Cláusulas Contratuais Padrão

Este CPD inclui todas as configurações de CCPs possíveis. Nem todas elas podem se aplicar a você. Para fins de esclarecimento:  

Lei de Privacidade do Consumidor da Califórnia (CCPA, na sigla em inglês) 

Atualizamos este CPD para refletir as emendas da Lei de Direitos de Privacidade da Califórnia (CPRA, na sigla em inglês) da CCPA. Não aceitamos alterações ou emendas deste CPD por parte do Cliente. 

Este Contrato de Processamento de Dados (“CPD”) da Momentive faz parte do seu Contrato com a Momentive e contém termos relacionados à proteção, privacidade e segurança de dados de acordo com a Legislação de Proteção de Dados, quando aplicável. Em caso (e só neste caso) de conflito entre os diferentes regulamentos e leis da Legislação de Proteção de Dados, as partes devem cumprir com os requisitos mais rigorosos ou o padrão superior, a ser definido exclusivamente pela Momentive em caso de controvérsia. 

Este DPA é celebrado entre o Cliente e a entidade da Momentive aplicável, conforme determinação abaixo: 

(i) para Clientes localizados em qualquer outro país, exceto nos Estados Unidos, a Momentive Europe UC é a entidade contratante; 

(ii) para Clientes localizados nos Estados Unidos, a Momentive Inc. é a entidade contratante. 

Esta é a versão mais recente do CPD (com data de 1º de janeiro de 2023). 

Neste DPA, as seguintes expressões terão os significados definidos aqui, salvo especificação contrária no contexto: 

“Contrato” significa o contrato entre a Momentive Inc. ou a Momentive Europe e o cliente referente aos Serviços. Esse contrato pode ter diferentes títulos, como “Formulário de Pedido”, “Ordem de Venda”, “Termos de Uso” ou “Contrato Principal de Serviços”. 

“Artigo 28” refere-se ao artigo 28 do RGPD e do RGPD do Reino Unido, conforme o caso, para o processamento dos Dados Pessoais do Cliente. 

“Cliente” ou “você” significa o cliente e/ou a parte identificada no Contrato. 

“Dados do Cliente” são todos os dados (inclusive os Dados Pessoais do Cliente) fornecidos à Momentive por ou em nome do Cliente, mediante o uso que o Cliente faz dos Serviços, e qualquer dado que terceiros enviem ao Cliente por meio dos Serviços. 

“Dados Pessoais do Cliente” são os Dados Pessoais enviados aos Serviços por ou para o Cliente, processados pela Momentive para a prestação dos Serviços ao Cliente, como os dados pessoais estipulados no Apêndice 2 deste CPD. 

“Legislação de Proteção de Dados” se refere: 
(i) ao Regulamento Geral sobre a Proteção de Dados (Regulamento UE 2016/679) (“RGPD”) e a todas as leis ou regulamentos aplicáveis de mercado único dos Estados Membro da União Europeia, do Espaço Econômico Europeu ou da Europa, ou qualquer atualização, adendo ou substituição deles que se aplique ao processamento de dados pessoais, de acordo com este Contrato;

(ii) à Lei Federal Suíça de Proteção de Dados (“FADP”, na sigla em inglês) ou à nova Lei Federal de Proteção de Dados (“nFADP”, na sigla em inglês), que entrou em vigor em 1º de janeiro de 2023;

(iii) a todas as leis e todos os regulamentos dos Estados Unidos aplicáveis ao processamento de dados pessoais, de acordo com o Contrato, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018 (Código Civil da Califórnia §§ 1798.100-1798.199) (“CCPA”, na sigla em inglês); 

(iv) a todos os regulamentos e leis aplicáveis ao processamento de dados pessoais nos termos do Contrato ocasionalmente em vigor no Reino Unido (incluindo o RGPD do Reino Unido); e

(v) à Lei de Proteção às Informações Pessoais e de Documentos Eletrônicos (“PIPEDA”, na sigla em inglês) ou a qualquer atualização, emenda ou substituição dela que se aplique ao processamento de dados pessoais no Canadá.

Os termos “controlador”, “avaliação do impacto da proteção de dados”, “processo”, “processamento”, “processador” e “órgão fiscalizador” têm o mesmo significado que no RGPD e no RGPD do Reino Unido.

“Momentive” ou “nós” significa, no caso de Clientes nos Estados Unidos, a Momentive Inc. e, no caso de clientes de fora dos Estados Unidos, a Momentive Europe. 

“Momentive Europe” significa Momentive Europe UC, empresa irlandesa com sede em 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlanda. 

“Momentive Inc.” significa Momentive Inc., corporação de Delaware com sede em One Curiosity Way, San Mateo, CA 94403, Estados Unidos.  

“Aviso de Privacidade da Momentive” significa o Aviso de Privacidade da Momentive disponível aqui: https://www.surveymonkey.com/mp/legal/privacy/.

