Adendo sobre o processamento internacional de dados

Este Adendo de Processamento de Dados, incluindo todos os Cronogramas anexos ("Adendo") com data de 1º de janeiro de 2023 ("Data de vigência do adendo") faz parte do contrato existente ou contemporâneo de bens e serviços ("Contrato") entre: Sycomp A Technology Company, Inc. ("Sycomp") e a empresa cliente ("Empresa") agindo em seu próprio nome e/ou como agente de suas Afiliadas corporativas ao aceitar este Adendo.

A Empresa e a Sycomp firmaram um Contrato segundo o qual a Sycomp fornece à Empresa determinados softwares e licenças SaaS, professional services e hardware (referidos neste Adendo como "Soluções"), oferecidos por fabricantes de equipamentos originais, licenciadores de software e SaaS e provedores de serviços terceirizados (os "Parceiros de revenda"). O Sycomp coleta e processa Dados Pessoais mínimos da Empresa (definidos abaixo), conforme definido pelas Leis Aplicáveis (definidas abaixo) no fornecimento das Soluções. Quando apenas os Parceiros de Revenda tiverem acesso a informações relacionadas aos Dados Pessoais da Empresa, incluindo, sem limitação, informações sobre clientes, funcionários, diretores, contratados e agentes da Empresa, incluindo, sem limitação, informações pessoais/dados pessoais conforme definido pelas Leis Aplicáveis e o Sycomp não tiver acesso e não estiver envolvido no processamento dos Dados Pessoais da Empresa, a Empresa reconhece que seu relacionamento com os Parceiros de Revenda rege o processamento dos Dados Pessoais da Empresa de acordo com as Leis Aplicáveis e este Adendo não se aplica.

Os termos usados neste Adendo terão os significados definidos neste Adendo. Os termos em letras maiúsculas não definidos de outra forma neste documento terão o significado dado a eles no Contrato. Exceto conforme modificado abaixo, os termos do Contrato permanecerão em pleno vigor e efeito.

As partes, por meio deste instrumento, concordam que os termos e condições estabelecidos abaixo devem ser adicionados como um Adendo ao Contrato.

1. Termos globais

1.1 Definições.

1.1.1 "Afiliada" significa uma entidade que possui ou controla, é de propriedade ou controlada por ou está sob controle ou propriedade comum com a Empresa ou a Sycomp, respectivamente, onde o controle é definido como a posse, direta ou indireta, do poder de dirigir ou causar a direção da administração e das políticas de uma entidade, seja por meio da propriedade de títulos com direito a voto, por contrato ou de outra forma.

1.1.2 "Leis aplicáveis" significa qualquer lei de privacidade ou segurança que se aplique aos Dados Pessoais da Empresa. Isso inclui (sem limitação) o Regulamento Geral de Proteção de Dados (UE 2016/679) ("GDPR"), a Diretiva sobre privacidade e comunicações eletrônicas (2002/58/EC), a Lei de Proteção de Dados do Reino Unido (DPA) e o GDPR do Reino Unido, a Lei Federal de Proteção de Dados da Suíça, a Lei de Privacidade do Consumidor da Califórnia de 2018, (Código Civil da Califórnia §§ 1798.100 et seq,) e a Lei de Direitos de Privacidade da Califórnia de 2020, a Lei de Proteção de Dados do Consumidor da Virgínia (Va. Code Ann. tit. 59.1, Ch. 53 et seq.), a Lei de Privacidade do Colorado (Colo. Rev. Stat. Ann. §§ 6-1-1302 et seq.), a Lei de Privacidade do Consumidor de Utah (Utah Code Ann. §§ 13-61-101 et seq.), qualquer outra legislação de privacidade estadual dos Estados Unidos de escopo semelhante aos estatutos mencionados acima e quaisquer regulamentos de implementação adotados (todos os quais podem ser alterados de tempos em tempos.

1.1.3 "Dados pessoais da empresa" significa informações que são processadas pelo Sycomp, ou coletadas pelo Sycomp, em nome da Empresa, que identificam, relacionam-se, descrevem, podem ser associadas ou podem ser razoavelmente vinculadas, direta ou indiretamente, a uma determinada pessoa ou família identificada ou identificável.

1.1.4 "Titular dos dados" significa qualquer indivíduo ou família identificável incluído, ou previamente incluído, nos Dados Pessoais da Empresa.

1.1.5 "Violação de dados pessoais" significa a destruição, perda, alteração, divulgação ou acesso acidental, não autorizado ou ilegal aos Dados Pessoais da Empresa transmitidos, armazenados ou processados de outra forma. Caso qualquer outra definição de "violação", "violação de dados" ou "violação de dados pessoais" que apareça em qualquer Lei Aplicável seja mais ampla em escopo do que a definição fornecida aqui, a definição na referida Lei deverá prevalecer.

1.1.6 "Processo" significa qualquer operação ou conjunto de operações que são realizadas nos Dados Pessoais da Empresa.

1.1.7 "Processamento de registros" significa registros escritos completos, precisos e atualizados de todas as atividades de Processamento realizadas em nome da Empresa.

1.1.8 "Processador" significa qualquer entidade que realize o Processamento de Dados Pessoais da Empresa. Para os fins deste Contrato e do Adendo, a Sycomp e quaisquer subcontratados autorizados são Processadores.

1.1.9 "Regulador" refere-se a qualquer órgão governamental responsável pela aplicação das Leis Aplicáveis.

1.1.10 "Sell"/"Sale" (Venda) tem o significado que pode ser definido nas Leis Aplicáveis (por exemplo, a Lei de Privacidade do Consumidor da Califórnia de 2018). Por exemplo, e não a título de limitação, "Vender" pode significar vender, alugar, liberar, divulgar, disseminar, disponibilizar ou transferir as informações pessoais de um consumidor pela empresa para outra empresa ou para um terceiro em troca de dinheiro ou outra consideração valiosa.

1.1.11 "Compartilhar" tem o significado que pode ser definido nas Leis Aplicáveis (por exemplo, a Lei de Direitos de Privacidade da Califórnia de 2020). Por exemplo, e não a título de limitação, "Compartilhar" pode significar qualquer divulgação de Dados Pessoais da Empresa (alugar, liberar, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar oralmente, por escrito ou por meios eletrônicos ou outros) a um terceiro para publicidade comportamental entre contextos.

