Adendo sobre o processamento de dados do GDPR

Adendo sobre o processamento de dados da Beonic

Última atualização: 27 de dezembro de 2022

Este Adendo de Processamento de Dados ("DPA") e seus Anexos são firmados entre a Beonic ("Processador de Dados") e o Cliente ("Controlador de Dados") e complementam o Contrato do Cliente (definido abaixo) quando as Leis de Proteção de Dados se aplicam ao seu uso dos Serviços da Beonic para processar Dados Pessoais.

Este DPA, incluindo seus Anexos, está incorporado ao(s) Contrato(s) de Cliente sob o(s) qual(is) a Beonic concordou em prestar Serviços ao usuário, o que pode ser especificado no seu Contrato de Cliente. Em caso de qualquer conflito ou inconsistência com os termos do seu Contrato de Cliente, este ATD terá precedência sobre os termos do Contrato de Cliente na medida em que tal conflito ou inconsistência possa surgir. O prazo deste DPA seguirá o prazo do Contrato com o Cliente.

Este DPA é um acordo entre você e a entidade que você representa ("Cliente", "você" ou "seu") e a Beonic ("nós" ou "nosso") ou um revendedor dos Serviços (conforme aplicável) e reflete o acordo entre as partes com relação aos termos que regem o Processamento de Dados Pessoais nos termos do Contrato do Cliente. Neste DPA, uma referência ao Contrato do Cliente é uma referência a um dos seguintes itens:

• Contrato de Serviço Principal (MSA) da Beonic;
• Contrato de Serviços Beonic;
• Contrato de Revendedor Beonic;
•  Termos de Licença do Cliente Beonic - www.beonic.com/customer-terms; ou
•  Qualquer outro contrato entre o Cliente e a Beonic que regule o uso dos Serviços da Beonic pelo Cliente,

cada um deles um "Contrato do Cliente" e referidos genericamente neste DPA como o "Contrato".

ESSA DPA INCLUI:

• Lista de Subprocessadores, anexada ao presente documento como Anexo 1.
• Cláusulas Contratuais Padrão, anexadas ao presente documento como Anexo 2.

• Anexo I do Apêndice das Cláusulas Contratuais Padrão, que inclui detalhes sobre os Dados Pessoais transferidos pelo exportador de dados para o importador de dados.
• Anexo II do Apêndice das Cláusulas Contratuais Padrão, que inclui uma descrição das medidas de segurança técnicas e organizacionais implementadas pelo importador de dados, conforme mencionado.

• O Adendo do Reino Unido, anexado ao presente documento como Anexo 3.

• Definições

Os termos não definidos de outra forma neste DPA terão o significado estabelecido no Contrato do Cliente. O prazo deste DPA seguirá o prazo de seu Contrato com o Cliente.

"CCPA" significa a Lei de Privacidade do Consumidor da Califórnia, seções 1798.100 e seguintes do Código Civil da Califórnia e seus regulamentos de implementação.

"Controlador" significa a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e os meios do Processamento de Dados Pessoais e deve ser considerado como incluindo a "Empresa", conforme definido na CCPA. Neste DPA, o Cliente (conforme definido no Contrato) é o Controlador.

"Lei de Proteção de Dados" significa toda a legislação aplicável relacionada à proteção de dados e à privacidade, incluindo, sem limitação, o GDPR da UE, juntamente com quaisquer leis nacionais de implementação em qualquer Estado Membro da União Europeia ou, na medida do aplicável, em qualquer outro país, conforme alterado, revogado, consolidado ou substituído de tempos em tempos; o GDPR do Reino Unido; POPIA; LGPD; e CCPA.

"Titular dos Dados" significa o indivíduo natural e vivo a quem os Dados Pessoais se referem e deve ser considerado como incluindo o "Consumidor", conforme definido na CCPA.

"Documentação" significa o registro de instruções, incluindo todas as especificações, feitas pelo Cliente ou em nome dele para os Serviços sujeitos ao Contrato.

"Usuários finais" significa os visitantes dos locais cujos dispositivos móveis são detectados pelo WiFi e cujos detalhes do dispositivo são registrados e monitorados pelo Beonic; e indivíduos que se registram para usar os serviços WiFi para convidados fornecidos pelo Cliente em suas instalações, locais e locais

"GDPR da UE" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 de 27 de abril de 2016 sobre a proteção de pessoas físicas com relação ao processamento de dados pessoais e sobre a livre circulação de tais dados.

"Instrução" significa a instrução escrita e documentada, emitida pelo Controlador ao Processador, e que direciona o mesmo a realizar uma ação específica com relação aos Dados Pessoais (incluindo, mas não se limitando a despersonalização, bloqueio, exclusão, disponibilização).

"LGPD" significa a Lei Geral de Proteção de Dados Pessoais do Brasil (conforme alterada pela Lei nº 13.853, de 8 de julho de 2019).

"Dados Pessoais" significa qualquer informação relacionada a um indivíduo identificado ou identificável, quando essas informações estiverem contidas nos Dados do Cliente e forem protegidas de forma semelhante a dados pessoais ou informações pessoalmente identificáveis de acordo com a Lei de Proteção de Dados aplicável.

"Violação de dados pessoais" significa uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma.

"Plataforma" significa a plataforma tecnológica desenvolvida e operada pela Beonic e utilizada pelos Clientes para fins de análise de localização de visitantes, para coletar informações dos Usuários Finais e para interagir com os Usuários Finais.

"POPIA" significa a Lei de Proteção de Informações Pessoais da África do Sul de 2013.

"Processamento" significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais, abrangendo coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição ou exclusão de Dados Pessoais. Os termos "processo", "processos" e "processado" serão interpretados de acordo.

"Processador" significa uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa Dados Pessoais em nome do Controlador e deve ser considerado como incluindo o "Provedor de Serviços", conforme definido na CCPA. Neste DPA, o Beonic (conforme definido no Contrato) é o Processador.

"Serviços" significa os serviços a serem fornecidos pela Beonic ao Cliente, conforme estabelecido no Contrato.

"Beonic" significa a entidade Beonic especificada no Contrato relevante.

"Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão anexadas a este documento como Anexo 2, de acordo com a Decisão de Implementação da Comissão Europeia (UE) 2021/914, de 4 de junho de 2021, conforme possa ser alterada, substituída ou retificada.

"Adendo do Reino Unido" significa o Adendo Internacional de Transferência de Dados emitido pelo Comissário de Informações do Reino Unido, nos termos da seção 119A(1) da Lei de Proteção de Dados de 2018, conforme possa ser alterado, substituído ou reposto.

"GDPR do Reino Unido" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679, de 27 de abril de 2016, sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, uma vez que faz parte da legislação da Inglaterra e País de Gales, Escócia e Irlanda do Norte em virtude da seção 3 da Lei da União Europeia (Retirada) de 2018.

"Locais" significa as instalações, locais e locais do Cliente nos quais os serviços WiFi são oferecidos aos Indivíduos que usam a Plataforma.

"Serviço WiFi" significa o acesso à Internet sem fio para convidados oferecido pelo Cliente em um Local de Evento usando sua rede sem fio juntamente com a Plataforma.

• Detalhes do processamento

•  Categorias de titulares de dados: Categorias de titulares de dados cujos dados pessoais serão processados pela Beonic abrange:

• Usuários finais
• Funcionários, contratados e outros trabalhadores do Cliente
• Funcionários, contratados e outros trabalhadores de fornecedores do Cliente (como os Processadores terceirizados do Cliente)
• Outros indivíduos cujos Dados Pessoais sejam fornecidos à Beonic ou adicionados à Plataforma pelo Cliente.

•  Categorias de Dados Pessoais: As categorias de Dados Pessoais que podem ser processadas pela Beonic incluem:

• Nome completo e prefixo
• Número de celular
• Endereço de e-mail
• Data de nascimento
• Gênero
• Idade
• Identidades de redes sociais e detalhes disponíveis publicamente
• Código postal

• País ou estado de residência
• Detalhes do dispositivo de navegação, incluindo o endereço de controle de acesso à mídia
• A hora, a data e o local de registro dos Titulares de Dados para o serviço WiFi
• A duração e a frequência de uso do serviço WiFi e as visitas dos Titulares dos Dados aos locais
• A localização aproximada dos dispositivos de navegação dos Titulares de Dados enquanto estiverem em um Local
• Histórico de navegação na Internet dos Titulares dos Dados durante o uso do serviço WiFi
• Envolvimento dos Titulares dos Dados com as postagens de mídia social do Cliente e outras atividades sociais
• Informações demográficas dos titulares dos dados
• Interesses e gostos dos titulares de dados

•  Natureza e finalidade do processamento: A Beonic processará os Dados Pessoais com a finalidade de fornecer os Serviços ao Cliente, as categorias de Dados Pessoais que serão processadas dependerão dos Serviços fornecidos ao Cliente.
•  Duração do processamento: A Beonic processará os Dados Pessoais até que o Serviço seja encerrado pelo Cliente.