“Dados Pessoais" são as informações referentes a uma pessoa que é ou pode ser razoavelmente identificada com base em informações, quer de maneira isolada ou em conjunto com outras informações (“Sujeito de Dados”).

“Serviços” significa os serviços solicitados pelo Cliente da Momentive nos termos do Contrato. 

“CCPs” refere-se às “Cláusulas Contratuais Padrão” anexas à Resolução da Comissão Europeia de: i) 4 de junho de 2021 sobre as cláusulas contratuais padrão para a transferência de dados pessoais a países terceiros, de acordo com o RGPD; ou ii) (até o momento em que a Momentive tenha firmado as Cláusulas Contratuais Padrão descritas no item i), 5 de fevereiro de 2010 para a Transferência de Dados Pessoais aos Processadores estabelecidos em Países Terceiros no âmbito da Diretriz 95/46/EC. Nos casos aplicáveis à FADP/nFADP, todas as referências dos CCPs serão interpretadas como as referências correspondentes da FADP/nFADP. Portanto, todos os termos usados nesse contexto terão a definição da FADP/nFADP.

“Adendo do Reino Unido” refere-se: (i) Ao adendo modelo emitido pelo Escritório do Comissário de Informação Britânico e apresentado ao Parlamento do Reino Unido de acordo com a seção 119A da Lei de Proteção de Dados do Reino Unido de 2018 em 2 de fevereiro de 2022, segundo revisão periódica da seção 18 das Cláusulas Obrigatórias. Se você for um desses consumidores e essa lei se aplicar a essa transação, estes TUM não limitarão esses direitos do consumidor. Quando o adendo modelo mencionado nesta definição refere-se ao documento intitulado Anexo de Transferência Internacional de Dados ao Contrato Padrão da Comissão da UE, versão B1.0, vigente a partir de 21 de março de 2022; ou (ii) (Até a Momentive ter firmado o Adendo do Reino Unido descrito no item i), À Resolução da Comissão Europeia de 5 de fevereiro de 2010 para a transferência de dados pessoais aos processadores estabelecidos em países terceiros no âmbito da Diretriz 95/46/EC.

“RGPD do Reino Unido” refere-se ao RGPD da UE que faz parte da legislação da Inglaterra e País de Gales, Escócia e Irlanda do Norte, em virtude da seção 3 da Lei de (Retirada) da União Europeia de 2018 e segundo emenda das Regulações (Saída da UE) de Comunicações Eletrônicas (Emendas, etc.) e Privacidade, Proteção de Dados de 2019 e 2020, respectivamente, e toda legislação vigente no Reino Unido de maneira periódica que, subsequentemente, corrija ou substitua o RGPD do Reino Unido.

No fornecimento dos Serviços ao Cliente, a Momentive atua como processadora de Dados Pessoais do Cliente para fins do RGPD. Com relação ao CCPA, conforme aplicável, a Momentive e o Cliente concordam, por meio deste instrumento, que a Momentive é “Prestadora de Serviços” e o Cliente é “Empresa”, com respeito às Informações Pessoais (definidas no CCPA).

Este DPA terá validade até a rescisão do Contrato, de acordo com seus termos, ou até seu vencimento. 

O Cliente assegura e, por meio deste instrumento, garante e declara que tem direito a transferir os Dados do Cliente para a Momentive para que ela possa tratá-los e transferi-los de forma legal de acordo com este DPA. O Cliente garante que os sujeitos dos dados relevantes foram informados sobre o uso, o processamento e a transferência, conforme exigido pela Legislação de Proteção de Dados, e forneceram consentimento para isso, se aplicável. O Cliente garante que o processamento e a transferência de dados pessoais pela Momentive serão realizados de forma legal e apropriada.

Nos casos em que a Momentive processar Dados Pessoais do Cliente em nome dele atuando como processadora:

(a) ela só o fará de acordo com as instruções documentadas do Cliente e com a Legislação de Proteção de Dados, inclusive com relação à transferência de dados pessoais para outros países ou uma organização internacional, e as partes concordam que o Contrato constitui essas instruções documentadas do Cliente para processamento de Dados Pessoais dele por parte da Momentive (inclusive para países não pertencentes ao Espaço Econômico Europeu), além de outras instruções razoáveis fornecidas pelo Cliente para a Momentive (como por email), nos termos do Contrato; 

(b) ela garantirá que toda a sua equipe envolvida no processamento de Dados Pessoais do Cliente está sujeita a obrigações de confidencialidade com relação a esses dados; 

(c) ela disponibilizará as informações necessárias para o Cliente demonstrar conformidade com suas obrigações nos termos do Artigo 28, se aplicável a ele. Essas informações são mantidas pela Momentive e não disponibilizadas de outra forma por meio da sua conta e áreas do usuário ou nos sites da Momentive, contanto que o Cliente envie à Momentive um aviso por escrito com pelo menos 14 dias de antecedência dessa solicitação de informações;