1.1.12 "Subprocessador" significa qualquer Processador (incluindo qualquer terceiro e qualquer Afiliada da Sycomp) indicado pela Sycomp para Processar Dados Pessoais da Empresa. Isso inclui (sem limitação) entidades que são definidas como Provedores de Serviços sujeitos à Lei de Privacidade do Consumidor da Califórnia de 2018.

1.2 Autorização para processar dados.

1.2.1 As partes não pretendem que a Sycomp processe os Dados Pessoais da Empresa no curso normal da execução do Contrato. No entanto, caso a Sycomp processe os Dados Pessoais da Empresa, a Sycomp o fará em conformidade com os termos deste Adendo.

1.2.2 A Sycomp não processará os Dados Pessoais da Empresa para qualquer outra finalidade que não as especificadas no Contrato, neste Adendo ou nas instruções documentadas da Empresa. Sycomp informará imediatamente a Empresa se, em sua opinião, qualquer instrução de processamento violar qualquer Lei Aplicável. Sycomp não acessará, reterá, usará ou divulgará os Dados Pessoais da Empresa para fins comerciais que não sejam os necessários para fornecer as Soluções e prestar os serviços previstos no Contrato.

1.2.3 Cronograma 1 O Anexo 1 a este Adendo estabelece determinadas informações relativas ao Processamento de Dados Pessoais da Empresa pelo Sycomp. A Empresa poderá fazer alterações razoáveis em Cronograma 1 mediante notificação por escrito ao Sycomp de tempos em tempos.

1.3 Conformidade com as leis aplicáveis. O Sycomp e a Empresa declaram e garantem que cumprirão as Leis Aplicáveis, incluindo todos os regulamentos que tenham sido ou venham a ser promulgados com relação a elas, e outras leis e regulamentos similares. A Empresa declara que possui todos os direitos necessários para fornecer Dados Pessoais da Empresa ao Sycomp em conexão com o fornecimento das Soluções.

1.4 Confidencialidade e segurança.

1.4.1 O Sycomp implementará e manterá medidas técnicas e organizacionais apropriadas em relação ao processamento de Dados Pessoais da Empresa pelo Sycomp em conformidade com as Leis Aplicáveis. Especificamente, Sycomp manterá, durante a vigência do Contrato, a conformidade com a norma ISO/IEC 27001:2013 e fornecerá um certificado que comprove o acima exposto mediante solicitação da Empresa. A Sycomp garantirá que seus agentes e representantes que processam os Dados Pessoais da Empresa em nome da Empresa assinaram contratos que exigem que eles mantenham os Dados Pessoais da Empresa confidenciais, e a Sycomp tomará todas as medidas razoáveis para garantir que os representantes da Sycomp que processam os Dados Pessoais da Empresa recebam treinamento adequado sobre o cumprimento deste Adendo e das leis pertinentes.

1.5 Direitos do titular dos dados.

1.5.1 A Sycomp ajudará a Empresa a responder a reclamações, comunicações ou solicitações de um Titular de Dados para exercer um direito sob as Leis Aplicáveis relacionadas aos Dados Pessoais da Empresa mantidos pela Sycomp ou seus Subprocessadores. Isso incluirá, no mínimo, que o Sycomp e seus Subprocessadores mantenham a capacidade de acessar, modificar, remover do processamento, ou irrevogavelmente excluir ou destruir, corrigir, transportar (ou seja, direito à portabilidade de dados), restringir ou limitar o uso de Informações Pessoais Sensíveis (conforme essa expressão possa ser definida nas Leis Aplicáveis), ou não Vender ou Compartilhar (conforme esses termos possam ser definidos nas Leis Aplicáveis) os dados de um Titular de Dados individual quando solicitado pela Empresa ("Solicitação do Titular de Dados").

1.5.2 Caso a Sycomp ou qualquer Subprocessador ou outro subcontratado realize diretamente qualquer coleta de dados dos Titulares dos Dados em conexão com as instruções da Empresa, a Sycomp deverá garantir que os Titulares dos Dados recebam a Política de Privacidade da Empresa no momento ou antes do momento em que qualquer informação for coletada sobre o Titular dos Dados.

1.5.3 O Sycomp notificará imediatamente a Empresa caso receba uma Solicitação do Titular dos Dados. Se exigido pelas Leis Aplicáveis, o Sycomp informará ao Titular dos Dados que o Sycomp é um Provedor de Serviços ou Processador (com base nas Leis Aplicáveis) e o Titular dos Dados deverá entrar em contato com a Empresa ou com o Parceiro de Revenda apropriado. Caso contrário, o Sycomp aguardará instruções da Empresa sobre se, e como, responder a tal solicitação. A Empresa fornecerá ao Sycomp informações de contato atualizadas para permitir que o Sycomp direcione as Solicitações do Titular dos Dados.

1.6 Violação de dados pessoais.

1.6.1 No caso de qualquer acesso ou aquisição, real ou suspeita, de Dados Pessoais da Empresa por um terceiro não autorizado, o Sycomp notificará a Empresa imediatamente sobre a possível Violação de Dados Pessoais sem atraso injustificado (mas em nenhum caso depois de 48 horas úteis após tomar conhecimento da possível Violação de Dados Pessoais) e fornecerá à Empresa, por escrito ou por e-mail, sem atraso injustificado (sempre que possível, dentro de 10 dias úteis após tomar conhecimento da possível Violação de Dados Pessoais), os detalhes que a Empresa razoavelmente exigir, reconhecendo que isso poderá ser complementado à medida que detalhes adicionais forem descobertos ao longo do tempo. Além disso, o Sycomp investigará e corrigirá a possível Violação de Dados Pessoais e, na medida em que uma Violação de Dados Pessoais resultar em uma obrigação legal para a Empresa ou o Sycomp de notificar as autoridades relevantes ou os Titulares de Dados afetados ou colocar em risco os Titulares de Dados afetados, o Sycomp fornecerá à Empresa garantias satisfatórias para a Empresa de que a Violação de Dados Pessoais não ocorrerá novamente. Sycomp garante que, se houver uma Violação de Dados Pessoais da Empresa, todas as medidas de resposta serão documentadas e uma revisão pós-incidente será feita tanto dos eventos quanto das ações corretivas tomadas, se houver, para evitar uma recorrência. O Sycomp concorda em cooperar plenamente com a Empresa no tratamento do assunto pela Empresa, incluindo, sem limitação, qualquer investigação, relatório ou outras obrigações exigidas pela lei ou regulamento aplicável, incluindo a resposta a inquéritos ou investigações regulatórias, ou conforme exigido pela Empresa, e trabalhará com a Empresa para responder e mitigar quaisquer danos causados pela Violação de Dados Pessoais. O Sycomp não notificará nenhum terceiro sobre a Violação de Dados Pessoais sem a autorização prévia e por escrito da Empresa.