• Responsabilidade do cliente

• As partes reconhecem e concordam que o Cliente é o Controlador dos Dados Pessoais e o Beonic é o Processador desses dados. No que diz respeito ao uso dos Serviços, o Controlador será o único responsável pelo cumprimento dos requisitos legais relacionados à proteção de dados e à privacidade, em particular no que diz respeito à divulgação e transferência de Dados Pessoais para o Processador e ao Processamento de Dados Pessoais.
• Sem prejuízo da generalidade da cláusula 3.1, o Controlador deverá garantir que tenha todos os consentimentos e avisos apropriados necessários em vigor para permitir a transferência legal dos Dados Pessoais para o Processador durante a vigência e para os fins do Contrato do Cliente.
• Para evitar dúvidas, as instruções do Controlador para o Processamento de Dados Pessoais deverão estar em conformidade com a Lei de Proteção de Dados. Este DPA é a instrução completa e final do Cliente para a Beonic em relação aos Dados Pessoais e que instruções adicionais fora do escopo do DPA exigiriam acordo prévio por escrito entre as partes. As instruções serão inicialmente especificadas no Contrato e poderão, periodicamente, ser alteradas, ampliadas ou substituídas pelo Controlador em instruções escritas separadas (como instruções individuais).
• O Controlador deverá informar o Processador, sem atrasos indevidos e de forma abrangente, sobre quaisquer erros ou irregularidades relacionados às disposições legais sobre o Processamento de Dados Pessoais.

• Obrigações do processador

•  Conformidade com as instruções: O Processador deverá coletar, processar e usar os Dados Pessoais somente dentro do escopo das Instruções do Controlador. Se o Processador acreditar que uma Instrução do Controlador infringe a Lei de Proteção de Dados, ele deverá informar imediatamente o Controlador sem demora. Se o Processador não puder processar os Dados Pessoais de acordo com as Instruções devido a um requisito legal de acordo com qualquer lei aplicável da União Europeia ou de um Estado Membro, o Processador (i) notificará imediatamente o Controlador sobre esse requisito legal antes do Processamento relevante, na medida permitida pela Lei de Proteção de Dados; e (ii) interromperá todo o Processamento (que não seja apenas o armazenamento e a manutenção da segurança dos Dados Pessoais afetados) até que o Controlador emita novas instruções com as quais o Processador possa cumprir. Se essa disposição for invocada, o Processador não será responsável perante o Controlador, nos termos do Contrato, por qualquer falha na execução dos serviços aplicáveis até que o Controlador emita novas instruções com relação ao Processamento.
•  Segurança: O Processador tomará as medidas técnicas e organizacionais apropriadas para proteger adequadamente os Dados Pessoais contra destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Dados Pessoais, descritos no Anexo II do Apêndice das Cláusulas Contratuais Padrão. Tais medidas incluem, mas não se limitam a:

• A prevenção do acesso de pessoas não autorizadas aos sistemas de processamento de dados pessoais (controle de acesso físico);
• A prevenção do uso de sistemas de processamento de dados pessoais sem autorização (controle de acesso lógico);
• Garantir que as pessoas autorizadas a usar um sistema de processamento de dados pessoais obtenham acesso apenas aos dados pessoais aos quais têm direito de acesso, de acordo com seus direitos de acesso, e que, durante o processamento ou uso e após o armazenamento, os dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização (controle de acesso a dados);
• Garantir que os dados pessoais não possam ser lidos, copiados, modificados ou excluídos sem autorização durante a transmissão eletrônica, o transporte ou o armazenamento em mídia de armazenamento, e que as entidades de destino para qualquer transferência de dados pessoais por meio de instalações de transmissão de dados possam ser estabelecidas e verificadas (controle de transferência de dados);
• Garantir o estabelecimento de uma trilha de auditoria para documentar se e por quem os dados pessoais foram inseridos, modificados ou removidos dos sistemas de processamento de dados pessoais (controle de entrada);
• Garantir que os Dados Pessoais sejam processados exclusivamente de acordo com as instruções do Controlador (controle de instruções);
• Garantir que os dados pessoais sejam protegidos contra destruição ou perda acidental (controle de disponibilidade).

Mediante solicitação do Controlador, o Processador deverá fornecer um programa atual de proteção e segurança de Dados Pessoais relacionado ao Processamento nos termos deste instrumento.

O Processador facilitará a conformidade do Controlador com sua obrigação de implementar medidas de segurança com relação aos Dados Pessoais de acordo com as Leis de Proteção de Dados (i) implementando e mantendo as medidas de segurança descritas no Anexo 2, (ii) cumprindo os termos da Seção 4.4 (Violações de Dados Pessoais); e (iii) fornecendo ao Controlador informações relacionadas ao Processamento de acordo com a Seção 5 (Auditorias).

•  Confidencialidade: O Processador deverá garantir que qualquer funcionário que o Processador autorize a processar Dados Pessoais em seu nome esteja sujeito a obrigações de confidencialidade com relação a esses Dados Pessoais. O compromisso com a confidencialidade deverá continuar após o término das atividades acima mencionadas.
•  Violações de dados pessoais: O Processador notificará o Controlador assim que possível após tomar conhecimento de qualquer Violação de Dados Pessoais que afete quaisquer Dados Pessoais. Mediante solicitação do Controlador, o Processador fornecerá prontamente ao Controlador toda a assistência razoável necessária para permitir que ele notifique as Violações de Dados Pessoais relevantes às autoridades competentes e/ou aos Titulares de Dados afetados, se o Controlador for obrigado a fazê-lo de acordo com a Lei de Proteção de Dados.
•  Solicitações do Titular dos Dados: O Processador fornecerá assistência razoável, inclusive por meio de medidas técnicas e organizacionais apropriadas e levando em conta a natureza do Processamento, para permitir que o Controlador responda a qualquer solicitação dos Titulares dos Dados que busquem exercer seus direitos de acordo com a Lei de Proteção de Dados com relação aos Dados Pessoais (incluindo acesso, retificação, restrição, exclusão ou portabilidade de Dados Pessoais, conforme aplicável), na medida permitida pela lei. Se essa solicitação for feita diretamente ao Processador, o Processador informará imediatamente o Controlador e aconselhará os Titulares dos Dados a enviar sua solicitação ao Controlador. O Controlador será o único responsável por responder a quaisquer solicitações dos Titulares dos Dados. O Controlador deverá reembolsar o Processador pelos custos decorrentes dessa assistência.
•  Subprocessadores: O Processador terá o direito de contratar Subprocessadores para cumprir as obrigações do Processador definidas no Contrato somente com o consentimento por escrito do Controlador. Para esses fins, o Controlador consente com a contratação, como Subprocessadores, das empresas afiliadas do Processador e dos terceiros listados no Anexo 1. Para evitar dúvidas, a autorização acima constitui o consentimento prévio por escrito do Controlador para o subprocessamento pelo Processador para fins da Cláusula 8.8 das Cláusulas Contratuais Padrão.

Se o Processador pretender instruir Subprocessadores que não sejam as empresas listadas no Anexo 1, o Processador notificará o Controlador por escrito (por meio de notificação no aplicativo no portal da Web do Beonic IO) e dará ao Controlador a oportunidade de se opor à contratação dos novos Subprocessadores no prazo de 30 dias após ser notificado. A objeção deve ser baseada em motivos razoáveis (por exemplo, se o Controlador provar que existem riscos significativos para a proteção de seus Dados Pessoais no Subprocessador). Se o Processador e o Controlador não conseguirem resolver essa objeção, qualquer uma das partes poderá rescindir o Contrato mediante notificação por escrito à outra parte. O Controlador receberá um reembolso de quaisquer taxas pré-pagas, mas não utilizadas, pelo período após a data efetiva da rescisão.

Quando o Processador contratar Subprocessadores, o Processador celebrará um contrato com o Subprocessador que imponha ao Subprocessador as mesmas obrigações que se aplicam ao Processador nos termos deste DPA e que atenda aos requisitos da Lei de Proteção de Dados. Quando o Subprocessador não cumprir suas obrigações de proteção de dados, o Processador permanecerá responsável perante o Controlador pelo cumprimento de tais obrigações do Subprocessador.

Quando um Subprocessador é contratado, o Controlador deve ter o direito de monitorar e inspecionar as atividades do Subprocessador de acordo com este DPA e a Lei de Proteção de Dados, inclusive para obter informações do Processador, mediante solicitação por escrito, sobre a substância do contrato e a implementação das obrigações de proteção de dados sob o contrato de subprocessamento, quando necessário, inspecionando os documentos relevantes do contrato.

•  Transferências de dados: O Controlador reconhece e concorda que, em conexão com a execução dos serviços previstos no Contrato, os Dados Pessoais serão transferidos para a Beonic Group Pty Ltd (ACN 165 152 241) e outras subsidiárias na Austrália.

•  Transferências do EEE: As Cláusulas Contratuais Padrão (módulo 2) do Anexo 2 serão aplicadas com relação aos Dados Pessoais que forem transferidos para fora do EEE, diretamente ou por meio de transferência subsequente, para a Austrália e para qualquer país não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção de dados pessoais (conforme descrito na Lei de Proteção de Dados).
•  Transferências para o Reino Unido: O Adendo do Reino Unido no Anexo 3, que é incorporado a este Contrato, será aplicado com relação aos Dados Pessoais que são transferidos para fora do Reino Unido, diretamente ou por meio de transferência subsequente, para a Austrália e para qualquer país não reconhecido pelo Governo do Reino Unido como fornecendo um nível adequado de proteção para dados pessoais (conforme descrito na Lei de Proteção de Dados). (ii) a Tabela 1 do Adendo do Reino Unido será considerada preenchida com as informações estabelecidas no Anexo 1 das Cláusulas Contratuais Padrão; e (iii) qualquer conflito entre os termos das Cláusulas Contratuais Padrão e do Adendo do Reino Unido será resolvido de acordo com a Seção 10 e a Seção 11 do Adendo do Reino Unido.