(d) ela cooperará, conforme solicitado de forma razoável pelo Cliente para permitir que ele cumpra com qualquer exercício de direito de um sujeito de dados de acordo com a Legislação de Proteção de Dados com relação a dados pessoais processados pela Momentive no fornecimento dos Serviços; 

(e) ela fornecerá assistência, se necessário, com as solicitações recebidas diretamente de um Sujeito de Dados com relação aos Dados Pessoais dele enviados por meio dos Serviços;

(f) após você excluí-los, ela não manterá os Dados Pessoais do Cliente da sua conta para outros fins além de cumprir com as leis e os regulamentos aplicáveis e conforme possam ser mantidos de outra forma em cópias de backup de rotina feitas para fins de recuperação de desastres e continuidade dos negócios, sujeito às nossas políticas de retenção; 

(g) ela cooperará com órgãos fiscalizadores ou qualquer órgão sucessor ou substituto (ou, conforme solicitado pelo Cliente, qualquer órgão regulatório de privacidade ou de proteção de dados, conforme a Legislação de Proteção de Dados) no desempenho de suas tarefas relevantes sempre que necessário; 

(h) ela ajudará o Cliente, conforme razoavelmente necessário, quando ele: 

(i) realizar uma avaliação do impacto da proteção dos dados envolvendo os Serviços (que pode incluir o fornecimento de documentação para permitir que o cliente realize sua própria avaliação); ou

(ii) precisar avisar sobre um Incidente de Segurança (conforme definição abaixo) a um órgão fiscalizador ou sujeito de dados relevante.

(i) ela não (a) venderá nem compartilhará Informações Pessoais (conforme definição do CCPA) para fins comerciais ou (b) coletará, manterá, usará, divulgará ou processará de outra forma Informações Pessoais, exceto (1) para cumprir suas obrigações com o Cliente, nos termos do Contrato; (2) em nome do Cliente; (3) para fins operacionais do Cliente; (4) para uso interno da Momentive conforme permitido pela Legislação de Proteção de Dados; (5) para detectar incidentes de segurança de dados ou proteger contra atividades fraudulentas ou ilegais; ou (6) conforme permitido de outra forma pela Legislação de Proteção de Dados; 

(j) conforme exigido pela Legislação de Proteção de Dados, a Momentive informará ao Cliente caso observe que quaisquer instruções recebidas dele infrinjam as disposições da Legislação de Proteção de Dados. Independentemente das informações acima, a Momentive não tem a obrigação de monitorar ou avaliar a legalidade das instruções recebidas do Cliente; e

(k) a Momentive garante que entende as restrições e obrigações definidas neste DPA e que cumpre com elas. 

6.1 Subprocessamento. O Cliente concede autorização geral à Momentive para envolver outros subprocessadores, sujeito à conformidade com os requisitos desta Seção 6.

6.2 Lista de Subprocessadores. Sujeito às disposições de confidencialidade do Contrato ou conforme exigido de outra forma por ela, a Momentive:

(a) disponibiliza ao Cliente uma lista de subcontratados da Momentive que trabalhem no processamento ou subprocessamento dos Dados Pessoais do Cliente vinculados à prestação dos Serviços (“Subprocessadores”), com uma descrição da natureza dos serviços fornecidos por cada Subprocessador (“Lista de subprocessadores”). É possível solicitar uma cópia dessa Lista de subprocessadores aqui; 

(b) garante que todos os Subprocessadores da Lista de Subprocessadores são vinculados a termos contratuais com o nível mínimo de exigência que aqueles contidos neste DPA; e 

(c) é responsável pelos atos e omissões de seus Subprocessadores na mesma medida de sua própria responsabilidade no fornecimento direto dos serviços deles sob os termos deste DPA, exceto definição contrária estabelecida no Contrato. 

6.3 Subprocessadores novos/substitutos. A Momentive fornecerá ao Cliente um aviso por escrito da inclusão de qualquer novo Subprocessador ou algum que substitua um Subprocessador existente em qualquer momento durante a vigência do Contrato (“Aviso de Novo Subprocessador”). O Cliente assinará uma mala direta disponibilizada pela Momentive por meio da qual esses avisos serão entregues por email ou, caso contrário, verificarão as atualizações da lista aqui. Se o Cliente tiver uma fundamentação razoável para se opor ao uso de um Subprocessador novo ou substituto da Momentive, avisará a Momentive imediatamente por escrito, em qualquer caso, até 30 dias após o recebimento do Aviso de Novo Subprocessador. No caso dessa objeção razoável, o Cliente ou a Momentive pode rescindir a parte do Contrato referente aos Serviços que não podem ser prestados razoavelmente sem o novo Subprocessador ao qual se recusa (o que pode incluir, a critério exclusivo da Momentive, a rescisão do Contrato completo) com vigência imediata, fornecendo aviso por escrito à outra parte. Essa rescisão será feita sem direito a reembolsos de quaisquer tarifas pagas anteriormente pelo Cliente pelo período posterior à rescisão.

