Adendo de Privacidade de Dados

Data efetiva: 16 de fevereiro de 2025

entre

Cliente de acordo com os TCG como Controlador (doravante “Controlador“),

Wave Connect Inc. , 3 Pl. Ville-Marie Suite 400, H3B 2E3, Montreal, Canadá como Processador de Dados (doravante “Processador de Dados”, Controlador e Processador de Dados conjuntamente as “Partes”)

Preâmbulo

O Controlador comissionou o Processador de Dados no GTC (doravante denominado "Contrato Principal") para os serviços especificados nele. Parte da execução do contrato é o processamento de dados pessoais. Em particular, o Art. 28 GDPR impõe requisitos específicos sobre tal processamento comissionado. Para cumprir com esses requisitos, as Partes celebram o seguinte Contrato de Processamento de Dados (doravante denominado "Contrato"), cuja execução não será remunerada separadamente, a menos que expressamente acordado.

1. Definições

(1) De acordo com o Art. 4 (7) do RGPD, o Controlador é a entidade que, sozinha ou em conjunto com outros Controladores, determina as finalidades e os meios do processamento de dados pessoais.

(2) De acordo com o Art. 4 (8) do RGPD, um Processador de Dados é uma pessoa física ou jurídica, autoridade, instituição ou outro organismo que processa dados pessoais em nome do Controlador.

(3) De acordo com o Art. 4 (1) do RGPD, dados pessoais significam qualquer informação relativa a uma pessoa física identificada ou identificável (doravante "Titular dos Dados"); uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa física.

(4) Os dados pessoais que exigem proteção especial são dados pessoais de acordo com o Art. 9 GDPR que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação sindical dos Titulares dos Dados, dados pessoais de acordo com o Art. 10 GDPR sobre condenações criminais e infrações penais ou medidas de segurança relacionadas, bem como dados genéticos de acordo com o Art. 4 (13) GDPR, dados biométricos de acordo com o Art. 4 (14) GDPR, dados de saúde de acordo com o Art. 4 (15) GDPR e dados sobre a vida sexual ou orientação sexual de uma pessoa física.

(5) De acordo com o artigo 4.º (2) do RGPD, o tratamento é qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, por meios automatizados ou não, tais como a recolha, o registo, a organização, o arquivamento, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

(6) Nos termos do artigo 4.º (21) do RGPD, a autoridade de controlo é um organismo estatal independente criado por um Estado-Membro nos termos do artigo 51.º do RGPD.

(7) “Leis Europeias de Proteção de Dados” significa todas as leis e regulamentos de proteção de dados aplicáveis ao Espaço Econômico Europeu e seus estados-membros (“EEE”), Suíça e Reino Unido (“RU”), incluindo (i) o Regulamento 2016/679 do Parlamento Europeu e do Conselho sobre a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados (Regulamento Geral de Proteção de Dados) (“GDPR”); (ii) a Diretiva 2002/58/CE relativa ao processamento de dados pessoais e à proteção da privacidade no setor de comunicações eletrônicas; (iii) implementações nacionais aplicáveis de (i) e (ii); (iv) o GDPR, pois faz parte da lei do Reino Unido em virtude da seção 3 do UK European Union (Withdrawal) Act 2018 e do UK Data Protection Act 2018 (juntos, “Leis de Proteção de Dados do Reino Unido”); e (v) a Lei Federal Suíça de Proteção de Dados de 19 de junho de 1992 e sua Portaria (“Swiss DPA”).

2. Objeto do contrato

(1) O Processador de Dados fornece os serviços especificados no Contrato Principal para o Controlador. Ao fazê-lo, o Processador de Dados obtém acesso a dados pessoais, que o Processador de Dados processa para o Controlador exclusivamente em nome e de acordo com as instruções do Controlador. O escopo e a finalidade do processamento de dados pelo Processador de Dados são definidos no Contrato Principal e em quaisquer descrições de serviços associadas. O Controlador será responsável por avaliar a admissibilidade do processamento de dados.

(2) As Partes concluem o presente Acordo para especificar os direitos e obrigações mútuos sob a lei de proteção de dados. Em caso de dúvida, as disposições deste Acordo prevalecerão sobre as disposições do Contrato Principal.

(3) As disposições deste contrato serão aplicáveis a todas as atividades relacionadas ao Contrato Principal nas quais o Processador de Dados e seus funcionários ou pessoas autorizadas pelo Processador de Dados entrem em contato com dados pessoais originários do Controlador ou coletados para o Controlador.

