Versão 1 – Data de atualização: 16 de agosto de 2024.
Este Acordo de Tratamento de Dados (“DPA”) é parte integrante do contrato de serviços da SINCH (“Contrato Principal”) entre a SINCH e o Cliente e está sujeito aos termos do Contrato Principal.
A) Para os fins deste DPA, os termos em maiúscula terão os seguintes significados:
a) “Dados Pessoais do Cliente” significa quaisquer dados pessoais que são tratados pela SINCH em nome do Cliente para executar os Serviços de acordo com o Contrato Principal;
b) “Leis de Proteção de Dados Aplicáveis” significa todas as leis aplicáveis à coleta, armazenamento, tratamento e utilização dos Dados Pessoais do Cliente, que podem incluir a GDPR, conforme transposto para a legislação nacional de cada Estado-Membro da União Europeia (e do Reino Unido) e conforme alterado, substituído ou suplantado de tempos em tempos, e as leis e/ou regulamentações que implementam, substituem ou complementam a GDPR e todas as legislações aplicáveis à coleta, armazenamento, tratamento e utilização dos Dados Pessoais do Cliente, incluindo a Lei de Privacidade do Consumidor da Califórnia de 2018, Cód. Civ. Cal. § 1798.100 et seq. (“CCPA”);
c) “GDPR” significa o Regulamento Geral de Proteção de Dados (UE) 2016/679 referente à proteção das pessoas físicas em relação ao tratamento de dados pessoais e à livre circulação destes;
d) “Infraestrutura da SINCH” significa (i) as instalações físicas da SINCH; (ii) infraestrutura de hospedagem em nuvem; (iii) a rede corporativa da SINCH e a rede interna não pública, além de softwares e hardwares necessários para prestar os Serviços e que são controlados pela SINCH em cada caso, na medida utilizada para prestar os Serviços;
e) “Transferência Restrita” significa uma transferência dos Dados Pessoais do Cliente entre a SINCH e um suboperador, na qual tal transferência seria proibida pelas Leis de Proteção de Dados Aplicáveis (ou pelos termos dos acordos de transferência de dados estabelecidos para lidar com as restrições de transferência de dados das Leis de Proteção de Dados Aplicáveis) na ausência de proteções apropriadas exigidas para tais transferências;
f) “Serviços” significa os serviços prestados ao Cliente pela SINCH de acordo com o Contrato Principal;
g) “Cláusulas Contratuais Padrão” significa a versão mais recente das cláusulas contratuais padrão para a transferência de dados pessoais destinadas para os operadores de dados estabelecidos em países terceiros nos termos da GDPR (destaca-se que a versão atual na data deste DPA é conforme anexado à Decisão da Comissão Europeia 2021/914 (UE), de 4 de junho de 2021);
h) “Adendo do Reino Unido” significa o Adendo do Reino Unido (Adendo à Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da União Europeia) atualmente disponibilizada no link: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf
i) Os termos “consentimento”, “controlador”, “titular dos dados”, “Estado-Membro”, “dados pessoais”, “violação de dados pessoais”, “operador”, “suboperador”, “tratamento”, “autoridade supervisora” e “terceiro” terão os significados que lhes são atribuídos no artigo 4º da GDPR ou da CCPA, nos casos em que a CCPA seja aplicável.
B) Termos em letras maiúsculas utilizados e não definidos neste DPA terão os significados que lhes são atribuídos no Contrato Principal.
a) A SINCH e o Cliente deverão cumprir as disposições e obrigações impostas pelas Leis de Proteção de Dados Aplicáveis e deverão providenciar que seus funcionários e suboperadores observem as disposições das Leis de Proteção de Dados Aplicáveis.
a) O tratamento dos Dados Pessoais do Cliente no escopo do Contrato Principal deverá ser efetuado de acordo com os requisitos abaixo e conforme exigido pelo artigo 28(3), da GDPR. As partes podem alterar essas informações de tempos em tempos, conforme possam razoavelmente considerar necessário para atendê-las.