7.1 Medidas de segurança. Considerando a condição, o custo e a natureza da implementação, o escopo, o contexto e os objetivos dos Serviços, e o nível de risco, a Momentive implementou medidas técnicas e organizacionais adequadas (de acordo com o Apêndice 1) para garantir o nível de segurança apropriado ao risco de processamento não autorizado ou ilegal, perda acidental dos Dados do Cliente ou danos a eles. Em intervalos razoáveis, a Momentive testa e avalia a eficácia dessas medidas técnicas e organizacionais para garantir a segurança do processamento.

7.2 Aviso de violação e de incidentes de segurança. Caso tome ciência de qualquer acesso ilegal ou não autorizado a Dados Pessoais do Cliente, ou aquisição, alteração, uso, divulgação ou destruição deles (“Incidente de Segurança”), a Momentive tomará as medidas razoáveis para notificar o Cliente sem demora injustificada. Incidentes de Segurança não incluem tentativas mal-sucedidas ou atividades que não comprometam a segurança de dados pessoais, incluindo tentativas de login, marcações, varreduras de portas, ataques de negação de serviço ou outros ataques de rede malsucedidos a firewalls ou sistemas em rede. Os avisos de Incidente de Segurança fornecidos ao Cliente não constituem aceitação de responsabilidade pela Momentive.

7.3 A Momentive também cooperará de forma razoável com o Cliente em relação a quaisquer investigações provenientes de Incidentes de Segurança preparando todos os avisos necessários. Ela também fornecerá quaisquer outras informações solicitadas de forma razoável pelo Cliente com relação a qualquer Incidente de Segurança. 

8.1 Auditorias. Quando a Momentive atuar exclusivamente como processadora de Dados Pessoais do Cliente para ele, o Cliente fornecerá a ela um aviso por escrito sobre qualquer auditoria com pelo menos um mês de antecedência, a ser realizado pelo Cliente ou qualquer auditor independente indicado por ele (contanto que não seja, nem atue em nome de, um concorrente da Momentive) (“Auditor”). O escopo da auditoria seguirá as disposições abaixo:

(a) O Cliente só poderá realizar uma auditoria por ano de assinatura, salvo exigência contrária por lei ou órgão regulamentar com autoridade estabelecida sobre o Cliente para a realização ou facilitação de realização de mais de uma auditoria no mesmo ano . Nesse caso, o Cliente e a Momentive entrarão em acordo prévio quanto à taxa de reembolso razoável das despesas de auditoria da Momentive.

(b) A Momentive concorda, sujeita a quaisquer restrições de confidencialidade razoáveis e adequadas, em fornecer comprovações das certificações e dos padrões de conformidade mantidos. Se solicitada, a Momentive fornecerá um resumo executivo dos testes anuais de penetração mais recentes dela, que incluirá as ações corretivas tomadas pela Momentive resultantes desses testes. 

(c) O escopo das auditorias será limitado aos sistemas, processos e documentação da Momentive relevantes ao processamento e à proteção dos Dados Pessoais do Cliente. Os Auditores realizarão auditorias sujeito a quaisquer restrições de confidencialidade razoáveis e adequadas solicitadas pela Momentive.

(d) O Cliente notificará imediatamente a Momentive e fornecerá a ela, de forma confidencial, detalhes completos relacionados aos problemas de segurança e de não conformidade descobertos durante uma auditoria.

8.2 As partes concordam que, salvo exigência contrária por ordem ou outro decreto vinculativo de um órgão fiscalizador ou regulamentar com autoridade sobre o Cliente, esta Seção 8 estabelece todo o escopo dos direitos de auditoria do Cliente com relação à Momentive.

9.1 Dentro do limite aplicável, no caso de transferências de Dados Pessoais dos Clientes do Espaço Econômico Europeu (“EEE”), da Suíça ou do Reino Unido para locais fora do EEE, da Suíça e do Reino Unido (quer seja transferência direta ou por meio de terceiros) que não cumpram os padrões adequados de proteção de dados definidos pela Comissão Europeia ou relevantes à Legislação de Proteção de Dados, a Momentive confia:

(a) nos CCPs; e

(b) no Adendo do Reino Unido, no caso de transferências sujeitas ao RGPD do Reino Unido; ou

(c) em qualquer outra proteção adequada, ou derrogações (de maneira limitada e apropriada), especificada ou permitida no âmbito da Legislação de Proteção de Dados. 