Se, na execução deste DPA, a Beonic transferir quaisquer Dados Pessoais para um Subprocessador localizado fora do Reino Unido ou do EEE, a Beonic deverá, antes de qualquer transferência, garantir que um mecanismo legal para alcançar a adequação em relação a esse processamento esteja em vigor.

•  Exclusão ou recuperação de dados pessoais: Exceto na medida necessária para cumprir a Lei de Proteção de Dados, após a rescisão ou expiração do Contrato, o Processador excluirá todos os Dados Pessoais (incluindo cópias dos mesmos) processados de acordo com este DPA. Se o Processador não puder excluir os Dados Pessoais por motivos técnicos ou outros, o Processador aplicará medidas para garantir que os Dados Pessoais sejam bloqueados para qualquer outro processamento.

O Controlador deverá, após a rescisão ou expiração do Contrato e por meio da emissão de uma Instrução, estipular, dentro de um período de tempo definido pelo Processador, as medidas razoáveis para devolver os dados ou excluir os dados armazenados. Qualquer custo adicional decorrente da devolução ou exclusão de Dados Pessoais após a rescisão ou expiração do Contrato deverá ser arcado pelo Controlador.

• Auditorias

• O Controlador poderá, antes do início do Processamento e, posteriormente, em intervalos regulares, auditar as medidas técnicas e organizacionais adotadas pelo Processador. Para essa finalidade, o Controlador poderá:

• obter informações do Processador;
• solicitar que o Processador apresente ao Controlador um atestado ou certificado existente emitido por um especialista profissional independente; ou
• mediante acordo prévio razoável e oportuno, durante o horário comercial normal e sem interromper as operações comerciais do Processador, realizar uma inspeção no local das operações comerciais do Processador ou fazer com que a mesma seja realizada por um terceiro qualificado que não seja concorrente do Processador.

• O Processador deverá, mediante solicitação por escrito do Controlador e dentro de um período de tempo razoável, fornecer ao Controlador todas as informações necessárias para essa auditoria, na medida em que essas informações estejam sob o controle do Processador e que o Processador não esteja impedido de divulgá-las pela lei aplicável, por um dever de confidencialidade ou por qualquer outra obrigação devida a um terceiro.

• Disposições específicas do POPIA

•  Esta Seção 6 aplica-se somente quando o Cliente coleta e processa Dados Pessoais sobre Titulares de Dados na República da África do Sul ("Controlador SA").
• Para fins de conformidade com a POPIA, as referências aos seguintes termos neste DPA devem ser consideradas como incluindo as seguintes definições da POPIA:

• "Controlador de dados" deve ser considerado como incluindo uma referência a uma "parte responsável";
• "Processador de dados" deve ser considerado como incluindo uma referência a um "operador"; e
• Considera-se que "Dados Pessoais" inclui uma referência a "informações pessoais".

• Este DPA formará um contrato de operador entre a Beonic e um Controlador SA.
• As partes concordam que a Controladora SA é a "parte responsável" e o Beonic é um "operador" para os fins da POPIA e que o Beonic age sob o mandato da Controladora SA ao processar Dados Pessoais em seu nome.
• O Controlador SA será o único responsável pelo cumprimento das obrigações de notificação estabelecidas na seção 18 da POPIA.
• A obrigação do Beonic de implementar medidas de segurança, conforme estabelecido na Seção 4.2 deste DPA, será considerada como uma obrigação de tomar medidas técnicas e organizacionais apropriadas e razoáveis para os fins da seção 19 da POPIA.
• O Controlador SA reconhece e concorda que, em conexão com a execução dos serviços nos termos do Contrato, os Dados Pessoais serão transferidos para o Beonic Group Pty Ltd (ACN 165 152 241) e outras subsidiárias na Austrália, e este DPA formará um contrato vinculativo para os fins da seção 72 da POPIA e:

• as medidas de segurança a serem aplicadas pelo Beonic a esses Dados Pessoais, conforme estabelecido na seção 4.2, deverão ser medidas técnicas e organizacionais razoáveis e apropriadas; e
• as mesmas medidas de segurança deverão ser aplicadas pela Beonic em relação a qualquer transferência posterior de Dados Pessoais para qualquer país terceiro.

• Disposições gerais

Em caso de conflito, este DPA terá precedência sobre os regulamentos do Contrato. Quando disposições individuais deste DPA forem inválidas ou inexequíveis, a validade e a exequibilidade das outras disposições deste DPA não serão afetadas.

Mediante a incorporação deste DPA ao Contrato, as partes indicadas na Seção 7 abaixo (Partes deste DPA) concordam com as Cláusulas Contratuais Padrão (onde e conforme aplicável) e todos os anexos a elas vinculados. No caso de qualquer conflito ou inconsistência entre este DPA e as Cláusulas Contratuais Padrão no Anexo 2, as Cláusulas Contratuais Padrão prevalecerão.

• Partes deste DPA

Este DPA é uma emenda ao Contrato e faz parte dele. Após a incorporação deste DPA ao Contrato, a Controller e a Beonic passam a fazer parte deste DPA.

A pessoa jurídica que concorda com este DPA como Controlador declara que está autorizada a concordar e a celebrar este DPA e que está concordando com este DPA exclusivamente em nome do Controlador.

• Assinatura

As partes concordam que a assinatura do Contrato constituirá a execução deste DPA por ambas as partes.

         

EXPOSIÇÃO 1

Subprocessadores

Os subprocessadores da Beonic estão listados em:

• https://beonic.com/sub-processors

EXPOSIÇÃO 2

Cláusulas contratuais padrão

(Módulo 2: Do controlador ao processador)

SEÇÃO I

Cláusula 1

Objetivo e escopo

• O objetivo dessas cláusulas contratuais padrão é garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)[1] para a transferência de dados pessoais para um terceiro país.

• As partes:

• a(s) pessoa(s) física(s) ou jurídica(s), autoridade(s) pública(s), agência(s) ou outro(s) órgão(s) (doravante "entidade(s)") que transfere(m) os dados pessoais, conforme listado no Anexo I.A. (doravante cada "exportador de dados"), e
• a(s) entidade(s) em um terceiro país que recebe(m) os dados pessoais do exportador de dados, direta ou indiretamente, por meio de outra entidade que também seja Parte destas Cláusulas, conforme listado no Anexo I.A. (doravante denominada "importador de dados")

concordaram com estas cláusulas contratuais padrão (doravante denominadas "Cláusulas").

• Estas Cláusulas se aplicam com relação à transferência de dados pessoais, conforme especificado no Anexo I.B.
• O Apêndice a estas Cláusulas, contendo os Anexos nele mencionados, é parte integrante destas Cláusulas.

Cláusula 2

Efeito e invariabilidade das Cláusulas

• Estas Cláusulas estabelecem salvaguardas apropriadas, incluindo direitos executáveis do titular dos dados e recursos legais eficazes, nos termos do artigo 46(1) e do artigo 46(2)(c) do Regulamento (UE) 2016/679 e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão nos termos do artigo 28(7) do Regulamento (UE) 2016/679, desde que não sejam modificadas, exceto para selecionar o(s) Módulo(s) apropriado(s) ou para adicionar ou atualizar informações no Apêndice. Isso não impede que as Partes incluam as cláusulas contratuais padrão estabelecidas nestas Cláusulas em um contrato mais amplo e/ou acrescentem outras cláusulas ou garantias adicionais, desde que não contradigam, direta ou indiretamente, estas Cláusulas ou prejudiquem os direitos ou liberdades fundamentais dos titulares dos dados.
• Estas Cláusulas não prejudicam as obrigações às quais o exportador de dados está sujeito em virtude do Regulamento (UE) 2016/679.

Cláusula 3

Beneficiários terceiros

• Os titulares de dados podem invocar e aplicar essas Cláusulas, como terceiros beneficiários, contra o exportador e/ou importador de dados, com as seguintes exceções:

• Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
• Cláusula 8 - Módulo Um: Cláusula 8.5 (e) e Cláusula 8.9(b); Módulo Dois: Cláusula 8.1(b), 8.9(a), (c), (d) e (e); Módulo Três: Cláusula 8.1(a), (c) e (d) e Cláusula 8.9(a), (c), (d), (e), (f) e (g); Módulo Quatro: Cláusula 8.1 (b) e Cláusula 8.3(b);
• Cláusula 9 - Módulo Dois: Cláusula 9(a), (c), (d) e (e); Módulo Três: Cláusula 9(a), (c), (d) e (e);
• Cláusula 12 - Módulo Um: Cláusula 12(a) e (d); Módulos Dois e Três: Cláusula 12(a), (d) e (f);
• Cláusula 13;
• Cláusula 15.1(c), (d) e (e);
• Cláusula 16(e);
• Cláusula 18 - Módulos Um, Dois e Três: Cláusula 18(a) e (b); Módulo Quatro: Cláusula 18.

• O parágrafo (a) não prejudica os direitos dos titulares de dados nos termos do Regulamento (UE) 2016/679.