(i) Objeto e duração do tratamento dos dados pessoais: o objeto e a duração do tratamento dos dados pessoais estão definidos no Contrato Principal. (ii) Natureza e a finalidade do tratamento dos dados pessoais: de acordo com o Contrato Principal, a SINCH presta ao Cliente determinados serviços, como mensageria, e-mail, chamadas de voz e outros serviços de comunicação, conforme detalhado no Contrato Principal, os quais envolvem o tratamento de dados pessoais. Sujeito à Cláusula 3.1 (iv) abaixo, tais atividades de tratamento incluem (a) a prestação dos Serviços; (b) a detecção, prevenção e resolução de questões técnicas e de segurança; e (c) o atendimento às solicitações de suporte do Cliente. (iii) Tipos de dados pessoais a serem tratados: os dados pessoais enviados à rede da SINCH, cuja extensão é determinada e controlada pelo Controlador a seu exclusivo critério, podem incluir nome, e-mail, números de telefone, endereço IP e outros dados pessoais incluídos nas listas de contatos e no conteúdo das mensagens ou chamadas. (iv) Exclusão do Controlador de Dados Independente: não obstante qualquer outra disposição contida neste DPA, ao tratar os dados pessoais no decurso da prestação de serviços de comunicação como parte dos Serviços, incluindo a transmissão e troca de SMS através de redes de telecomunicações e outras mensagens e comunicações, incluindo e-mails, voz e outros meios através de outras plataformas de comunicação, independentemente de o Cliente atuar como controlador ou operador, a SINCH atua como um controlador de dados independente, e não como controlador conjunto, para fornecer os seus serviços de comunicações e realizar suas funções e negócios necessários como um provedor de serviços de comunicação, incluindo as medidas necessárias para prevenir spam e fraude e o controle, segurança e manutenção de sua rede, gerenciamento de seus negócios e funções de conformidade, de acordo com suas obrigações nos termos das legislações aplicáveis. (v) Categorias de titulares de dados a quem os dados pessoais se referem: remetentes e destinatários de mensagens de e-mail e SMS, chamadas de voz ou outras formas de comunicação.
b) A SINCH somente tratará os Dados Pessoais do Cliente (i) para os fins de cumprimento das suas obrigações nos termos do Contrato Principal e (ii) de acordo com as instruções documentadas descritas neste DPA ou conforme de outra forma instruído pelo Cliente de tempos em tempos. As instruções do Cliente devem ser documentadas no pedido aplicável, descrição dos serviços, ticket de suporte, outra comunicação escrita ou conforme orientado pelo Cliente usando os Serviços (como por exemplo através de uma API ou painel de controle).
c) Quando a SINCH entender razoavelmente que uma instrução do Cliente é contrária às disposições do Contrato Principal ou deste DPA, ou que infringe a GDPR ou quaisquer outras disposições de proteção de dados aplicáveis, deverá informar o Cliente sem demora. Nestes casos, a SINCH estará autorizada em adiar a execução da respectiva instrução até que tenha sido alterada pelo Cliente, ou seja, mutuamente acordada pelo Cliente e pela SINCH.
d) O Cliente é exclusivamente responsável pela utilização e gestão dos dados pessoais submetidos ou transmitidos pelos Serviços, incluindo: (i) verificar as informações do destinatário, como número de telefone ou endereço, e garantir que sejam inseridas corretamente nos Serviços; (ii) notificar de forma clara e razoável os destinatários sobre a natureza insegura do e-mail ou das mensagens como meio de transmissão de dados pessoais (conforme aplicável), (iii) limitar razoavelmente a quantidade ou o tipo de informações divulgadas através dos Serviços (iv) criptografar quaisquer dados pessoais transmitidos através dos Serviços, quando apropriado ou exigido pela lei aplicável (como por exemplo através do uso de anexos criptografados, conjuntos de ferramentas PGP ou S/MIME). Quando o Cliente decidir não configurar a criptografia obrigatória, o Cliente reconhece que os Serviços podem incluir a transmissão de e-mails não criptografados em texto simples pela Internet pública e redes abertas. As informações carregadas nos Serviços, inclusive o conteúdo da mensagem, são armazenadas em um formato criptografado quando processadas pela Infraestrutura da SINCH.