(4) O prazo deste Contrato será regido pelo prazo do Contrato Principal, a menos que as seguintes disposições deem origem a outras obrigações ou direitos de rescisão.

3. Direito de instrução

(1) O Processador de Dados só pode coletar, processar ou usar dados dentro do escopo do Contrato Principal e de acordo com as instruções do Controlador. Se o Processador de Dados for obrigado a realizar processamento adicional pela lei da União Europeia ou dos Estados-Membros aos quais está sujeito, ele deverá notificar o Controlador desses requisitos legais antes do processamento.

(2) As instruções do Controlador serão inicialmente determinadas por este Contrato. Posteriormente, elas poderão ser alteradas, complementadas ou substituídas pelo Controlador por escrito ou em forma de texto por instruções individuais (Instruções Individuais). O Controlador terá o direito de emitir tais instruções a qualquer momento. Isso inclui instruções com relação à correção, exclusão e bloqueio de dados.

(3) Todas as instruções emitidas devem ser documentadas pelo Controlador. Instruções que vão além do serviço acordado no Contrato Principal devem ser tratadas como uma solicitação de mudança no serviço.

(4) Se o Processador de Dados for da opinião de que uma instrução do Controlador viola as disposições de proteção de dados, ele deverá notificar o Controlador sem demora injustificada. O Processador de Dados terá o direito de suspender a implementação da instrução relevante até que seja confirmada ou alterada pelo Controlador. O Processador de Dados pode se recusar a executar uma instrução obviamente ilegal.

4. Tipos de dados processados, grupo de titulares de dados, país terceiro

(1) No âmbito da execução do Contrato Principal, o Processador de Dados terá acesso aos dados pessoais especificados com mais detalhes no Anexo 1.

(2) O grupo de titulares de dados afetados pelo tratamento de dados está listado no Anexo 1.

(3) A transferência de dados pessoais para um país terceiro pode ocorrer nas condições do art. 44 e seguintes do RGPD.

5. Medidas de proteção do Processador de Dados

(1) O Processador de Dados será obrigado a observar as disposições legais sobre proteção de dados e a não divulgar informações obtidas do domínio do Controlador a terceiros ou expô-las ao seu acesso. Documentos e dados serão protegidos contra divulgação a pessoas não autorizadas, levando em consideração o estado da arte.

(2) O Processador de Dados deve organizar a organização interna dentro de seu campo de responsabilidade de tal forma que atenda aos requisitos especiais de proteção de dados. Ele deve ter tomado as medidas técnicas e organizacionais especificadas no Anexo 2 para proteger adequadamente os dados do Controlador de acordo com o Art. 32 GDPR, que o Controlador reconhece como adequado. O Processador de Dados reserva-se o direito de alterar as medidas de segurança tomadas, garantindo que o nível de proteção contratualmente acordado não seja prejudicado.

(3) As pessoas empregadas no processamento de dados pelo Processador de Dados estão proibidas de coletar, processar ou usar dados pessoais sem autorização. O Processador de Dados obrigará todas as pessoas por ele confiadas ao processamento e execução deste contrato (doravante "Funcionários") em conformidade (obrigação de confidencialidade, Art. 28 (3) lit. b GDPR) e garantirá o cumprimento desta obrigação com o devido cuidado.

(4) O Processador de Dados nomeou um responsável pela proteção de dados. O responsável pela proteção de dados do Processador de Dados é Rickert Rechtsanwaltsgesellschaft mbH, Colmantstraße 15, 53115 Bonn, Alemanha. E-mail: info@rickert.law , telefone: +49 (0)228 74 898 0

6. Obrigações de informação do Processador de Dados

(1) Em caso de interrupções, suspeitas de violações de proteção de dados ou violações de obrigações contratuais do Processador de Dados, suspeitas de incidentes relacionados à segurança ou outras irregularidades no processamento de dados pessoais pelo Processador de Dados, por pessoas empregadas por ele dentro do escopo do contrato ou por terceiros, o Processador de Dados deverá informar o Controlador sem demora injustificada. O mesmo se aplica às auditorias do Processador de Dados pela autoridade supervisora de proteção de dados. A notificação de uma violação de dados pessoais deverá conter pelo menos as seguintes informações:

(a) uma descrição da natureza da violação de dados pessoais, incluindo, na medida do possível, as categorias e o número de titulares dos dados afetados, as categorias afetadas e o número de registos de dados pessoais afetados;

(b) uma descrição das medidas tomadas ou propostas pelo Processador de Dados para resolver a violação e, quando aplicável, medidas para mitigar seus possíveis efeitos adversos;

(2) O Processador de Dados tomará imediatamente as medidas necessárias para proteger os dados e mitigar quaisquer possíveis consequências adversas para os Titulares dos Dados, informará o Controlador e solicitará instruções adicionais.