Cláusula 4

Interpretação

• Quando estas Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, esses termos terão o mesmo significado que no referido Regulamento.
• Estas Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
• Estas Cláusulas não devem ser interpretadas de forma a conflitar com os direitos e obrigações previstos no Regulamento (UE) 2016/679.

Cláusula 5

Hierarquia

Em caso de contradição entre estas Cláusulas e as disposições de acordos relacionados entre as Partes, existentes no momento em que estas Cláusulas forem acordadas ou celebradas posteriormente, estas Cláusulas prevalecerão.

Cláusula 6

Descrição da(s) transferência(s)

Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos, estão especificados no Anexo I.B.

Cláusula 7

Cláusula de ancoragem

• Uma entidade que não seja Parte destas Cláusulas poderá, com o acordo das Partes, aderir a estas Cláusulas a qualquer momento, seja como exportador ou importador de dados, preenchendo o Apêndice e assinando o Anexo I.A.  
• Depois de preencher o Apêndice e assinar o Anexo I.A, a entidade aderente se tornará uma Parte destas Cláusulas e terá os direitos e as obrigações de um exportador ou importador de dados de acordo com sua designação no Anexo I.A.
• A entidade aderente não terá direitos ou obrigações decorrentes destas Cláusulas no período anterior ao de se tornar uma Parte.

SEÇÃO II - OBRIGAÇÕES DAS PARTES

Cláusula 8

Salvaguardas de proteção de dados

O exportador de dados garante que envidou esforços razoáveis para determinar que o importador de dados é capaz, por meio da implementação de medidas técnicas e organizacionais apropriadas, de cumprir suas obrigações nos termos destas Cláusulas.

8.1 Instruções

• O importador de dados processará os dados pessoais somente mediante instruções documentadas do exportador de dados. O exportador de dados poderá dar tais instruções durante toda a vigência do contrato.

• O importador de dados deve informar imediatamente o exportador de dados se não puder seguir essas instruções.

8.2 Limitação do objetivo

O importador de dados processará os dados pessoais somente para a(s) finalidade(s) específica(s) da transferência, conforme estabelecido no Anexo I.B, a menos que receba instruções adicionais do exportador de dados.

8.3 Transparência

Mediante solicitação, o exportador de dados disponibilizará gratuitamente ao titular dos dados uma cópia destas Cláusulas, incluindo o Apêndice, conforme preenchido pelas Partes. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá redigir parte do texto do Apêndice a estas Cláusulas antes de compartilhar uma cópia, mas deverá fornecer um resumo significativo quando o titular dos dados não puder, de outra forma, compreender seu conteúdo ou exercer seus direitos. Mediante solicitação, as Partes fornecerão ao titular dos dados os motivos das redações, na medida do possível, sem revelar as informações redigidas. Esta Cláusula não prejudica as obrigações do exportador de dados nos termos dos artigos 13 e 14 do Regulamento (UE) 2016/679.  

8.4 Precisão

Se o importador de dados tomar conhecimento de que os dados pessoais que recebeu são imprecisos ou se tornaram desatualizados, ele deverá informar o exportador de dados sem atrasos indevidos. Nesse caso, o importador de dados deverá cooperar com o exportador de dados para apagar ou retificar os dados.

8.5 Duração do processamento e exclusão ou devolução de dados

O processamento pelo importador de dados somente ocorrerá pelo período especificado no Anexo I.B. Após o término da prestação dos serviços de processamento, o importador de dados deverá, a critério do exportador de dados, excluir todos os dados pessoais processados em nome do exportador de dados e certificar ao exportador de dados que o fez, ou devolver ao exportador de dados todos os dados pessoais processados em seu nome e excluir as cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente os processará na medida e pelo tempo exigidos pela lei local. Isso não prejudica a Cláusula 14, em particular a exigência de que o importador de dados, de acordo com a Cláusula 14(e), notifique o exportador de dados durante toda a vigência do contrato se tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com as exigências da Cláusula 14(a).

8.6 Segurança do processamento

• O importador de dados e, durante a transmissão, também o exportador de dados implementarão medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados, incluindo a proteção contra uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a esses dados (doravante denominada "violação de dados pessoais"). Ao avaliar o nível adequado de segurança, as Partes levarão em devida conta o estado da técnica, os custos de implementação, a natureza, o escopo, o contexto e a(s) finalidade(s) do processamento e os riscos envolvidos no processamento para os titulares dos dados. As Partes deverão considerar, em especial, o recurso à criptografia ou pseudonimização, inclusive durante a transmissão, quando a finalidade do processamento puder ser cumprida dessa forma. Em caso de pseudonimização, as informações adicionais para atribuir os dados pessoais a um titular de dados específico deverão, sempre que possível, permanecer sob o controle exclusivo do exportador de dados. Ao cumprir as obrigações previstas neste parágrafo, o importador de dados deverá, no mínimo, implementar as medidas técnicas e organizacionais especificadas no Anexo II. O importador de dados deve realizar verificações regulares para garantir que essas medidas continuem a proporcionar um nível adequado de segurança.
• O importador de dados concederá acesso aos dados pessoais a membros de sua equipe somente na medida estritamente necessária para a implementação, gerenciamento e monitoramento do contrato. Ele deverá garantir que as pessoas autorizadas a processar os dados pessoais tenham se comprometido com a confidencialidade ou estejam sob uma obrigação legal apropriada de confidencialidade.
• No caso de uma violação de dados pessoais relativa a dados pessoais processados pelo importador de dados nos termos destas Cláusulas, o importador de dados tomará as medidas apropriadas para resolver a violação, inclusive medidas para mitigar seus efeitos adversos. O importador de dados também notificará o exportador de dados sem atrasos indevidos após ter tomado conhecimento da violação. Essa notificação deve conter os detalhes de um ponto de contato onde mais informações possam ser obtidas, uma descrição da natureza da violação (incluindo, quando possível, as categorias e o número aproximado de titulares de dados e registros de dados pessoais em questão), suas consequências prováveis e as medidas tomadas ou propostas para solucionar a violação, incluindo, quando apropriado, medidas para atenuar seus possíveis efeitos adversos. Quando, e na medida em que, não for possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento e outras informações deverão ser fornecidas posteriormente, à medida que estiverem disponíveis, sem atrasos indevidos.
• O importador de dados deve cooperar e auxiliar o exportador de dados para permitir que ele cumpra suas obrigações nos termos do Regulamento (UE) 2016/679, em especial para notificar a autoridade supervisora competente e os titulares de dados afetados, levando em conta a natureza do processamento e as informações disponíveis para o importador de dados.

8.7 Dados confidenciais

Quando a transferência envolver dados pessoais que revelem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical, dados genéticos ou dados biométricos para fins de identificação exclusiva de uma pessoa física, dados relativos à saúde ou à vida sexual ou orientação sexual de uma pessoa, ou dados relativos a condenações penais e infrações (doravante "dados sensíveis"), o importador de dados deverá aplicar as restrições específicas e/ou garantias adicionais descritas no Anexo I.B.

8.8 Transferências subsequentes

O importador de dados somente divulgará os dados pessoais a um terceiro mediante instruções documentadas do exportador de dados. Além disso, os dados somente poderão ser divulgados a um terceiro localizado fora da União Europeia[2] (no mesmo país que o importador de dados ou em outro país terceiro, doravante denominado "transferência subsequente") se o terceiro estiver ou concordar em se vincular a estas Cláusulas, sob o Módulo apropriado, ou se:

• a transferência subsequente é para um país que se beneficia de uma decisão de adequação nos termos do artigo 45 do Regulamento (UE) 2016/679 que abrange a transferência subsequente;
• o terceiro garanta de outra forma as salvaguardas apropriadas de acordo com os artigos 46 ou 47 do Regulamento (UE) 2016/679 com relação ao processamento em questão;
• A transferência subsequente é necessária para o estabelecimento, exercício ou defesa de reivindicações legais no contexto de processos administrativos, regulatórios ou judiciais específicos; ou
• a transferência subsequente é necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa física.

Qualquer transferência subsequente está sujeita à conformidade do importador de dados com todas as outras proteções previstas nestas Cláusulas, em especial a limitação de finalidade.

8.9 Documentação e conformidade

• O importador de dados deverá tratar pronta e adequadamente as consultas do exportador de dados relacionadas ao processamento nos termos destas Cláusulas.
• As Partes deverão ser capazes de demonstrar a conformidade com essas Cláusulas. Em especial, o importador de dados deverá manter a documentação adequada sobre as atividades de processamento realizadas em nome do exportador de dados.
• O importador de dados disponibilizará ao exportador de dados todas as informações necessárias para demonstrar a conformidade com as obrigações estabelecidas nestas Cláusulas e, a pedido do exportador de dados, permitirá e contribuirá para auditorias das atividades de processamento cobertas por estas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir sobre uma revisão ou auditoria, o exportador de dados poderá levar em conta as certificações relevantes mantidas pelo importador de dados.  
• O exportador de dados pode optar por realizar a auditoria por conta própria ou solicitar um auditor independente. As auditorias podem incluir inspeções nas dependências ou instalações físicas do importador de dados e devem, quando apropriado, ser realizadas com aviso prévio razoável.
• As Partes disponibilizarão as informações mencionadas nas alíneas (b) e (c), inclusive os resultados de quaisquer auditorias, à autoridade supervisora competente, mediante solicitação.