e) Desvios (regras específicas com base na legislação nacional aplicável):
(i) para Clientes e contratos no Brasil, além do que está acordado neste DPA, as obrigações estabelecidas adotarão as seguintes redações e diretrizes:
a) As definições destacadas abaixo deverão substituir as definições utilizadas no presente DPA:
1. “Categorias Especiais de Dados Pessoais” significa “Dados Pessoais Sensíveis”: que devem ser interpretados como dados relativos à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a organizações sindicais ou religiosas, filosóficas ou políticas, dados relativos à saúde ou à vida sexual de uma pessoa física, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
2. “Tratamento de Dados” significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
b) As disposições contidas na Cláusula 13(b) não serão aplicáveis.
(ii) para Clientes e contratos na Colômbia, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais:
“O Controlador reconhece que o Operador pode tratar, transferir, armazenar e processar dados pessoais para territórios fora da Colômbia, onde estarão sujeitos às leis das jurisdições estrangeiras em que estes são mantidos. O Controlador reconhece que possui todas as autorizações prévias necessárias dos titulares dos dados e dos registros de bancos de dados que permitiriam ao Operador tratar os dados pessoais e transferi-los e/ou transmiti-los para países que atendam, no mínimo, ao mesmo padrão de proteção de dados pessoais (nível adequado de proteção) previstos nas regulamentações colombianas, tais como, mas não se limitando, a Lei Estatutária 1581 de 2012, ao Decreto Regulamentar 1377 de 2013, ao Decreto 90 de 2018, a Circular Única da Superintendência da Indústria e Comércio, a Circular Externa Nº 005 de 2017 da Superintendência da Indústria e Comércio e outros regulamentos que modificam, substituem ou complementam o acima exposto.”
(iii) para Clientes e contratos na Argentina, além do que está acordado neste DPA, o seguinte é aplicável em relação ao tratamento e transferência de dados pessoais: as partes concordam em celebrar as seguintes Cláusulas Contratuais Padrão da Argentina para a transferência internacional caso o Controlador dos dados pessoais seja da Argentina e/ou as Leis de Proteção de Dados Aplicáveis e/ou a autoridade de proteção de dados da Argentina exija que essas cláusulas sejam compridas.
Contrato modelo de transferencia internacional de datos personales con motivo de prestación de servicios Entre, por una parte, ______________________________________, con domicilio en la calle________, localidad_____________, provincia de __________, Argentina, (en adelante, “el exportador de datos”) y, por la otra, ____________________________ (nombre), __________ (dirección y país), (“en adelante, el importador de datos”), en conjunto “las partes”, convienen el presente contrato de transferencia internacional de datos personales para la prestación de servicios, sometiéndola a los términos y condiciones que se detallan a continuación. (iv) para Clientes e contratos no México, as obrigações estabelecidas nas seções 13(b) não são aplicáveis.
a) Para os fins deste DPA, o Cliente é o controlador dos Dados Pessoais do Cliente e a SINCH é o operador de tais dados, exceto quando o Cliente atuar como um operador dos Dados Pessoais do Cliente, sendo que neste caso a SINCH será considerada um suboperador.
b) A SINCH sempre deverá ter um representante que seja responsável por ajudar o Cliente (i) a responder a perguntas relativas ao tratamento de dados pessoais recebidos dos titulares dos dados; e, (ii) no preenchimento de todas as informações legais e requisitos de divulgação que se aplicam e/ou estejam associados ao tratamento de dados pessoais. Essa assistência deve ser solicitada em dpo@sinch.com.
