviço pela Nexusguard pode incluir a divulgação de Dados Pessoais a subprocessadores, quando isso for relevante, de acordo com a Seção 4 deste DPA.

c. na medida em que os Dados Pessoais estejam sujeitos às leis de proteção de dados da UE e do Reino Unido, ao tomar conhecimento, informe o Cliente se, na opinião da Nexusguard, quaisquer instruções fornecidas pelo Cliente nos termos da cláusula 3.1 (a) violarem o GDPR;

d. implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado aos riscos apresentados pelo processamento de Dados Pessoais, em particular a proteção contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Pessoais. Essas medidas incluem, sem limitação, as medidas de segurança estabelecidas no Anexo 2 (“Medidas de Segurança”). O Cliente reconhece que as Medidas de Segurança estão sujeitas ao progresso técnico e ao desenvolvimento e que a Nexusguard pode atualizar ou modificar as Medidas de Segurança de tempos em tempos, desde que tais atualizações e modificações não degradem ou diminuam a segurança geral do Serviço;

e. tomar medidas razoáveis para garantir que somente o pessoal autorizado tenha acesso a esses Dados Pessoais e que todas as pessoas autorizadas a ter acesso aos Dados Pessoais estejam sob obrigações de confidencialidade;

f. sem demora injustificada após tomar conhecimento, notifique o Cliente sobre qualquer violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a Dados Pessoais transmitidos, armazenados ou processados pela Nexusguard, seus subprocessadores ou qualquer outro terceiro identificado ou não identificado (uma “Violação de Dados Pessoais”);

g. fornecer prontamente ao Cliente cooperação e assistência razoáveis em relação a uma violação de dados pessoais e todas as informações razoáveis em posse da Nexusguard sobre
tal violação de dados pessoais na medida em que afete o Cliente, incluindo o seguinte, na medida em que seja então conhecida:

i. a possível causa e consequências para os titulares de dados da violação de dados pessoais;
ii. as categorias de dados pessoais envolvidas;
iii. um resumo das possíveis consequências para os titulares de dados relevantes;
iv. um resumo dos destinatários não autorizados dos Dados Pessoais; e
v. as medidas tomadas pela Nexusguard para mitigar qualquer dano;

h. não fará nenhum anúncio público sobre uma violação de dados pessoais (um “Aviso de violação”) sem o consentimento prévio por escrito do Cliente, a menos que exigido pela lei aplicável;

i. na medida em que a Nexusguard possa verificar se um titular de dados está associado ao Cliente, a Nexusguard notificará imediatamente o Cliente se receber uma solicitação de um titular de dados para acessar, retificar ou apagar os Dados Pessoais desse indivíduo, ou se um titular de dados se opuser ao processamento ou fizer uma solicitação de portabilidade de dados em relação a esses Dados Pessoais (cada um deles é uma “Solicitação do Titular dos Dados”). A Nexusguard não responderá a uma Solicitação do Titular dos Dados sem o consentimento prévio por escrito do Cliente, exceto para confirmar que tal solicitação se refere ao Cliente, com o qual o Cliente concorda.

j. na medida em que a Nexusguard seja capaz, e de acordo com a lei aplicável, fornecerá assistência razoável ao Cliente para responder a uma solicitação do titular dos dados para acessar, retificar, corrigir ou apagar os Dados Pessoais desse indivíduo, caso o Cliente não tenha a capacidade de atender a uma Solicitação do Titular dos Dados sem a assistência da Nexusguard. O Cliente é responsável por verificar se o solicitante é o titular dos dados cujas informações estão sendo solicitadas. A Nexusguard não se responsabiliza pelas informações fornecidas de boa fé ao Cliente com base nesta subseção. O Cliente cobrirá todos os custos incorridos pela Nexusguard em conexão com a prestação de tal assistência;

k. exceto na medida necessária para cumprir a lei aplicável, após a rescisão ou expiração do Contrato Principal ou conclusão do Serviço, a Nexusguard excluirá todos os Dados Pessoais
(incluindo cópias dos mesmos) processados de acordo com este DPA;

l. levando em consideração a natureza do processamento e as informações disponíveis para a Nexusguard, a Nexusguard fornecerá ao Cliente a assistência que o Cliente solicitar razoavelmente em relação às obrigações da Nexusguard de acordo com as Leis de Proteção de Dados Aplicáveis com relação a:

i. avaliações de impacto na proteção de dados (conforme definido no GDPR);
ii. notificações à autoridade supervisora de acordo com as Leis de Proteção de Dados Aplicáveis e/ou comunicações do Cliente aos titulares de dados em resposta a qualquer violação de dados pessoais; e
iii. a conformidade do Cliente com suas obrigações de acordo com as Leis de Proteção de Dados Aplicáveis com relação à segurança do processamento;
iv. desde que o Cliente cubra todos os custos incorridos pela Nexusguard em conexão com a prestação dessa assistência.