Cláusula 9

Uso de subprocessadores

• O importador de dados tem a autorização geral do exportador de dados para a contratação de subprocessador(es) de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados, por escrito, sobre quaisquer alterações pretendidas nessa lista por meio da adição ou substituição de subprocessadores com pelo menos 30 dias de antecedência, dando assim ao exportador de dados tempo suficiente para poder se opor a essas alterações antes da contratação do(s) subprocessador(es). O importador de dados fornecerá ao exportador de dados as informações necessárias para permitir que o exportador de dados exerça seu direito de objeção.
• Quando o importador de dados contratar um subprocessador para realizar atividades de processamento específicas (em nome do exportador de dados), ele o fará por meio de um contrato por escrito que preveja, em essência, as mesmas obrigações de proteção de dados que vinculam o importador de dados nos termos destas Cláusulas, inclusive em termos de direitos de terceiros beneficiários para os titulares dos dados.[3] As Partes concordam que, ao cumprir esta Cláusula, o importador de dados cumpre suas obrigações nos termos da Cláusula 8.8. O importador de dados deverá garantir que o subprocessador cumpra as obrigações às quais o importador de dados está sujeito de acordo com essas Cláusulas.
• O importador de dados deverá fornecer, mediante solicitação do exportador de dados, uma cópia de tal contrato de subprocessador e quaisquer alterações subsequentes ao exportador de dados. Na medida do necessário para proteger segredos comerciais ou outras informações confidenciais, inclusive dados pessoais, o importador de dados poderá redigir o texto do contrato antes de compartilhar uma cópia.
• O importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos de seu contrato com o importador de dados. O importador de dados notificará o exportador de dados sobre qualquer falha do subprocessador em cumprir suas obrigações nos termos desse contrato.
• O importador de dados acordará uma cláusula de terceiro beneficiário com o subprocessador pela qual - caso o importador de dados tenha desaparecido de fato, deixado de existir legalmente ou tenha se tornado insolvente - o exportador de dados terá o direito de rescindir o contrato de subprocessador e de instruir o subprocessador a apagar ou devolver os dados pessoais.

Cláusula 10

Direitos do titular dos dados

• O importador de dados notificará prontamente o exportador de dados sobre qualquer solicitação que tenha recebido de um titular de dados. Ele próprio não responderá a essa solicitação, a menos que tenha sido autorizado a fazê-lo pelo exportador de dados.
• O importador de dados deve auxiliar o exportador de dados no cumprimento de suas obrigações de responder às solicitações dos titulares de dados para o exercício de seus direitos nos termos do Regulamento (UE) 2016/679. A esse respeito, as Partes estabelecerão no Anexo II as medidas técnicas e organizacionais adequadas, levando em conta a natureza do processamento, por meio das quais a assistência será prestada, bem como o escopo e a extensão da assistência necessária.
• Ao cumprir suas obrigações nos termos dos parágrafos (a) e (b), o importador de dados deverá cumprir as instruções do exportador de dados.

Cláusula 11

Reparação

• O importador de dados deve informar aos titulares de dados, de forma transparente e facilmente acessível, por meio de aviso individual ou em seu site, sobre um ponto de contato autorizado a tratar de reclamações. Ele deverá lidar prontamente com quaisquer reclamações que receber de um titular de dados.
• Em caso de controvérsia entre um titular de dados e uma das Partes com relação ao cumprimento destas Cláusulas, essa Parte deverá envidar seus melhores esforços para resolver a questão de forma amigável e em tempo hábil. As Partes deverão manter-se mutuamente informadas sobre tais disputas e, quando apropriado, cooperar para resolvê-las.  
• Quando o titular dos dados invocar um direito de terceiro beneficiário nos termos da Cláusula 3, o importador de dados aceitará a decisão do titular dos dados de:

• apresentar uma reclamação à autoridade supervisora do Estado Membro de sua residência habitual ou local de trabalho, ou à autoridade supervisora competente nos termos da Cláusula 13;
• encaminhar a disputa aos tribunais competentes de acordo com o significado da Cláusula 18.

• As Partes aceitam que o titular dos dados pode ser representado por um órgão, organização ou associação sem fins lucrativos nas condições estabelecidas no artigo 80(1) do Regulamento (UE) 2016/679.
• O importador de dados deverá cumprir uma decisão que seja vinculante nos termos da legislação aplicável da UE ou do Estado Membro.
• O importador de dados concorda que a escolha feita pelo titular dos dados não prejudicará seus direitos substantivos e processuais de buscar soluções de acordo com as leis aplicáveis.

Cláusula 12

Responsabilidade civil

• Cada Parte será responsável perante a(s) outra(s) Parte(s) por quaisquer danos que causar(em) à(s) outra(s) Parte(s) por qualquer violação destas Cláusulas.
• O importador de dados será responsável perante o titular dos dados, e o titular dos dados terá o direito de receber uma indenização, por quaisquer danos materiais ou morais que o importador de dados ou seu subprocessador causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas.
• Não obstante o parágrafo (b), o exportador de dados será responsável perante o titular dos dados, e o titular dos dados terá direito a receber uma indenização, por quaisquer danos materiais ou não materiais que o exportador de dados ou o importador de dados (ou seu subprocessador) causar ao titular dos dados por violar os direitos de terceiros beneficiários nos termos destas Cláusulas. Isso não prejudica a responsabilidade do exportador de dados e, quando o exportador de dados for um processador agindo em nome de um controlador, a responsabilidade do controlador nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, conforme aplicável.
• As Partes concordam que, se o exportador de dados for considerado responsável, nos termos do parágrafo (c), por danos causados pelo importador de dados (ou seu subprocessador), ele terá o direito de reivindicar do importador de dados a parte da indenização correspondente à responsabilidade do importador de dados pelo dano.
• Quando mais de uma Parte for responsável por qualquer dano causado ao titular dos dados como resultado de uma violação destas Cláusulas, todas as Partes responsáveis serão conjunta e solidariamente responsáveis e o titular dos dados terá o direito de mover uma ação judicial contra qualquer uma dessas Partes.
• As Partes concordam que, se uma Parte for considerada responsável nos termos do parágrafo (e), ela terá o direito de reivindicar da(s) outra(s) Parte(s) a parte da indenização correspondente à sua responsabilidade pelo dano.
• O importador de dados não pode invocar a conduta de um subprocessador para evitar sua própria responsabilidade.

Cláusula 13

Supervisão

• A autoridade de supervisão responsável por garantir a conformidade do exportador de dados com o Regulamento (UE) 2016/679 no que diz respeito à transferência de dados, conforme indicado no Anexo I.C, atuará como autoridade de supervisão competente.
• O importador de dados concorda em se submeter à jurisdição da autoridade supervisora competente e cooperar com ela em quaisquer procedimentos destinados a garantir a conformidade com estas Cláusulas. Em especial, o importador de dados concorda em responder a consultas, submeter-se a auditorias e cumprir as medidas adotadas pela autoridade supervisora, inclusive medidas corretivas e compensatórias. Ele deverá fornecer à autoridade supervisora uma confirmação por escrito de que as medidas necessárias foram tomadas.

SEÇÃO III - LEIS E OBRIGAÇÕES LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leis e práticas locais que afetam a conformidade com as Cláusulas

• As Partes garantem que não têm motivos para acreditar que as leis e práticas do terceiro país de destino aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo quaisquer exigências de divulgação de dados pessoais ou medidas que autorizem o acesso por autoridades públicas, impeçam o importador de dados de cumprir suas obrigações nos termos destas Cláusulas. Isso se baseia no entendimento de que as leis e práticas que respeitam a essência dos direitos e liberdades fundamentais e não excedem o que é necessário e proporcional em uma sociedade democrática para salvaguardar um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679 não estão em contradição com estas Cláusulas.
• As Partes declaram que, ao fornecer a garantia do parágrafo (a), elas levaram em consideração, em especial, os seguintes elementos:

• As circunstâncias específicas da transferência, inclusive a extensão da cadeia de processamento, o número de agentes envolvidos e os canais de transmissão usados; as transferências posteriores pretendidas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico no qual a transferência ocorre; o local de armazenamento dos dados transferidos;
• as leis e práticas do terceiro país de destino - inclusive aquelas que exigem a divulgação de dados a autoridades públicas ou que autorizam o acesso por tais autoridades - relevantes à luz das circunstâncias específicas da transferência, e as limitações e salvaguardas aplicáveis[4];
• quaisquer salvaguardas contratuais, técnicas ou organizacionais relevantes postas em prática para complementar as salvaguardas previstas nestas Cláusulas, incluindo medidas aplicadas durante a transmissão e o processamento dos dados pessoais no país de destino.