(3) Além disso, o Processador de Dados será obrigado a fornecer ao Controlador informações a qualquer momento, na medida em que os dados do Controlador sejam afetados por uma violação nos termos do parágrafo 1.

(4) O Processador de Dados deverá informar o Controlador sobre quaisquer alterações significativas nas medidas de segurança de acordo com a Seção 5 (2).

7. Direitos de controle do Controlador

(1) O Controlador pode certificar-se das medidas técnicas e organizacionais do Processador de Dados antes do início do processamento de dados e, posteriormente, regularmente em uma base anual. Para este propósito, o Controlador pode, por exemplo, obter informações do Processador de Dados, obter certificados existentes de especialistas, certificações ou auditorias internas ou, após coordenação oportuna, inspecionar pessoalmente as medidas técnicas e organizacionais do Processador de Dados durante o horário comercial normal ou tê-las inspecionadas por um terceiro competente, desde que o terceiro não esteja em uma relação competitiva com o Processador de Dados. O Controlador deve realizar verificações apenas na medida necessária e não deve interromper desproporcionalmente as operações do Processador de Dados no processo.

(2) O Processador de Dados compromete-se a fornecer ao Controlador, mediante solicitação verbal ou escrita deste e dentro de um prazo razoável, todas as informações e evidências necessárias para realizar uma verificação das medidas técnicas e organizacionais do Processador de Dados.

(3) O Controlador deverá documentar os resultados da inspeção e notificar o Processador de Dados sobre eles. No caso de erros ou irregularidades que o Controlador descobrir, em particular durante a inspeção dos resultados da inspeção, o Controlador deverá informar o Processador de Dados sem demora injustificada. Se forem encontrados fatos durante o controle, cuja futura evitação exija alterações no procedimento ordenado, o Controlador deverá notificar o Processador de Dados das alterações processuais necessárias sem demora.

8. Utilização de prestadores de serviços

(1) Os serviços contratualmente acordados serão realizados com o envolvimento dos prestadores de serviços nomeados no Anexo 3 (doravante “Subprocessadores”). O Controlador concede ao Processador de Dados sua autorização geral dentro do significado do Artigo 28 (2) s. 1 GDPR para contratar Subprocessadores adicionais dentro do escopo de suas obrigações contratuais ou para substituir Subprocessadores já contratados.

(2) O Processador de Dados deverá informar o Controlador antes de qualquer alteração pretendida em relação ao envolvimento ou substituição de um Subprocessador. O Controlador pode se opor ao envolvimento ou substituição pretendidos de um Subprocessador por um motivo importante sob a lei de proteção de dados.

(3) A objeção ao envolvimento ou substituição pretendido de um Subprocessador deve ser levantada dentro de 2 semanas do recebimento das informações sobre a mudança. Se nenhuma objeção for levantada, o envolvimento ou substituição será considerado aprovado. Se houver um motivo importante sob a lei de proteção de dados e uma solução amigável não for possível entre o Controlador e o Processador, o Controlador tem um direito especial de rescisão no final do mês seguinte à objeção.

(4) Ao contratar Subprocessadores, o Processador de Dados deverá obrigá-los de acordo com as disposições deste Contrato.

(5) Uma relação de Subprocessador dentro do significado destas disposições não existe se o Processador de Dados comissiona terceiros com serviços que são considerados serviços puramente auxiliares. Estes incluem, por exemplo, serviços postais, de transporte e de expedição, serviços de limpeza, serviços de telecomunicações sem qualquer referência específica aos serviços fornecidos pelo Processador de Dados ao Controlador e serviços de guarda. Os serviços de manutenção e teste constituem relações de Subprocessador que requerem consentimento na medida em que são fornecidos para sistemas de TI que também são usados em conexão com a prestação de serviços para o Controlador.

9. Solicitações e direitos dos titulares dos dados

(1) O Processador de Dados deverá apoiar o Controlador com medidas técnicas e organizacionais adequadas no cumprimento das obrigações do Controlador de acordo com os Artigos 12-22 e 32 a 36 do RGPD.