1.6.2 O Sycomp deverá, e exigirá que qualquer Subprocessador, coopere com a Empresa e com cada Afiliada da Empresa e tome as medidas comerciais razoáveis para auxiliar na investigação, mitigação e remediação de qualquer Violação de Dados Pessoais.

1.7 Exclusão ou devolução de dados pessoais da empresa. Sycomp deverá, sem demora, excluir com segurança ou devolver quaisquer Dados Pessoais da Empresa à Empresa em cópia impressa ou em formato eletrônico, mediante solicitação por escrito da Empresa. Assim que for razoavelmente possível após a conclusão dos serviços previstos no Contrato, Sycomp excluirá com segurança todas as cópias existentes dos Dados Pessoais da Empresa, em formato eletrônico e impresso, a menos que o armazenamento de quaisquer dados seja exigido pelas Leis Aplicáveis ou outras leis relevantes. No caso de os Dados Pessoais da Empresa serem armazenados em mídia de backup, a exclusão dos Dados Pessoais da Empresa somente será necessária quando a mídia de backup for usada para restaurar os sistemas do Sycomp.

1.8 Avaliação do impacto da privacidade de dados e consulta prévia. O Sycomp fornecerá assistência razoável à Empresa com quaisquer avaliações de impacto de proteção de dados que sejam exigidas pela Lei Aplicável em relação ao Processamento de Dados Pessoais da Empresa pelo Sycomp.

1.9 Indenização. A Sycomp concorda em reembolsar e indenizar a Empresa por todos os custos incorridos na resposta e/ou mitigação de danos causados por uma violação deste Adendo, incluindo violações de segurança envolvendo Dados Pessoais da Empresa mantidos pela Sycomp ou seus Subprocessadores ou qualquer violação material pela Sycomp de suas obrigações de proteção de dados e privacidade nos termos deste Adendo.

1.10 Desempenho por conta exclusiva do Sycomp. A conformidade do Sycomp com este Adendo e quaisquer ações exigidas do Sycomp para cumprir com as Leis Aplicáveis em relação ao Contrato serão de responsabilidade única e exclusiva do Sycomp e não resultarão em taxas adicionais para as Soluções (exceto conforme já estabelecido no Contrato). Quaisquer ações exigidas da Empresa para cumprir com as Leis Aplicáveis em relação ao Contrato correrão por conta única e exclusiva da Empresa (exceto conforme já estabelecido no Contrato).

1.11 Alterações a este Adendo. O Sycomp poderá atualizar os termos deste Adendo de tempos em tempos; desde que, no entanto, o Sycomp não enfraqueça materialmente as proteções neste Adendo, a menos que forneça pelo menos 30 dias de aviso prévio por escrito à Empresa e a oportunidade de cancelar o Contrato dentro de 7 dias do recebimento de tal aviso, caso a Empresa não concorde com as alterações materiais.

1.12 Alterações nas Leis Aplicáveis. Caso quaisquer Leis Aplicáveis sofram alterações materiais em qualquer aspecto que comprometam a adequação deste Adendo em conformidade com quaisquer Leis Aplicáveis novas ou alteradas ("Novas leis"), a Empresa poderá propor alterações a este Adendo que considere razoavelmente necessárias para atender às exigências de quaisquer Novas Leis ("Alterações propostas"). Tanto a Sycomp quanto a Empresa negociarão quaisquer Emendas Propostas de boa-fé, com o consentimento por escrito da Sycomp, que não deverá ser negado sem motivo.

1.13 Termos gerais. Qualquer obrigação imposta à Sycomp nos termos deste Adendo em relação ao Processamento de Dados Pessoais sobreviverá a qualquer rescisão ou expiração deste Adendo enquanto os Dados Pessoais forem Processados. Caso qualquer disposição deste Adendo seja inválida ou inexequível, o restante deste Adendo permanecerá válido e em vigor. A cláusula inválida ou inexequível deverá ser: (a) alterada conforme necessário para garantir sua validade e exequibilidade, preservando a intenção da cláusula o mais próximo possível ou, se isso não for possível, (b) interpretada de maneira como se a parte inválida ou inexequível nunca tivesse sido incluída. A Empresa e o Sycomp reconhecem e concordam expressamente que este Adendo inclui disposições abordadas em outras partes do Contrato. A Empresa e o Sycomp concordam que os termos e condições aqui estabelecidos deverão ser adicionados como um Adendo ao Contrato. Este Adendo e as demais partes do Contrato deverão ser lidos em conjunto e interpretados, na medida do possível, em consonância um com o outro. Com relação a qualquer conflito entre o Contrato e este Adendo, prevalecerão as disposições que oferecerem maior proteção aos Dados Pessoais da Empresa; desde que, no entanto, em nenhuma hipótese este Adendo seja considerado como eliminando, limitando ou de outra forma diminuindo as obrigações ou compromissos do Sycomp com a Empresa sob partes do Contrato.

2. Termos internacionais. Caso a Empresa notifique o Sycomp de que as informações pessoais de residentes do Espaço Econômico Europeu, da Suíça, do Reino Unido, do Brasil ou de outra jurisdição aplicável fora dos Estados Unidos poderão ser processadas nos termos do Contrato, as disposições desta Seção 2 se aplicarão a todas as partes e ao Processamento de Dados Pessoais da Empresa em conexão com o fornecimento das Soluções.