• O importador de dados garante que, ao realizar a avaliação nos termos do parágrafo (b), envidou seus melhores esforços para fornecer ao exportador de dados informações relevantes e concorda que continuará a cooperar com o exportador de dados para garantir a conformidade com estas Cláusulas.
• As Partes concordam em documentar a avaliação nos termos do parágrafo (b) e disponibilizá-la à autoridade supervisora competente mediante solicitação.
• O importador de dados concorda em notificar prontamente o exportador de dados se, após ter concordado com estas Cláusulas e durante a vigência do contrato, tiver motivos para acreditar que está ou se tornou sujeito a leis ou práticas que não estejam de acordo com os requisitos do parágrafo (a), inclusive após uma alteração nas leis do país terceiro ou uma medida (como uma solicitação de divulgação) que indique uma aplicação de tais leis na prática que não esteja de acordo com os requisitos do parágrafo (a).
• Após uma notificação nos termos do parágrafo (e), ou se o exportador de dados tiver motivos para acreditar que o importador de dados não poderá mais cumprir suas obrigações nos termos destas Cláusulas, o exportador de dados identificará prontamente as medidas adequadas (por exemplo, medidas técnicas ou organizacionais para garantir a segurança e a confidencialidade) a serem adotadas pelo exportador de dados e/ou importador de dados para resolver a situação. O exportador de dados suspenderá a transferência de dados se considerar que não é possível garantir salvaguardas adequadas para essa transferência ou se for instruído pela autoridade supervisora competente a fazê-lo. Nesse caso, o exportador de dados terá o direito de rescindir o contrato, na medida em que ele se refira ao processamento de dados pessoais de acordo com estas Cláusulas. Se o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma. Quando o contrato for rescindido de acordo com esta Cláusula, aplicar-se-á a Cláusula 16(d) e (e).  

Cláusula 15

Obrigações do importador de dados em caso de acesso por autoridades públicas

15.1 Notificação

• O importador de dados concorda em notificar o exportador de dados e, quando possível, o titular dos dados prontamente (se necessário, com a ajuda do exportador de dados) se ele:

• receber uma solicitação legalmente vinculante de uma autoridade pública, incluindo autoridades judiciais, de acordo com as leis do país de destino, para a divulgação de dados pessoais transferidos de acordo com estas Cláusulas; essa notificação deverá incluir informações sobre os dados pessoais solicitados, a autoridade solicitante, a base legal para a solicitação e a resposta fornecida; ou
• tomar conhecimento de qualquer acesso direto por autoridades públicas a dados pessoais transferidos de acordo com estas Cláusulas, em conformidade com as leis do país de destino; essa notificação deverá incluir todas as informações disponíveis ao importador.

• Se o importador de dados estiver proibido de notificar o exportador de dados e/ou o titular dos dados de acordo com as leis do país de destino, o importador de dados concorda em envidar seus melhores esforços para obter uma isenção da proibição, com o objetivo de comunicar o máximo de informações possível, o mais rápido possível. O importador de dados concorda em documentar seus melhores esforços a fim de poder demonstrá-los mediante solicitação do exportador de dados.
• Quando permitido pelas leis do país de destino, o importador de dados concorda em fornecer ao exportador de dados, em intervalos regulares durante a vigência do contrato, o máximo possível de informações relevantes sobre as solicitações recebidas (em particular, número de solicitações, tipo de dados solicitados, autoridade(s) solicitante(s), se as solicitações foram contestadas e o resultado de tais contestações, etc.).
• O importador de dados concorda em preservar as informações de acordo com os parágrafos (a) a (c) durante a vigência do contrato e disponibilizá-las à autoridade supervisora competente mediante solicitação.
• Os parágrafos (a) a (c) não prejudicam a obrigação do importador de dados, de acordo com a Cláusula 14(e) e a Cláusula 16, de informar prontamente o exportador de dados quando não puder cumprir essas Cláusulas.

15.2 Revisão da legalidade e minimização de dados

• O importador de dados concorda em analisar a legalidade da solicitação de divulgação, em particular se ela permanece dentro dos poderes concedidos à autoridade pública solicitante, e em contestar a solicitação se, após uma avaliação cuidadosa, concluir que há motivos razoáveis para considerar que a solicitação é ilegal de acordo com as leis do país de destino, as obrigações aplicáveis de acordo com o direito internacional e os princípios de cortesia internacional. O importador de dados deverá, sob as mesmas condições, buscar possibilidades de recurso. Ao contestar uma solicitação, o importador de dados deverá buscar medidas provisórias com o objetivo de suspender os efeitos da solicitação até que a autoridade judicial competente decida sobre seus méritos. Ele não divulgará os dados pessoais solicitados até que seja obrigado a fazê-lo de acordo com as regras processuais aplicáveis. Essas exigências não prejudicam as obrigações do importador de dados nos termos da Cláusula 14(e).
• O importador de dados concorda em documentar sua avaliação jurídica e qualquer contestação à solicitação de divulgação e, na medida do permitido pelas leis do país de destino, disponibilizar a documentação ao exportador de dados. Ele também deverá disponibilizá-la à autoridade supervisora competente, mediante solicitação.
• O importador de dados concorda em fornecer a quantidade mínima de informações permitida ao responder a uma solicitação de divulgação, com base em uma interpretação razoável da solicitação.

SEÇÃO IV - DISPOSIÇÕES FINAIS

Cláusula 16

Não conformidade com as Cláusulas e rescisão

• O importador de dados deverá informar prontamente o exportador de dados se não puder cumprir essas Cláusulas, por qualquer motivo.
• No caso de o importador de dados violar estas Cláusulas ou não conseguir cumpri-las, o exportador de dados suspenderá a transferência de dados pessoais para o importador de dados até que a conformidade seja novamente assegurada ou o contrato seja rescindido. Isso não prejudica a Cláusula 14(f).
• O exportador de dados terá o direito de rescindir o contrato, no que diz respeito ao processamento de dados pessoais de acordo com estas Cláusulas, quando

• o exportador de dados tiver suspendido a transferência de dados pessoais para o importador de dados nos termos do parágrafo (b) e a conformidade com estas Cláusulas não for restabelecida em um prazo razoável e, em qualquer caso, dentro de um mês após a suspensão;
• o importador de dados estiver em violação substancial ou persistente destas Cláusulas; ou
• o importador de dados deixar de cumprir uma decisão vinculante de um tribunal competente ou de uma autoridade supervisora com relação às suas obrigações nos termos destas Cláusulas.

Nesses casos, ele deverá informar a autoridade supervisora competente sobre essa não conformidade. Quando o contrato envolver mais de duas Partes, o exportador de dados poderá exercer esse direito de rescisão somente com relação à Parte relevante, a menos que as Partes tenham acordado de outra forma.

• Os dados pessoais que tenham sido transferidos antes da rescisão do contrato nos termos do parágrafo (c) deverão, a critério do exportador de dados, ser imediatamente devolvidos ao exportador de dados ou excluídos em sua totalidade. O mesmo se aplicará a quaisquer cópias dos dados. O importador de dados deverá certificar a exclusão dos dados ao exportador de dados. Até que os dados sejam excluídos ou devolvidos, o importador de dados deverá continuar a garantir a conformidade com estas Cláusulas. No caso de leis locais aplicáveis ao importador de dados que proíbam a devolução ou a exclusão dos dados pessoais transferidos, o importador de dados garante que continuará a garantir a conformidade com estas Cláusulas e que somente processará os dados na medida e pelo tempo exigidos pela lei local.
• Qualquer uma das Partes poderá revogar seu acordo de vinculação a estas Cláusulas quando (i) a Comissão Europeia adotar uma decisão nos termos do artigo 45(3) do Regulamento (UE) 2016/679 que abranja a transferência de dados pessoais aos quais estas Cláusulas se aplicam; ou (ii) o Regulamento (UE) 2016/679 se tornar parte da estrutura jurídica do país para o qual os dados pessoais são transferidos. Isso não prejudica outras obrigações aplicáveis ao processamento em questão nos termos do Regulamento (UE) 2016/679.

Cláusula 17

Legislação aplicável

Estas Cláusulas serão regidas pela legislação do Estado Membro da UE em que o exportador de dados estiver estabelecido. Caso essa legislação não permita direitos de terceiros beneficiários, elas serão regidas pela legislação de outro Estado Membro da UE que permita direitos de terceiros beneficiários. As Partes concordam que essa será a legislação da República da Irlanda (especificar o Estado Membro).  

Cláusula 18

Escolha de foro e jurisdição

• Qualquer controvérsia decorrente destas Cláusulas deverá ser resolvida pelos tribunais de um Estado Membro da UE.
• As Partes concordam que esses serão os tribunais da República da Irlanda (especificar o Estado Membro).
• O titular dos dados também pode entrar com uma ação judicial contra o exportador e/ou importador de dados perante os tribunais do Estado Membro em que tem sua residência habitual.
• As Partes concordam em se submeter à jurisdição de tais tribunais.

APÊNDICE

ANEXO I

1. LISTA DE PARTES

Exportador(es) de dados:

Nome: Cliente

Endereço: Conforme especificado no Contrato

Nome da pessoa de contato, cargo e detalhes de contato: Os detalhes de contato do exportador de dados estão especificados no Contrato

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Os serviços a serem prestados pela Beonic ao Cliente, conforme descrito no Contrato.

Assinatura e data: As partes concordam que a assinatura do Contrato constituirá a assinatura destas Cláusulas por ambas as partes.

Função (controlador/processador): Controlador

Importador(es) de dados:

Nome: Beonic

Endereço: Conforme especificado no Contrato

Nome da pessoa de contato, cargo e detalhes de contato:

Michael Walker 5 Ward Avenue POTTS POINT NSW 2011 AUSTRÁLIA privacy@beonic.com 

Detalhes de contato do responsável pela proteção de dados:

Evalian Limited West Lodge Colden Common Winchester, Reino Unido, SO21 1TH dpo@evalian.co.uk 

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas: Os serviços a serem prestados pela Beonic ao Cliente, conforme descrito no Contrato.