‍

4. Subprocessamento

4.1 A Nexusguard só divulgará Dados Pessoais a subprocessadores para fins específicos de execução do Serviço em nome da Nexusguard. A Nexusguard não vende nem divulga dados pessoais a terceiros para fins comerciais.

4.2 O Cliente concede uma autorização geral: (a) à Nexusguard para nomear outros membros do Grupo Nexusguard como subprocessadores e (b) à Nexusguard e outros membros do Grupo Nexusguard para nomear operadores de data center terceirizados e fornecedores terceirizados de marketing, negócios, engenharia e suporte ao cliente como subprocessadores para apoiar o desempenho do Serviço.

4.3 A Nexusguard manterá uma lista de subprocessadores que o Cliente poderá obter mediante solicitação da Nexusguard. Se o Cliente tiver uma objeção razoável a qualquer subprocessador, ele notificará a Nexusguard sobre tais objeções por escrito e as partes procurarão resolver o assunto de boa fé. Se a Nexusguard for razoavelmente capaz de fornecer o Serviço ao Cliente de acordo com o Contrato Principal sem usar o subprocessador e decidir, a seu critério, fazê-lo, o Cliente não terá mais direitos sob esta cláusula 4.3 em relação ao uso proposto do subprocessador. Se a Nexusguard exigir o uso do subprocessador a seu critério e não conseguir satisfazer o Cliente quanto à adequação do subprocessador ou à documentação e proteções em vigor entre a Nexusguard e o subprocessador dentro de noventa (90) dias a partir da notificação de objeções do Cliente, o Cliente poderá, dentro de trinta (30) dias após o final do período de noventa (90) dias mencionado acima, encerrar o Formulário de Pedido aplicável e/ou Pedidos com pelo menos trinta (30) dias de antecedência por escrito, exclusivamente com relação ao (s) serviço (s) aos quais o processamento de Dados Pessoais proposto pelo novo subprocessador está relacionado. Se o Cliente não apresentar uma objeção oportuna a qualquer subprocessador novo ou substituto de acordo com esta cláusula 4.3, considera-se que o Cliente consentiu com o subprocessador e renunciou ao seu direito de se opor. O Nexusguard pode usar um subprocessador novo ou substituto enquanto o procedimento de objeção nesta cláusula 4.3 estiver em andamento.

4.4 A Nexusguard garantirá que qualquer subprocessador contratado para fornecer um aspecto do Serviço em seu nome em conexão com este DPA o faça somente com base em um contrato por escrito que imponha a esses termos de subprocessador substancialmente não menos proteção de Dados Pessoais do que aqueles impostos à Nexusguard neste DPA (os “Termos Relevantes”). A Nexusguard garantirá a execução por esse subprocessador dos Termos Relevantes e será responsável perante o Cliente por qualquer violação por essa pessoa de qualquer um dos Termos Relevantes.

‍

5. Auditoria e registros

5.1 A Nexusguard deverá, de acordo com as Leis de Proteção de Dados Aplicáveis, disponibilizar ao Cliente as informações em posse ou controle da Nexusguard, conforme o Cliente possa razoavelmente solicitar, com o objetivo de demonstrar a conformidade da Nexusguard com as obrigações dos processadores de dados de acordo com a Lei de Proteção de Dados Aplicável em relação ao processamento de Dados Pessoais.

5.2 O Cliente pode exercer seu direito de auditoria de acordo com as Leis de Proteção Aplicáveis em relação aos Dados Pessoais, por meio da Nexusguard fornecendo:
(a) um relatório de auditoria com menos de dezoito (18) meses, preparado por um auditor externo independente demonstrando que as medidas técnicas e organizacionais da Nexusguard são suficientes e estão de acordo com um padrão de auditoria aceito pelo setor; e
b) informações adicionais na posse ou controle da Nexusguard para uma autoridade supervisora de proteção de dados quando ela solicita ou exige informações adicionais em relação ao processamento de Dados Pessoais realizado pela Nexusguard sob este DPA.