9.2 Quando for necessário, as partes comprometem-se com as CCPs (cuja cópia pode ser encontrada aqui) e o Adendo do Reino Unido (Apêndice 3). As CCPs são incorporados a este Contrato por referência e devem ser aplicados da seguinte maneira: 

(a) caso o Cliente contrate a Momentive Inc. nos Estados Unidos, no âmbito do Contrato de Serviços e seja um controlador dos Dados Pessoais do Cliente e, mediante o uso dos Serviços está transferindo esses Dados Pessoais do Cliente do EEE a locais cujos níveis de proteção dos Dados pessoais não sejam considerados adequados pela Comissão Europeia, a Momentive firma os CCPs como importador de dados e o Cliente firma os CCPs como exportador de dados, e será aplicado apenas o Módulo Dois dos CCPs; e/ou

(a) caso o Cliente contrate a Momentive Inc. nos Estados Unidos, no âmbito do Contrato de Serviços e seja um processador dos Dados Pessoais do Cliente e, mediante o uso dos Serviços está transferindo esses Dados Pessoais do Cliente do EEE a locais cujos níveis de proteção dos Dados pessoais não sejam considerados adequados pela Comissão Europeia, a Momentive firma os CCPs como importador de dados e o Cliente firma os CCPs como exportador de dados, e será aplicado apenas o Módulo Três dos CCPs; e/ou

(c) caso o Cliente não seja residente do EEE e contrate a Momentive Europe Inc. para armazenar Dados Pessoais do Cliente dentro do EEE no âmbito do Contrato, e é um controlador dos Dados Pessoais do Cliente, e, mediante o uso dos Serviços, está transferindo esses Dados Pessoais do EEE a locais cujos níveis de proteção dos Dados Pessoais não sejam considerados adequados pela Comissão Europeia, a Momentive firma os CCPS como exportador de dados e o Cliente firma os CCPs como importador de dados, e será aplicado apenas o Módulo Quatro dos CCPs; e

(d) na Cláusula 7, será aplicada a cláusula de adesão facultativa;

(d) na Cláusula 11, o idioma opcional não será aplicado;

(f) na Cláusula 17, os CCPs serão regidos pela lei da Irlanda;

(g) na Cláusula 18, os litígios serão resolvidos perante os tribunais da Irlanda; e

(h) Anexos I e II do CCPs serão considerados completos com as informações definidas no Contrato e os detalhes fornecidos nos Apêndices deste CPD.

9.3 Para transferências protegidas pela FADP/nFADP, as CCPs se aplicarão conforme a Seção 9.2 acima, exceto nos seguintes casos: 

(a) as referências ao RGPD nas CCPs serão interpretadas como referências à FADP/nFADP;  

(b) as referências a “União Europeia”, “UE” e “legislação dos Estados Membro da União Europeia” serão interpretadas como referências à Suíça e à legislação da Suíça; e  

(c) as referências a “órgão fiscalizador competente” e “tribunal competente” serão interpretadas como referências ao órgão de proteção de dados e aos tribunais relevantes da Suíça, a menos que as CCPs, implementadas conforme descrito acima, não possam ser usadas para transferir, de forma legal, esses Dados Pessoais do Cliente em conformidade com a FADP/nFADP. Nesse caso, as CCPs da Suíça serão incorporadas por referência e formarão parte integrante deste CPD e serão aplicadas a essas transferências. Para fins das CCPs da Suíça, seus Anexos relevantes serão preenchidos com as informações contidas nos Anexos I e II deste CPD (conforme aplicável), e as disposições interpretativas estabelecidas nesta Seção 9.3 serão aplicadas (conforme aplicável e exigido para fins de cumprimento da FADP/nFADP).  

9.4 Mediante solicitação por escrito, e de acordo com as disposições das Cláusulas Contratuais Padrão ou do Adendo do Reino Unido (conforme o caso), a Momentive fornecerá cópias das Cláusulas Contratuais Padrão ou do Adendo do Reino Unido firmado com os importadores de dados enquanto processador para o Cliente.

10.1 Responsabilidade pelo processamento de dados. A respectiva responsabilidade das partes por toda e qualquer reclamação, seja por contrato, ato ilícito (inclusive negligência), violação de obrigação prevista em lei ou de outra forma, proveniente deste DPA será conforme estabelecido no Contrato, salvo acordo contrário por escrito entre as partes.

10.2 Conflito. Caso haja conflito ou ambiguidade entre: (i) os termos deste DPA e os termos do Contrato com relação ao objeto deste DPA, os termos deste DPA regerão; (ii) os termos de quaisquer disposições contidas neste DPA e quaisquer disposições contidas nas Cláusulas Contratuais Padrão, as disposições das Cláusulas Contratuais Padrão regerão.