c) O Cliente garante que:
(i) o tratamento dos Dados Pessoais do Cliente é baseado em fundamentos legais para o tratamento, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, bem como que detém e deverá manter durante toda a vigência do Contrato Principal todos os direitos, permissões, registros e consentimentos necessários conforme exigido pelas Leis de Proteção de Dados Aplicáveis com relação ao tratamento pela SINCH de Dados Pessoais do Cliente sob este DPA e o Contrato Principal; (ii) tem todos os direitos, permissões e consentimentos necessários para transferir os Dados Pessoais do Cliente para a SINCH e, de outra forma, permitir que a SINCH trate os Dados Pessoais do Cliente em seu nome, para que a SINCH possa usar, tratar e transferir legalmente os Dados Pessoais do Cliente para prestar os Serviços e executar os outros direitos e obrigações da SINCH nos termos deste DPA e o Contrato Principal; (iii) informará aos titulares de dados sobre a utilização dos operadores de dados no tratamento dos seus dados pessoais, na medida exigida nos termos das Leis de Proteção de Dados Aplicáveis; e (iv) responderá de forma e em prazo razoável às consultas dos titulares dos dados sobre o tratamento de seus dados pessoais, bem como dará instruções apropriadas à SINCH em tempo hábil.
a) A SINCH deverá garantir que cada um dos seus colaboradores e suboperadores que estejam autorizados a tratar os Dados Pessoais do Cliente estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou estatutárias de confidencialidade, bem como estejam treinados em relação aos respectivos requisitos de segurança e proteção de dados.
a) A SINCH deverá, em relação aos Dados Pessoais do Cliente, (a) tomar e documentar medidas razoáveis e apropriadas, conforme descrito no Anexo 2 do DPA, em relação à segurança da Infraestrutura da SINCH e das plataformas usadas para prestar os Serviços, conforme descrito no Contrato Principal, e (b) mediante solicitação razoável, às custas do Cliente, ajudar o Cliente a garantir o cumprimento das obrigações do Cliente de acordo com o Artigo 32 da GDPR.
b) Os procedimentos operacionais internos da SINCH devem cumprir os requisitos específicos de uma gestão eficaz de proteção de dados.
a) A SINCH fornece ferramentas específicas para ajudar o Cliente a responder às solicitações recebidas dos titulares dos dados, como por exemplo as APIs da SINCH e interfaces para pesquisar dados de eventos, supressões e/ou recuperar o conteúdo das mensagens. Quando a SINCH recebe uma reclamação, consulta ou solicitação (incluindo solicitações feitas por titulares de dados para exercer seus direitos de acordo com as Leis de Proteção de Dados Aplicáveis) relacionadas aos Dados Pessoais do Cliente diretamente dos titulares dos dados, a SINCH notificará o Cliente. Considerando a natureza do tratamento, a SINCH deverá prestar assistência ao Cliente, através de medidas técnicas e organizacionais adequadas, na medida do razoavelmente possível, para o cumprimento da obrigação do Cliente de responder às solicitações para exercer os direitos de tais titulares de dados.
a) A SINCH deverá notificar o Cliente sem demora injustificada assim que tomar conhecimento de uma violação de dados pessoais que afete os Dados Pessoais do Cliente. A SINCH deverá, tendo em consideração a natureza do tratamento e as informações disponíveis, envidar os esforços comercialmente razoáveis para fornecer ao Cliente informações suficientes para permitir que o Cliente, à custa do Cliente, cumpra quaisquer obrigações de comunicar ou informar as autoridades reguladoras, titulares de dados e outras entidades em relação a tal violação de dados pessoais na medida exigida pelas Leis de Proteção de Dados Aplicáveis.