(2) Se um Titular dos Dados fizer valer direitos, como o direito de acesso, retificação ou exclusão em relação aos seus dados, diretamente contra o Processador de Dados, este último não reagirá de forma independente, mas encaminhará o Titular dos Dados ao Controlador e aguardará as instruções do Controlador.

Como parte do nosso compromisso com a privacidade e conformidade de dados, você pode solicitar acesso, correção ou exclusão de seus dados pessoais processados sob nosso Data Processing Agreement (DPA). Preencha o formulário para enviar sua solicitação.

10. Responsabilidade

(1) Na relação interna com o Processador de Dados, o Controlador será o único responsável perante o Titular dos Dados pela compensação por danos sofridos por um Titular dos Dados devido ao processamento inadmissível ou incorreto de dados sob as leis de proteção de dados ou uso dentro do escopo do processamento encomendado.

(2) O Processador de Dados terá responsabilidade ilimitada por danos, na medida em que a causa do dano se baseie em uma violação intencional ou grosseiramente negligente do dever pelo Processador de Dados, seu representante legal ou agente vicário.

(3) O Processador de Dados somente será responsável por conduta negligente em caso de violação de uma obrigação, cujo cumprimento é um pré-requisito para o desempenho adequado do contrato e cuja observância o Controlador regularmente confia e pode confiar, mas limitado ao dano médio típico do contrato. Em todos os outros aspectos, a responsabilidade do Processador - incluindo para seus agentes indiretos - será excluída.

(4) A limitação de responsabilidade nos termos do § 10.3 não se aplica a reclamações por danos decorrentes de lesões à vida, ao corpo, à saúde ou da assunção de uma garantia.

11. Rescisão do Contrato Principal

(1) Após a rescisão do Contrato Principal, o Processador de Dados deverá devolver ao Controlador todos os documentos, dados e suportes de dados fornecidos a ele ou - a pedido do Controlador, a menos que haja uma obrigação de armazenar os dados pessoais sob a lei da União ou a lei da República Federal da Alemanha - excluí-los. Isso também se aplica a quaisquer backups de dados no Processador de Dados. O Processador de Dados deverá, mediante solicitação, fornecer prova documentada da exclusão adequada de quaisquer dados.

(2) O Controlador terá o direito de controlar o retorno ou a exclusão completa e contratual dos dados no Processador de Dados de forma adequada.

(3) O Processador de Dados será obrigado a manter confidenciais os dados dos quais tomou conhecimento em conexão com o Contrato Principal, mesmo além do fim do Contrato Principal. O presente Contrato permanecerá válido além do fim do Contrato Principal enquanto o Processador de Dados tiver dados pessoais à sua disposição que lhe foram encaminhados pelo Controlador ou que ele tenha coletado para o Controlador.

12. Disposições finais

(1) Na medida em que o Processador de Dados não realizar expressamente ações de suporte sob este Contrato gratuitamente, ele poderá cobrar do Controlador uma taxa razoável para isso, a menos que as próprias ações ou omissões do Processador de Dados tenham tornado tal suporte diretamente necessário.

(2) As alterações e suplementos a este Acordo devem ser feitos por escrito. Isto também se aplica a qualquer renúncia a este requisito formal. A prioridade de acordos contratuais individuais permanecerá inalterada.

(3) Se disposições individuais deste Acordo forem ou se tornarem total ou parcialmente inválidas ou inexequíveis, isso não afetará a validade das disposições restantes.

(4) Este acordo está sujeito à lei alemã.

Anexo 1 - Descrição dos dados/categorias de dados e titulares de dados afetados/grupos de titulares de dados afetados

Tipo de cliente	Categorias de titulares de dados	Categorias de dados
Contas da empresa	Funcionários	Nome, detalhes de contato, cargo, departamento, foto, detalhes da empresa, links para mídias sociais
Contas da empresa e usuários individuais	Partes interessadas	detalhes de contato, nome, empresa

Anexo 2 - Medidas técnicas e organizacionais do Processador de Dados

1. Introdução

Este documento resume as medidas técnicas e organizacionais tomadas pelo Processador dentro do significado do Art. 32 para. 1 GDPR. Estas são medidas tomadas pelo Processador para proteger dados pessoais. O propósito do documento é dar suporte ao Controlador no cumprimento de suas obrigações de responsabilidade sob o Art. 5 para. 2 GDPR.