10.3 Processamento independente. O Cliente continua sendo o único responsável pelo seu próprio cumprimento da Legislação de Proteção de Dados com respeito a toda coleta e processamento independentes de dados pessoais não relacionados aos Serviços. O Cliente fornecerá seus próprios avisos de privacidade, claros e evidentes, descrevendo com precisão como isso é feito, e a Momentive não será responsável pelo tratamento dos dados pessoais do Cliente nessas circunstâncias. Pelo presente, o Cliente indeniza a Momentive na totalidade por toda e qualquer reclamação ou risco que possa surgir como resultado dessa coleta e uso de dados pessoais por ela nessas circunstâncias.

10.4 Contrato integral. O Contrato (que incorpora este DPA) e qualquer Formulário de Pedido representam a totalidade do avençado entre as partes e sobrepõem-se a quaisquer outros acordos, termos e condições prévios ou contemporâneos, escritos ou orais, relativos a seu objeto. As partes confirmam que não se basearam em declarações não estabelecidas no Contrato induzindo-as a celebrá-lo.

10.5 Independência das cláusulas. Se qualquer disposição deste CPD for considerada inexequível por um tribunal de jurisdição competente, a mencionada disposição deverá ser considerada individualmente, devendo as demais disposições permanecer em pleno vigor. Nada neste CPD visa estabelecer parceria ou joint venture entre as partes ou será considerado como tal, nem autoriza que as partes celebrem qualquer compromisso em nome da outra parte ou por ela, exceto quando expressamente indicado neste instrumento.

10.6 Cópia eletrônica. O DPA é fornecido como um documento eletrônico.

10.7 Legislação aplicável. Este DPA é regido pelas leis da Irlanda. As partes respondem irrevogavelmente à jurisdição exclusiva dos tribunais da Irlanda (com relação a quaisquer disputas contratuais e não contratuais), exceto no caso de qualquer violação ou suposta violação de qualquer lei de privacidade, regulamento, padrão, orientação regulamentar e diretriz autorregulamentar atual ou futura no nível estadual ou federal nos Estados Unidos. Nesse caso, as leis do estado da Califórnia regerão, exceto exigência contrária por lei.

Descrição de medidas técnicas e organizacionais de segurança implementadas pela Momentive 

A Momentive adotará proteções administrativas, físicas e técnicas adequadas (“Proteções de Segurança”) para proteger a segurança, confidencialidade e integridade de Dados Pessoais fornecidos a ela na prestação dos Serviços ao Cliente. 

As Proteções de Segurança incluem: 

(a) Domínio: organização da segurança das informações

(i) Funções e responsabilidades de segurança. A equipe da Momentive com acesso a dados pessoais está sujeita a obrigações de confidencialidade.

(ii) Programa de gestão de riscos. A Momentive realiza avaliações de risco sempre que necessário antes de processar os dados.

(b) Domínio: gerenciamento de ativos

(i) Administração de ativos.

(1) A Momentive tem procedimentos para o descarte de materiais impressos que contêm Dados do Cliente.

(2) A Momentive tem um inventário de todos os hardwares com Dados do Cliente armazenados.

(c) Domínio: segurança de recursos humanos

(i) Treinamento de segurança.

(1) A Momentive informa sua equipe sobre procedimentos relevantes de segurança e suas respectivas funções. Ela também a informa sobre possíveis consequências de violações às regras e procedimentos de segurança.

(d) Domínio: segurança física e ambiental

(i) Acesso físico às instalações. A Momentive limita o acesso a instalações nas quais há sistemas de informação que processam Dados do Cliente a pessoas identificadas autorizadas.

(ii) Proteção contra interrupções. A Momentive usa uma variedade de sistemas padrão do setor para proteção contra a perda de dados devido a quedas de energia ou interferências na linha.

(iii) Descarte de componentes. A Momentive adota processos padrão do setor para a exclusão de Dados do Cliente quando eles não são mais necessários.

(e) Domínio: gerenciamento de comunicações e operações 

(i) Política operacional. A Momentive tem documentos de segurança que descrevem suas medidas de segurança, bem como os procedimentos e as responsabilidades relevantes de sua equipe que tem acesso a Dados do Cliente. 

(ii) Procedimentos de recuperação de dados. 

(1) De forma regular e contínua, a Momentive cria cópias de backup dos Dados do Cliente para possibilitar a recuperação deles em caso de perda da cópia principal. 

(2) A Momentive armazena cópias dos Dados do Cliente e adota procedimentos de recuperação de dados em local diferente daquele em que se encontra o computador principal de processamento desses dados. 

(3) A Momentive adota procedimentos específicos que regem o acesso a cópias de Dados do Cliente. 

(iii) Software ilícito. A Momentive tem controles antimalware para ajudar a impedir o acesso não autorizado de software ilícito aos Dados do Cliente, inclusive software ilícito proveniente de redes públicas.

(iv) Dados além dos limites. 

(1) A Momentive criptografa Dados do Cliente transferidos por redes públicas. 

(v) Registro de eventos.

(1) A Momentive registra o uso de seus sistemas de processamento de dados. 

(2) A Momentive registra o acesso a sistemas de informações que contêm Dados do Cliente e o uso deles, com a identificação, a data e a hora do acesso, bem algumas atividades relevantes.

(f) Domínio: gerenciamento de incidentes de segurança de informações

(i) Processo de resposta a incidentes. 

(1) A Momentive adota um plano de resposta a incidentes.  

(2) A Momentive tem um registro de violações de segurança com descrição, período, consequências, nome da pessoa que denunciou a violação e da pessoa que a recebeu, além de etapas de remediação, se aplicável.

(g) Domínio: gerenciamento de continuidade dos negócios

(i) O armazenamento redundante da Momentive e seus procedimentos de recuperação de dados são desenvolvidos para tentar reconstruir os Dados do Cliente para seu estado original antes da perda ou destruição.   

(h) Controle de acesso a áreas de processamento. Os processos adotados para impedir o acesso de pessoas não autorizadas aos equipamentos de processamento de Dados Pessoais do Cliente (como telefones, banco de dados, servidores de aplicativos e hardwares relacionados) nos quais esses dados são processados e usados incluem: 

(i) o estabelecimento de áreas seguras; 

(ii) a proteção e restrição de caminhos de acesso;

(iii) a proteção de telefones celulares;   

(iv) equipamentos de processamento de dados e computadores pessoais;

(v) todo o acesso aos centros de dados nos quais Dados Pessoais do Cliente são hospedados é registrado, monitorado e rastreado;  

(vi) os centros de dados nos quais Dados Pessoais do Cliente são armazenados são protegidos por um sistema de alarme de segurança e outras medidas de segurança adequadas; e 

(vii) as instalações são projetadas para resistir a condições climáticas adversas e outras condições naturais razoavelmente previsíveis; são protegidas por seguranças 24 horas, com acesso controlado por cartão e/ou biometria (conforme o nível de risco) e escolta; além de conterem geradores locais para o caso de queda na energia.

(i) Controle de acesso a sistemas de processamento de dados. Os processos de prevenção de uso de sistemas de processamento de dados por pessoas não autorizadas incluem:  

(i) a identificação do terminal e/ou do usuário do terminal dos sistemas processadores de dados; 

(ii) tempo limite automático de no máximo 30 minutos de inatividade do terminal, exigindo identificação e senha para reabri-lo;

(iii) emissão e proteção de códigos de identificação;  

(iv) exigência de complexidade de senha (tamanho mínimo, tempo de validade, etc.); e

(v) proteção contra acesso externo por um firewall industrial padrão.  

(j) Controle de acesso ao uso de áreas específicas de sistemas de processamento de dados. As medidas para garantir que as pessoas que precisam usar os sistemas de processamento de dados só consigam acessar os dados incluídos em seu escopo conforme sua permissão (autorização) de acesso e impedir a leitura, cópia, modificação ou remoção de Dados Pessoais do Cliente sem autorização incluem:

(i) implementação de políticas vinculantes de colaboradores e fornecimento de treinamento relacionado aos direitos de acesso de cada colaborador aos Dados Pessoais do Cliente;

(ii) ação disciplinar efetiva e medida contra pessoas que tiverem acesso a Dados Pessoais do Cliente sem autorização; 

(iii) liberação de dados exclusivamente a pessoas autorizadas; 

(iv) implementação de princípios de acesso de privilégio mínimo a informações que contenham Dados Pessoais do Cliente estritamente conforme necessário;

(v) rede de produção e gerenciamento de acesso a dados administrados por VPN, autenticação de dois fatores e controles de acesso baseados em função;

(vi) informações de registro de sistemas de aplicativos e de infraestrutura em instalações com gerenciamento central para resolução de problemas, avaliações de segurança e análises; e 

(vii) políticas de controle de retenção de cópias de backup em conformidade com a legislação aplicável e adequadas à natureza dos dados em questão bem como ao risco correspondente.

(k) Controle de transferência. Procedimentos de prevenção de leitura, cópia, alteração ou exclusão de Dados Pessoais do Cliente por partes não autorizadas durante a transferência deles ou da mídia de dados, possibilitando a verificação e definição de quais órgãos a transferência é prevista por instalações de transferência de dados, incluindo: 

(i) uso de firewalls e tecnologias de criptografia para proteger os portais e canais pelos quais os dados são transferidos;

(ii) implementação de conexões VPN para proteger a conexão à rede corporativa interna;

(iii) monitoramento constante da infraestrutura (como ICMP Ping no nível da rede, avaliação do espaço em disco no nível do sistema, entrega de páginas de teste específicas no nível do aplicativo); e

(iv) monitoramento da conclusão e precisão da transferência de dados (verificação de ponta a ponta). 