2.1 Subprocessamento.

2.1.1 A Empresa autoriza a Sycomp a contratar Subprocessadores da lista apresentada no Anexo 1, Seção C. abaixo. Sycomp informará a Empresa sobre qualquer adição de um Subprocessador a essa lista, por escrito. Ao receber essa notificação, a Empresa terá 30 dias para se opor, por motivos razoáveis, à inclusão de um Subprocessador, quando exigido pela lei aplicável. Caso o Sycomp opte por contratar um Subprocessador, apesar da objeção razoável da Empresa, a Empresa terá o direito de rescindir o Contrato de acordo com a cláusula de Rescisão nele contida.

2.1.2 Com relação a cada Subprocessador, a Sycomp deverá

2.1.2.1 realizar a devida diligência em cada Subprocessador para garantir que ele seja capaz de fornecer o nível de proteção para os Dados Pessoais da Empresa conforme exigido por este Adendo e fornecer evidências dessa devida diligência se solicitado por um órgão regulador;

2.1.2.2 celebrar um contrato escrito vinculante e incluir termos no contrato entre a Sycomp e cada Subprocessador que sejam materialmente semelhantes aos termos estabelecidos neste Adendo;

2.1.2.3 garantir que os subprocessadores aprovados tenham concordado em usar as informações somente para fins comerciais da Empresa e em conformidade com todas as Leis, regras e regulamentos aplicáveis e instruções da Empresa; e

2.1.2.4 permanecer totalmente responsável perante a Empresa pelas ações dos Subprocessadores em relação aos Dados Pessoais da Empresa.

2.2 Transferências internacionais de dados.

2.2.1 Sycomp deverá ter o consentimento prévio por escrito ou instruções da Empresa para transferir internacionalmente quaisquer Dados Pessoais da Empresa ou, no caso de Dados Pessoais da Empresa recebidos da Empresa dentro do Espaço Econômico Europeu ("EEE"), Suíça ou Reino Unido ("RU"), para transferir tais dados para fora do EEE ou para qualquer organização internacional (uma "Transferência Internacional"). Se a Empresa consentir com tal transferência internacional, o Sycomp deverá garantir que tal transferência (e qualquer transferência posterior): (i) esteja de acordo com um contrato por escrito que inclua disposições adequadas relativas à segurança e confidencialidade de quaisquer Dados Pessoais da Empresa; (ii) seja feita de acordo com um mecanismo legalmente aplicável para tais transferências de dados transfronteiriços de Dados Pessoais da Empresa de acordo com as leis relevantes (cuja forma e conteúdo estarão sujeitos à aprovação por escrito da Empresa); (iii) seja feita em conformidade com este Adendo; e (iv) esteja em conformidade com as leis de privacidade relevantes. A menos que as partes possam se valer de um mecanismo de transferência alternativo baseado em um mecanismo de adequação aprovado pelo EEE, pela Suíça e pelo Reino Unido ("Mecanismo de adequação", por exemplo, um mecanismo de transferência baseado na Ordem Executiva 14086, que deve facilitar a Estrutura de privacidade de dados UE-EUA entre os Estados Unidos e a União Europeia), as partes deverão executar e anexar a este Adendo, conforme necessário, Cláusulas contratuais padrão ("SCCs") aprovadas ou outras disposições contratuais legalmente aceitáveis para facilitar as transferências de Dados pessoais da Empresa.

2.2.2 Território.

2.2.2.1 Espaço Econômico Europeu. Com relação à facilitação de transferências internacionais de Dados Pessoais da Empresa de residentes do EEE, considera-se que as partes executaram as CECs do EEE que estão incorporadas a este Adendo no Anexo 2.

2.2.2.2 Área Econômica Europeia e Reino Unido. Com relação à facilitação de transferências internacionais de Dados Pessoais da Empresa de residentes do EEE e residentes do Reino Unido, considera-se que as partes executaram as Cláusulas Contratuais Contratuais do EEE e o Adendo de Transferência Internacional de Dados do Reino Unido, que estão incorporados a este Adendo no Anexo 2 e no Anexo 3.

2.2.2.3 Somente no Reino Unido. Com relação à facilitação de transferências internacionais de Dados Pessoais da Empresa de residentes do Reino Unido ("Reino Unido") e nenhum Dado Pessoal da Empresa de residentes do EEE, considera-se que as partes assinaram o Contrato de Transferência Internacional de Dados do Reino Unido, que está incorporado a este Adendo no Anexo 4.

2.2.2.4 Brasil. Com relação à facilitação de transferências internacionais de Dados Pessoais da Empresa de residentes no Brasil, considera-se que as partes executaram e anexaram a este Contrato as SCCs do Brasil, se e quando disponíveis.

2.2.2.5 Em caso de conflito, esses anexos com as SCCs, o Acordo/Adendo Internacional de Transferência de Dados do Reino Unido ou outras disposições específicas terão precedência, quando aplicável, sobre os termos deste Adendo.

2.2.2.6 Para fins de quaisquer transferências de dados pessoais também sujeitas à Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 ("FADP"): (i) o termo "estado-membro" não deve ser interpretado de forma a excluir os titulares de dados na Suíça da possibilidade de mover ações judiciais para fazer valer seus direitos em seu local de residência habitual, de acordo com a Cláusula 18(c) e (ii) as cláusulas também protegem os dados de pessoas jurídicas até a entrada em vigor da FADP revisada.

2.2.2.7 Caso as partes possam contar com um Mecanismo de Adequação para facilitar uma Transferência Internacional, as partes concordam que o mecanismo de transferência apropriado deverá ser esse Mecanismo de Adequação e não as Cláusulas Contratuais Padrão ou o Acordo/Adendo de Transferência Internacional de Dados do Reino Unido.