‍

6. Transferências de dados do EEE, Suíça e Reino Unido

6.1 Em conexão com o Serviço, as partes prevêem que a Nexusguard possa processar fora do Espaço Econômico Europeu (“EEA”), Suíça e Reino Unido, certos Dados Pessoais protegidos pelas Leis de Proteção de Dados da UE e do Reino Unido em relação aos quais o Cliente ou qualquer membro do Grupo de Clientes pode ser um controlador de dados ou processador de dados, conforme aplicável, de acordo com as Leis de Proteção de Dados da UE e do Reino Unido.

6.2 Na medida em que a Nexusguard é destinatária e processa dados pessoais protegidos pelas leis de proteção de dados da UE e do Reino Unido em um país que não oferece um nível adequado de proteção para dados pessoais (na aceção do GDPR):

a. A Nexusguard concorda em cumprir e processar esses Dados Pessoais de acordo com os SCCs.
A Nexusguard cumprirá as obrigações do “importador de dados” nos SCCs e o Cliente cumprirá as obrigações do “exportador de dados”. Considera-se que o cliente (como “exportador de dados”) entrou no SCCs com a Nexusguard (como “importador de dados”).

b. Além disso, embora o Nexusguard não dependa da UE-EUA Estrutura do Escudo de Privacidade como base legal para transferências de dados pessoais à luz do julgamento do Tribunal de Justiça da UE no processo C-311/18, desde que a Nexusguard seja autocertificada na UE-EUA e Suíça-EUA. Estruturas do Privacy Shield, ela continuará processando esses Dados Pessoais em conformidade com os Princípios do Privacy Shield, e a Nexusguard concorda em notificar o Cliente se determinar que não pode mais cumprir sua obrigação de fornecer o mesmo nível de proteção exigido pelos Princípios do Privacy Shield.

c. Caso o Cliente procure realizar qualquer avaliação da adequação dos SCCs, a Nexusguard deverá, na medida do possível, fornecer assistência razoável ao Cliente para fins de tal avaliação, desde que o Cliente cubra todos os custos incorridos pela Nexusguard em conexão com o fornecimento dessa assistência.

6.3 Na medida em que a Nexusguard adote um mecanismo alternativo de exportação de dados (incluindo qualquer nova versão ou sucessora do Privacy Shield adotado de acordo com as leis de proteção de dados aplicáveis da UE e do Reino Unido) para a transferência de dados pessoais não descritos neste DPA (“Mecanismo de transferência alternativo”), o Mecanismo de Transferência Alternativa será aplicado em vez de qualquer mecanismo de transferência aplicável descrito neste DPA (mas somente na medida em que esse Mecanismo Alternativo de Transferência esteja em conformidade com a Lei Europeia de Proteção de Dados) e se estenda a os territórios nos quais os Dados Pessoais são transferido), e o Cliente concorda em executar esses outros e outros documentos e tomar outras medidas que possam ser razoavelmente necessárias para dar efeito legal a esse Mecanismo Alternativo de Transferência.

6.4 O Cliente reconhece e aceita que a prestação do Serviço nos termos do Contrato Principal pode exigir o processamento de Dados Pessoais por subprocessadores em países fora do EEE, Suíça ou Reino Unido.

6.5 Se, na execução deste DPA, a Nexusguard transferir quaisquer Dados Pessoais para um subprocessador localizado fora do EEE, Suíça ou Reino Unido (sem prejuízo das obrigações do exportador de dados de acordo com os SCCs), a Nexusguard deverá, antes de qualquer transferência, garantir que um mecanismo legal para alcançar a adequação em relação a esse processamento esteja em vigor, como:
a exigência de que a Nexusguard execute ou solicite que o subprocessador execute em benefício dos SCCs do cliente ou
a existência de qualquer outra salvaguarda especificamente aprovada para transferências de dados (conforme reconhecida pelas leis de proteção de dados da UE e do Reino Unido) e/ou uma constatação de adequação da Comissão Europeia.