2. Confidencialidade (Art. 32 parágrafo 1 lit. b GDPR)

2.1 Controle de entrada

As seguintes medidas implementadas impedem que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados:

Trabalho em casa: pessoas não autorizadas não têm acesso às casas dos funcionários
Trabalho em home office: instruções aos funcionários para trabalhar em um escritório separado de suas salas de estar, se possível

2.2 Controle de admissão

As seguintes medidas implementadas impedem que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados:

Autenticação com usuário e senha
Uso de firewalls
Uso do gerenciamento de dispositivos móveis
Criptografia de suportes de dados
Bloqueio automático da área de trabalho
Gestão de autorizações de usuários
Criando perfis de usuário
Regras de senha central
Uso de autenticação de dois fatores
Política da empresa para senhas seguras
Instruções gerais para bloquear manualmente a área de trabalho ao sair da estação de trabalho

2.3 Controle de acesso

As seguintes medidas implementadas garantem que pessoas não autorizadas não tenham acesso aos dados pessoais:

Registro de acesso a aplicativos (em particular ao inserir, alterar e excluir dados)
O número de administradores é mantido o menor possível
Gerenciamento de direitos de usuário por administradores de sistema
Instrução aos funcionários de que os dados só serão excluídos após consulta

2.4 Controle de separação

As seguintes medidas garantem que os dados pessoais coletados para diferentes finalidades sejam processados separadamente:

Armazenamento fisicamente separado em sistemas ou suportes de dados separados
Separação do sistema de produção e teste
Separação lógica do cliente (no lado do software)
Definição de direitos de banco de dados
Instrução interna para anonimizar/pseudonimizar dados pessoais em caso de divulgação ou após o término do período legal de exclusão, se possível.

3. Integridade (Art. 32 parágrafo 1 lit. b GDPR)

3.1 Controle de transferência

É garantido que os dados pessoais não podem ser lidos, copiados, alterados ou removidos sem autorização durante a transmissão ou armazenamento em suportes de dados e que é possível verificar quais pessoas ou órgãos receberam dados pessoais. As seguintes medidas foram implementadas para garantir isso:

Registro de acessos e recuperações
Fornecimento de dados por meio de conexões criptografadas, como SFTP ou HTTPS
Proibição de upload de dados da empresa para servidores externos

3.2 Controle de entrada

As seguintes medidas garantem que é possível verificar quem processou dados pessoais em sistemas de processamento de dados e em que momento:

Registrando a entrada, modificação e exclusão de dados
Controle manual ou automático dos logs
Rastreabilidade da entrada, modificação e exclusão de dados por meio de nomes de usuários individuais (não grupos de usuários)
Responsabilidades claras para exclusões

4. Disponibilidade e resiliência (Art. 32, parágrafo 1, alínea b do RGPD)

Os Serviços operam na Google Cloud Platform (“ GCP ”) e são protegidos pelos controles de segurança e ambientais do Google. A Wave Connect realiza backups regulares dos Dados do Cliente, que são hospedados em data centers da GCP. Os backups são replicados globalmente para resiliência contra desastres regionais e testados periodicamente pela equipe de engenharia da Wave Connect.

Os funcionários concluem treinamento obrigatório anualmente, que abrange privacidade e proteção de dados, confidencialidade, engenharia social, políticas de senha e segurança da informação.

5. Procedimentos para revisão, avaliação e avaliação regulares (Art. 32, parágrafo 1 lit. d GDPR; Art. 25, parágrafo 1 GDPR)

5.1 Gestão da proteção de dados

As seguintes medidas visam garantir que a organização atenda aos requisitos básicos da lei de proteção de dados:

Nomeação do responsável pela proteção de dados Rickert Rechtsanwaltsgesellschaft
Obrigação dos funcionários de manter sigilo de dados
Treinamento regular sobre proteção de dados para funcionários
Manter uma visão geral das atividades de processamento (Art. 30 GDPR)

5.2 Gestão de resposta a incidentes

As seguintes medidas visam garantir que os processos de denúncia sejam acionados em caso de violações de proteção de dados:

Processo de denúncia de violações de proteção de dados de acordo com o Art. 4º, nº 12 do RGPD às autoridades de supervisão (Art. 33 do RGPD)
Processo de notificação de violações de dados de acordo com o Art. 4 No. 12 GDPR aos titulares dos dados (Art. 34 GDPR)
Envolvimento do responsável pela proteção de dados em incidentes de segurança e violações de dados
Uso de firewalls

5.3 Configurações padrão favoráveis à proteção de dados (Art. 25, parágrafo 2 GDPR)