Data processing appendix | Postcodezip studio

Apêndice de processamento de dados

Este Apêndice faz parte integrante do Contrato e é celebrado por:

(i) O Cliente (" Exportador de Dados ")
(ii) POSTCODEZIP (" Importador de Dados ")

Cada um sendo uma " Parte " e geralmente " Partes ".

Preâmbulo

ONDE o importador de dados fornece serviços profissionais de software, computador e serviços relacionados;

ONDE, de acordo com o Contrato, o Importador de Dados concordou em fornecer ao Exportador de Dados os serviços especificados no Contrato (os " Serviços ");

ONDE, ao fornecer os serviços, o importador de dados recebe ou se beneficia do acesso às informações do exportador de dados ou de outras pessoas que tenham um (potencial) relacionamento com o exportador de dados, tais informações podem ser qualificadas como dados pessoais no sentido do regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de indivíduos em relação ao processamento de dados pessoais e sobre a livre circulação desses dados (" GDPR ") e outras leis de proteção de dados aplicáveis.

ONDE este Apêndice contém os termos e condições aplicáveis à coleta, processamento e uso de tais dados pessoais pelo importador de dados em sua capacidade de agente de processamento de dados autorizado do exportador de dados, para garantir que as partes cumpram a lei de proteção de dados aplicável .

Parte 1

1. Estrutura do documento e definições

1.1 Estrutura

This Appendix comprises different parts as follows:

Parte 1:

contém disposições gerais, por exemplo, relativas às definições usadas neste Apêndice, conformidade com as leis locais, tempo e rescisão

Parte 2:

contém o corpo do documento de cláusulas contratuais padrão não alterado

Apêndice 1.1 da Parte 2:

contains the details of the processing operations provided by the Data Importer to the Data Exporter as the authorized data processing agent (including the processing, nature, and purpose of the processing, the type of personal data, and the categories of data subjects) under this Appendix

Apêndice 2 da Parte 2:

contém uma descrição das medidas de segurança técnicas e organizacionais do importador de dados, que são aplicadas em conexão com todas as atividades de processamento descritas no Apêndice 1.1 da Parte 2

Parte 3:

contém as assinaturas das Partes a serem vinculadas por este Apêndice e identifica cada Importador de Dados

1.2 Terminologia e definições

Para os fins deste Apêndice, a terminologia e as definições usadas pelo GDPR são aplicáveis (no corpo do documento da Cláusula Contratual Padrão na Parte 2, onde os termos definidos não são capitalizados).

"Estado membro"

significa um país pertencente à União Europeia ou ao Espaço Económico Europeu

"Categorias especiais de dados (pessoais)"

refere-se a dados pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou filiação em sindicatos e dados genéticos, dados biométricos, se processados com o objetivo de identificar uma pessoa de forma única, dados relativos à saúde, dados relativos ao sexo de uma pessoa vida ou orientação sexual

"Cláusulas Contratuais Padrão"

significa as Cláusulas Contratuais Padrão para a transferência de dados pessoais de agentes de processamento estabelecidos em países terceiros, nos termos da Decisão da Comissão 2010/87 / UE em 5 de fevereiro de 2010, que foi alterada pela Decisão de Execução da Comissão (UE) 2016/2297 em 16 de Dezembro 2016

"Processador de dadosâ € ??

significa qualquer agente de processamento, localizado dentro ou fora da UE / EEE, que concorda em receber do Importador de Dados ou de qualquer outro processador do Importador de Dados, dados pessoais para o propósito exclusivo de atividades de processamento a serem realizadas pelo Exportador de Dados após o transferir de acordo com as instruções do exportador de dados, os termos deste Apêndice e o contrato com o importador de dados

2. Obrigações do exportador de dados

2.1 O exportador de dados tem a obrigação de garantir o cumprimento de todas as obrigações aplicáveis nos termos do GDPR e de qualquer outra lei de proteção de dados aplicável que se aplique ao exportador de dados e de demonstrar tal conformidade conforme exigido pelo Artigo 5 (2) do GDPR. O exportador de dados garante que o importador de dados obteve o consentimento prévio dos titulares dos dados de acordo com o Artigo 6 (a) do RGPD e cumpriu sua obrigação de informar os titulares dos dados de acordo com os Artigos 13 e 14 do RGPD.

2.2 O Exportador de Dados deve fornecer ao Importador de Dados os respectivos arquivos das atividades de processamento de acordo com o Artigo 30 (1) do GDPR relacionado aos Serviços sob este Apêndice, na medida necessária para que o Importador de Dados cumpra a obrigação de Artigo 30 (2) do RGPD.

2.3 O exportador de dados deve nomear um oficial ou representante de proteção de dados na medida exigida pela lei de proteção de dados aplicável. O exportador de dados é obrigado a fornecer os detalhes de contato do agente ou representante de proteção de dados, se houver, ao importador de dados.

2.4. O Exportador de Dados confirma, antes da conclusão do processamento, pela aceitação deste Apêndice, que as medidas de segurança técnicas e organizacionais do Importador de Dados, conforme estabelecido no Apêndice 2 à Parte 2, são adequadas e suficientes para proteger os direitos do titular dos dados e confirma que o importador de dados fornece salvaguardas suficientes a este respeito.

3. Conformidade com a legislação local

A fim de atender aos requisitos de implementação dos agentes de processamento de acordo com o Artigo 28 do RGPD, as seguintes alterações são aplicáveis:

3.1 Instruções

(i) O exportador de dados instrui o importador de dados a processar dados pessoais apenas em nome do exportador de dados. As instruções do exportador de dados são fornecidas neste Apêndice e no Contrato. O exportador de dados tem a obrigação de garantir que todas as instruções fornecidas ao importador de dados estejam em conformidade com as leis de proteção de dados aplicáveis. O importador de dados deve processar dados pessoais apenas de acordo com as instruções fornecidas pelo exportador de dados, a menos que seja exigido de outra forma pela União Europeia ou pela lei do Estado-Membro (neste último caso, aplica-se a Parte 1 Cláusula 3.2 (iv) (c)) .
(ii) Todas as outras instruções que vão além das instruções neste Apêndice ou no Contrato devem ser incluídas no assunto deste Apêndice e do Contrato. Se a implementação desta instrução adicional envolver custos para o importador de dados, o importador de dados deverá informar o exportador de dados de tais custos e fornecer uma explicação antes de implementar a instrução. Somente após o exportador de dados ter confirmado a aceitação desses custos para a implementação da instrução, o importador de dados deverá implementar esta instrução adicional. O exportador de dados deve fornecer instruções adicionais por escrito, a menos que a urgência ou outras circunstâncias específicas exijam outro formulário (por exemplo, oral, eletrônico). As instruções em uma forma diferente da escrita devem ser confirmadas por escrito e sem demora pelo Exportador de Dados.
1. A menos que o Exportador de Dados não possa realizar a retificação, apagamento ou restrição de dados pessoais por si mesmo, as instruções também podem estar relacionadas à retificação, apagamento e / ou restrição de dados pessoais conforme estabelecido na Parte 1 Cláusula 3.3.
2. O importador de dados deve informar imediatamente o exportador de dados se, em sua opinião, uma instrução violar o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro (" Instrução contestada"). Se o importador de dados acreditar que uma instrução viola o GDPR ou outras disposições de proteção de dados aplicáveis da União Europeia ou de um Estado-Membro, o importador de dados não é obrigado a seguir a instrução contestada. Se o exportador de dados confirmar a instrução contestada recebimento de informações do importador de dados e reconhece sua responsabilidade pela instrução contestada, o importador de dados deve implementar a instrução contestada, a menos que a instrução contestada se relacione com (i) a implementação de medidas técnicas e organizacionais, (ii) os direitos dos dados Assuntos ou (iii) a contratação de processadores de dados. Nos casos (i) a (iii), o importador de dados pode entrar em contato com uma autoridade supervisora competente para que a Instrução contestada seja avaliada legalmente por essa autoridade.Se a autoridade supervisora declarar que a Instrução contestada é legal, o Importador de Dados deve implementar a Instrução contestada. Parte 1 Cláusula 3.1 (ii) permanecerá aplicável.

3.2 Obrigações do importador de dados

(i) The Data Importer must ensure that persons authorized by the Data Importer to process personal data on behalf of the Data Exporter, in particular employees of the Data Importer and employees of any Sub-Contractor, have undertaken to observe confidentiality or are subject to an appropriate statutory duty of confidentiality, and that such persons who have access to personal data process it in accordance with the Data Exporter's instructions.
(ii) The Data Importer must implement the technical and organizational security measures as set out in Appendix 2 to Part 2 before processing the personal data on behalf of the Data Exporter. The Data Importer may change the technical and organizational security measures from time to time if they do not provide less protection than those set out in Appendix 2 to Part 2.
(iii) The Data Importer shall make available to the Data Exporter, upon request by the Data Exporter, information to show compliance with the Data Importer's obligations under this Appendix. The Parties agree that this information obligation is met by providing the Data Exporter with an audit report (covering security of principles, system availability, and confidentiality) ("Audit Report"). If additional audit activities are legally required, the Data Exporter may request that inspections be carried out by the Data Exporter or another auditor appointed by the Data Exporter, subject to the execution by such auditor of a confidentiality agreement with the Data Importer to the Data Importer's reasonable satisfaction ("Audit"). This Audit is subject to the following conditions: (i) the prior formal written acceptance of the Data Importer; and (ii) the Data Exporter shall bear all costs relating to the On-Site Audit for the Data Exporter and the Data Importer. The Data Exporter must create an audit report summarizing the results and observations of the On-Site Audit ("On-Site Audit Report"). The On-Site Audit Reports, and the Audit Reports, are confidential information of the Data Importer and must not be disclosed to third parties unless required by applicable data protection law or in accordance with the consent of the Data Importer.
(iv) The Data Importer has an obligation to notify the Data Exporter without undue delay:
a. regarding any legally binding request for disclosure of personal data by a law enforcement authority, unless otherwise prohibited, such as a prohibition under criminal law to protect the confidentiality of a law enforcement investigation
b. regarding any complaint and request received directly from a data subject (e.g. regarding access, rectification, deletion, restriction of processing, data portability, objection to data processing, automated decision making) without responding to that request, unless the Data Importer has been authorized to do so
c. if the Data Importer or Data processor is obligated, under the law of the European Union or of the Member State to which the Data Importer or Data processor is subject, to process the personal data beyond the Data Exporter's instructions, before carrying out such processing beyond the instructions, unless laws of the European Union or of the Member State prohibits such processing on vital public interest grounds, in which case the notification to the Data Exporter shall specify the legal requirement under that law of the European Union or of the Member State; or
d. if the Data Importer realizes an infringement of personal data, solely because of itself or its sub-contractor, which would affect the Data Exporter's personal data covered by the present contract, in which case the Data Importer will assist the Data Exporter in its obligation, vis-à-vis the applicable data protection law, to inform the data subjects and, where applicable, the supervisory authorities by providing the information at its disposal, in accordance with Article 33 (3) of the GDPR.
(v) At the request of the Data Exporter, the Data Importer shall be compelled to assist the Data Exporter in its obligation to carry out a data protection impact assessment that may be required by Article 35 of the GDPR and a prior consultation that may be required by Article 36 of the GDPR concerning the services provided by the Data Importer to the Data Exporter under this Appendix, providing the necessary and information to the Data Exporter. The Data Importer will only be obliged to provide such assistance if the Data Exporter cannot fulfill its obligation by other means. The Data Importer will advise the Data Exporter of the cost of such assistance. As soon as the Data Exporter has confirmed that it can bear this cost, the Data Importer will provide the Data Exporter with this help.
(vi) At the end of the provision of the services, the Data Exporter may request the return of the personal data processed by the Data Importer under this Appendix within one month after the services. Unless the legislation of the Member State or of the European Union requires the Data Importer to store or retain such personal data, the Data Importer will delete all such personal or non-personal data after the one-month period, whether they have been returned to the Data Exporter at its request or not.

3.3 Direitos das pessoas envolvidas

(i) O exportador de dados gerencia e responde às solicitações feitas pelos titulares dos dados. O importador de dados não é obrigado a responder diretamente aos titulares dos dados.
(ii) Se o exportador de dados exigir a assistência do importador de dados no processamento e resposta às solicitações do titular dos dados, o exportador de dados deverá emitir uma instrução adicional de acordo com a Cláusula 3.1 (ii) da Parte 1. O importador de dados auxiliará o exportador de dados com as seguintes medidas de organização técnica e adequadas para responder aos pedidos de exercício dos direitos dos titulares dos dados estabelecidos no Capítulo III do RGPD da seguinte forma:
uma. Em relação aos pedidos de informações, o importador de dados fornecerá ao exportador de dados apenas as informações exigidas pelos artigos 13 e 14 do PGRD que ele possa ter à sua disposição se o exportador de dados não conseguir encontrá-las por conta própria.
b. No que diz respeito aos pedidos de acesso (Artigo 15 do RGPD), o Importador de Dados apenas fornecerá ao Exportador de Dados as informações que supostamente devem ser fornecidas a um titular dos dados para o referido pedido de acesso, que pode ter à sua disposição se o este último não consegue encontrá-lo sozinho.
c. Em relação aos pedidos de retificação (artigo 16 do RGPD), pedidos de apagamento (artigo 17 do RGPD), restrição de pedidos de processamento (artigo 18 do RGPD) ou pedidos de portabilidade (artigo 20 do RGPD), e apenas se o exportador de dados não puder retificar ou apagar, limitar ou transmitir os dados pessoais a outro terceiro, o importador de dados oferecerá ao exportador de dados a possibilidade de retificar ou apagar, limitar ou transmitir os dados pessoais em questão para outro terceiro, ou se isso não for possível, prestará assistência para retificar ou apagar, limitar ou transmitir a terceiros os dados pessoais em questão.
d. Em relação à notificação relativa à retificação, eliminação ou restrição de processamento (Artigo 19 do GDPR), o importador de dados ajudará o exportador de dados notificando todos os destinatários de dados pessoais contratados pelo importador de dados como processadores se o exportador de dados assim solicitar e se o exportador de dados não puder resolver a situação sozinho.
e. Em relação ao direito de oposição exercido por uma pessoa em causa (artigos 21 e 22 do RGPD), o exportador de dados determinará se a oposição é legítima e como lidar com ela.
(iii) As obrigações de assistência do importador de dados são limitadas aos dados pessoais processados em sua infraestrutura (por exemplo, bancos de dados, sistemas, aplicativos de propriedade ou fornecidos pelo importador de dados).
(iv) O Exportador de Dados deve determinar se um Titular dos Dados pode exercer os direitos dos Titulares dos Dados estabelecidos na Cláusula 3.1 desta Parte 1 e deve informar o Importador de Dados sobre a extensão em que a assistência especificada nas Cláusulas 3.3 (ii), ( iii) da Parte 1 é necessária.
(v) Se o Exportador de Dados solicitar medidas técnicas e organizacionais adicionais ou modificadas para atender aos direitos dos titulares dos dados que vão além da assistência fornecida pelo Importador de Dados nos termos das Subcláusulas 3.3 (ii), (iii) da Parte 1, os Dados O importador deve informar o exportador de dados dos custos de implementação de tais medidas técnicas e organizacionais adicionais ou modificadas. Assim que o exportador de dados confirmar que pode arcar com esses custos, o importador de dados deverá implementar tais medidas técnicas e organizacionais adicionais ou modificadas para auxiliar o exportador de dados a responder às solicitações dos titulares dos dados.
(vi) Sem limitar o escopo da Cláusula 3.3 (v) da Parte 1, o Exportador de Dados será obrigado a reembolsar o Importador de Dados por suas despesas razoáveis incorridas em responder às solicitações dos Titulares dos Dados.

3.4 Subprocessamento

(i) O Exportador de Dados autoriza o uso de subcontratados pelo Importador de Dados para a prestação de serviços de acordo com este Apêndice. O importador de dados deve selecionar esse (s) processador (es) de dados cuidadosamente. O Exportador de Dados aprova o (s) processador (es) de Dados listados no Apêndice 1.1 no final da Parte 2.
(ii) O Importador de Dados deve transferir suas obrigações sob este Apêndice para o (s) processador (es) de Dados na medida aplicável aos serviços subcontratados.
(iii) O importador de dados pode dispensar, substituir ou nomear outro (s) processador (es) de dados apropriado (s) a seu critério. Se solicitado por escrito pelo exportador de dados, o importador de dados deve seguir o procedimento estabelecido abaixo:

uma. O importador de dados deve informar o exportador de dados antes de quaisquer alterações na lista de processadores de dados referenciados na cláusula 3.4 (i) da parte 1. Se o exportador de dados não objetar nos termos da cláusula 3.4. (b) da Parte 1 trinta dias após o recebimento da notificação do importador de dados, os processadores de dados adicionais serão considerados aceitos.
b. Se o exportador de dados tiver um motivo legítimo para contestar um processador de dados adicional, ele notificará previamente por escrito o importador de dados no prazo de trinta dias após o recebimento da notificação do importador de dados e antes que o serviço do importador de dados seja colocado em operação. Se o exportador de dados se opor ao uso de um processador de dados adicional, o importador de dados pode eliminar a objeção por uma das seguintes opções (escolhidas a seu critério): (A) o importador de dados cancelará seus planos de usar um processador adicional em relação os dados pessoais do exportador de dados; (B) o importador de dados tomará as medidas corretivas solicitadas pelo exportador de dados em sua objeção (cancelando a objeção) e usará o processador adicional em relação aos dados pessoais do exportador de dados;(C) o importador de dados pode deixar de fornecer ou o exportador de dados pode concordar em não usar (temporária ou permanentemente) um aspecto particular do serviço que envolveria o uso do processador adicional do exportador de dados dos dados pessoais do exportador de dados.

(iv) se o processador de dados estiver baseado fora da UE-EEE em um país que não é reconhecido como oferecendo um nível adequado de proteção de dados na sequência de uma decisão da Comissão Europeia, o importador de dados tomará as medidas para cumprir um nível adequado de proteção de dados de acordo com o GDPR (tais medidas podem incluir - entre outras e - o uso de contratos de processamento de dados com base nas cláusulas do Modelo da UE, transferência para processadores de dados autocertificados no âmbito do Escudo de Proteção UE-EUA ou um programa semelhante).

3.5 Validade

A expiração deste Apêndice é idêntica à data de expiração do Contrato correspondente. Salvo disposição em contrário neste Apêndice, os direitos e deveres relativos à rescisão serão os mesmos que os contidos no Contrato.

4. Limitation of Liability

4.1 Cada parte lida com suas obrigações nos termos deste Apêndice e da legislação de proteção de dados aplicável.

4.2 Qualquer responsabilidade relativa à violação das obrigações sob este Apêndice ou legislação de proteção de dados aplicável estará sujeita e regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, exceto conforme disposto de outra forma neste Apêndice. Se a responsabilidade for regida pelas disposições de responsabilidade estabelecidas ou aplicáveis ao Contrato, para calcular os limites de responsabilidade ou determinar a aplicação de outras limitações de responsabilidade, qualquer responsabilidade decorrente deste Apêndice será considerada como decorrente do Contrato.

5. Disposições gerais

5.1 Se houver inconsistências ou discrepâncias entre as Partes 1 e 2 deste Apêndice, a Parte 2 deverá prevalecer. Especificamente, mesmo em tal caso, a Parte 1, que simplesmente vai além da Parte 2 (ou seja, os termos das cláusulas padrão), sem contradizê-la, permanecerá válida.

5.2 Se qualquer discrepância surgir entre as disposições deste Apêndice e as de outros contratos que vinculam as partes, este Apêndice prevalecerá em relação às obrigações de proteção de dados das partes. Em caso de dúvida se as cláusulas em outros contratos dizem respeito às obrigações de proteção de dados das partes, este Apêndice deve prevalecer.

5.3 Se qualquer disposição deste Apêndice for inválida ou inexequível, o restante deste Apêndice permanecerá em pleno vigor e efeito. A disposição inválida ou inexequível será (i) alterada para garantir sua validade e exequibilidade, preservando tanto quanto possível a intenção das partes, ou - se isso não for possível - (ii) interpretada como se a parte inválida ou inexequível tivesse nunca fez parte do contrato. O anterior também se aplica se houver uma omissão neste Apêndice.

5.5 Na medida do necessário, as Partes podem solicitar alterações à Parte 1, Cláusula 3 (Conformidade com a legislação local) ou outras partes do Apêndice, a fim de cumprir com as interpretações, diretivas ou ordens emitidas pelas autoridades competentes da União ou da Estados-Membros, disposições nacionais de aplicação ou quaisquer outros desenvolvimentos jurídicos relativos ao RGPD ou outras condições de delegação a quaisquer entidades envolvidas no processamento de dados e, especificamente, no que diz respeito à utilização das Cláusulas Contratuais Padrão do RGPD. Os termos das Cláusulas Contratuais Padrão não podem ser modificados ou substituídos, a menos que a Comissão Europeia aprove expressamente (por exemplo, por novas cláusulas adequadas e normas de proteção de dados).

5.6 Qualquer referência neste Apêndice às "Cláusulas" deve ser entendida como se referindo a todas as disposições deste Apêndice, salvo indicação em contrário.

5.7 A escolha da lei na Parte 2, Cláusula 9 aplica-se a todo o Contrato.

6. Dados pessoais transmitidos e processados pelas partes para fins pessoais (transferência do controlador de dados para o controlador de dados)

6.1 As Partes sabem perfeitamente que certos dados pessoais serão transferidos do Exportador de Dados para o Importador de Dados e vice-versa, e que tais dados são processados por cada Parte para seus próprios fins. Em relação a tais dados pessoais, não afetam as outras disposições deste Apêndice (exceto para esta cláusula 6).

6.2 O Exportador de Dados pode transferir dados pessoais relativos à equipe do Importador de Dados para o Importador de Dados, incluindo informações sobre incidentes de segurança, ou quaisquer outros documentos ou arquivos criados ou estabelecidos pelo Exportador de Dados em conexão com os Serviços prestados pela equipe de o importador de dados. O importador de dados pode processar esses dados pessoais para seus próprios fins, em particular em suas relações profissionais com o pessoal do importador de dados, para controle de qualidade e treinamento, ou para fins comerciais.

6.3. O importador de dados pode transferir dados pessoais para o exportador de dados, incluindo o nome e detalhes de contato do pessoal do importador de dados. O exportador de dados pode processar esses dados pessoais para seus próprios fins.

6.4 Ambas as partes devem cumprir todas as leis de proteção de dados aplicáveis, incluindo o GDPR, ao coletar, processar e usar os dados pessoais recebidos da outra parte nos termos da cláusula 1 da Parte 1. Em particular, ambas as partes devem tomar medidas de segurança adequadas, fornecendo um nível de proteção semelhante ao das medidas de segurança estabelecidas no Apêndice 2 da Parte 2. Qualquer acesso a esses dados pessoais deve ser limitado à necessidade de conhecê-los.

6.5 Ambas as partes devem apagar esses dados pessoais o mais rápido possível após os objetivos terem sido alcançados.

Parte 2

DECISÃO DA COMISSÃO

no dia 5 de fevereiro de 2010

sobre cláusulas contratuais padrão para a transferência de dados pessoais para processadores de dados estabelecidos em países terceiros ao abrigo da Diretiva 95/46 / CE do Parlamento Europeu e do Conselho

Cláusula 1ª

Definições

a) 'dados pessoais', 'categorias especiais de dados', 'processamento / processamento', 'controlador', 'processador', 'titular dos dados' e 'autoridade de supervisão' têm o mesmo significado que na norma 95/46 / CE Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1);

b) o 'Exportador de Dados' é o controlador de dados que transfere os dados pessoais;

c) o 'Importador de Dados' é o processador de Dados que concorda em receber do Exportador de Dados dados pessoais destinados a serem processados em nome do Exportador de Dados após a transferência de acordo com suas instruções e nos termos destas cláusulas e que não é Sujeito ao mecanismo de um país terceiro que assegure uma protecção adequada na acepção do n.º 1 do artigo 25.º da Directiva 95/46 / CE; (d) 'Processador de dados' significa o processador de dados contratado pelo importador de dados ou por qualquer outro processador de dados do importador de dados que concorda em receber do importador de dados ou de qualquer outro processador de dados do importador de dados dados pessoais exclusivamente para atividades de processamento para ser realizada em nome do exportador de dados após a transferência de acordo com as instruções do exportador de dados,nas condições estabelecidas nestas Cláusulas e nos termos do contrato de subcontratação por escrito do contrato de processamento de dados;

e) "lei de proteção de dados aplicável" significa a legislação que protege os direitos e liberdades fundamentais das pessoas, incluindo o direito à privacidade no que diz respeito ao tratamento de dados pessoais, e aplicável a um responsável pelo tratamento no Estado-Membro onde o Exportador de Dados está estabelecido;

f) "medidas tÃ © cnicas e organizacionais relativas Ã seguranÃ§aâ € ?? significa medidas destinadas a proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, em particular quando o processamento envolve a transmissão de dados através de redes, e contra todas as outras formas ilegais de processamento.

Cláusula 2ª

Detalhes da transferência

Os detalhes da transferência, incluindo, quando apropriado, categorias especiais de dados pessoais, são especificados no Apêndice 1, que faz parte integrante destas cláusulas.

Cláusula 3ª

Cláusula de terceiro beneficiário

1. O titular dos dados pode impor ao Exportador de Dados esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) e (g) a (j), Cláusula 6 (1) e (2 ), Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 como um terceiro beneficiário

2. O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o Importador de Dados onde o Exportador de Dados fisicamente desapareceu ou deixou de existir legalmente, a menos que todas as suas obrigações legais tenham sido transferidas, por contrato ou de pleno direito, para a entidade sucessora, para a qual revertem os direitos e obrigações do exportador de dados, e contra a qual os dados sujeito pode, portanto, fazer cumprir as referidas cláusulas.

O titular dos dados pode fazer cumprir esta Cláusula, Cláusula 5 (a) a (e) e (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) e Cláusulas 9 a 12 contra o processador de Dados, mas apenas nos casos em que os Dados O exportador e o importador de dados desapareceram fisicamente, deixaram de existir por lei ou se tornaram insolventes, a menos que todas as obrigações legais do exportador de dados tenham sido transferidas, por contrato ou de pleno direito, para o sucessor legal, a quem os direitos e as obrigações do exportador de dados são, portanto, investidas, e contra quem o titular dos dados pode, portanto, fazer cumprir tais cláusulas. Tal responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com essas cláusulas.

4. As partes não se opõem à representação do titular dos dados por uma associação ou outro organismo, se assim o desejar e se a legislação nacional o permitir.

Cláusula 4ª

Obligations of the Data Exporter

The Data Exporter accepts and guarantees the following:

a) the processing, including the actual transfer of personal data, has been and will continue to be carried out in accordance with the relevant provisions of applicable data protection law (and, where applicable, has been notified to the competent authorities of the Member State in which the Data Exporter is based) and does not infringe the relevant provisions of that State;

b) they have instructed, and will instruct for the duration of the personal data processing services, the Data Importer to process the personal data transferred on the sole behalf of the Data Exporter and in accordance with applicable data protection law and these clauses;

c) the Data Importer will provide sufficient safeguards regarding the technical and organizational security measures specified in Appendix 2 to the present contract;

d) after evaluation of the requirements of the applicable data protection law, the security measures are adequate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure, or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing and ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected, having regard to the level of technology and the cost of implementation;

e) they will ensure compliance with security measures;

f) if the transfer relates to special categories of data, the data subject has been informed or will be informed before the transfer, or as soon as possible after the transfer that his or her data may be transferred to a third country that does not offer an adequate level of protection within the meaning of Directive 95/46/EC;

g) they will forward any notification received from the Data Importer or any Data processor under Clauses 5 (b) and 8 (3) to the data protection supervisory authority if it decides to continue transferring or to lift its suspension;

h) they shall make available to data subjects, if they so request, a copy of these Clauses, except for Appendix 2, and a summary description of the security measures, and a copy of any further subcontracting agreement, concluded under these Clauses unless the Clauses or the agreement contain commercial information, in which case he may withdraw such information;

i) in case of sub-contracting the data processing process, the processing activity is carried out in accordance with Clause 11 by a Data processor providing at least the same level of protection of personal data and data subject's rights as the Data Importer under these Clauses; and

j) it will ensure compliance with Clause 4 (a) to (i).

Clause 5

Obrigações do importador de dados

O importador de dados aceita e garante o seguinte:

a) eles irão processar os dados pessoais apenas em nome do Exportador de Dados e sob as instruções do Exportador de Dados e estas cláusulas; se não puder cumprir por qualquer motivo, eles concordam em informar o exportador de dados de sua incapacidade o mais rápido possível, caso em que o exportador de dados pode suspender a transferência de dados e / ou rescindir o contrato;

b) eles não têm razão para acreditar que a lei aplicável a eles o impede de cumprir as instruções dadas pelo exportador de dados e as obrigações que lhe incumbem nos termos do contrato, e se tal lei está sujeita a uma alteração que poderia ter um material adverso efeito sobre as garantias e obrigações sob as Cláusulas, ele deve notificar o Exportador de Dados da alteração sem demora após tomar conhecimento dela, caso em que o Exportador de Dados pode suspender a transferência de dados e / ou rescindir o contrato; (c) eles implementaram as medidas de segurança técnicas e organizacionais especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

d) eles notificarão o Exportador de Dados sem demora:

i) qualquer pedido vinculativo de divulgação de dados pessoais de uma autoridade responsável pela aplicação da lei, salvo indicação em contrário, tal como uma proibição criminal destinada a preservar o sigilo de uma investigação policial;

ii) qualquer acesso acidental ou não autorizado; e

iii) qualquer pedido recebido diretamente das pessoas interessadas sem responder a elas, a menos que ele tenha sido autorizado a fazê-lo; administradores

e) tratarão prontamente e de forma adequada todas as solicitações do Exportador de Dados sobre o processamento dos dados pessoais que estão sendo transferidos e agirão sob o parecer da autoridade supervisora no que diz respeito ao processamento dos dados transferidos;

f) a pedido do Exportador de Dados, eles sujeitarão suas instalações de processamento de dados a uma auditoria das atividades de processamento abrangidas por estas cláusulas, a ser realizada pelo Exportador de Dados ou por um órgão de supervisão composto por membros independentes com as qualificações profissionais exigidas, sujeito à obrigação de sigilo e escolhido pelo Exportador de Dados, quando apropriado com o acordo da autoridade supervisora;

g) disponibilizarão ao titular dos dados, se este assim o solicitar, uma cópia destas Cláusulas, ou qualquer subcontratação existente do contrato de processamento de dados, a menos que as Cláusulas ou o contrato contenham informações comerciais, caso em que poderá removê-las informações, exceto para o Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança, onde o titular dos dados não pode obter uma cópia do Exportador de Dados;

h) no caso de posterior subcontratação confidencial do processamento de dados, ele garantirá que informará o exportador de dados com antecedência e obterá o consentimento por escrito do exportador de dados;

i) os serviços de processamento fornecidos pelo processador de dados devem cumprir a Cláusula 11;

j) eles enviarão prontamente uma cópia de qualquer subcontratação do acordo de processamento de dados celebrado por ela sob estas Cláusulas para o Exportador de Dados.

Cláusula 6ª

Responsabilidade

1. As partes concordam que qualquer titular de dados que tenha sofrido danos devido à violação das obrigações referidas na Cláusula 3 ou na Cláusula 11 por uma das partes ou por um processador de Dados pode obter uma compensação do Exportador de Dados pelos danos sofridos.

2. Se um titular dos dados for impedido de intentar uma ação por danos, conforme referido no parágrafo 1 contra o Exportador de Dados por falha do Importador de Dados ou de seu processador de Dados em cumprir qualquer uma de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 devido aos Dados O exportador desapareceu fisicamente, deixou de existir legalmente ou se tornou insolvente, o importador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele como se fosse o exportador de dados, a menos que todas as obrigações legais do exportador de dados tenham sido transferidas, por contrato ou por força de lei, para sua entidade sucessora, contra a qual o titular dos dados pode então fazer valer seus direitos. O importador de dados não pode contar com a violação de suas obrigações por parte de um processador de dados para evitar sua própria responsabilidade.

3. Se um titular dos dados for impedido de intentar a ação referida nos parágrafos 1 e 2 contra o Exportador de Dados ou o Importador de Dados por violação pelo Processador de Dados de suas obrigações nos termos da Cláusula 3 ou Cláusula 11 porque o Exportador de Dados e o Importador de Dados desapareceram fisicamente, deixaram de existir por lei ou se tornaram insolventes, o processador de dados concorda que o titular dos dados pode apresentar uma reclamação contra ele em relação às suas próprias atividades de processamento de acordo com estas cláusulas como se fosse o exportador de dados ou importador de dados, a menos que todos as obrigações legais do exportador de dados ou do importador de dados foram transferidas, por contrato ou de pleno direito, para o sucessor legal, contra o qual o titular dos dados pode então fazer valer seus direitos.A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

Cláusula Sétima

Mediação e jurisdição

1. The Data Importer agrees that if under the clauses, the data subject invokes against him the right of the third party beneficiary and/or claims compensation for the prejudice suffered, he will accept the decision of the data subject:

a) to submit the dispute to mediation by an independent person or, where appropriate, the supervisory authority;

b) to bring the dispute before the courts of the Member State where the Data Exporter is based.

2. The parties agree that the choice made by the data subject shall not affect the procedural or substantive right of the data subject to obtain redress in accordance with other provisions of national or international law.

Clause 8

Cooperação com autoridades de supervisão

1. O exportador de dados concorda em depositar uma cópia do presente contrato com a autoridade de supervisão se esta assim o exigir ou se tal depósito estiver previsto na legislação de proteção de dados aplicável.

2. As partes concordam que a autoridade supervisora pode realizar verificações no importador de dados e em qualquer processador de dados na mesma medida e nas mesmas condições que as verificações realizadas no exportador de dados de acordo com a legislação de proteção de dados aplicável.

3. O importador de dados deve informar o exportador de dados o mais rápido possível da existência de legislação relativa ao importador de dados ou qualquer processador de dados que impeça a verificação no importador de dados ou em qualquer processador de dados de acordo com o parágrafo 2. Nesse caso, o O Exportador de Dados pode tomar as medidas previstas na Cláusula 5 (b).

Cláusula Nona

Lei aplicável

As cláusulas se aplicam e são regidas pela lei do Estado Membro onde o Exportador de Dados está baseado.

Cláusula Décima

Lei aplicável

The parties undertake not to modify the present clauses. The parties remain free to include other commercial clauses that they deem necessary, provided that they do not contradict the present clauses.

Clause 11

Subcontratação

1. O importador de dados não subcontratará nenhuma de suas atividades de processamento realizadas em nome do exportador de dados de acordo com essas cláusulas sem o consentimento prévio por escrito do exportador de dados. O importador de dados somente subcontratará suas obrigações nos termos destas cláusulas, com o consentimento do exportador de dados, por meio de um acordo por escrito com o processador de dados impondo ao processador de dados as mesmas obrigações impostas ao importador de dados de acordo com estas cláusulas. Se o processador de dados não puder cumprir com suas obrigações de proteção de dados sob aquele contrato escrito, o importador de dados permanecerá totalmente responsável perante o exportador de dados pelo cumprimento dessas obrigações.

2. O acordo prévio por escrito entre o importador de dados e o processador de dados também deve incluir uma cláusula de terceiro beneficiário, conforme estabelecido na Cláusula 3 para os casos em que o titular dos dados é impedido de entrar com a ação por danos referida na Cláusula 6 (1 ), contra o exportador de dados ou importador de dados porque o exportador de dados ou importador de dados desapareceu fisicamente, deixou de existir por lei ou se tornou insolvente e todas as obrigações legais do exportador de dados ou importador de dados não foram transferidas, por contrato ou por operação de direito, a outra entidade sucessora. A responsabilidade do processador de dados deve ser limitada às suas próprias atividades de processamento de acordo com estas cláusulas.

3. As disposições relativas aos aspetos da proteção de dados decorrentes da subcontratação do tratamento de dados do contrato referido no n.º 1 são regidas pela lei do Estado-Membro em que o exportador de dados está estabelecido.

4. O Exportador de Dados deve manter uma lista dos subcontratantes dos acordos de processamento de dados concluídos ao abrigo destas Cláusulas e notificados pelo Importador de Dados de acordo com a Cláusula 5 (j), que deve ser atualizada pelo menos uma vez por ano. Essa lista deve ser disponibilizada à autoridade supervisora de proteção de dados do exportador de dados.

Cláusula 12ª

Obrigação após o término dos serviços de processamento de dados pessoais

1. The parties agree that upon completion of the data processing services, the Data Importer and the Data processor will, at the Data Exporter's convenience, return all personal data transferred and copies thereof to the Data Exporter, or destroy all such data and provide proof the destruction to the Data Exporter, unless legislation imposed on the Data Importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the Data Importer guarantees that it will ensure the confidentiality of the personal data transferred and that it will no longer actively process the data.

2. The Data Importer and the Data processor shall ensure that, if so requested by the Data Exporter and/or the supervisory authority, they will subject their means of data processing to verification of the measures referred to in paragraph 1.

Appendix 1.1 to Part 2

Detalhes da transferência

Exportador de dados

O exportador de dados é o cliente definido no acordo contratual.

Importador de dados

The Data Importer is POSTCODEZIP and is assigned to process the data, providing services to the Data Exporter.

Assuntos dos dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de titulares de dados:

uma?? assinantes de telefone listados no diretório universal

'' Outros, incluindo:

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

Categorias de dados pessoais dos titulares dos dados do exportador de dados em particular,

uma?? Nome completo

' Endereço postal

uma?? Detalhes de contato (e-mail, telefone, endereço IP, etc.)

uma?? Detalhes das atividades de marketing relacionadas ao assinante do telefone

'' Outros, incluindo o tipo de moradia, renda e idade média da cidade feita de forma anônima

Categorias especiais de dados (se aplicável)

The personal data transferred concern the following special categories of data:

☒ The transfer of special categories of data is not foreseen

☐ Race or ethnic origin

☐ Religious or philosophical beliefs

☐ Trade union membership

☐ Political views

☐ Genetic information

☐ Biometric information

☐ Information on sexual orientation or sexual life

☐ Health data

Atividades de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

â € ¢ Objetivo do processamento

O processamento realizado em nome do Exportador de Dados é baseado nos seguintes assuntos, em particular:

'' Assumir o controle dos produtos ou serviços oferecidos pelo Exportador de Dados

' A oferta de um produto ou serviço que a pessoa chamada pode solicitar

' Pedidos recebidos das pessoas chamadas e processamento posterior desses pedidos

' Estudo de questionários e análises

' Telemarketing

uma?? Outros, incluindo:

â € ¢ Natureza e finalidade do processamento

O importador de dados processa os dados pessoais dos titulares dos dados em nome do exportador de dados, a fim de fornecer os seguintes serviços, e mais notavelmente:

'' Preenchimento automático de formulário
'Formulário de validação de endereços

' Vendas e Marketing

“ Outros, incluindo a atualização de bancos de dados de prefeituras e partidos políticos

- • Provision of services and employment of service providers

POSTCODEZIP principalmente combina, centraliza e fornece serviços para o exportador de dados. Os serviços prestados pelo provedor de serviço nomeado podem ser estruturados (entre outros, conforme apropriado) em torno dos seguintes serviços auxiliares: (i) fornecimento de aplicativos, ferramentas, sistemas e infraestrutura de TI em relação aos centros de processamento de dados utilizados, a fim de fornecer e apoiar os serviços, incluindo o processamento dos dados pessoais dos titulares dos dados, conforme descrito acima, por meio de tais aplicativos, ferramentas e sistemas, (ii) o fornecimento de suporte de TI, manutenção e outros serviços relacionados a tais aplicativos, ferramentas, sistemas e infraestrutura de TI, incluindo acesso potencial a dados pessoais armazenados em tais aplicativos, ferramentas e sistemas, e (iii) o fornecimento de serviços de proteção de dados, monitoramento de proteção e serviços de resposta a incidentes,incluindo o acesso potencial a dados pessoais ao fornecer tais serviços de proteção. POSTCODEZIP pode contratar processadores de dados conforme definido abaixo para fornecer os serviços, incluindo serviços auxiliares.

â € ¢ Prestadores de serviÃ§os externos terceirizados como subentidades atribuÃdas ao processamento de dados

POSTCODEZIP engages external and third-party service providers, which are not subsidiaries of POSTCODEZIP, to support the provision of services to the Data Exporter. The Data Exporter approves such external third-party service providers as sub-entities assigned to data processing.

If a sub-entity involved in data processing is located outside the EU/EEA, in a country deemed not to have an adequate level of data protection under a decision of the European Commission, the Data Importer will take steps to obtain an adequate level of data protection in accordance with the GDPR and section 3.4 (iv) of Part 1.

Apêndice 2, Parte 2

Medidas de proteção técnicas e organizacionais

O importador de dados deve tomar as seguintes medidas de proteção técnica e organizacional confirmadas pelo exportador de dados, a fim de garantir um nível adequado de segurança para os direitos e liberdades das pessoas, dependendo dos riscos. Ao avaliar o nível de proteção em questão, o Exportador de Dados considerou, em particular, os riscos envolvidos no processamento, incluindo destruição acidental ou ilegal, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados de outra forma. Por esclarecimento: Estas medidas de proteção técnicas e organizacionais não se aplicam aos aplicativos, ferramentas, sistemas e / ou infraestrutura de TI fornecidos pelo Exportador de Dados.

1 Medidas gerais de proteção técnica e organizacional

1.1 Informações gerais e estratégias de proteção de dados

As seguintes etapas devem ser seguidas para seguir as estratégias gerais de proteção de dados e informações:

a) tomar medidas para avaliar aquelas tomadas em relação à proteção técnica e organizacional;

b) ministrar treinamentos de conscientização dos colaboradores;

c) ter uma descrição dos sistemas em questão e permitir o acesso aos funcionários;

d) estabelecer um processo formal de documentação sempre que os sistemas forem implementados ou modificados;

e) documentar a estrutura organizacional, processos, responsabilidades e respectivas avaliações;

1.2 Organização da proteção da informação

As seguintes medidas devem ser tomadas a fim de coordenar as atividades de proteção de dados e informações:

a) responsabilidades definidas para a proteção de informações e dados (por exemplo, através da política de gestão de proteção de dados);

b) the necessary expertise on protecting information and data remaining available;

c) todos os funcionários estão empenhados em garantir que os dados pessoais sejam mantidos em sigilo e tenham sido informados das potenciais consequências da violação deste compromisso.

1.3 Controle de acesso às áreas de processamento

As seguintes medidas devem ser tomadas para evitar que pessoas não autorizadas tenham acesso aos sistemas de processamento de dados (em particular software e hardware) quando os dados pessoais são processados, armazenados ou transmitidos:

a) estabelecer áreas seguras;

b) proteger e restringir o acesso aos sistemas de processamento de dados;

c) estabelecer autorizações de acesso de empregados e terceiros, inclusive os respectivos documentos;

d) qualquer acesso aos centros de processamento de dados nos quais os dados pessoais são armazenados deve ser registrado.

1.4 Controle de acesso a sistemas de processamento de dados

As seguintes medidas devem ser tomadas para evitar o acesso não autorizado aos sistemas de processamento de dados:

a) políticas e procedimentos de autenticação de usuários;

b) the use of passwords on all computer systems;

c) o acesso remoto à rede requer autenticação multifatorial e é concedido ao interessado de acordo com suas responsabilidades e mediante autorização;

d) o acesso a funções específicas é baseado em funções de trabalho e / ou atributos atribuídos individualmente a uma conta de usuário;

e) os direitos de acesso relacionados aos dados pessoais são revisados regularmente;

f) os registros das alterações nos direitos de acesso são mantidos atualizados.

1.5 Controle de acesso a áreas específicas de uso de sistemas de processamento de dados

The following measures must be taken to ensure that authorized persons with the right to use the data processing system can only access data within their respective responsibilities and access authorizations and that personal data cannot be read, copied, modified, or deleted without authorization:

a) políticas, instruções e formação de colaboradores, no que se refere às obrigações de cada um deles sobre confidencialidade, direitos de acesso aos dados pessoais e âmbito do tratamento de dados pessoais;

b) medidas disciplinares contra pessoas que acessam dados pessoais sem autorização;

c) access to personal data shall be granted only to authorized persons, on a need-to-know basis;

d) manter uma lista de administradores de sistema e tomar as medidas apropriadas para monitorar os administradores de sistema;

e) não copiar ou reproduzir dados pessoais em qualquer sistema de armazenamento para permitir que pessoas não autorizadas removam as informações de seu originador;

f) exclusão ou destruição controlada e documentada de dados;

g) to store securely all personal data that must be retained for legal or regulatory reasons (e.g. obligations to retain data), and only for as long as required by law.

1.6 Controle de transmissão

As seguintes medidas devem ser tomadas para evitar que dados pessoais sejam lidos, copiados, modificados ou excluídos por terceiros não autorizados durante a transmissão ou transporte de dispositivos de armazenamento de dados (dependendo do processamento de dados pessoais realizado):

a) uso de firewalls;

b) evitar o armazenamento de dados pessoais em dispositivos móveis de armazenamento para fins de transporte ou criptografar os dispositivos;
c) uso em laptops e outros dispositivos móveis somente após a proteção de criptografia ter sido ativada;

d) registro de transmissão de dados pessoais.

1.7 Controle de entrada de dados

As seguintes medidas devem ser tomadas para garantir que seja possível verificar e determinar se os dados pessoais foram inseridos ou excluídos dos sistemas de processamento de dados e por quem:

a) uma política de autorização de leitura, alteração e exclusão de dados armazenados;

b) protection measures concerning the reading, alteration, and deletion of stored data.

1.8 Controle de trabalho

No caso de processamento delegado de dados pessoais, as seguintes medidas devem ser tomadas para garantir que tais dados sejam processados de acordo com as instruções do Supervisor:

a) entidades ou subentidades atribuídas ao processamento de dados, escolhidas com cuidado (prestadores de serviços que processam dados pessoais em nome do responsável pelo tratamento);

b) instruções sobre o âmbito de qualquer tratamento de dados pessoais aos funcionários, entidades ou subentidades atribuídas ao tratamento de dados;

c) direitos de auditoria acordados com as entidades ou subentidades atribuídas ao processamento de dados;

d) acordos em vigor com as entidades ou subentidades atribuídas para processar os dados.

1.10 Pseudonimização

As seguintes medidas devem ser tomadas em relação à pseudonimização de dados pessoais:

a) Se o exportador de dados solicitar uma operação de processamento específica ou se isso for considerado apropriado pelo importador de dados de acordo com as leis de proteção de dados em vigor relativas a certas atividades de processamento, o processamento de dados pessoais será realizado de forma que o os dados não podem mais ser atribuídos a uma pessoa específica sem o uso de informações adicionais. Essas informações adicionais serão mantidas separadamente;

b) use of pseudonymization techniques, including allocation list randomization; creation of values in the form of sharps.

1.11 Criptografia

As seguintes etapas devem ser executadas para criptografar dados pessoais em aplicativos e transmissões que suportam criptografia:

a) use of encryption techniques;

b) estabelecimento de gerenciamento de criptografia para apoiar as técnicas de criptografia autorizadas a serem utilizadas;

c) apoiar o uso de criptografia por meio de procedimentos e protocolos para gerar, modificar, revogar, destruir, distribuir, certificar, armazenar, capturar, usar e arquivar chaves criptográficas para proteção contra modificação e divulgação não autorizadas.

1.12 Completude dos sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas a fim de garantir a integridade dos sistemas e serviços de processamento de dados:

1. a) proteção de sistemas de processamento de dados contra manipulação ou destruição por meios apropriados (por exemplo, software antivírus, software de prevenção de perda de dados e software contra malware, patches de software, firewalls e proteção de desktop gerenciado);

b) prohibit the installation of any service or software harmful to data processing systems, services, or the manipulation of personal data;

c) utilização de sistema de detecção e prevenção de intrusões na própria estrutura da rede.

1.13 Disponibilidade de sistemas e serviços de processamento de dados e possibilidade de restaurar o acesso e uso de dados pessoais em caso de incidente material ou técnico

As seguintes medidas devem ser tomadas a fim de garantir a disponibilidade dos sistemas de processamento de dados, bem como ser capaz de restaurar rapidamente a disponibilidade e o acesso aos dados pessoais, em caso de incidente material ou técnico (em particular, garantindo que os dados pessoais são protegidos contra destruição ou perda acidental):

a) have means of control for keeping back-up copies and restoring lost or deleted data;

b) redundância de infraestrutura e teste de desempenho;

c) physical protection of computer resources;

d) utilização de ferramentas para monitorar o estado e a disponibilidade da rede interna;

e) incident reporting and response policies governing the incident management procedure, and reiteration of adherence to these policies as part of regular training;

f) backups (sometimes off-site) to restore the system to enable it to perform its functions again;

g) planos de continuidade de negócios / recuperação de desastres

1.14 Resiliência de sistemas e serviços de processamento de dados

As seguintes medidas devem ser tomadas para garantir a resiliência dos sistemas e serviços de processamento de dados:

a) sistemas e configurados harmoniosamente, utilizando parâmetros de segurança aprovados;

b) network redundancy;

c) proteção de contenção de sistemas críticos.

1.15 Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados

Procedimento para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para proteger o processamento de dados.

a) tomar as medidas necessárias para avaliar riscos e estratégias de mitigação;

b) reuniões de análise de serviço do departamento de TI para tratar de questões atuais;

c) planos de continuidade de negócios / recuperação de desastres são atualizados regularmente.

Parte 3

Assinaturas das partes e lista de importadores de dados

Ao preencher o formulário de encomenda online e validá-lo assinalando a caixa que aceita os termos e condições gerais de utilização, fica estabelecido o contrato que rege a relação entre o Cliente e POSTCODEZIP.

O envio do pagamento para POSTCODEZIP considerará o contrato acordado e estabelecido.

Tome nota: este texto foi traduzido do francês. A versão original em francês, válida e legalmente restritiva, está disponível aqui .