a) A SINCH deverá, tendo em consideração a natureza do tratamento e as informações disponíveis, prestar assistência razoável ao Cliente, às custas do Cliente, com quaisquer avaliações de impacto à proteção de dados e consultas prévias com as autoridades de supervisão ou outras autoridades reguladoras competentes, conforme necessário para que o Cliente cumpra as suas obrigações nos termos das Leis de Proteção de Dados Aplicáveis.
a) A SINCH deverá disponibilizar ao Cliente, mediante solicitação, as informações que sejam razoavelmente necessárias para demonstrar a conformidade com este DPA.
b) O Cliente, ou um auditor terceirizado mandatado, pode, mediante solicitação por escrito, realizar uma inspeção em relação ao tratamento pela SINCH dos Dados Pessoais do Cliente e na medida necessária de acordo com as Leis de Proteção de Dados Aplicáveis, sem interromper as operações comerciais da SINCH, e garantindo a confidencialidade.
c) O direito de auditoria, conforme descrito na Cláusula 10(b) acima, se tornará aplicável ao Cliente, caso a SINCH não tenha fornecido evidências suficientes de sua conformidade com as disposições deste DPA. Evidências suficientes incluem o fornecimento de: (i) uma certificação da conformidade com a norma ISO 27001 ou outras normas aplicadas pela SINCH (âmbito conforme definido no certificado); ou (ii) um relatório de auditoria ou atestado de um terceiro independente. Qualquer auditoria conforme descrita nesta Cláusula 10 deverá ser realizada às custas e despesas do Cliente.
a) O Cliente pode, mediante notificação por escrito à SINCH, sendo o mais tardar no momento da rescisão do Contrato Principal, solicitar a devolução e/ou certificado de exclusão de todas as cópias dos Dados Pessoais do Cliente sob o controle ou posse da SINCH e suboperadores. A SINCH deverá fornecer uma cópia dos Dados do Cliente em um formulário que possa ser lido e processado posteriormente.
b) No prazo de noventa (90) dias após o encerramento da conta, a SINCH deverá eliminar todos os dados pessoais tratados nos termos deste DPA, a menos que o Cliente solicite a devolução dos dados pessoais conforme descrito na Cláusula 11(a) acima. Esta disposição não deverá afetar os potenciais deveres estatutários das partes de preservar os registros durante os períodos de conservação fixados por lei, estatuto ou contrato.
c) Qualquer custo adicional que surja em conexão com a devolução dos dados pessoais após a rescisão ou expiração do Contrato Principal está a cargo do Cliente.
a) Nos casos em que a SINCH atue como importadora de dados e o Cliente como exportador de dados da União Europeia, do Espaço Económico Europeu e/ou dos seus Estados-Membros, da Suíça e do Reino Unido, as Cláusulas Contratuais Padrão e, se necessário, o Adendo do Reino Unido, serão incorporadas como parte deste DPA. Caso o acordo da SINCH com um suboperador envolver uma Transferência Restrita, a SINCH deverá garantir que as disposições de transferência subsequente das Cláusulas Contratuais Padrão e/ou o Adendo do Reino Unido sejam incorporadas ao Contrato Principal ou de outra forma celebradas entre a SINCH e o suboperador. O Cliente concorda em exercer seu direito de auditoria nas Cláusulas Contratuais Padrão, instruindo a SINCH a conduzir a auditoria estabelecida na Cláusula 10.
b) O Cliente reconhece e concorda que, em conexão com o desempenho dos Serviços sob o Contrato Principal, a SINCH pode transferir dados pessoais dentro de seu grupo de empresas. Essas transferências são necessárias para prestar os Serviços globalmente.