2.3 Registros relevantes e direitos de auditoria.

2.3.1 O Sycomp manterá os Registros de Processamento e disponibilizará à Empresa, mediante solicitação e em tempo hábil, tais informações (incluindo os Registros de Processamento), conforme razoavelmente exigido pela Empresa para demonstrar a conformidade do Sycomp com suas obrigações sob as Leis Aplicáveis e este Adendo, que a Empresa poderá divulgar às autoridades reguladoras. Os Registros de Processamento deverão conter, no mínimo, uma descrição de todos os Dados Pessoais da Empresa processados pelo Sycomp em nome da Empresa, o tipo de Processamento, as finalidades do Processamento, um registro de consentimento (se houver) e quaisquer outras informações razoavelmente exigidas pela Empresa.

2.3.2 O Sycomp fornecerá assistência, informações e cooperação adicionais razoáveis à Empresa, às custas da Empresa, para cumprir com as obrigações da Empresa sob as Leis Aplicáveis com relação a: (i) segurança de dados; (ii) notificação de violação de dados; (iii) resposta a solicitações relacionadas aos dados pessoais da Empresa e/ou às práticas de privacidade ou segurança de dados da Empresa por parte de reguladores ou indivíduos; e (iv) realização de avaliações de impacto de privacidade de dados. O Sycomp implementará e manterá medidas técnicas e organizacionais apropriadas para auxiliar a Empresa no cumprimento de suas obrigações de responder às solicitações dos Titulares dos Dados relacionadas aos Dados Pessoais da Empresa. Isso inclui garantir que todas as solicitações relacionadas aos Dados Pessoais da Empresa sejam registradas e encaminhadas à Empresa dentro de três (3) dias do recebimento da solicitação. O Sycomp deverá cooperar com a Empresa nos esforços da Empresa para monitorar a conformidade do Sycomp.

3. Termos dos Estados Unidos. Caso a Empresa notifique o Sycomp de que as informações pessoais de residentes dos Estados Unidos poderão ser processadas nos termos do Contrato, as disposições desta Seção 3 se aplicarão a todas as partes e ao Processamento de Dados Pessoais da Empresa em conexão com o fornecimento das Soluções.

3.1 Relacionamento das Partes. Na medida em que o Sycomp processa os Dados Pessoais da Empresa sujeitos às Leis de Proteção de Dados, o Sycomp é um "Provedor de Serviços", conforme definido pela Lei de Privacidade do Consumidor da Califórnia de 2018 e pela Lei de Direitos de Privacidade da Califórnia de 2020, um "Processador", conforme definido pela Lei de Proteção de Dados do Consumidor da Virgínia e pela Lei de Privacidade do Colorado, e qualquer outro termo semelhante em significado, conforme esses termos são entendidos de acordo com as Leis Aplicáveis.

3.2 Finalidade do processamento dos dados pessoais da empresa. Quaisquer Dados Pessoais da Empresa que o Sycomp receba, acesse, transfira ou colete em conexão com as Soluções são feitos exclusivamente com a finalidade de o Sycomp fornecer as Soluções, conforme descrito em maiores detalhes no Anexo 5 abaixo, e não constituirão uma Venda de tais dados e não serão, de outra forma, para qualquer consideração monetária ou outra. Além disso, nenhum Dado Pessoal da Empresa será compartilhado para fins de publicidade direcionada ou entre contextos.

3.3 Sycomp Tratamento de dados pessoais da empresa. No decorrer do fornecimento das Soluções à Empresa e em relação às Informações de Usuário da Empresa que recebe, acessa, transfere ou coleta em conexão com as Soluções, a Sycomp

3.3.1 não tomar nenhuma medida que possa fazer com que a Empresa não cumpra as Leis Aplicáveis ou outras leis de privacidade;

3.3.2 não coletar quaisquer Dados Pessoais da Empresa adicionais de qualquer Titular de Dados, exceto quando estritamente necessário para fornecer as Soluções à Empresa;

3.3.3 tratar todos os Dados Pessoais da Empresa como "Informações Confidenciais" de acordo com as disposições de confidencialidade do Contrato;

3.3.4 não tentar identificar ou reidentificar qualquer Titular de Dados e não associar nenhuma informação pessoal a qualquer Titular de Dados ou à atividade on-line de qualquer Titular de Dados, exceto quando estritamente necessário para fornecer as Soluções à Empresa;

3.3.5 não misturar os Dados Pessoais da Empresa com os dados de terceiros, exceto quando estritamente necessário para fornecer as Soluções à Empresa;

3.3.6 não vender, compartilhar ou licenciar a terceiros, em nenhuma circunstância, ou usar em benefício de terceiros, quaisquer Dados Pessoais da Empresa; e

3.3.7 notificar a Empresa imediatamente caso determine que não poderá mais cumprir suas obrigações de acordo com as Leis Aplicáveis.

3.4 Subcontratados. Caso a Sycomp contrate quaisquer subcontratados que processarão os Dados Pessoais da Empresa, a Sycomp incluirá termos no contrato entre a Sycomp e cada subcontratado que sejam materialmente similares aos termos estabelecidos neste Adendo.

3.5 Registros relevantes e direitos de auditoria. Quando exigido pelas Leis Aplicáveis, e mediante solicitação da Empresa, o Sycomp disponibilizará à Empresa os Dados Pessoais razoavelmente necessários para demonstrar a conformidade com este Adendo e/ou com as Leis Aplicáveis.

3.6 Certificação. O Sycomp certifica que entende e cumprirá as restrições sobre o uso dos Dados Pessoais da Empresa em relação ao fornecimento das Soluções.

Este Adendo é celebrado e se torna uma parte vinculante de cada Contrato com a Empresa, com efeito a partir da Data de Vigência do Adendo definida acima.

ESQUEMA 1: PROCESSAMENTO DE DADOS

A. Detalhes do processamento dos dados da empresa

1. Categorias de titulares de dados cujos dados pessoais são transferidos

Funcionários e subcontratados da empresa

2. Categorias de dados pessoais transferidos

Informações de contato, incluindo nome, endereço comercial e/ou residencial, e-mail comercial e número de telefone.

