Adendo de processamento de dados

Última modificação: 2 de novembro de 2020

A Jibe e a contraparte que concorda com este adendo ("Empresa") celebraram um contrato de prestação de Serviços de Processador (com alterações periódicas, o "Contrato").

Este adendo de processamento de dados (incluindo os apêndices, "Adicionais de processamento de dados") é firmado pela Jibe e pela Empresa e complementa o Contrato. Este Adendo de Processamento de Dados vai entrar em vigor e substituir quaisquer termos anteriormente aplicáveis relacionados ao objeto em questão (incluindo os termos de segurança e de processamento de dados relacionados aos Serviços de Processador) a partir do Início da Vigência dos Termos.

Se você estiver aceitando este Adendo de Processamento de Dados em nome da Empresa, você garante que: (a) tem total autoridade legal para sujeitar a Empresa a este Adendo de Processamento de Dados; (b) leu e entendeu este Adendo de Processamento de Dados; e (c) concorda, em nome da Empresa, com este Adendo de Processamento de Dados. Se você não tiver autoridade legal para vincular a Empresa, não aceite este Addendum de Processamento de Dados.

1. Introdução

Este adendo de Processamento de Dados reflete o acordo das partes sobre os termos que regem o processamento e a segurança dos Dados Pessoais da Empresa em relação à Legislação de Proteção de Dados Europeia e a certas Legislações de Proteção de Dados não europeias.

2. Definições e Interpretação

2.1 Neste adendo sobre processamento de dados:

Produto Adicional: produto, serviço ou aplicativo fornecido pela Jibe ou por terceiros que (a) não faz parte dos Serviços de Processador; e (b) está acessível para uso na interface do usuário dos Serviços de Processador ou está integrado a eles.

"Termos Adicionais para Legislações de Proteção de Dados Não Europeias": os termos adicionais mencionados no Apêndice 3, que refletem o acordo entre as partes sobre os termos que regem o processamento de determinados dados em relação a certas Legislações de Proteção de Dados Não Europeias.

Afiliado significa qualquer entidade que, de forma direta ou indireta, tenha controle, seja controlada ou esteja sob o controle comum de uma parte.

Dados Pessoais da Empresa são dados pessoais processados pela Jibe em nome da Empresa na prestação dos Serviços de Processador pela Jibe.

Incidente de dados significa uma violação da segurança da Jibe que leva a destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a Dados Pessoais da Empresa em sistemas gerenciados ou controlados pela Jibe. "Incidentes de Dados" não incluem atividades ou tentativas malsucedidas que não comprometem a segurança dos Dados Pessoais da Empresa, incluindo tentativas de login malsucedidas, pings, verificação de portas, ataques de negação de serviço e outros ataques de rede em firewalls ou sistemas de rede.

Legislação de Proteção de Dados significa, conforme aplicável: (a) a legislação europeia de proteção de dados; e/ou (b) a legislação de proteção de dados não europeia.

"Ferramenta de Titulares de Dados" significa uma ferramenta (se houver) disponibilizada por uma entidade da Jibe para titulares de dados que permita à Jibe responder diretamente e de maneira padronizada a determinadas solicitações de titulares de dados em relação a dados pessoais da empresa (por exemplo, um plug-in de navegador de desativação).

"EEE significa Espaço Econômico Europeu.

"GDPR da União Europeia": é o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas em relação ao processamento de dados pessoais e à livre circulação desses dados, e revogando a Diretiva 95/46/CE.

"Legislação Europeia de Proteção de Dados" significa, conforme aplicável: (a) o GDPR; e/ou (b) a Lei Federal de Proteção de Dados de 19 de junho de 1992 (Suíça).

"Leis Europeias ou Nacionais" significa, conforme aplicável: (a) a legislação da UE ou de estado-membro da UE (caso o GDPR da UE seja aplicável ao processamento de Dados Pessoais da Empresa); e/ou (b) a lei do Reino Unido ou de uma parte do Reino Unido (caso o GDPR Britânico seja aplicável ao processamento de Dados Pessoais da Empresa).

"GDPR" significa, conforme aplicável: (a) o GDPR da UE; e/ou (b) o GDPR Britânico.

Jibe significa a entidade Jibe que é parte do Contrato.

Subprocessadores de Afiliados da Jibe tem o significado definido na Seção 11.1 (Consentimento para o Envolvimento de Subprocessadores).

"Entidade da Jibe" significa Jibe Mobile Inc., Jibe Mobile Limited ou qualquer outro afiliado da Jibe Mobile Inc.

Certificação ISO 27001 significa a certificação ISO/IEC 27001:2013 ou uma certificação equivalente para os Serviços de Processador.

"Legislação Não Europeia de Proteção de Dados" significa as leis de proteção ou privacidade de dados em vigor fora do EEE, da Suíça e do Reino Unido.

Endereço de e-mail para notificação: o endereço de e-mail (se houver) (i) fornecido pela Empresa para a Jibe ou (ii) designado pela Empresa, pela interface do usuário dos Serviços de Processador ou por outros meios fornecidos pela Jibe, para receber notificações da Jibe relacionadas a este Aditivo de Processamento de Dados. Para maior clareza, é responsabilidade da Empresa fornecer um Endereço de E-mail para Notificação à Jibe e informar a Jibe sobre qualquer atualização do Endereço de E-mail para Notificação.

Serviços de Processador: serviços de RCS Business Messaging, conforme descrito em https://developers.google.com/business-communications/rcs-business-messaging.

"Documentação de segurança" significa a Certificação ISO 27001 e qualquer outra certificação ou documentação de segurança que a Jibe possa disponibilizar em conexão com os Serviços de Processador.

"Medidas de Segurança" tem o significado apresentado na Seção 7.1.1 (Medidas de Segurança da Jibe).

"Cláusulas Contratuais Padrão" significa as cláusulas contratuais padrão da Comissão Europeia em https://privacy.google.com/businesses/gdprprocessorterms/sccs, que são termos de proteção de dados padrão para a transferência de dados pessoais a processadores estabelecidos em países terceiros que não garantem um nível adequado de proteção de dados, conforme descrito no artigo 46 do GDPR da UE.

Subprocessadores significa terceiros autorizados por este adendo de Processamento de Dados a ter acesso lógico e processar Dados Pessoais da Empresa para fornecer partes dos Serviços de Processador e qualquer suporte técnico relacionado.

Autoridade Supervisora significa, conforme aplicável: (a) uma "autoridade supervisora" conforme definição no GDPR da UE; e/ou (b) o "Comissário" conforme definição no GDPR Britânico.

"Período" é o tempo entre o Início da Vigência dos Termos e o final do fornecimento dos Serviços de Processador pela Jibe de acordo com o Contrato.

"Início da Vigência dos Termos" significa a data de início da vigência do Contrato.

Subprocessadores terceirizados tem o significado definido na Seção 11.1 (Consentimento para envolvimento de Subprocessadores).

"GDPR Britânico" significa o GDPR da UE conforme alterado e incorporado à legislação britânica, de acordo com os termos da Lei de Saída do Reino Unido da União Europeia de 2018, caso em vigor.

2.2 Os termos "controlador", "titular dos dados", "dados pessoais", "processamento" e "operador", conforme usados neste Adendo de Processamento de Dados, têm os significados atribuídos a eles no GDPR, e os termos "importador de dados" e "exportador de dados" têm os significados atribuídos a eles nas Cláusulas Contratuais Padrão.

2.3 Os termos "incluindo", "incluir" ou qualquer expressão semelhante serão interpretados como ilustrativos e não limitarão o sentido das palavras que precedem esses termos. Todos os exemplos neste Adendo de Processamento de Dados são ilustrativos e não são os únicos exemplos de um conceito específico.

2.4 Qualquer referência a um enquadramento legal, estatuto ou outro ato legislativo é uma referência a ele conforme alterado ou promulgado novamente de forma periódica.

2.5 Se estes Termos de Processamento de Dados forem traduzidos para outro idioma e houver uma discrepância entre o texto em inglês e o texto traduzido, o texto em inglês prevalecerá.

3. Duração deste Aditivo sobre processamento de dados

Este apêndice de processamento de dados vai entrar em vigor no Início da Vigência dos Termos e, independentemente de o Prazo ter expirado, vai permanecer em vigor até a exclusão de todos os Dados Pessoais da Empresa por parte da Jibe e expirará automaticamente após esse fato, conforme descrito neste apêndice de processamento de dados.

4. Aplicação deste adendo sobre processamento de dados

4.1 Aplicação da Legislação Europeia de Proteção de Dados. As seções 5 (Processamento de dados) a 12 (Contato com a Jibe; Registros de processamento) serão aplicadas somente na medida em que a Legislação Europeia de Proteção de Dados se aplicar ao processamento de Dados Pessoais da Empresa, inclusive se:

(a) o processamento estiver no contexto das atividades de um estabelecimento da empresa no EEE ou no Reino Unido; e/ou

(b) Dados Pessoais da Empresa são dados pessoais relacionados a titulares dos dados no EEE ou no Reino Unido e o processamento se refere à oferta de bens ou serviços a esses titulares dos dados ou ao monitoramento do comportamento deles no EEE ou no Reino Unido.

4.2 Aplicação aos Serviços de Processador. Este Adendo de Processamento de Dados só se aplica aos Serviços de Processador para os quais as partes concordaram com este Adendo de Processamento de Dados (por exemplo: (a) os Serviços de Processador para os quais a Empresa clicou para aceitar este Adendo de Processamento de Dados; ou (b) se o Contrato incorporar este Adendo de Processamento de Dados por referência, os Serviços de Processador que são o objeto do Contrato).

4.3 Incorporação dos Termos Adicionais da Legislação de Proteção de Dados Não Europeia. Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia complementam estes Termos de Processamento de Dados.

5. Processamento de Dados

5.1 Funções e conformidade regulatória; Autorização.

5.1.1 Responsabilidades do Processador e do Controlador. As partes confirmam e concordam que:

(a) o Apêndice 1 descreve o objeto em questão e os detalhes do processamento de Dados Pessoais da Empresa;

(b) a Jibe é um processador de Dados Pessoais da Empresa de acordo com a Legislação Europeia de Proteção de Dados;

(c) a Empresa é um controlador ou operador, conforme aplicável, dos Dados Pessoais da Empresa, de acordo com a Legislação Europeia de Proteção de Dados; e

(d) cada parte cumprirá as obrigações aplicáveis de acordo com a Legislação Europeia de Proteção de Dados no que diz respeito ao processamento de Dados Pessoais da Empresa.

5.1.2 Autorização por um Controlador Terceirizado. Se a Empresa for um processador, ela garante à Jibe que as próprias instruções e ações em relação aos Dados Pessoais da Empresa, incluindo a indicação da Jibe como outro operador, foram autorizadas pelo controlador em questão.

5.2 Instruções da empresa. Ao assinar este Aditivo de Processamento de Dados, a Empresa instrui a Jibe a processar os Dados Pessoais da Empresa somente de acordo com a lei aplicável: (a) para fornecer os Serviços de Processador e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso da Empresa dos Serviços de Processador (incluindo nas configurações e em outras funcionalidades dos Serviços de Processador) e qualquer suporte técnico relacionado; (c) conforme documentado no formato do Contrato, incluindo este Aditivo de Processamento de Dados; e (d) conforme documentado em qualquer outra instrução por escrito dada pela Empresa e reconhecida pela Jibe como constituindo instruções para fins deste Aditivo de Processamento de Dados.

5.3 Conformidade da Jibe com as Instruções. A Jibe vai obedecer às instruções descritas na Seção 5.2 (Instruções da Empresa), incluindo aquelas relativas à transferência de dados, a menos que a legislação europeia ou nacional a que a Jibe está sujeita exija outro processamento dos Dados Pessoais da Empresa pela Jibe. Nesse caso, a Jibe vai informar a Empresa, a menos que essa lei proíba a Jibe de fazer isso por motivos importantes de interesse público.

5.4 Produtos adicionais. Se a Empresa usar qualquer Produto Adicional, os Serviços de Processador poderão permitir que esse Produto Adicional acesse os Dados Pessoais da Empresa quando necessário para a interoperabilidade do Produto Adicional com os Serviços de Processador. Este apêndice sobre o processamento de dados não se aplica ao processamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pela Empresa, incluindo dados pessoais transmitidos para ou de tal Produto Adicional.

6. Exclusão de Dados

6.1 Exclusão durante o período.

6.1.1 Serviços de Processador com Funcionalidade de Exclusão. Durante o Período, se:

(a) a funcionalidade dos Serviços de Processador incluir a opção para a Empresa excluir Dados Pessoais da Empresa;

(b) a Empresa usar os Serviços de Processador para excluir determinados Dados Pessoais da Empresa; e

(c) os Dados Pessoais da Empresa excluídos não puderem ser recuperados pela Empresa (por exemplo, da "Lixeira"),

então a Jibe vai excluir esses Dados Pessoais da Empresa dos sistemas assim que razoavelmente possível, a menos que as Leis Europeias ou Nacionais exijam o armazenamento.

6.1.2 Serviços de Processador sem Funcionalidade de Exclusão. Durante o Período, se a funcionalidade dos Serviços de Processador não incluir a opção para a Empresa excluir Dados Pessoais da Empresa, a Jibe vai obedecer a qualquer solicitação razoável da Empresa para facilitar essa exclusão, na medida em que isso seja possível, considerando a natureza e a funcionalidade dos Serviços de Processamento. A Jibe pode cobrar uma taxa (com base nos custos razoáveis da Jibe) por qualquer exclusão de dados de acordo com esta Seção 6.1.2 (Serviços do processador sem funcionalidade de exclusão). A Jibe vai fornecer à Empresa mais detalhes sobre qualquer taxa aplicável e a base de cálculo antes da exclusão dos dados.

6.2 Exclusão na expiração do período. Na expiração do Período, a Empresa instrui a Jibe a excluir todos os Dados Pessoais da Empresa (incluindo cópias) dos sistemas da Jibe de acordo com a legislação aplicável. A Jibe vai obedecer a essa instrução assim que razoavelmente possível, a menos que as Leis Europeias ou Nacionais exijam o armazenamento.

7. Segurança de dados

7.1 Medidas e assistência de segurança da Jibe.

7.1.1 Medidas de segurança da Jibe. A Jibe vai implementar e manter medidas técnicas e organizacionais para proteger os Dados Pessoais da Empresa contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal conforme descrito no Apêndice 2 (as Medidas de Segurança). A Jibe pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Serviços do Processador.

7.1.2 Compliance de segurança da equipe da Jibe.A Jibe vai garantir que todas as pessoas autorizadas a processar dados pessoais da Empresa se comprometam com a confidencialidade ou estejam sob obrigação estatutária apropriada de confidencialidade.

7.1.3 Assistência de segurança da Jibe. A Empresa concorda que a Jibe vai ajudar a Empresa a garantir o cumprimento de quaisquer obrigações da Empresa em relação à segurança de dados pessoais e violações de dados pessoais (considerando a natureza do processamento de dados pessoais da Empresa e as informações disponíveis à Jibe), incluindo (se aplicável) as obrigações da Empresa nos Artigos 32 a 34 (inclusive) do GDPR, da seguinte forma:

(a) Implementar e manter as Medidas de Segurança de acordo com a Seção 7.1.1 (Medidas de Segurança da Jibe);

(b) cumprimento dos termos da Seção 7.2 (Incidentes de Dados); e

(c) Fornecer à Empresa a Documentação de Segurança de acordo com a Seção 7.5.1 (Análises de Documentação de Segurança) e as informações contidas neste Adendo sobre Processamento de Dados.

7.2 Incidentes de dados.

7.2.1 Notificação de incidentes. Se a Jibe tomar conhecimento de um Incidente de Dados, ela vai: (a) notificar a Empresa sobre o Incidente de Dados imediatamente e sem atrasos indevidos; e (b) tomar medidas razoáveis imediatas para minimizar danos e proteger os Dados Pessoais da Empresa.

7.2.2 Detalhes do incidente de dados. As notificações feitas de acordo com a Seção 7.2.1 (Notificação de Incidentes) vão descrever, na medida do possível, os detalhes do Incidente de Dados, incluindo as medidas tomadas para reduzir os possíveis riscos e as etapas que a Jibe recomenda que a Empresa siga para resolver o Incidente de Dados.

7.2.3 Envio da notificação.A Jibe vai enviar a notificação sobre qualquer Incidente de Dados ao Endereço de E-mail para Notificação ou, a critério da Jibe (inclusive se a Empresa não tiver fornecido esse endereço), por outra comunicação direta (por exemplo, por telefone ou pessoalmente). A empresa é a única parte responsável por fornecer o Endereço de E-mail para Notificação e garantir que esse endereço esteja atualizado e seja válido.

7.2.4 Notificações a terceiros. A empresa é a única responsável por obedecer às leis de notificação de incidentes aplicáveis a ela e cumprir todas as obrigações de notificação de terceiros relacionadas a Incidentes de Dados.

7.2.5 Nenhum reconhecimento de falha por parte da Jibe.A notificação ou resposta da Jibe a um Incidente de Dados nos termos desta Seção 7.2 (Incidentes de Dados) não será interpretada como um reconhecimento por parte da Jibe de qualquer falha ou responsabilidade em relação ao Incidente de Dados.

7.3 Responsabilidades e avaliação de segurança da empresa.

7.3.1 Responsabilidades de segurança da empresa. A empresa concorda que, sem prejuízo às obrigações da Jibe nas Seções 7.1 (Medidas e Assistência de Segurança da Jibe) e 7.2 (Incidentes de Dados):

(a) A empresa é responsável pelo uso que fizer dos Serviços de Processador, incluindo:

(i) uso apropriado dos Serviços de Processador a fim de garantir um nível de segurança adequado ao risco relativo aos Dados Pessoais da Empresa; e

(ii) proteção das credenciais de autenticação de contas, sistemas e dispositivos que a Empresa usa para acessar os Serviços de Processador; e

(b) A Jibe não tem a obrigação de proteger os Dados Pessoais da Empresa que a Empresa escolher para armazenar ou transferir fora dos sistemas da Jibe e dos Subprocessadores dela.

7.3.2 Avaliação de segurança da empresa. A Empresa reconhece e concorda que, considerando o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento dos Dados Pessoais da Empresa, bem como os riscos para os indivíduos, as Medidas de Segurança implementadas e mantidas pela Jibe na Seção 7.1.1 (Medidas de Segurança da Jibe) oferecem um nível de segurança adequado ao risco para os Dados Pessoais da Empresa.

7.4 Certificação de segurança. Para avaliar e ajudar a garantir a eficácia contínua das Medidas de Segurança, a Jibe vai manter a Certificação ISO 27001.

7.5 Análises e auditorias de compliance.

7.5.1 Análises da Documentação de Segurança. Para demonstrar a conformidade da Jibe com as obrigações dela de acordo com este Adendo de Processamento de Dados, a Jibe vai disponibilizar a Documentação de Segurança para análise do Cliente.

7.5.2 Direitos de Auditoria da Empresa.

(a) A Jibe permitirá que a Empresa ou um auditor terceirizado indicado pela Empresa realize auditorias (incluindo inspeções) para verificar a conformidade da Jibe com as obrigações dela segundo este Adendo de Processamento de Dados, conforme previsto na Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias).A Jibe vai contribuir com essas auditorias, conforme descrito na Seção 7.4 (Certificação de Segurança) e nesta Seção 7.5 (Análises e auditorias de conformidade).

(b) Se as Cláusulas Contratuais Padrão forem aplicáveis de acordo com a Seção 10.2 (Transferências de dados), a Jibe permitirá que a Empresa ou um auditor terceirizado indicado pela Empresa realize auditorias conforme descrito nas Cláusulas Contratuais Padrão de acordo com a Seção 7.5.3 (Termos Comerciais Adicionais para Auditorias).

(c) também pode realizar uma auditoria para verificar a compliance da Jibe com as obrigações de acordo com este Adendo de Processamento de Dados analisando o certificado emitido para a Certificação ISO 27001, que reflete o resultado de uma auditoria realizada por um auditor terceirizado.

7.5.3 Termos comerciais adicionais para auditorias.

(a) A Empresa enviará ao Jibe qualquer solicitação de auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b), conforme descrito na Seção 12.1 (Contato com o Jibe).

(b) Depois de receber uma solicitação de acordo com a Seção 7.5.3(a), a Jibe e a empresa vão discutir e chegar a um acordo prévio sobre a data de início, o escopo e a duração razoáveis de qualquer auditoria prevista na Seção 7.5.2(a) ou 7.5.2(b), além de controles de confidencialidade e segurança aplicáveis.

(c) A Jibe poderá cobrar uma taxa (com base nos custos razoáveis da Jibe) para qualquer auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b).A Jibe vai fornecer à Empresa mais detalhes sobre qualquer taxa aplicável e a base de cálculo antes de qualquer auditoria. A Empresa será responsável pelas taxas cobradas por um auditor terceirizado designado pela Empresa para realizar a auditoria.

(d) A Jibe poderá se opor a qualquer auditor terceirizado indicado pela Empresa para realizar qualquer auditoria de acordo com a Seção 7.5.2(a) ou 7.5.2(b) se, segundo a opinião razoável da Jibe, o auditor não estiver devidamente qualificado ou independente, for um concorrente da Jibe ou for claramente inadequado. Qualquer objeção desse tipo feita pela Jibe vai exigir que a Empresa indique outro auditor ou realize a auditoria por conta própria.

(e) Nada neste Adendo de Processamento de Dados exige que a Jibe divulgue à Empresa ou ao auditor terceirizado ou permita que a Empresa ou o auditor terceirizado acessem:

(i) dados de outro cliente de uma entidade da Jibe;

(ii) qualquer informação financeira ou contábil interna de uma Entidade da Jibe;

(iii) qualquer segredo comercial de uma entidade da Jibe;

(iv) qualquer informação que, na opinião razoável da Jibe, possa: (A) comprometer a segurança dos sistemas ou instalações de qualquer entidade da Jibe; ou (B) fazer com que qualquer entidade da Jibe viole as obrigações dela de acordo com a legislação europeia de proteção de dados ou as obrigações de segurança e/ou privacidade dela para a empresa ou qualquer terceiro; ou

(v) qualquer informação que a Empresa ou o auditor terceirizado tente acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações da Empresa de acordo com a Legislação Europeia de Proteção de Dados.

7.5.4 Nenhuma modificação das cláusulas contratuais padrão. Se as Cláusulas Contratuais Padrão se aplicarem de acordo com a Seção 10.2 (Transferências de dados), nada nesta Seção 7.5 (Revisões e auditorias de conformidade) varia ou modifica quaisquer direitos ou obrigações da Empresa ou da Jibe de acordo com as Cláusulas Contratuais Padrão.

8. Avaliações de Impacto e Consultas

A Empresa concorda que a Jibe vai ajudar a Empresa a garantir o cumprimento de todas as obrigações da Empresa relacionadas a avaliações de impacto da proteção de dados e consulta anterior (considerando a natureza do processamento e as informações disponíveis para a Jibe), incluindo (se aplicável) as obrigações da Empresa nos Artigos 35 e 36 do GDPR, da seguinte forma:

(a) fornecimento da Documentação de Segurança previsto na Seção 7.5.1 (Análises de Documentação de Segurança);

(b) fornecer as informações contidas neste Aditivo sobre Processamento de Dados; e

(c) Fornecer ou disponibilizar, de acordo com as práticas padrão da Jibe, outros materiais referentes à natureza dos Serviços de Processador e ao processamento de Dados Pessoais da Empresa (por exemplo, materiais da Central de Ajuda).

9. Direitos do titular dos dados

9.1 Respostas a solicitações de titulares de dados. Se a Jibe receber uma solicitação de um titular de dados relativa a dados pessoais da empresa, ela:

(a) Se a solicitação for feita por uma Ferramenta de Titulares de Dados, responda diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão dessa ferramenta; ou

(b) Se a solicitação não for feita por uma Ferramenta de Titulares de Dados, aconselhar o titular dos dados a enviar a solicitação à Empresa, que será responsável pela resposta.

9.2 Assistência a Solicitações de Titulares de Dados da Jibe. A Empresa concorda que a Jibe vai ajudar a Empresa a cumprir qualquer obrigação de responder a solicitações de titulares de dados (considerando a natureza do processamento de Dados Pessoais da Empresa e, se aplicável, o Artigo 11 do GDPR), incluindo (se aplicável) a obrigação da Empresa de responder a solicitações de exercício dos direitos do titular dos dados no Capítulo III do GDPR, por:

(a) fornecimento da funcionalidade dos Serviços de Processador;

(b) cumprimento dos compromissos da Seção 9.1 (Respostas a solicitações de titulares de dados); e

(c) disponibilização das Ferramentas de Titulares de Dados, se aplicável aos Serviços de Processador.

10. Transferências de Dados

10.1 Instalações de armazenamento e processamento de dados. A Empresa concorda que a Jibe pode, de acordo com a Seção 10.2 (Transferências de Dados), armazenar e processar Dados Pessoais da Empresa em qualquer país em que a Jibe ou qualquer um dos Subprocessadores dela mantenha instalações.

10.2 Transferências de dados.

Se o armazenamento e/ou processamento de Dados Pessoais da Empresa envolver transferências de Dados Pessoais da Empresa do EEE, da Suíça ou do Reino Unido para qualquer país terceiro que não esteja sujeito a uma decisão de adequação de acordo com a Legislação Europeia de Proteção de Dados:

(a) A empresa (como exportadora de dados) será considerada como tendo celebrado as Cláusulas Contratuais Padrão com a Jibe (como importadora de dados);

(b) as transferências estarão sujeitas às Cláusulas Contratuais Padrão; e

(c) As referências à Google LLC e ao Cliente nas Cláusulas Contratuais Padrão serão para a Jibe e a Empresa, respectivamente.

10.3 Informações de data center. Informações sobre os locais dos data centers do Google estão disponíveis em www.google.com/about/datacenters/locations/index.html.

11. Subprocessadores

11.1 Consentimento para o envolvimento de Subprocessadores. A Empresa autoriza especificamente o envolvimento dos Afiliados da Jibe como Subprocessadores ("Subprocessadores Afiliados da Jibe"). Além disso, a Empresa autoriza, de forma geral, o envolvimento de qualquer outro terceiro como Subprocessadores ("Subprocessadores de Terceiros"). Se as Cláusulas Contratuais Padrão se aplicarem de acordo com a Seção 10.2 (Transferências de dados), as autorizações acima constituem o consentimento prévio por escrito da Empresa para a subcontratação pelo Jibe do processamento de Dados Pessoais da Empresa.

11.2 Informações sobre Subprocessadores. A pedido por escrito da Empresa, a Jibe vai fornecer informações sobre os subprocessadores e os locais deles. Todas essas solicitações precisam ser enviadas à Jibe usando os detalhes de contato definidos na Seção 12.1 (Como entrar em contato com a Jibe).

11.3 Requisitos para o envolvimento de Subprocessadores. Ao envolver qualquer Subprocessador, a Jibe:

(a) garantirá, por meio de um contrato por escrito, que:

(i) o Subprocessador só acesse e use os Dados Pessoais da Empresa na medida necessária para cumprir as obrigações subcontratadas e o faça de acordo com o Contrato (incluindo este Adendo de Processamento de Dados) e, se aplicável de acordo com a Seção 10.2 (Transferências de Dados), as Cláusulas Contratuais Padrão; e

(ii) se o GDPR se aplicar ao processamento de Dados Pessoais da Empresa, as obrigações de proteção de dados no Artigo 28(3) do GDPR serão impostas ao Subprocessador; e

(b) permanecer totalmente responsável por todas as obrigações subcontratadas e por todos os atos e omissões do Subprocessador.

11.4 Oportunidade para alterações entre Objeto e Subprocessador.

(a) Quando um novo subprocessador terceirizado for contratado durante o período, a Jibe vai informar a empresa sobre o contrato (incluindo o nome e o local do subprocessador relevante e as atividades que ele vai realizar) enviando um e-mail para o endereço de e-mail de notificação pelo menos 30 dias antes que o novo subprocessador terceirizado processe qualquer dado pessoal da empresa.

(b) A Empresa poderá se opor a qualquer novo Subprocessador terceirizado rescindindo o Contrato imediatamente após o envio de uma notificação por escrito à Jibe, desde que a Empresa envie essa notificação em até 90 dias após ser informada sobre o envolvimento do novo Subprocessador terceirizado, conforme descrito na Seção 11.4(a). Esse direito de rescisão é o único e exclusivo recurso da Empresa em caso de oposição a qualquer novo Subprocessador Terceirizado.

12. Contato com a Jibe; Processamento de registros

12.1 Como entrar em contato com a Jibe. A empresa pode entrar em contato com a Jibe em relação a este apêndice de processamento de dados pelo contato de proteção de dados RCS da Jibe, que pode ser contatado em http://issuetracker.google.com ou por outros meios que possam ser fornecidos pela Jibe periodicamente.

12.2 Registros de Processamento da Jibe. A empresa reconhece que a Jibe é obrigada de acordo com o GDPR a: (a) coletar e manter registros de determinadas informações, incluindo o nome e os detalhes de contato de cada operador e/ou controlador em nome de quem a Jibe está agindo e (se aplicável) do representante local e do oficial de proteção de dados desse operador ou controlador; e (b) disponibilizar essas informações a qualquer autoridade supervisora. Portanto, quando solicitado e aplicável, a Empresa vai fornecer essas informações à Jibe pela interface do usuário dos Serviços de Processador ou por outros meios que possam ser fornecidos pela Jibe e vai usar essa interface do usuário ou outros meios para garantir que todas as informações fornecidas sejam mantidas precisas e atualizadas.

13. Responsabilidade

13.1 Limite de responsabilidade. Independentemente de qualquer outra coisa no Contrato, a responsabilidade total de uma das partes em relação à outra parte nos termos deste Apêndice de Processamento de Dados ou em relação a ele será limitada ao valor monetário ou baseado em pagamento máximo em que a responsabilidade dessa parte é limitada nos termos do Contrato. Portanto, qualquer exclusão de reivindicações de confidencialidade ou indenização da limitação de responsabilidade do Contrato não se aplicará às reivindicações nos termos do Contrato relacionadas à legislação europeia ou não europeia de proteção de dados. Nada nesta Seção 13 (Responsabilidade) exclui ou limita a responsabilidade de qualquer uma das partes por: (a) morte ou ferimento pessoal resultante de negligência ou da negligência de funcionários ou agentes; (b) fraude ou declarações falsas; ou (c) questões em que a responsabilidade não possa ser excluída ou limitada de acordo com a lei aplicável.

13.2 Responsabilidade se as cláusulas contratuais padrão forem aplicáveis. Se as Cláusulas Contratuais Padrão se aplicarem de acordo com a Seção 10.2 (Transferências de dados), a responsabilidade total combinada de cada parte e de suas afiliadas em relação à outra parte e de suas afiliadas conforme previsto ou em relação a este Contrato e às Cláusulas Contratuais Padrão combinadas estará sujeita à Seção 13.1 (Limite de responsabilidade).

14. Terceiros Beneficiários

Se o Afiliado de uma parte for parte das Cláusulas Contratuais Padrão aplicáveis de acordo com a Seção 10.2 (Transferências de dados), esse Afiliado será um terceiro beneficiário das Seções 6.2 (Exclusão na expiração do termo), 7.5 (Revisão e auditorias de conformidade), 9.1 (Respostas a solicitações de titulares de dados), 10.2 (Transferências de dados), 11.1 (Consentimento para contratação de subprocessador) e 13.2 (Responsabilidade se as Cláusulas Contratuais Padrão forem aplicáveis). Em caso de conflito ou inconsistência entre a Seção 14 (Terceiros Beneficiários) e qualquer outra cláusula do Contrato, esta Seção 14 (Terceiros Beneficiários) vai prevalecer.

15. Efeito deste Aditivo sobre o tratamento de dados

Em caso de qualquer conflito ou inconsistência entre as Cláusulas Contratuais Padrão, os Termos Adicionais para Legislação de Proteção de Dados Não Europeia, este Adendo de Processamento de Dados e o restante do Contrato, será aplicada a seguinte ordem de precedência:

(a) as Cláusulas Contratuais Padrão;

(b) os Termos Adicionais da Legislação de Proteção de Dados Não Europeia;

(c) o restante destes Termos de Processamento de Dados; e

(d) o restante deste Contrato.

Se este Contrato (incluindo qualquer Adendo) for traduzido para qualquer outro idioma e o texto traduzido conflitar ou for inconsistente com o texto em inglês, o texto em inglês prevalecerá.

Sujeito às alterações neste Aditivo de Processamento de Dados, o Contrato permanece vigente.

16. Mudanças neste Adendo sobre processamento de dados

16.1 Alterações de URLs Periodicamente, a Jibe pode mudar qualquer URL mencionado neste apêndice de processamento de dados e o conteúdo de qualquer URL, exceto que a Jibe só pode mudar as cláusulas contratuais padrão de acordo com as Seções 16.2(b) a 16.2(d) (Mudanças nos Termos de Processamento de Dados) ou incorporar qualquer nova versão das cláusulas contratuais padrão que possam ser adotadas de acordo com a legislação europeia de proteção de dados, de maneira que não afete a validade das cláusulas contratuais padrão de acordo com a legislação europeia de proteção de dados.

16.2 Alterações nos Termos de Processamento de Dados. A Jibe poderá modificar este apêndice de Processamento de Dados se a mudança:

(a) for expressamente permitida por este Adendo sobre Processamento de Dados, inclusive conforme descrito na Seção 16.1 (Alterações de URLs);

(b) refletir uma alteração no nome ou na forma de uma entidade legal;

(c) for necessária para obedecer a uma lei ou regulamentação aplicável, a um mandado ou a uma orientação emitida por um órgão regulador ou agência do governo; ou

(d) não (i) resultar em uma degradação da segurança geral dos Serviços do Operador; (ii) ampliar o escopo ou remover quaisquer restrições a, (x) no caso dos Termos Adicionais para a Legislação de Proteção de Dados não europeus, os direitos da Jibe de usar ou processar os dados no escopo dos Termos Adicionais para a Legislação de Proteção de Dados não europeus ou (y) no caso do restante destes Termos de Processamento de Dados, o processamento da Jibe de Dados Pessoais da Empresa, conforme descrito na Seção 5.3 (Compliance da Jibe com Instruções); e (iii) não ter um impacto material adverso nos direitos da Empresa de acordo com este Adendo sobre Processamento de Dados, conforme determinado de forma razoável pela Jibe.

16.3 Notificação de mudanças. Se a Jibe pretende mudar este Aditivo de Processamento de Dados de acordo com a Seção 16.2(c) ou (d), a Jibe vai informar a Empresa com pelo menos 30 dias (ou um período mais curto, se necessário, para obedecer à lei aplicável, à regulamentação aplicável, a uma ordem judicial ou a uma orientação emitida por um regulador ou agência governamental) antes que a mudança entre em vigor, enviando um e-mail para o Endereço de e-mail de Notificação ou alertando a Empresa pela interface do usuário dos Serviços do Processador. Se a Empresa se opor a qualquer uma dessas mudanças, ela poderá rescindir o Contrato enviando uma notificação por escrito à Jibe até 90 dias após ter sido informada da mudança.

Apêndice 1: Objeto em Questão e Detalhes do Processamento de Dados

Objeto em questão

Prestação dos Serviços de Processador e de qualquer suporte técnico relacionado pela Jibe à Empresa.

Duração do processamento

O Prazo mais o período entre a expiração dele e a exclusão de todos os Dados Pessoais da Empresa pela Jibe de acordo com este Aditivo de Processamento de Dados.

Natureza e finalidade do processamento

A Jibe vai processar os Dados Pessoais da Empresa para fornecer os Serviços de Processador e qualquer suporte técnico relacionado à Empresa de acordo com este Aditivo de Processamento de Dados (incluindo, conforme aplicável aos Serviços de Processador e às instruções descritas na Seção 5.2 (Instruções da Empresa), coletando, registrando, organizando, estruturando, armazenando, alterando, recuperando, usando, divulgando, combinando, excluindo e destruindo os Dados Pessoais da Empresa).

Tipos de dados pessoais

Dados pessoais relacionados a indivíduos fornecidos à Jibe pelos Serviços de Processamento, pela Empresa ou pelos usuários finais da Empresa.

Categorias de titulares dos dados

Os titulares dos dados incluem os indivíduos sobre os quais os dados são fornecidos à Jibe por meio dos Serviços de Processamento pela Empresa ou por orientação desta ou pelos usuários finais da Empresa.

Apêndice 2: Medidas de Segurança

A partir do Início da Vigência dos Termos, a Jibe vai implementar e manter as Medidas de Segurança neste Apêndice 2. A Jibe pode atualizar ou modificar essas Medidas de Segurança periodicamente, desde que essas atualizações e modificações não resultem na degradação da segurança geral dos Serviços de Processador.

1. Segurança de Redes e Data Centers

(a) Data centers.

Infraestrutura. A Jibe mantém data centers distribuídos geograficamente. A Jibe armazena todos os dados de produção em data centers fisicamente seguros.

Redundância. Os sistemas de infraestrutura foram projetados para eliminar pontos únicos de falha e minimizar o impacto de riscos ambientais previstos. Circuitos duplos, switches, redes ou outros dispositivos necessários ajudam a fornecer essa redundância. Os Serviços de Processador foram criados para permitir que a Jibe realize determinados tipos de manutenção preventiva e corretiva sem interrupção. Todos os equipamentos e instalações ambientais documentaram procedimentos de manutenção preventiva que detalham o processo e a frequência de desempenho de acordo com as especificações internas ou do fabricante. A manutenção preventiva e corretiva dos equipamentos do data center é programada por um processo padrão, de acordo com procedimentos documentados.

Energia. Os sistemas de energia elétrica dos data centers são projetados para serem redundantes e poderem passar por manutenção sem afetar as operações contínuas, 24 horas por dia, 7 dias por semana. Na maioria dos casos, é fornecida uma fonte de energia principal e outra alternativa, cada uma com capacidade igual, para componentes essenciais da infraestrutura do data center. A energia de reserva é fornecida por vários mecanismos, como baterias de fonte de alimentação ininterrupta (UPS, na sigla em inglês), que oferecem proteção elétrica consistentemente confiável durante blecautes parciais da concessionária de serviços públicos, blecautes, sobretensão/subtensão e condições de frequência fora da tolerância. Se a energia for interrompida, a alimentação de reserva fornecerá eletricidade ao data center na capacidade total por até 10 minutos, até que os sistemas de geradores a diesel sejam acionados. Os geradores a diesel podem ser inicializados de forma automática em segundos para fornecer energia elétrica de emergência suficiente para alimentar o data center na capacidade total normalmente por um período de dias.

Sistemas operacionais de servidores. Os servidores do Jibe usam sistemas operacionais protegidos, personalizados para as necessidades exclusivas dos servidores da empresa. Os dados são armazenados usando algoritmos proprietários para aumentar a segurança e redundância desses dados. A Jibe emprega um processo de análise de código para aumentar a segurança do código usado para prestar os Serviços de Processador e aprimorar os produtos de segurança em ambientes de produção.

Continuidade de negócios. O Jibe replica dados em vários sistemas para ajudar a proteger contra destruição ou perda acidental. A Jibe projetou e planeja e testa regularmente seus programas de continuidade de negócios/recuperação de desastres.

(b) Redes e transmissão.

Transmissão de dados. Os data centers geralmente são conectados por links particulares de alta velocidade para fornecer transferência de dados segura e rápida entre eles. Isso foi desenvolvido para evitar que os dados sejam lidos, copiados, alterados ou removidos sem autorização durante a transferência ou transporte eletrônico ou enquanto são gravados em mídias de armazenamento de dados. O Jibe transfere dados por protocolos padrão da Internet.

Superfície de ataque externo. A Jibe emprega várias camadas de dispositivos de rede e detecção de invasão para proteger a superfície de ataque externa. O Jibe considera vetores de ataque em potencial e incorpora tecnologias específicas criadas para sistemas externos.

Detecção de intrusões A detecção de invasão tem por objetivo fornecer insights sobre atividades de ataque em andamento e oferecer informações adequadas para responder a incidentes. A detecção de intrusões da Jibe envolve:

  1. Controle rígido do tamanho e da composição da superfície de ataque da Jibe por meio de medidas preventivas;

  2. empregar controles inteligentes de detecção nos pontos de entrada de dados; e

  3. Empregar tecnologias que resolvam automaticamente certas situações perigosas.

Resposta a incidentes. A Jibe monitora uma variedade de canais de comunicação para incidentes de segurança, e a equipe de segurança da Jibe reagirá prontamente a incidentes conhecidos.

Tecnologias de criptografia. A Jibe disponibiliza criptografia HTTPS (também chamada de conexão SSL ou TLS). Os servidores da Jibe são compatíveis com a troca de chaves criptográficas Diffie-Hellman de curva elíptica efêmera assinada com RSA e ECDSA. Esses métodos de perfect forward secrecy (PFS) ajudam a proteger o tráfego e minimizam o impacto de uma chave comprometida ou de uma inovação criptográfica.

2. Controles de acesso e local

(a) Controles do local.

Operação de segurança no data center local. Os data centers da Jibe mantêm uma operação de segurança local responsável por todas as funções de segurança do data center físico, 24 horas por dia, 7 dias por semana. A equipe de operação de segurança no local monitora câmeras de circuito fechado de TV (CCTV) e todos os sistemas de alarme. O pessoal da operação de segurança no local realiza regularmente patrulhas internas e externas do data center.

Procedimentos de acesso ao data center. A Jibe mantém procedimentos formais de acesso para permitir o acesso físico aos data centers. Os data centers ficam em instalações que exigem acesso por chave eletrônica, com alarmes que são vinculados à operação de segurança local. Todos os participantes do data center precisam se identificar e mostrar um comprovante de identidade para a equipe de operações de segurança no local. Somente funcionários, prestadores de serviços e visitantes autorizados podem entrar nos data centers. Somente funcionários e prestadores de serviços autorizados têm permissão para solicitar acesso por chave eletrônica a essas instalações. As solicitações de acesso por chave eletrônica do data center precisam ser feitas com antecedência e por escrito e exigem autorização do gerente do solicitante e do diretor do data center. Todos os outros participantes que precisam de acesso temporário ao data center precisam: (i) receber a aprovação antecipada dos gerentes do data center para o data center específico e as áreas internas que eles querem visitar; (ii) fazer login nas operações de segurança no local; e (iii) referenciar um registro de acesso ao data center aprovado que identifique o indivíduo como aprovado.

Dispositivos de segurança local dos data centers. Os data centers da Jibe empregam uma chave de cartão eletrônico e um sistema biométrico para controle de acesso vinculado a um alarme do sistema. O sistema de controle de acesso monitora e registra a chave de cartão eletrônico de cada indivíduo e quando ele acessa as portas do perímetro, a área de envio/recebimento e outras áreas críticas. Atividades não autorizadas e tentativas frustradas de acesso são registradas pelo sistema de controle de acesso e investigadas, quando adequado. O acesso autorizado às operações comerciais e aos data centers é restrito com base nas zonas e nas responsabilidades profissionais do indivíduo. As portas corta-fogo nos data centers são equipadas com alarmes. As câmeras de CFTV ficam em operação dentro e fora dos data centers. O posicionamento das câmeras foi projetado para cobrir áreas estratégicas, incluindo, entre outras, o perímetro, as portas do edifício do data center e as áreas de envio/recebimento. A equipe de operações de segurança local gerencia os equipamentos de monitoramento, gravação e controle de CCTV. Cabos seguros em todos os data centers conectam os equipamentos de CCTV. As câmeras gravam no local por meio de filmadoras digitais 24 horas por dia, 7 dias por semana. Os registros de vigilância são mantidos por pelo menos sete dias, dependendo da atividade.

(b) Controle de acesso.

Pessoal de segurança de infraestrutura. A Jibe tem e mantém uma política de segurança para a equipe e exige treinamento de segurança como parte do pacote de treinamento para a equipe. A equipe de segurança da infraestrutura da Jibe é responsável pelo monitoramento contínuo da infraestrutura de segurança da Jibe, pela revisão dos Serviços de Processador e por responder a incidentes de segurança.

Controle de acesso e gerenciamento de privilégios. Os administradores e usuários da empresa precisam se autenticar por um sistema de autenticação central ou por um sistema de logon único para usar os Serviços de Processador.

Processos e Políticas de Acesso a Dados Internos - Política de Acesso. As políticas e os processos internos de acesso a dados da Jibe são projetados para evitar que pessoas e/ou sistemas não autorizados tenham acesso aos sistemas usados para processar dados pessoais. A Jibe busca criar sistemas para: (i) permitir que apenas pessoas autorizadas acessem os dados que elas têm consentimento para acessar; e (ii) garantir que os dados pessoais não possam ser lidos, copiados, alterados ou removidos sem autorização durante o processamento, uso e após a gravação. Os sistemas são desenvolvidos para detectar qualquer acesso inadequado. A Jibe usa um sistema de gerenciamento de acesso centralizado para controlar o acesso da equipe aos servidores de produção e só concede acesso a um número limitado de pessoas autorizadas. O LDAP, o Kerberos e um sistema proprietário que utiliza certificados SSH são projetados para fornecer ao Jibe mecanismos de acesso seguros e flexíveis. Esses mecanismos são projetados para conceder apenas direitos de acesso aprovados a hosts, registros, dados e informações de configuração do site. A Jibe exige o uso de IDs de usuários exclusivos, senhas fortes, autenticação de dois fatores e listas de acesso cuidadosamente monitoradas para minimizar a possibilidade de uso não autorizado da conta. A concessão ou modificação de direitos de acesso se baseia nas responsabilidades da função, nos requisitos das obrigações profissionais necessárias para realizar tarefas autorizadas e na necessidade de saber da equipe autorizada. A concessão ou modificação de direitos de acesso também precisa estar de acordo com as políticas e o treinamento de acesso a dados internos da Jibe. As aprovações são gerenciadas por ferramentas de fluxo de trabalho que mantêm registros de auditoria de todas as alterações. O acesso a sistemas é registrado para criar uma trilha de auditoria para prestação de contas. Sempre que as senhas são empregadas para autenticação (por exemplo, no login em estações de trabalho), são implementadas políticas de senha que seguem pelo menos as práticas padrão do setor. Esses padrões incluem restrições de reutilização de senha e força suficiente de senha.

3. Dados

(a) Armazenamento, isolamento e autenticação de dados.

A Jibe armazena dados em um ambiente multilocatário em servidores próprios. Os dados, o banco de dados dos Serviços de Processador e a arquitetura do sistema de arquivos são replicados entre vários data centers dispersos geograficamente. A Jibe isola logicamente os dados de cada cliente. Um sistema de autenticação central é usado em todos os Serviços de Processador para aumentar a segurança uniforme dos dados.

(b) Discos desativados e orientações para a destruição de discos.

Alguns discos com dados podem apresentar problemas de desempenho, erros ou falhas de hardware que os levam a ser desativados (“Disco Desativado”). Cada Disco Desativado está sujeito a uma série de processos de destruição de dados (as Diretrizes de Destruição de Dados) antes de sair das instalações da Jibe para reutilização ou destruição. Os Discos Desativados são apagados em um processo de várias etapas e verificados por pelo menos dois validadores independentes. Os resultados da limpeza são registrados pelo número de série do Disco Desativado para rastreamento. Por fim, o Disco Desativado apagado é liberado para o inventário para reutilização e reimplantação. Se, devido a uma falha de hardware, o Disco Desativado não puder ser apagado, ele será armazenado com segurança até que possa ser destruído. Cada instalação é auditada regularmente para monitorar a conformidade com as Orientações de Destruição de Dados.

4. Segurança da Equipe

A equipe da Jibe precisa se comportar de maneira consistente com as diretrizes da empresa em relação a confidencialidade, ética nos negócios, uso adequado e padrões profissionais. A Jibe realiza investigações de histórico para contratação adequadas, dentro do legalmente permitido e de acordo com a legislação trabalhista e as regulamentações estatutárias locais aplicáveis.

A equipe precisa assinar um contrato de confidencialidade e confirmar o recebimento e a conformidade com as políticas de privacidade e confidencialidade da Jibe. A equipe recebe treinamento de segurança. Aqueles que lidam com Dados Pessoais da Empresa precisam satisfazer outros requisitos adequados à respectiva função. A equipe da Jibe não processará os dados pessoais da empresa sem autorização.

5. Segurança do Subprocessador

Antes da integração dos Subprocessadores, a Jibe realiza uma auditoria das práticas de segurança e privacidade dos Subprocessadores para garantir que eles ofereçam um nível de segurança e privacidade adequado ao acesso deles a dados e ao escopo dos serviços que precisam prestar. Depois que a Jibe avalia os riscos apresentados pelo Subprocessador, este precisa assinar os termos de contrato de segurança, confidencialidade e privacidade adequados, sempre sujeito aos requisitos definidos na Seção 11.3 (Requisitos para o Envolvimento de Subprocessadores).

Apêndice 3: Termos Adicionais para Legislação de Proteção de Dados Não Europeia

Os Termos Adicionais para Legislação de Proteção de Dados Não Europeia a seguir complementam estes Termos de Processamento de Dados:

Termos de Processamento de Dados da Jibe, versão 2.0

27 de agosto de 2020