c) Para transferências de dados pessoais da União Europeia, do Espaço Económico Europeu e/ou dos seus Estados-Membros, da Suíça e do Reino Unido para países que não assegurem um nível adequado de proteção de dados nos termos das leis de proteção de dados dos territórios mencionados anteriormente, na medida em que tais transferências estejam sujeitas às leis e regulamentos de proteção de dados e a fim de implementar salvaguardas adequadas, as seguintes medidas deverão ser tomadas: (1) Cláusulas Contratuais Padrão de acordo com a Decisão da Comissão Europeia 2021/914/UE, de 4 de junho de 2021; (2) Adendo do Reino Unido e (3) salvaguardas adicionais com relação as medidas de segurança, incluindo a criptografia de dados, agregação de dados, separação de controles de acesso e princípios de minimização de dados.
a) Pelo presente instrumento o Cliente concede uma autorização geral à SINCH para nomear suboperadores de acordo com esta Cláusula 13 e Anexo 1. A SINCH garantirá que os suboperadores estejam vinculados por contratos escritos que exijam que eles forneçam pelo menos o nível de proteção de dados exigido da SINCH por este DPA. O Cliente também concede à SINCH uma autorização específica para continuar a usar os suboperadores já contratados na data deste DPA, conforme mencionado na seção (b) abaixo.
b) Os suboperadores atuais para os Serviços são definidos em https://www.sinch.com/data-protection-agreement/sub-processors/ (“Lista de Suboperadores”). Desde que o Cliente subscreva notificações de novos suboperadores através do mecanismo de subscrição encontrado em https://www.sinch.com/data-protection-agreement/sub-processors/, a SINCH deverá notificar o Cliente, através do referido mecanismo, com trinta (30) dias de antecedência de quaisquer alterações pretendidas relativas à adição ou substituição de qualquer suboperador. Caso, no prazo de dez (10) dias úteis a contar do recebimento dessa notificação, o Cliente notificar a SINCH por escrito de quaisquer objeções por motivos razoáveis à nomeação proposta, a SINCH não deverá nomear esse suboperador proposto até que tenham sido tomadas medidas razoáveis para resolver as objeções levantadas pelo Cliente e o Cliente tenha recebido uma explicação razoável por escrito das medidas tomadas. Caso a SINCH e o Cliente não forem capazes de resolver a nomeação de um suboperador dentro de um período razoável, qualquer uma das partes deverá ter o direito de rescindir o Contrato Principal por justa causa.
c) A SINCH deverá ser responsável pelos atos e omissões de quaisquer suboperadores como é para o Cliente por seus próprios atos e omissões em relação aos assuntos previstos neste DPA.
a) As partes deste DPA submetem-se à escolha de jurisdição estipulada no Contrato Principal com relação a quaisquer disputas ou reivindicações decorrentes deste DPA, incluindo as disputas relativas à sua existência, validade ou rescisão ou às consequências de sua nulidade.
b) Este DPA e todas as obrigações não contratuais ou outras decorrentes ou em conexão com este deverão ser regidas pelas leis do país ou território estipulado no Contrato Principal para este fim.
c) Sem prejuízo do mencionado anteriormente nos termos das Cláusula 14 (a) e (b) acima, todas as obrigações decorrentes ou relacionadas com as Cláusulas Contratuais Padrão eventualmente incorporadas o presente DPA deverão ser regidas pelas leis do Estado-Membro da UE especificadas no Anexo 1, conforme exigido para a validade dessas Cláusulas Contratuais Padrão nos termos da Decisão da Comissão Europeia 2021/914/UE de 4 de junho de 2021.
a) Com relação ao objeto deste DPA, e exceto quando explicitamente acordado de outra forma por escrito e assinado em nome das partes, em caso de inconsistências entre as disposições deste DPA e quaisquer outros acordos entre as partes, incluindo o Contrato Principal e incluindo acordos celebrados ou supostamente celebrados após a data deste DPA, as disposições deste DPA deverão prevalecer.
a) Caso qualquer disposição deste DPA for declarada inválida ou inexequível, o restante deste DPA permanecerá válido e em vigor. A disposição inválida ou inexequível deverá ser (i) alterada conforme necessário para garantir a sua validade e aplicabilidade, preservando as intenções das partes o mais estreitamente possível ou, se isso não for possível, (ii) deverá ser interpretada de forma como se a parte inválida ou inexequível nunca tivesse sido contida no presente instrumento.
a) Com o término do Contrato Principal, este DPA e as Cláusulas Contratuais Padrão serão também considerados encerrados após o cumprimento da obrigação da SINCH de excluir os dados pessoais em tratamento de acordo com a Cláusula 11.