3. Dados confidenciais transferidos e restrições e proteções aplicáveis

Nenhum dado pessoal sensível deve ser transferido pela Empresa

4. Frequência de transferência

Contínuo durante o fornecimento de soluções

5. Natureza do processamento

Os Dados Pessoais da Empresa serão processados da maneira estabelecida no Contrato e conforme possa ser modificado pelas partes em uma Declaração de Trabalho ou outro documento escrito. Em particular, os Dados Pessoais da Empresa serão usados e divulgados para as seguintes finalidades:

Contato e comunicações referentes à venda e fornecimento de soluções para a Empresa, incluindo o fornecimento de hardware e software para funcionários remotos

6. Finalidade(s) da transferência e do processamento posterior

Os Dados Pessoais da Empresa deverão ser processados para as finalidades estabelecidas no Contrato e conforme possa ser modificado pelas partes em uma Declaração de Trabalho ou outro documento escrito.

Venda e fornecimento de soluções para a empresa, incluindo o fornecimento de hardware e software para funcionários remotos

7. Período pelo qual os dados pessoais serão mantidos

Durante a venda, a entrega e o suporte das Soluções e conforme legalmente permitido para comprovar o histórico das mesmas

B. Medidas técnicas e organizacionais

O programa de segurança ISMS da Sycomp inclui políticas comercialmente razoáveis e tecnicamente apropriadas para proteger as informações da empresa e de terceiros contra acesso não autorizado, aquisição, uso ou uso indevido, divulgação, destruição e modificação. As informações são protegidas de acordo com sua sensibilidade e risco de perda. Embora nem todas as medidas sejam aplicáveis a todas as classes de informações, o programa de segurança inclui as seguintes políticas e práticas básicas:

Este documento de Política de Segurança da Informação fornece às partes interessadas externas uma visão geral das políticas, práticas e procedimentos do Sistema de Gerenciamento de Segurança da Informação (ISMS) da Sycomp. A segurança é fundamental para o sucesso de qualquer organização e a Sycomp colabora continuamente com seus parceiros e clientes para otimizar e melhorar a integridade de suas operações.

Medidas técnicas e organizacionais mínimas
O programa de segurança ISMS da Sycomp inclui políticas comercialmente razoáveis e tecnicamente apropriadas para proteger as informações da empresa e de terceiros contra acesso não autorizado, aquisição, uso ou uso indevido, divulgação, destruição e modificação. As informações são protegidas de acordo com sua sensibilidade e risco de perda. Embora nem todas as medidas sejam aplicáveis a todas as classes de informações, o programa de segurança inclui as seguintes políticas e práticas básicas:

Uso aceitável
As políticas de Uso Aceitável estabelecem os requisitos mínimos aceitáveis para o uso de dados, ativos e recursos dentro do escopo de registro do ISMS por todo o pessoal autorizado para tal uso, inclusive:

- Treinamento anual de conscientização sobre segurança para funcionários e revisões da política de ISMS
- Controles de monitoramento do sistema
- Manuseio e proteção apropriados de recursos dentro e fora do local

Controle de acesso
As políticas de controle de acesso incluem medidas apropriadas para evitar o acesso não autorizado a sistemas em que "informações" são processadas ou armazenadas, incluindo:

- Processo formal de controle de acesso para aprovação, criação e encerramento de contas de usuários
- Gerenciamento de senhas e autenticação multifatorial
- Áreas seguras estabelecidas com controles físicos e monitoramento contínuo
- Proteção e restrição de acesso e autorizações de acesso para funcionários e terceiros aprovados
- Revisão anual das contas de usuários e de acesso privilegiado

Dispositivos do usuário final
As políticas de segurança de desktops e dispositivos móveis estabelecem uma estrutura para o gerenciamento dos dispositivos de computação do usuário final. As políticas são aplicadas a todas as estações de trabalho e a dispositivos móveis, como laptops, tablets e smartphones, inclusive:

- Processo formal de aprovação e registro de hardware e software
- Padrões de configuração consistentes e documentados
- Implementação de mecanismos de proteção contra software malicioso e filtragem de e-mail em tempo real
- Uso de tecnologias de criptografia padrão do setor, inclusive para dados em repouso e dados em trânsito
- Bloqueio temporário automático de dispositivos de usuário se deixados ociosos, com identificação e senha necessárias para reabrir
- Bloqueio temporário automático da ID do usuário quando várias senhas erradas são inseridas, arquivo de registro de eventos e monitoramento de tentativas de invasão

Recursos Humanos
As Políticas de Recursos Humanos asseguram que os funcionários e terceiros subcontratados compreendam suas responsabilidades e sejam adequados para as funções para as quais são considerados, inclusive:

- Os processos de integração incluem contratos de trabalho, de subcontratação e de não divulgação, triagem de antecedentes e verificações criminais, quando aplicável
- Processo disciplinar para violação ou quebra de segurança da informação
- O processo de desligamento inclui o encerramento dos privilégios de acesso e a devolução dos ativos

Segurança de redes e sistemas
As políticas de rede e segurança garantem a operação e a proteção seguras de redes e sistemas por meio da aplicação:

- Processo formal de aprovação e registro de hardware e software
- Autorização baseada em função, acesso seguro por meio de autenticação multifatorial
- Bloqueio de portas e proteção por senha
- Restrições e controles de acesso remoto
- Monitoramento e registro para detecção de ameaças e anomalias
- Segregação de funções para o gerenciamento de mudanças
- Adesão a padrões aceitáveis de criptografia

Gerenciamento de riscos, incidentes e vulnerabilidades
As políticas de Gerenciamento de Riscos, Incidentes e Vulnerabilidades estabelecem o fluxo de trabalho, as tarefas, as responsabilidades e as funções para relatar, responder e gerenciar riscos de segurança da informação, incidentes e vulnerabilidades conhecidas ou descobertas:

- Avaliação anual de riscos para identificar as ameaças aos ativos do SGSI, as vulnerabilidades que podem ser exploradas por essas ameaças, a atribuição de um proprietário de riscos e o estabelecimento de opções de tratamento de riscos, se necessário

- Varredura anual de vulnerabilidade e resolução oportuna de vulnerabilidades críticas e altas
- Processo formal para relatar, registrar e resolver incidentes de segurança, incluindo lições aprendidas
- Processo de comunicação com partes externas, conforme necessário

Continuidade e disponibilidade
O Sycomp implementou e manterá medidas razoáveis e apropriadas para garantir que os sistemas e dados críticos sejam protegidos contra destruição ou perda acidental, inclusive:

- Redundância de infraestrutura
- Manutenção de procedimentos de continuidade e recuperação de negócios, incluindo processos de replicação de dados e backup em fita
- Descarte de registros contendo informações pessoais de acordo com as políticas de privacidade e quando não houver mais base legal para o processamento

Política de privacidade
A Política de Privacidade do Sycomp descreve nossas práticas com relação às informações de usuário que coletamos, usamos e compartilhamos. Esta Política de Privacidade aplica-se às informações que coletamos quando o usuário interage conosco, inclusive por meio de nossos sites, comunicações por e-mail, produtos ou outros recursos ou serviços (os "Serviços"), a menos que especificamente acordado de outra forma em um contrato ou outro documento escrito entre nós e o usuário ou a empresa para a qual trabalha e em nome da qual interage conosco. Para obter mais detalhes, visite https://sycomp.com/privacy-policy/

C. Subprocessadores autorizados

SYCOMP A TECHNOLOGY COMPANY INC

LISTA DE SUBPROCESSADORES

A. Contatos de funcionários terceirizados Subprocessadores
Nome do subprocessador	Contato e endereço	Descrição do processamento
Sales Force dot Com, Inc.	Torre Salesforce
415 Mission Street, 3rd Floor São Francisco, CA 94105 EUA	Registros de contas de parceiros comerciais
ABSYZ, Inc.	6th Floor, Shanta Sriram Techpark, DLF Cyber City, Gachibowli, Telangana 500032, Índia	Administração do SFDC
Microsoft Corporation	700 Bellevue Way NE - 22º andar
Bellevue, WA, 98004 EUA	MS 365 - e-mail, sharepoint e outros aplicativos de negócios

B. Subprocessadores do provedor Managed Services (MSP)
País	Serviços de correio	Luva Branca
ANZ	DHL
	Auspost
Japão	Sagawa	EDCOM
Taiwan	ZerOne
Cingapura	TCK (remessas locais)
	Adcom (Internacional)
	DHL (caixas menores)
	Mamgistics PTE Ltd (raramente)
Tailândia	DHL
Índia	Bluedart	NA
	IJetz
	JS Cargo (remessas locais dentro de Bangalore)
	DTDC
EMEA	DHL (toda a UE e Reino Unido)	ACS França
	DPD (REINO UNIDO)	CCS Alemanha
	UPS (Bélgica)	Rhenus
	Tiger AG (CH)	ASL Cargo
	Emerald Freight Express (CZ)	Fast Forward Freight
	Bollore Logistics (CZ)	Frete Esmeralda
	Optys (CZ)	Dore to Door
	BDA Logistics (Holanda)	Logística Michael Lynch
	Emerald Freight (IR)
Israel	Motoristas da ONE (S1)	NA
	Táxi (entrega em mãos)
	UPS
	Grafite virtual
EUA	FedEx
	Adcom (Raramente)
EMIRADOS ÁRABES UNIDOS	DXB
Canadá	FedEx
	Purolator
	UPS
África do Sul	The Courier Guy Worldwide Express.

CRONOGRAMA 2: CLÁUSULAS CONTRATUAIS PADRÃO DA UE

As Cláusulas Contratuais Padrão do EEE são preenchidas da seguinte forma:
1. No caso de a Empresa ser um Controlador, o Módulo 2 (Controlador para Processador) será aplicado.
2. No caso de a Empresa ser um Processador, o Módulo 3 (Processador para Processador) será aplicado.
3. Na Cláusula 7, o encaixe opcional será aplicado.
4. Na Cláusula 9, a opção 2 será aplicada, e o período de tempo para notificação prévia dos subprocessadores é de 30 dias.
5. Na Cláusula 11(a), a cláusula opcional não se aplicará
6. Na Cláusula 13, a Opção 1 será aplicada se a Empresa tiver um estabelecimento na União Europeia; a Opção 2 será aplicada se a Empresa não estiver estabelecida na União Europeia e tiver um representante nomeado; e a Opção 3 será aplicada se a Empresa não tiver um estabelecimento nem um representante na União Europeia.
7. Na Cláusula 17 (Opção 2), a lei da República da Irlanda será aplicada.
8. Na Cláusula 18(b), as disputas serão resolvidas nos tribunais da República da Irlanda.
As Cláusulas Contratuais Padrão do EEE, Anexo I, Parte A, são preenchidas da seguinte forma:
1. Exportador de dados: Empresa
2. Detalhes de contato: Endereço da empresa, contato da empresa e endereço de e-mail, conforme estabelecido em cada componente do(s) Contrato(s)
3. Função de exportador de dados: Controlador
4. Assinatura e data: Assinatura registrada na data do(s) Contrato(s) relevante(s)
5. Atividades relevantes para os dados transferidos de acordo com as Cláusulas Contratuais Padrão: Prestar os serviços descritos no Contrato.
6. Importador de dados: Sycomp, Inc.
7. Detalhes de contato: 950 Tower Lane, Suite 1785, Foster City, CA 94404, [email protected]
8. Função de importador de dados: Processador
9. Assinatura e data: Assinatura registrada na data do(s) Contrato(s) relevante(s)
10. Atividades relevantes para os dados transferidos de acordo com as Cláusulas Contratuais Padrão: Prestar os serviços descritos no Contrato.
As Cláusulas Contratuais Padrão do EEE, Anexo I, Parte B, são preenchidas da seguinte forma:
1. Categorias de titulares de dados cujos dados pessoais são transferidos: Conforme estabelecido no Anexo 1.
2. Categorias de dados pessoais transferidos: Conforme estabelecido no Anexo 1.
3. Dados confidenciais transferidos: Conforme estabelecido no Anexo 1. As salvaguardas estão listadas de acordo com o Anexo II.
4. A frequência da transferência: Os dados são transferidos de forma contínua.
5. Natureza do processamento: A natureza do processamento é a estabelecida no Anexo 1.
6. Finalidade(s) da transferência de dados e processamento posterior: A finalidade da transferência e do processamento de dados é a estabelecida no Anexo 1.
7. O período pelo qual os dados pessoais serão retidos ou, se isso não for possível, os critérios usados para determinar esse período: A duração do processamento é a estabelecida no Anexo 1.
8. Para transferências para (sub) processadores, especifique também o assunto, a natureza e a duração do processamento: O objeto, a natureza e a duração do Processamento realizado pelos Subprocessadores serão os mesmos estabelecidos neste Anexo 1.B com relação ao Sycomp.
As Cláusulas Contratuais Padrão do EEE, Anexo I, Parte C, são preenchidas da seguinte forma: A autoridade supervisora competente é a República da Irlanda
As Cláusulas Contratuais Padrão do EEE, Anexo II. As Medidas Técnicas e Organizacionais estão descritas no Anexo 1, Seção B.

CRONOGRAMA 3: ADENDO DE TRANSFERÊNCIA INTERNACIONAL DE DADOS DO REINO UNIDO

O UK Addendum é preenchido da seguinte forma:
1. Parte 1
  1. Tabela 1: A Data de Início é a data efetiva do Contrato. As Partes, conforme detalhado na Seção 2 do Anexo 2
  2. Tabela 2: SCCs, módulos e cláusulas selecionadas: conforme detalhado na Seção 1 do Anexo 2
  3. Tabela 3: Informações do Apêndice: significa as informações que devem ser fornecidas para os módulos selecionados, conforme estabelecido no Apêndice das SCCs (que não sejam as Partes), e que estão estabelecidas nas Seções 2, 3 e 5 do Anexo 2.
  4. Tabela 4: O importador pode rescindir o UK Addendum conforme estabelecido na Seção 19 do UK Addendum.
2. Parte 2
  1. Parte 2: Cláusulas Obrigatórias do Adendo Aprovado, sendo o modelo de Adendo B.1.0 emitido pela OIC e apresentado ao Parlamento de acordo com a s119A da Lei de Proteção de Dados de 2018 em 28 de janeiro de 2022, conforme revisado de acordo com a Seção 18 dessas Cláusulas Obrigatórias.

ESQUEMA 4: ACORDO DE TRANSFERÊNCIA INTERNACIONAL DE DADOS DO REINO UNIDO

O UK Addendum é preenchido da seguinte forma:
1. Tabela 1
  1. Data de início: Data de vigência do Contrato.
  2. Detalhes das partes: <>
  3. Tabela 2: SCCs, módulos e cláusulas selecionadas: conforme detalhado na Seção 1 deste Apêndice 2
2. Tabela 2
  1. Lei aplicável: Inglaterra e País de Gales
  2. Local principal para reivindicações legais: Inglaterra e País de Gales
  3. Status do exportador: Controlador
  4. Status do importador: Processador ou subprocessador do exportador
  5. Se o GDPR do Reino Unido se aplica: O GDPR do Reino Unido se aplica
  6. Contrato vinculado: O Adendo contém as instruções do Exportador para o Importador
  7. Prazo: O período pelo qual o Contrato Vinculado (o Adendo) está em vigor
  8. Rescisão do IDTA antes do final do Prazo: O Importador poderá rescindir o UK Addendum conforme estabelecido na Seção 29 do UK IDTA
  9. As Partes poderão rescindir o IDTA antes do término do Prazo: Exportador e Importador
  10. O Importador pode fazer outras transferências: O Importador PODE transferir os Dados Transferidos para outra organização ou pessoa (que seja uma pessoa jurídica diferente) de acordo com a Seção 16.1 (Transferência dos Dados Transferidos).
  11. Requisitos Específicos para Transferências Adicionais: para os receptores autorizados (ou para as categorias de receptores autorizados) definidos na: Seção 2.1 do Adendo
  12. Datas de revisão: As partes revisarão os requisitos de segurança com frequência não superior a um ano, mediante solicitação do exportador
3. Tabela 3
  1. Dados transferidos: As categorias de Dados Transferidos serão atualizadas automaticamente se as informações forem atualizadas no Contrato Vinculado (o Adendo) mencionado.
  2. Dados de categorias especiais: Nenhuma das opções acima. As categorias de dados de categoria especial e de registros criminais serão atualizadas automaticamente se as informações forem atualizadas no Contrato vinculado (o Adendo) mencionado.
  3. Titulares de dados relevantes: As categorias de Titulares de Dados serão atualizadas automaticamente se as informações forem atualizadas no Contrato Vinculado (o Adendo) mencionado.
  4. Finalidade: o Importador poderá Processar os Dados Transferidos para as finalidades estabelecidas: no Adendo, no Contrato ou em uma Declaração de Trabalho sujeita ao Contrato e ao Adendo. As finalidades serão atualizadas automaticamente se as informações forem atualizadas no Contrato vinculado (o Adendo) mencionado.
4. Tabela 4
  1. Requisitos de segurança: Os requisitos de segurança estão descritos no Anexo 1, Seção B.
  2. Atualizações dos Requisitos de Segurança: Os Requisitos de Segurança serão atualizados automaticamente se as informações forem atualizadas no Contrato Vinculado (o Adendo) mencionado.
5. Parte 2
  1. Cláusulas de proteção adicional: Não há cláusulas de proteção adicional
6. Parte 3
  1. Cláusulas comerciais: Não há cláusulas comerciais além dos termos do Contrato e do Adendo.

ESQUEMA 5: FINS COMERCIAIS

O Sycomp poderá processar os Dados Pessoais da Empresa em nome da Empresa para as seguintes finalidades comerciais (marque todas as opções aplicáveis):

Fornecimento de soluções em nome da Empresa, incluindo manutenção ou atendimento de contas, fornecimento de serviço ao cliente, processamento ou atendimento de pedidos e transações, verificação de informações do cliente, processamento de pagamentos, fornecimento de financiamento, fornecimento de serviços analíticos, fornecimento de armazenamento ou fornecimento de serviços semelhantes em nome da Empresa.

Ajudar a garantir a segurança e a integridade na medida em que o uso dos Dados Pessoais da Empresa seja razoavelmente necessário e proporcional para tal finalidade.

Depuração para identificar e reparar erros que prejudicam a funcionalidade pretendida existente das soluções.

Realização de pesquisas internas para desenvolvimento e demonstração tecnológica.