Assinatura: As partes concordam que a assinatura do Contrato constituirá a assinatura destas Cláusulas por ambas as partes

Função (controlador/processador): Processador

1. DESCRIÇÃO DA TRANSFERÊNCIA

Categorias de titulares de dados cujos dados pessoais são transferidos

• Categorias de titulares de dados definidas na Seção 2 do Contrato de Processamento de Dados ao qual estas Cláusulas estão incorporadas.

Categorias de dados pessoais transferidos

• Categorias de dados pessoais definidas na Seção 2 do Contrato de Processamento de Dados ao qual estas Cláusulas estão incorporadas.

Dados confidenciais transferidos (se aplicável) e restrições ou salvaguardas aplicadas que levem totalmente em consideração a natureza dos dados e os riscos envolvidos, como, por exemplo, limitação estrita da finalidade, restrições de acesso (incluindo acesso apenas para funcionários que tenham seguido treinamento especializado), manutenção de um registro de acesso aos dados, restrições para transferências posteriores ou medidas de segurança adicionais.

• As partes não preveem a transferência de categorias especiais de dados.

A frequência da transferência (por exemplo, se os dados são transferidos em uma base única ou contínua).

• Contínuo

Natureza do processamento

• Categorias de dados pessoais definidas na Seção 2 do Contrato de Processamento de Dados ao qual estas Cláusulas estão anexadas.

Finalidade(s) da transferência de dados e do processamento posterior

• Prestação dos Serviços a serem fornecidos pela Beonic ao exportador de dados, conforme estabelecido nos Contratos de Cliente da Beonic.

O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período

• Prazo dos Contratos de Cliente da Beonic.

Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento

• Conforme estabelecido acima

1. AUTORIDADE DE SUPERVISÃO COMPETENTE

Identifique a(s) autoridade(s) de supervisão competente(s) de acordo com a Cláusula 13:

• A autoridade supervisora competente no Estado Membro da UE em que o exportador de dados está estabelecido.

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS, INCLUINDO MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA GARANTIR A SEGURANÇA DOS DADOS

Descrição das medidas técnicas e organizacionais implementadas pelo(s) importador(es) de dados (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em consideração a natureza, o escopo, o contexto e a finalidade do processamento, bem como os riscos para os direitos e liberdades das pessoas físicas.

• Políticas e conscientização

Políticas de segurança da informação e procedimentos operacionais relacionados e treinamento de segurança da informação da equipe.

• Controle de acesso

Controle de acesso com privilégios mínimos com base no acesso por função. Processo definido de gerenciamento de acesso do usuário com auditoria contínua das permissões de acesso do usuário. Acesso privilegiado e administrativo restrito com base na necessidade de conhecimento, com auditoria contínua das permissões de acesso do usuário.

• Identificação e autenticação

Controles de gerenciamento de identidade e acesso para garantir que somente usuários exclusivamente identificados, autorizados e autenticados tenham acesso aos sistemas de processamento de dados pessoais.

• Segurança de dados

Classificação e rotulagem de dados. Criptografia de dados em repouso e em trânsito. Gerenciamento centralizado de chaves, incluindo rotação.

• Segurança de Recursos Humanos

Verificações de antecedentes pré-contratação de possíveis funcionários que terão acesso a dados pessoais, exigindo que eles estejam sujeitos a obrigações de confidencialidade e que tenham um processo disciplinar em vigor para gerenciar violações de confidencialidade ou não conformidade com políticas de segurança de informações ou proteção de dados.

• Segurança física

Implementar controles de segurança física para evitar o acesso não autorizado a dados pessoais e sistemas de informação usados para processar dados pessoais.

• Segurança técnica

Padrões e compilações de configuração segura. Controles de segurança do perímetro da rede. Software antimalware implementado em todos os computadores.

• Gerenciamento de incidentes

Procedimentos de gerenciamento de incidentes de segurança da informação.

• Garantia independente

Revisões de garantia de terceiros, incluindo testes de penetração dos sistemas de informação apropriados, pelo menos anualmente.  

ANEXO III - LISTA DE SUBPROCESSADORES

O controlador autorizou o uso dos seguintes subprocessadores:

Os subprocessadores listados em:

•       https://beonic.io/sub-processors

EXPOSIÇÃO 3

Adendo do IDT

Módulo 2: Do controlador ao processador

Cláusulas padrão de proteção de dados a serem emitidas pelo Comissário nos termos da S119A(1) Lei de Proteção de Dados de 2018

Adendo de transferência internacional de dados às cláusulas contratuais padrão da Comissão da UE

VERSÃO B1.0, em vigor a partir de 21 de março de 2022

Este Adendo foi emitido pelo Information Commissioner para as Partes que fazem Transferências Restritas. O Information Commissioner considera que ele oferece salvaguardas adequadas para transferências restritas quando é firmado como um contrato legalmente vinculativo.

Parte 1: Tabelas

Tabela 1: Partes

Data de início	Data do DPA
As partes	Exportador (que envia a Transferência restrita)	Importador (que recebe a Transferência Restrita)
Detalhes das partes	Conforme estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão	Conforme estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão
Contato principal	Conforme estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão	Conforme estabelecido no Anexo 1.A das Cláusulas Contratuais Padrão
Assinatura (se necessário para os fins da Seção 2)	As partes concordam que a execução do Contrato constituirá a execução deste Adendo por ambas as partes.	As partes concordam que a execução do Contrato constituirá a execução deste Adendo por ambas as partes.

Tabela 2: SCCs, módulos e cláusulas selecionadas

Adendo EU SCCs

A versão das SCCs aprovadas da UE à qual este Adendo está anexado, detalhada abaixo, incluindo as Informações do Adendo: Data: Data do DPA Referência (se houver): N/A Outro identificador (se houver): Conforme fornecido no Anexo 2 deste DPA. Ou ☐ as Cláusulas Contratuais Contratuais Contratuais Aprovadas da UE, incluindo as Informações do Apêndice e somente com os seguintes módulos, cláusulas ou disposições opcionais das Cláusulas Contratuais Contratuais Contratuais Aprovadas da UE em vigor para os fins deste Adendo:

Tabela 3: Informações do apêndice

"Informações do Apêndice" significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no Apêndice das SCCs aprovadas da UE (que não sejam as Partes), e que, para este Adendo, estão definidas em:

Anexo 1A: Lista de Partes: Conforme estabelecido no Anexo I.A. das Cláusulas Contratuais Padrão

Anexo 1B: Descrição da Transferência: De acordo com o Anexo I.B. das Cláusulas Contratuais Padrão

Anexo II: Medidas técnicas e organizacionais, incluindo medidas técnicas e organizacionais para garantir a segurança dos dados: De acordo com o Anexo II das Cláusulas Contratuais Padrão

Anexo III: Lista de subprocessadores (somente para os Módulos 2 e 3): De acordo com o Anexo III das Cláusulas Contratuais Padrão

Tabela 4: Encerramento deste adendo quando o adendo aprovado for alterado

Encerrar este Adendo quando o Adendo aprovado for alterado

As Partes podem rescindir este Adendo conforme estabelecido na Seção 19: ☐ Importador ☐ Exportador ☒ nenhuma das partes

Parte 2: Cláusulas obrigatórias

Adesão a este Adendo

• Cada Parte concorda em se vincular aos termos e condições estabelecidos neste Adendo, em troca de a outra Parte também concordar em se vincular a este Adendo.
• Embora o Anexo 1A e a Cláusula 7 das Cláusulas Contratuais Contratuais Contratuais Contratuais Aprovadas da UE exijam a assinatura das Partes, para fins de realização de Transferências Restritas, as Partes podem firmar este Adendo de qualquer forma que os torne juridicamente vinculativos para as Partes e permita que os titulares dos dados façam valer seus direitos, conforme estabelecido neste Adendo. A celebração deste Adendo terá o mesmo efeito que a assinatura das Cláusulas Contratuais Comerciais Aprovadas da UE e de qualquer parte das Cláusulas Contratuais Aprovadas da UE.

Interpretação deste Adendo

• Quando este Adendo usar termos definidos nas SCCs aprovadas da UE, esses termos terão o mesmo significado que nas SCCs aprovadas da UE. Além disso, os termos a seguir têm os seguintes significados:

Adendo	Este Adendo Internacional de Transferência de Dados, que é composto por este Adendo que incorpora o Adendo EU SCCs.
Adendo EU SCCs	A(s) versão(ões) das SCCs aprovadas da UE às quais este Adendo está anexado, conforme estabelecido na Tabela 2, incluindo as Informações do Apêndice.
Informações do Apêndice	Conforme estabelecido na Tabela 3.
Salvaguardas apropriadas	O padrão de proteção dos dados pessoais e dos direitos dos titulares dos dados, que é exigido pelas Leis de Proteção de Dados do Reino Unido quando você está fazendo uma Transferência Restrita com base em cláusulas padrão de proteção de dados de acordo com o Artigo 46(2)(d) do GDPR do Reino Unido.
Adendo aprovado	O modelo de Adendo emitido pela OIC e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado de acordo com a Seção 18.
SCCs aprovadas pela UE	As Cláusulas Contratuais Padrão estabelecidas no Anexo da Decisão de Execução (UE) 2021/914 da Comissão, de 4 de junho de 2021.
ICO	O Comissário de Informações.
Transferência restrita	Uma transferência que é coberta pelo Capítulo V do GDPR do Reino Unido.
REINO UNIDO	O Reino Unido da Grã-Bretanha e Irlanda do Norte.
Leis de proteção de dados do Reino Unido	Todas as leis relacionadas à proteção de dados, ao processamento de dados pessoais, à privacidade e/ou às comunicações eletrônicas em vigor de tempos em tempos no Reino Unido, incluindo o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018.
GDPR DO REINO UNIDO	Conforme definido na seção 3 da Lei de Proteção de Dados de 2018.