6.6 Os seguintes termos se aplicam aos SCCs:
O Cliente pode exercer seu direito de auditoria de acordo com as SCCs conforme estabelecido e sujeito aos requisitos da cláusula 5.2 deste DPA; e
A Nexusguard pode nomear subprocessadores conforme estabelecido e sujeito aos requisitos das cláusulas 4 e 6.5 deste DPA.

‍

7. Solicitações de acesso a dados de terceiros

7.1 Na função da Nexusguard como processadora ou subprocessadora de dados, conforme aplicável, ela pode estar sujeita a processos legais de terceiros solicitando acesso ou divulgação de dados pessoais que sejam inconsistentes com as leis de proteção de dados aplicáveis. Se a Nexusguard tomar conhecimento de qualquer processo legal de terceiros solicitando Dados Pessoais que a Nexusguard processa em nome do Cliente em sua função de processador ou subprocessador de dados (conforme aplicável), então, na medida em que a Nexusguard seja capaz de identificar que esse processo legal de terceiros solicitando Dados Pessoais gera um conflito de leis, a Nexusguard irá:

i. notificar imediatamente o Cliente sobre a solicitação, a menos que tal notificação seja legalmente proibida;
ii. informar o terceiro de que é um processador ou subprocessador (conforme aplicável) dos Dados Pessoais e não está autorizado a divulgar os Dados Pessoais sem o consentimento do Cliente;
iii. instruir o terceiro a direcionar sua solicitação de dados ao Cliente; e
iv. buscar recursos legais antes de produzir dados, na medida do necessário.

7.2 Se a Nexusguard fornecer acesso ou divulgar Dados Pessoais em resposta a um processo legal de terceiros, com a autorização do Cliente ou devido a uma compulsão legal obrigatória, a Nexusguard só divulgará esses Dados Pessoais na medida em que seja legalmente exigido e de acordo com o processo legal aplicável.

7.3 As cláusulas 7.1 e 7.2 não se aplicam no caso de a Nexusguard acreditar de boa fé que a solicitação do governo é necessária devido a uma emergência envolvendo o perigo de morte ou ferimentos físicos graves a um indivíduo. Nesse caso, a Nexusguard notificará o Cliente sobre a divulgação dos dados o mais rápido possível após a divulgação e fornecerá ao Cliente todos os detalhes da mesma, a menos que tal divulgação seja legalmente proibida.

‍

8. Geral

8.1 Este DPA não prejudica os direitos e obrigações das partes nos termos do Contrato Principal, que continuará a ter pleno vigor e efeito. No caso de qualquer conflito entre os termos deste DPA e os termos do Contrato Principal, os termos deste DPA prevalecerão na medida em que o assunto diga respeito ao processamento de Dados Pessoais.

8.2 A responsabilidade da Nexusguard sob ou em conexão com este DPA, inclusive sob os SCCs, está sujeita às exclusões e limitações de responsabilidade contidas no Contrato Principal.

8,3 Este DPA não confere nenhum direito a terceiros beneficiários, ele se destina apenas ao benefício das partes deste documento e de seus respectivos sucessores e cessionários permitidos, e não é para o benefício de, nem qualquer disposição deste documento pode ser aplicada por, qualquer outra pessoa.

8.4 Este DPA e qualquer ação relacionada a ele serão regidos e interpretados de acordo com as leis do Estado da Califórnia, sem dar efeito a quaisquer conflitos de princípios legais. As partes concordam com a jurisdição pessoal e o foro dos tribunais de São Francisco, Califórnia.

8,5 Se qualquer disposição deste DPA for, por qualquer motivo, considerada inválida ou inexequível, as outras disposições do DPA permanecerão aplicáveis e a disposição inválida ou inexequível será considerada modificada para que seja válida e aplicável na medida máxima permitida por lei. Sem limitar a generalidade do exposto acima, o Cliente concorda que a Seção 8.2 (Limitação de Responsabilidade) permanecerá em vigor, apesar da inexequibilidade de qualquer disposição deste DPA.