Com relação às Cláusulas Contratuais Padrão, as partes acordam que:
a) O Módulo 2 (Controlador para Operador) será aplicado onde a SINCH atua como operador de dados do Cliente; o Módulo 3 (Operador para Operador) será aplicado onde a SINCH atua como suboperador do Cliente. Para cada Módulo, quando aplicável:
b) A cláusula 7ª (Clausula de Adesão) está incorporada;
c) Para os fins da Cláusula 9.a) (Uso de Suboperadores), a Opção 2: aplica-se a autorização geral por escrito. O importador de dados tem a autorização geral do exportador de dados para a contratação de suboperadores a partir de uma lista acordada. O importador de dados deve informar especificamente o exportador de dados por escrito de quaisquer alterações pretendidas a essa lista através da adição ou substituição de suboperadores com pelo menos trinta (30) dias de antecedência;
d) A redação opcional da Cláusula 11 (Retificação) relativa aos órgãos de resolução independentes não está incorporada;
e) Para efeitos da Cláusula 13 (Supervisão), o IMY, a Autoridade Sueca de Proteção de Dados (Integritetsskyddsmyndigheten) deverá atuar como a autoridade fiscalizadora competente;
f) A Opção 1 da Cláusula 17 (Lei Aplicável) deverá ser aplicada e as leis da Suécia deverão reger as Cláusulas Contratuais Padrão;
g) Para os fins da Cláusula 18 (Escolha do Foro e Jurisdição), os tribunais da Suécia resolverão qualquer disputa decorrente das Cláusulas Contratuais Padrão;
h) O Anexo IA (Lista das Partes) e o Anexo IB (Descrição da Transferência) deverão ser preenchidos utilizando as informações e detalhes especificados no Contrato Principal e enumerados na Seção 3 do DPA;
i) O Anexo IB (Descrição da Transferência) deve ser concluído especificando que não serão transferidos dados sensíveis. A frequência da transferência deve ser contínua. No caso de transferências para suboperadores, o objeto, a natureza e a duração do tratamento devem ser os mesmos que os do importador de dados;
j) Para efeitos do Anexo IC, a autoridade fiscalizadora competente nos termos da Cláusula 13 é a IMY, a Autoridade Sueca de Proteção de Dados (Integritetsskyddsmyndigheten);
k) Para efeitos do Anexo II, as medidas técnicas e organizacionais estão descritas no Anexo 2 do DPA;
l) Para efeitos do Anexo III, a Lista de Suboperadores está incluída no Anexo 3 do DPA;
m) Onde a Transferência Restrita estiver sujeita ao Regulamento, uma vez que faz parte da lei da Inglaterra e País de Gales, Escócia e Irlanda do Norte (GDPR do Reino Unido), as Cláusulas Contratuais Padrão deverão incorporar o Adendo do Reino Unido concluído da seguinte forma: (i) Para efeitos da Tabela 1, a data de início é a data da assinatura do DPA e os dados das partes devem ser preenchidos utilizando as informações e detalhes especificados no Contrato Principal; (ii) Para efeitos da Tabela 2, a versão das Cláusulas Contratuais Padrão da UE aprovadas à qual o Adendo do Reino Unido é anexado será a das Cláusulas Contratuais Padrão, conforme concluído em conformidade com o presente Anexo 1, sendo a data de vigência aquela do presente Adendo; (iii) Para os efeitos da Tabela 3, as Informações do Apêndice são as descritas nos parágrafos (h)-(l) do presente Anexo 1; e (iv) Para efeitos da Tabela 4, a entidade SINCH que atua como importador pode rescindir o Adendo do Reino Unido quando o Adendo Aprovado for alterado.