• Este Adendo deve sempre ser interpretado de maneira consistente com as Leis de Proteção de Dados do Reino Unido e de modo a cumprir a obrigação das Partes de fornecer as Salvaguardas Adequadas.
• Se as disposições incluídas no Adendo das EU SCCs alterarem as SCCs Aprovadas de qualquer forma que não seja permitida pelas EU SCCs Aprovadas ou pelo Adendo Aprovado, essas alterações não serão incorporadas a este Adendo e as disposições equivalentes das EU SCCs Aprovadas tomarão seu lugar.
• Se houver alguma inconsistência ou conflito entre as Leis de Proteção de Dados do Reino Unido e este Adendo, serão aplicadas as Leis de Proteção de Dados do Reino Unido.
• Se o significado deste Adendo não estiver claro ou se houver mais de um significado, será aplicado o significado que mais se alinhar às Leis de Proteção de Dados do Reino Unido.
• Quaisquer referências à legislação (ou disposições específicas da legislação) significam que a legislação (ou disposição específica) pode mudar com o tempo. Isso inclui os casos em que essa legislação (ou disposição específica) tenha sido consolidada, reeditada e/ou substituída após a assinatura deste Adendo.

Hierarquia

• Embora a Cláusula 5 das Cláusulas Contratuais Comerciais Aprovadas da UE estabeleça que as Cláusulas Contratuais Aprovadas da UE prevalecem sobre todos os acordos relacionados entre as partes, as partes concordam que, para Transferências Restritas, a hierarquia na Seção 10 prevalecerá.
• Quando houver alguma inconsistência ou conflito entre o Adendo Aprovado e o Adendo às CSCs da UE (conforme aplicável), o Adendo Aprovado prevalecerá sobre o Adendo às CSCs da UE, exceto quando (e na medida em que) os termos inconsistentes ou conflitantes do Adendo às CSCs da UE oferecerem maior proteção aos titulares dos dados, caso em que esses termos prevalecerão sobre o Adendo Aprovado.
• Quando este Adendo incorporar SCCs do Adendo da UE que tenham sido celebrados para proteger transferências sujeitas ao Regulamento Geral de Proteção de Dados (UE) 2016/679, as Partes reconhecem que nada neste Adendo afeta essas SCCs do Adendo da UE.

Incorporação e alterações nas SCCs da UE

• Este Adendo incorpora os SCCs do Adendo da UE, que são alterados na medida do necessário para que:

• Juntos, eles operam para transferências de dados feitas pelo exportador de dados para o importador de dados, na medida em que as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao fazer essa transferência de dados, e fornecem Salvaguardas Apropriadas para essas transferências de dados;
• As seções 9 a 11 substituem a Cláusula 5 (Hierarquia) do Adendo EU SCCs; e
• este Adendo (incluindo os SCCs do Adendo da UE incorporados a ele) é (1) regido pelas leis da Inglaterra e do País de Gales e (2) qualquer controvérsia decorrente dele será resolvida pelos tribunais da Inglaterra e do País de Gales, em cada caso, a menos que as leis e/ou os tribunais da Escócia ou da Irlanda do Norte tenham sido expressamente escolhidos pelas Partes.

• A menos que as Partes tenham acordado emendas alternativas que atendam aos requisitos da Seção 12, as disposições da Seção 15 serão aplicadas.
• Não podem ser feitas alterações nas SCCs aprovadas da UE que não sejam para atender às exigências da Seção 12.
• São feitas as seguintes alterações no Adendo EU SCCs (para fins da Seção 12):

• Referências às "Cláusulas" significam este Adendo, incorporando o Adendo EU SCCs;
• Na Cláusula 2, exclua as palavras:

"e, com relação às transferências de dados de controladores para processadores e/ou processadores para processadores, cláusulas contratuais padrão de acordo com o Artigo 28(7) do Regulamento (UE) 2016/679";

• A Cláusula 6 (Descrição da(s) transferência(s)) é substituída por:

"Os detalhes da(s) transferência(s) e, em particular, as categorias de dados pessoais que são transferidos e a(s) finalidade(s) para a(s) qual(is) eles são transferidos são aqueles especificados no Anexo I.B, onde as Leis de Proteção de Dados do Reino Unido se aplicam ao processamento do exportador de dados ao fazer essa transferência."

• A cláusula 8.7(i) do Módulo 1 é substituída por:

"é para um país que se beneficia dos regulamentos de adequação de acordo com a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente";

• A cláusula 8.8(i) dos Módulos 2 e 3 é substituída por:

"a transferência subsequente é para um país que se beneficia dos regulamentos de adequação de acordo com a Seção 17A do GDPR do Reino Unido que cobre a transferência subsequente;"

• As referências a "Regulamento (UE) 2016/679", "Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)" e "esse Regulamento" são todas substituídas por "Leis de Proteção de Dados do Reino Unido". As referências a artigo(s) específico(s) do "Regulamento (UE) 2016/679" são substituídas pelo artigo ou seção equivalente das Leis de Proteção de Dados do Reino Unido;
• As referências ao Regulamento (UE) 2018/1725 foram removidas;
• As referências à "União Europeia", "União", "UE", "Estado Membro da UE", "Estado Membro" e "UE ou Estado Membro" são todas substituídas por "Reino Unido";
• A referência à "Cláusula 12(c)(i)" na Cláusula 10(b)(i) do Módulo 1 é substituída por "Cláusula 11(c)(i)";
• A Cláusula 13(a) e a Parte C do Anexo I não são utilizadas;
• A "autoridade supervisora competente" e a "autoridade supervisora" são substituídas pelo "Comissário de Informações";
• Na Cláusula 16(e), a subseção (i) é substituída por:

"o Secretário de Estado faz regulamentos de acordo com a Seção 17A da Lei de Proteção de Dados de 2018 que cobrem a transferência de dados pessoais aos quais essas cláusulas se aplicam;";

• A cláusula 17 é substituída por:

"Estas Cláusulas são regidas pelas leis da Inglaterra e do País de Gales.";

• A cláusula 18 é substituída por:

"Qualquer litígio decorrente destas Cláusulas será resolvido pelos tribunais da Inglaterra e do País de Gales. Um titular de dados também poderá mover ações judiciais contra o exportador e/ou importador de dados perante os tribunais de qualquer país do Reino Unido. As Partes concordam em se submeter à jurisdição de tais tribunais."; e

• As notas de rodapé das SCCs aprovadas da UE não fazem parte do Adendo, exceto as notas de rodapé 8, 9, 10 e 11.

Alterações a este Adendo

• As Partes podem concordar em alterar as Cláusulas 17 e/ou 18 do Adendo EU SCCs para fazer referência às leis e/ou tribunais da Escócia ou da Irlanda do Norte.
• Se as Partes desejarem alterar o formato das informações incluídas na Parte 1: Tabelas do Adendo Aprovado, elas poderão fazê-lo concordando com a alteração por escrito, desde que a alteração não reduza as Salvaguardas Apropriadas.
• De tempos em tempos, a OIC poderá emitir um Adendo Aprovado revisado:

• fizer alterações razoáveis e proporcionais ao Adendo Aprovado, incluindo a correção de erros no Adendo Aprovado; e/ou
• reflete as alterações nas leis de proteção de dados do Reino Unido;

O Adendo Aprovado revisado especificará a data de início a partir da qual as alterações no Adendo Aprovado entrarão em vigor e se as Partes precisarão revisar este Adendo, incluindo as Informações do Apêndice. Este Adendo é automaticamente alterado conforme estabelecido no Adendo Aprovado revisado a partir da data de início especificada.

• Se a OIC emitir um Adendo Aprovado revisado nos termos da Seção 18, se alguma das Partes selecionadas na Tabela 4 "Término do Adendo quando o Adendo Aprovado for alterado" tiver, como resultado direto das alterações no Adendo Aprovado, um aumento substancial, desproporcional e demonstrável:

• seus custos diretos de cumprimento de suas obrigações nos termos do Adendo; e/ou
• seu risco nos termos do Adendo,

e, em ambos os casos, tiver tomado medidas razoáveis para reduzir esses custos ou riscos de modo que não sejam substanciais e desproporcionais, essa Parte poderá rescindir este Adendo ao final de um período de aviso prévio razoável, mediante notificação por escrito desse período à outra Parte antes da data de início do Adendo aprovado revisado.

• As Partes não precisam do consentimento de qualquer terceiro para fazer alterações neste Adendo, mas quaisquer alterações devem ser feitas de acordo com seus termos.