8,6 Este DPA é o contrato final, completo e exclusivo das partes com relação ao assunto aqui tratado e substitui e mescla todas as discussões e acordos anteriores entre as partes com relação a esse assunto. Exceto em relação às declarações feitas de forma fraudulenta, nenhuma outra representação ou termo se aplicará ou fará parte deste DPA. Nenhuma modificação, emenda ou renúncia a quaisquer direitos previstos no DPA entrará em vigor, a menos que seja por escrito e assinada por um signatário autorizado de cada parte. Este DPA pode ser executado em contrapartes, cada uma das quais deve ser considerada original, mas todas, juntas, constituirão o mesmo contrato. Cada pessoa que assina abaixo garante que está devidamente autorizada e tem capacidade legal para executar e entregar este DPA. Cada parte garante à outra que a execução e a entrega deste DPA e o desempenho das obrigações de tal parte nos termos deste documento foram devidamente autorizados e que este DPA é um contrato válido e juridicamente vinculativo para cada uma dessas partes, aplicável de acordo com seus termos.

‍

‍

Anexo 1
Detalhes dos dados pessoais e das atividades de processamento

a. Dados pessoais processados: em relação aos visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos do Cliente, dados de identificação, dados da vida profissional, dados da vida pessoal, dados de conexão, dados de localização (incluindo endereços IP) e quaisquer outros dados que o Cliente receba desses visitantes ou usuários autorizados. O Cliente, seus visitantes on-line, usuários autorizados e/ou outros parceiros também podem fazer upload de conteúdo para as propriedades on-line do Cliente, o que pode incluir dados pessoais e categorias especiais de dados, cuja extensão é determinada e controlada pelo Cliente a seu exclusivo critério. Essas categorias especiais de dados incluem, mas podem não estar limitadas a, informações que revelam origens raciais ou étnicas, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical e processamento de dados relativos à saúde ou à vida sexual de um indivíduo.

b. Duração do processamento: até a primeira data de (i) expiração/rescisão do Contrato Principal, ou (ii) a data em que o processamento não é mais necessário para fins de qualquer uma das partes cumprir suas obrigações nos termos do Contrato Principal (na medida aplicável);

c. Atividade de processamento: Processamento necessário para fornecer o Serviço ao Cliente, de acordo com o Contrato Principal;

d. A (s) finalidade (s) do processamento é/são: necessárias para a prestação do Serviço;

e. Os dados pessoais podem dizer respeito aos seguintes titulares de dados: Pessoas físicas que (i) acessam ou usam os domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) e aplicativos do Cliente.

‍

Anexo 2
Medidas de segurança

A. A Nexusguard implementou e manterá um programa de segurança de acordo com os padrões do setor.
B. Mais especificamente, o programa de segurança da Nexusguard incluirá:

Controle de acesso às áreas de processamento

A Nexusguard implementa medidas adequadas para impedir que pessoas não autorizadas tenham acesso ao equipamento de processamento de dados (ou seja, telefones, servidores de banco de dados e aplicativos e hardware relacionado) onde os dados pessoais são processados ou usados, incluindo:

• estabelecer áreas de segurança;
• proteção e restrição de caminhos de acesso;
• estabelecer autorizações de acesso para funcionários e terceiros, incluindo a respectiva documentação;
• todo o acesso ao data center onde os dados pessoais estão hospedados é registrado, monitorado e rastreado; e
• o data center onde os dados pessoais são hospedados é protegido por um sistema de alarme de segurança e outras medidas de segurança apropriadas.

Controle de acesso a sistemas de processamento de dados

A Nexusguard implementa medidas adequadas para impedir que seus sistemas de processamento de dados sejam usados por pessoas não autorizadas, incluindo:

• uso de tecnologias de criptografia adequadas;
• identificação do terminal e/ou do usuário do terminal no Nexusguard e nos sistemas de processamento;
• bloqueio temporário automático do terminal do usuário se deixado ocioso; identificação e senha são necessárias para reabrir;
• bloqueio temporário automático do ID do usuário quando várias senhas erradas são inseridas, arquivo de log de eventos, monitoramento de tentativas de invasão (alertas); e
• todo o acesso ao conteúdo de dados é registrado, monitorado e rastreado.

Controle de acesso para usar áreas específicas de sistemas de processamento de dados

A Nexusguard compromete-se a que as pessoas autorizadas a usar seu sistema de processamento de dados só podem acessar os dados dentro do escopo e na medida abrangida por suas respectivas permissões de acesso (autorização) e que os dados pessoais não podem ser lidos, copiados, modificados ou removidos sem autorização. Isso deve ser realizado por meio de várias medidas, incluindo:

• políticas e treinamento de funcionários em relação aos direitos de acesso de cada funcionário aos dados pessoais;
• alocação de terminais individuais e/ou do usuário do terminal e características de identificação exclusivas para funções específicas;
  
• capacidade de monitoramento em relação a indivíduos que excluem, adicionam ou modificam os dados pessoais;
  
• liberação de dados somente para pessoas autorizadas, incluindo alocação de direitos e funções de acesso diferenciados;
  
• uso de tecnologias de criptografia adequadas; e
  
• controle de arquivos, destruição controlada e documentada de dados.

Controle de disponibilidade

A Nexusguard implementa medidas adequadas para garantir que os dados pessoais sejam protegidos contra destruição ou perda acidental, incluindo:

• redundância de infraestrutura; e
  
• o backup é armazenado em um local alternativo e está disponível para restauração em caso de falha do sistema primário.

Controle de transmissão

A Nexusguard implementa medidas adequadas para impedir que os dados pessoais sejam lidos, copiados, alterados ou excluídos por partes não autorizadas durante sua transmissão ou durante o transporte da mídia de dados. Isso é realizado por meio de várias medidas, incluindo:

• uso de tecnologias adequadas de firewall, VPN e criptografia para proteger os gateways e pipelines pelos quais os dados trafegam;
  
• certos dados altamente confidenciais de funcionários (por exemplo, informações de identificação pessoal, como números de identificação nacional, números de cartão de crédito ou débito) também são criptografados no sistema; e fornecem alerta ao usuário em caso de transferência incompleta de dados (verificação de ponta a ponta); e
  
• na medida do possível, todas as transmissões de dados são registradas, monitoradas e rastreadas.

Controle de entrada

O Nexusguard implementa medidas de controle de entrada adequadas, incluindo:

• uma política de autorização para a entrada, leitura, alteração e exclusão de dados;
  
• autenticação do pessoal autorizado;
  
• medidas de proteção para a entrada de dados na memória, bem como para a leitura, alteração e exclusão de dados armazenados;
  
• utilização de credenciais ou códigos de autenticação exclusivos (senhas);
  
• garantir que as entradas nas instalações de processamento de dados (as salas que abrigam o hardware do computador e o equipamento relacionado) sejam mantidas trancadas;
  
• desligamento automático de IDs de usuário que não foram usadas por um período substancial de tempo; e prova estabelecida na organização da Nexusguard da autorização de entrada; e
• gravação eletrônica de inscrições.
  

Separação do processamento para finalidades diferentes

A Nexusguard implementa medidas adequadas para garantir que os dados coletados para diferentes propósitos possam ser processados separadamente, incluindo:

• o acesso aos dados é separado por meio da segurança do aplicativo para os usuários apropriados;
  
• os módulos dentro do banco de dados do Nexusguard separam quais dados são usados para qual finalidade, ou seja, por funcionalidade e função;
  
• no nível do banco de dados, os dados são armazenados em diferentes tabelas normalizadas, separadas por módulo, por cliente controlador ou função que eles suportam; e
  
• interfaces, processos em lote e relatórios são projetados apenas para finalidades e funções específicas, portanto, os dados coletados para fins específicos são processados separadamente.
  

Documentação

A Nexusguard manterá a documentação das medidas técnicas e organizacionais em caso de auditorias e para a conservação de evidências. A Nexusguard tomará medidas razoáveis para garantir que as pessoas empregadas por ela e outras pessoas no local de trabalho em questão estejam cientes e cumpram as medidas técnicas e organizacionais estabelecidas neste Apêndice 2.

Monitoramento

A Nexusguard implementará medidas adequadas para monitorar as restrições de acesso aos administradores de sistema da Nexusguard e garantir que eles ajam de acordo com as instruções recebidas. Isso é realizado por meio de várias medidas, incluindo:

• nomeação individual de administradores de sistema;
  
• adoção de medidas adequadas para registrar os registros de acesso dos administradores do sistema à infraestrutura e mantê-los seguros, precisos e sem modificações por pelo menos seis meses;
  
• auditorias anuais das atividades dos administradores do sistema para avaliar a conformidade com as tarefas atribuídas, as instruções recebidas pelo Nexusguard e as leis aplicáveis;
  
• manter uma lista atualizada com os detalhes de identificação dos administradores do sistema (por exemplo, nome, sobrenome, função ou área organizacional) e as tarefas atribuídas e fornecê-la imediatamente ao exportador de dados mediante solicitação.