(l) Controle de armazenamento. Armazenamento de Dados Pessoais do Cliente: o backup dos dados é feito como parte de um backup designado e de processos de recuperação de forma criptografada usando uma solução comercialmente aceita. Todos os Dados Pessoais do Cliente armazenados em computadores desktop ou laptop ou em qualquer método de armazenamento portátil podem ser criptografados. As soluções de criptografia são implementadas com uma chave mínima de 128 bits para criptografia simétrica e uma chave de no mínimo bits para criptografia assimétrica;

(m) Controle de inserção de dados. Medidas para possibilitar a verificação e a determinação da pessoa responsável pela inserção de Dados Pessoais do Cliente em sistemas de processamento de dados ou remoção deles, incluindo:

(i) autenticação de pessoas autorizadas;

(ii) medidas de proteção para a inserção de dados na memória, além de leitura, alteração e exclusão de dados armazenados;

(iii) uso de códigos de usuário (senhas);

(iv) comprovação de autorização de inserção de dados na organização da pessoa importadora de dados; e

(v) garantia de bloqueio de entrada em instalações de processamento (salas de hardware e equipamentos relacionados).

(n) Controle de disponibilidade. Medidas para garantir a proteção de Dados Pessoais do Cliente contra destruição ou perda acidental, incluindo redundância da infraestrutura e backups regulares nos servidores de banco de dados. 

(o) Segregação de processamento. Procedimentos de garantia de que os dados coletados para diferentes finalidades possam ser processados separadamente, incluindo:

(i) separação de dados pela segurança do aplicativo para os usuários adequados;

(ii) armazenamento de dados no nível do banco de dados em diferentes tabelas, separados pelo módulo ou pela função adequada;

(iii) desenvolvimento de interfaces, processos em lote e relatórios para finalidades e funções específicas a fim de que dados específicos possam ser processados separadamente; e

(iv) bloqueio de uso de dados ativos para testes (somente dados fictícios gerados para fins de teste podem ser usados para essa finalidade).

(p) Programa de gerenciamento de vulnerabilidade. Programa para garantir a verificação regular dos sistemas e a detecção e a correção imediata de vulnerabilidades, incluindo:

(i) verificação regular de todas as redes, inclusive ambientes de teste e de produção; e 

(ii) realização de testes regulares de penetração e correção imediata de vulnerabilidades.

(q) Destruição de dados. Mediante vencimento ou rescisão do Contrato por qualquer uma das partes ou outro tipo de solicitação do Cliente a pedido do sujeito de dados ou órgão regulamentar: 

(i) todos os dados do Cliente serão destruídos em até três meses; e

(ii) todos os dados do Cliente serão apagados de todos os aparelhos de armazenamento da Momentive e/ou de terceiros, incluindo backups, em até seis meses após a rescisão ou o recebimento de solicitação do Cliente, a menos que a Momentive seja obrigada por lei a manter uma categoria de dados por um período maior. A Momentive garantirá que todos os dados não mais necessários sejam destruídos de forma que não possam ser mais recuperáveis.

(r) Padrões e certificações. As soluções e/ou as instalações de armazenamento têm certificação mínima de SOC 1 (SSAE 16) ou SOC 2. Certificações ou níveis de segurança equivalentes ou semelhantes são analisados caso a caso.

Finalidades e natureza do processamento de Dados Pessoais, categorias de Dados Pessoais e Sujeitos de Dados 

ANEXOS PARA as Cláusulas Contratuais Padrão

ANEXO I –

A. LISTA DAS PARTES

MÓDULO DOIS: Transferência – controlador para processador

MÓDULO TRÊS: Transferência – processador para processador

MÓDULO QUADRO: Transferência – processador para controlador

Exportador(es) de dados: conforme indicado no Contrato

Nome, cargo e dados da pessoa de contato: conforme indicado no Contrato

Atividades relevantes para os dados transferidos nestas Cláusulas: conforme indicado no Apêndice 2 do CPD

Importador(es) de dados: conforme indicado no Contrato

Nome: conforme indicado no Contrato

Nome, cargo e dados da pessoa de contato: conforme indicado no Contrato

Atividades relevantes para os dados transferidos nestas Cláusulas: conforme indicado no Apêndice 2 do CPD

B. DESCRIÇÃO DA TRANSFERÊNCIA

MÓDULO DOIS: Transferência – controlador para processador

MÓDULO TRÊS: Transferência – processador para processador

MÓDULO QUADRO: Transferência – processador para controlador

Categorias de sujeitos de dados cujos dados pessoais são transferidos: conforme indicado no Apêndice 2 do CPD

Categorias dos dados pessoais transferidos: conforme indicado no Apêndice 2 do CPD