As medidas técnicas e organizacionais incluídas neste Anexo são medidas aplicáveis aos Serviços prestados pela SINCH. Se necessário, para o Serviço, a SINCH pode incluir outras medidas técnicas e organizacionais na Ordem de Serviço ou Serviço.
Um inventário de informações e outros ativos associados, incluindo proprietários, é desenvolvido e mantido. Um proprietário de ativo foi designado para cada ativo dentro do inventário de acordo com a política de marcação de ativos.
A alocação e a gestão das informações de autenticação são controladas por um processo de gerenciamento, que inclui aconselhar os colaboradores sobre o tratamento apropriado das informações de autenticação.
Em particular, a SINCH:
Os direitos de acesso às informações e outros ativos associados são provisionados, revisados, modificados e removidos de acordo com a política específica de tópicos e regras de controle de acesso da organização.
Em particular, na SINCH:
A preparação das TICs (Tecnologias de Informação e Comunicação) é planejada, implementada, mantida e testada com base nos objetivos de continuidade dos negócios e nos requisitos de continuidade das TICs.
Em particular, na SINCH:
Os colaboradores da organização e as respectivas partes interessadas recebem conscientização, formação e treinamento apropriados em segurança da informação e atualizações regulares da política de segurança da informação da organização, políticas e procedimentos específicos de tópicos, conforme relevante para sua função de trabalho.
Em particular, na SINCH:
A utilização dos recursos é monitorizada e ajustada de acordo com as necessidades de capacidade atuais e previstas.
A proteção contra malware é implementada e apoiada por meio da conscientização adequada dos usuários. Todos os dispositivos de endpoint devem ter detecção de endpoint (EDR – Endpoint Detection and Response).
Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso são obtidas, a exposição da SINCH a tais vulnerabilidades é avaliada e medidas apropriadas são tomadas.
Em particular, na SINCH:
As configurações, incluindo as configurações de segurança, de hardware, software, serviços e redes são estabelecidas, documentadas, implementadas, monitoradas e revisadas de acordo com os seguintes padrões: NIST 800-53 e Controles CIS.
Cópias de backup de informações, software e sistemas são mantidas e testadas regularmente de acordo com a política de backup específica acordada por tópico.
A rotina de backup pelo menos especifica:
Redes, sistemas e aplicativos são monitorados quanto a comportamentos anômalos e ações apropriadas são tomadas para avaliar possíveis incidentes de segurança da informação. Redes, sistemas e aplicativos são monitorados quanto a comportamentos anômalos e maliciosos, a fim de detectar possíveis incidentes de segurança.
Redes e dispositivos de rede são protegidos, gerenciados e controlados para proteger informações em sistemas e aplicativos.
Por exemplo, a SINCH:
Regras para o desenvolvimento seguro de software e sistemas são estabelecidas e aplicadas.
Por exemplo, na SINCH:
Os processos de teste de segurança são definidos e implementados no ciclo de vida de desenvolvimento.
Medidas de segurança física e ambiental foram implementadas dentro da SINCH.
Por exemplo, na SINCH:
A SINCH também aplicou um Sistema de Gestão de Segurança da Informação (SGSI), de acordo com a ISO/IEC 27001:2022.
Foram implementadas medidas para garantir uma retenção limitada dos dados pessoais.
Por exemplo, a SINCH:
Foram implementadas medidas técnicas e organizacionais adequadas para satisfazer os requisitos de responsabilização.
Por exemplo, a SINCH:
Medidas para permitir o exercício dos direitos dos titulares de dados são implementadas dentro da SINCH.
Por exemplo, a SINCH:
Medidas para minimizar a quantidade de dados tratados são implementadas.
Por exemplo, para cada atividade de processamento a SINCH: