Válido a partir de 13/12/2022
Este Contrato de Processamento de Dados (“Contrato”) faz parte do Contrato de Serviços (“Contrato Principal”) entre o cliente (a “Empresa”) e a empresa sueca Happyning AB (“Suptask”), 559219-8211 (o “Processador de Dados”), juntamente com as “Partes”.
Considerando que
(A) A empresa atua como controladora de dados.
(B) A Empresa deseja subcontratar determinados Serviços, que implicam o processamento de dados pessoais, ao Processador de Dados.
(C) As Partes procuram implementar um acordo de processamento de dados que cumpra os requisitos do atual quadro jurídico em relação ao processamento de dados e com o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados).
(D) As Partes desejam estabelecer seus direitos e obrigações.
É acordado da seguinte forma:
1.1 A menos que definido de outra forma neste documento, os termos e expressões em maiúsculas usados neste Contrato terão o seguinte significado:
1.1.1 “Contrato” significa este Contrato de Processamento de Dados e todos os Cronogramas;
1.1.2 “Dados Pessoais da Empresa” significa quaisquer Dados Pessoais Processados por um Processador Contratado em nome da Empresa, de acordo com ou em conexão com o Contrato Principal;
1.1.3 “Processador contratado” significa um subprocessador;
1.1.4 “Leis de proteção de dados” significam as leis de proteção de dados da UE e, na medida do aplicável, as leis de proteção de dados ou privacidade de qualquer outro país;
1.1.5 “EEE” significa o Espaço Econômico Europeu;
1.1.6 “Leis de proteção de dados da UE” significa a Diretiva 95/46/EC da UE, conforme transposta para a legislação nacional de cada Estado-Membro e alterada, substituída ou substituída de tempos em tempos, inclusive pelo LGPD e pelas leis que implementam ou complementam o LGPD;
1.1.7 “GDPR” é o que usamos como "LGPD" no Brasil e significa o Lei Geral de Proteção de Dados Pessoais da União Europeia;
1.1.8 “Transferência de dados” significa:
1.1.8.1 uma transferência de dados pessoais da empresa da empresa para um processador contratado; ou
1.1.8.2 uma transferência posterior de Dados Pessoais da Empresa de um Processador Contratado para um Processador Subcontratado, ou entre dois estabelecimentos de um Processador Contratado, em cada caso, onde tal transferência seria proibida pelas Leis de Proteção de Dados (ou pelos termos dos contratos de transferência de dados estabelecidos para lidar com as restrições de transferência de dados das Leis de Proteção de Dados);
1.1.9 “Serviços” significa o produto Suptask.
1.1.10 “Subprocessador” significa qualquer pessoa designada por ou em nome do Processador para processar Dados Pessoais em nome da Empresa em conexão com o Contrato.
1.2 Os termos “Comissão”, “Controlador”, “Titular dos Dados”, “Estado Membro”, “Dados Pessoais”, “Violação de Dados Pessoais”, “Processamento” e “Autoridade Supervisora” terão o mesmo significado que no LGPD, e seus termos cognatos devem ser interpretados de acordo.
1.3 “Titular dos dados” significa a pessoa identificada ou identificável a quem os Dados Pessoais se relacionam.
2.1 O processador deve:
2.1.1 cumprir todas as leis de proteção de dados aplicáveis no processamento de dados pessoais da empresa; e
2.1.2 não processar dados pessoais da empresa, exceto nas instruções documentadas relevantes da empresa.
2.2 A Empresa instrui o Processador a processar os Dados Pessoais da Empresa.
2.3 As instruções de processamento de dados estão disponíveis no Anexo 2.
O Processador deve tomar medidas razoáveis para garantir a confiabilidade de qualquer funcionário, agente ou contratado de qualquer Processador Contratado que possa ter acesso aos Dados Pessoais da Empresa, garantindo, em cada caso, que o acesso seja estritamente limitado aos indivíduos que precisam conhecer/acessar os Dados Pessoais da Empresa relevantes, conforme estritamente necessário para os fins do Contrato Principal, e cumprir as leis aplicáveis no contexto das obrigações desse indivíduo para com o Processador Contratado, garantindo que todos esses indivíduos estejam sujeitos a compromissos de confidencialidade ou obrigações profissionais ou legais de confidencialidade.
4.1 Levando em consideração o estado da arte, os custos de implementação e a natureza, escopo, contexto e finalidades do Processamento, bem como o risco de probabilidade e severidade variáveis dos direitos e liberdades das pessoas físicas, o Processador deve, em relação aos Dados Pessoais da Empresa, implementar medidas técnicas e organizacionais apropriadas para garantir um nível de segurança adequado a esse risco, incluindo, conforme apropriado, as medidas referidas no Artigo 32 (1) do LGPD.
4.2 Ao avaliar o nível apropriado de segurança, o Processador deve levar em conta, em particular, os riscos apresentados pelo Processamento, em particular decorrentes de uma violação de dados pessoais.
5.1 O processador não deve nomear ou divulgar nenhum dado pessoal da empresa a nenhum subprocessador, a menos que seja exigido ou autorizado pela empresa.
5.2 A lista atual de subprocessadores autorizados está listada no Anexo 1.
6.1 Levando em consideração a natureza do Processamento, o Processador ajudará a Empresa a implementar medidas técnicas e organizacionais apropriadas, na medida do possível, para o cumprimento das obrigações da Empresa, conforme razoavelmente entendido pela Empresa, de responder às solicitações para exercer os direitos do Titular dos Dados de acordo com as Leis de Proteção de Dados.
6.2 O processador deve:
6.2.1 notificar imediatamente a Empresa se ela receber uma solicitação de um Titular dos Dados de acordo com qualquer Lei de Proteção de Dados em relação aos Dados Pessoais da Empresa; e
6.2.2 garantir que não responda a essa solicitação, exceto nas instruções documentadas da Empresa ou conforme exigido pelas leis aplicáveis às quais o Processador está sujeito. Nesse caso, o Processador deverá, na medida permitida pelas leis aplicáveis, informar a Empresa sobre essa exigência legal antes que o Processador contratado responda à solicitação.
7.1 O Processador notificará a Empresa sem demora injustificada após o Processador tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados Pessoais da Empresa, fornecendo à Empresa informações suficientes para permitir que a Empresa cumpra quaisquer obrigações de relatar ou informar os Titulares dos Dados sobre a Violação de Dados Pessoais
7.2 O Processador deve cooperar com a Empresa e tomar medidas comerciais razoáveis, conforme indicado pela Empresa, para auxiliar na investigação, mitigação e remediação de cada violação de dados pessoais.
O Processador de Avaliação de Impacto e Consulta Prévia fornecerá assistência razoável à Empresa com quaisquer avaliações de impacto sobre proteção de dados e consultas prévias com as Autoridades Supervisoras ou outras autoridades competentes de privacidade de dados, que a Empresa considere razoavelmente exigidas pelo artigo 35 ou 36 do LGPD ou por disposições equivalentes de qualquer outra Lei de Proteção de Dados, em cada caso, exclusivamente em relação ao processamento de dados pessoais da empresa e levando em consideração a natureza do processamento e das informações disponíveis para os processadores contratados.
9.1 Sujeito a esta seção 9, o Processador deverá, imediatamente e em qualquer caso, dentro de 30 dias úteis a partir da data de cessação de quaisquer Serviços que envolvam o Processamento de Dados Pessoais da Empresa (a “Data de Cessação”), excluir e solicitar a exclusão de todas as cópias desses Dados Pessoais da Empresa.
10.1 Sujeito a esta seção 10, o Processador disponibilizará à Empresa, mediante solicitação, todas as informações necessárias para demonstrar a conformidade com este Contrato e deverá permitir e contribuir com auditorias, incluindo inspeções, pela Empresa ou por um auditor designado pela Empresa em relação ao Processamento de Dados Pessoais da Empresa pelos Processadores Contratados.
10.2 Os direitos de informação e auditoria da Empresa surgem apenas de acordo com a seção 10.1, na medida em que o Contrato não lhes conceda direitos de informação e auditoria que atendam aos requisitos relevantes da Lei de Proteção de Dados.
11.1 O Processador não pode transferir ou autorizar a transferência de Dados para países fora da UE e/ou do Espaço Econômico Europeu (EEE) sem o consentimento prévio por escrito da Empresa. Se os dados pessoais processados sob este Contrato forem transferidos de um país dentro do Espaço Econômico Europeu para um país fora do Espaço Econômico Europeu, as Partes devem garantir que os dados pessoais sejam protegidos adequadamente. Para conseguir isso, as Partes devem, a menos que acordado de outra forma, confiar nas cláusulas contratuais padrão aprovadas pela UE para a transferência de dados pessoais.
12.1 Confidencialidade. Cada Parte deve manter este Contrato e as informações que recebe sobre a outra Parte e seus negócios em conexão com este Contrato (“Informações Confidenciais”) em sigilo e não deve usar ou divulgar essas Informações Confidenciais sem o consentimento prévio por escrito da outra Parte, exceto na medida em que:
(a) a divulgação é exigida por lei;
(b) as informações relevantes já estão no domínio público.
12.2 Avisos. Todos os avisos e comunicações fornecidos sob este Contrato devem ser feitos por escrito e serão entregues pessoalmente, enviados pelo correio ou por e-mail para
o endereço ou endereço de e-mail estabelecido no título deste Contrato em outro endereço, conforme notificado de tempos em tempos pelas Partes que mudam de endereço.
13.1 Este Contrato é regido pelas leis da Suécia.
13.2 Qualquer disputa decorrente deste Contrato, que as Partes não poderão resolver amigavelmente, será submetida à jurisdição exclusiva dos tribunais da Suécia, sujeita a possível apelação ao Supremo Tribunal Federal Sueco em Estocolmo.
As seguintes organizações são subprocessadores usados:
Para facilitar a operação normal dos Serviços. Os dados pessoais não são processados de nenhuma outra forma.
A Suptask fornece os Serviços que, por sua natureza, apoiam o gerenciamento e o processamento de solicitações de tickets. A Suptask não controla quais dados específicos a Empresa inclui por meio dessa ferramenta e, consequentemente, quais dados pessoais são adicionados pela Empresa por meio dessa ferramenta.
A Suptask pode coletar Dados Pessoais ao realizar serviços especializados a pedido de seus clientes, para fornecer suporte ao cliente, suporte geral de seus relacionamentos com clientes e melhorar o produto.
O Suptask é um produto integrado ao Slack (Slack Inc). O próprio Suptask armazena o mínimo de dados, pois a maioria está armazenada no Slack. O Suptask faz referência a grande parte desses dados ao Slack sem armazená-los no Suptask.
Os Dados Pessoais dizem respeito aos usuários finais da Empresa.
Os seguintes dados pessoais podem ser processados:
Categorias de titulares de dados:
